前言
运行环境:windows2003
2006年一种国内常见的、令人厌恶的、臭名昭著的熊猫烧香的亲戚——威金病毒,该病毒集是文件型病毒、蠕虫病毒、病毒下载器于一身,传播能力非常强。
“威金蠕虫”是一个能在WIN9X/NT/2000/XP等系统上运行的蠕虫病毒,通过感染文件、局域网以及其他病毒下载传播。
该病毒还会自动在后台下载并运行“QQ通行证”等其他病毒,窃取用户QQ及网络游戏的账号和密码并发送给黑客。
好,我们先运行一下威金病毒,运行之前,我们先看一下c盘
运行之后,c盘多了一个文件
这个是威金病毒产生的autorun.inf文件,这个文件就是蠕虫文件,我们插上u盘之后,只要加载了u盘驱动,那么这个文件会自动调用,自动会将该文件和该文件中指定的一些病毒程序拷贝到u盘中,并且下次插入u盘的时候,通过相同的手段将病毒传播到电脑上,并且这个文件只要存在我们的c盘中,我们双击该盘符时,这个文件也会自动执行,我们打开这个文件看看内容:
这几行的意思是运行system32中的DLLHOST.exe文件,这个文件就是病毒文件,真正的攻击动作都是这个程序搞的。
并且我们在system32文件中看不到该文件,是隐藏的。
并且他还会在c:windowssystem32目录下生成rundll132.exe文件,这也是病毒文件之一。我们怎么知道它生成了这样的文件呢,就对某台电脑进行监控,监控它的每个磁盘,当它中毒时,看它磁盘中的文件发生了哪些变动。
接下来我们来分析如何解决这个病毒,解决这个病毒之前,我们先重启一下这个虚拟机。重启之后再看c盘。
右键,多了个Auto。
查看进程:发现进程增加了一个DLLHOST.exe进程,说明病毒已运行:
该进程可以被结束,但是重启电脑之后,这个进程又回来了。
那么我们如何杀掉它呢?
第一步:进入安全模式(这里我们没有进入)
正常来讲,应该重启系统,进入到安全模式下去进行病毒的查杀,因为有些病毒在自身程序运行的状态下是不能被删除的,或者它的程序文件不能被删除,而系统安全模式启动的话,只会加载运行系统所需的基本系统程序,病毒、木马、其他第三方软件程序都不会被运行,所以我们删除病毒就更方便一些,我们有其他的手段,所以就不用安全模式来搞了,那么如何进入安全模式呢,重启电脑按F8键就能进入安全模式,但是win10不是这么进入安全模式,大家可以自行百度一下。
启动了安全模式之后,还可以加载安全模式桌面。
第二步:删除进程并查看系统配置
删除进程:
如果你的电脑上看到了一个大写的一个小写的进程,那就都删掉,一般就只能看到一个大写的,删除即可。
开始--运行--输入msconfig 确认进入系统配置实用程序,找到启动选项
关闭它的启动项:将DLLHOST启动项目取消勾选,点击应用,然后点击关闭,会提示你重启,我们稍后重启
在上面系统配置的图中,我们看到,命令那一列中没有看到该启动项的程序绝对路径,这是因为病毒使用了windows系统环境变量路径来加载病毒的,只要在环境变量下面的程序都可以不用文件路径来启动。
查看环境变量:
第三步:查找病毒注册表开机启动调用项
如何找注册表中的开机启动项所在位置,我们上节课已经告诉给大家了。然后经过查找,我们找到了下面这个注册表位置:
win+R --> regedit
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows 找到load字符串,直接删除、刷新注册表。这样启动项的病毒就会马上消失。
修改它,然后将字符串删除
删除之后就不会开启自启动DLLHOST.exe程序了
查看启动项,如果发现它还是勾选了,那么再次取消勾选,点击应用之后点击关闭即可
第四步:删除病毒源文件
1.删除DLLHOST.exe文件
我们通过上面的步骤发现,DLLHOST.exe是个隐藏文件,可以通过win+R --> cmd --> del /ah /f DLLHOST.exe 就可以删除隐藏DLLHOST.exe病毒,其中 /ah 是只删除所有隐藏文件的意思。
怎么办?我们可以去看一下是不是这个文件的进程处于运行状态,先将进程停止,再手动删除,如果还是删除不了,那么打开xuetr工具,删除顽固的隐藏文件,先标记一下阻止文件再生,然后点击强制删除。
镜像劫持:如果发现你的XueTr不好用了,那么很有可能是病毒将它禁用了,是因为镜像劫持,现在只需要将XueTr关闭,然后将XueTr.exe的名称改一下:
再双击打开,再强制删除即可。你会看到DLLHOST.exe上面还有一个dllhost.exe,小写字母的,也一并删掉。
这样就删掉了。如果删除之后我们在命令行又看到了
那么和下面删除rundll32.exe文件一样,写个批处理的bat文件,同时删除这两个文件,其中有个文件可能提示你删不了,那就不用管它了。
比如通过命令 dir /s rundll32.exe。
看到有如下两个文件,在两个不同的目录中,dllcache目录存放的是system32的备份文件,这是系统自我保护使用到的目录,由于system32目录下存放的多是系统运行需要的dll动态库文件,所以为了防止必要的dll文件丢失,会将system32下的文件全部备份一份到dllcache目录中,如果丢失了系统会自动去dllcache目录中拷贝一个回来。
这也是病毒文件喜欢放到system32目录中的原因,不信大家删除一下system中的这个rundll32.exe文件试试效果:
删除 del rundll32.exe ,过一小会之后查看,又回来了
那么我们如果想同时删除这两个文件该怎么办,需要写一个脚本程序来同时执行两个目录的文件删除动作。如何来做,下面步骤中会有学习。
2.删除dllhost.exe文件
方式如下:
比如我们现在桌面创建一个1.txt文件,写上如下代码
cd c:windowssystem32dllcache
del dllhost.exe
del /ah /f dllhost.exe
cd c:windowssystem32
del rundll32.exe
del /ah /f dllhost.exe
删除dllhost.exe
cd c:windowssystem32dllcache
del dllhost.exe
del /ah /f dllhost.exe
cd c:windowssystem32
del dllhost.exe
del /ah /f dllhost.exe
注意,下面里面的rundll32.exe改写为dllhost.exe。
然后将文件改名为1.bat,.bat文件是windows运行指令的文件,然后将.bat文件拖动到cmd窗口
然后回车运行,就ok了。看到如下提示,点击取消
在看到如下提示,点击是
然后我们再搜索一下,就看不到该文件了
第五步:删除相应盘符下的autorun.inf
删除相应盘符下的autorun.inf,以防双击运行盘符再次调用病毒运行,不然我们重启电脑之后,会看到在盘符上点击右键时,看到一个auto选项
这个auto选项其实就是病毒的自行执行程序,我们直接双击磁盘就会触发这个auto动作,病毒还会再次被运行。
所以我们通过右键->打开,来打开盘符,如下,右键打开和双击打开对操作系统来讲,它做的事情都是打开磁盘,但是启动的手段、方式不同,病毒的自动执行就和双击动作关联了。
找到文件删掉
然后清空回收站:
如果找不到这个文件,那么可能是隐藏的比较好,通过xuetr来删除即可。
第七步:重启电脑
重启电脑,威金病毒彻底删除完成。
后言
祝愿大家在网络安全领域越走越深,终能柳暗花明又一村!!
原文始发于微信公众号(安全君呀):病毒查杀 | 威金病毒手动查杀
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论