在客戶這里做項目，發(fā)現(xiàn)客戶給我的計算機上面在打開分區(qū)的時候，會另開一個窗口打開，查看了系統(tǒng)的文件夾選項，并將其還原為默認設置。發(fā)現(xiàn)情況依然，很明顯，這臺機器中毒了，磁盤下有autorun.inf這個東西！
    現(xiàn)在大部分病毒和木馬都通過在磁盤分區(qū)根目錄下生成Autorun.inf。修改磁盤分區(qū)右鍵菜單的“打開”，“自動播放”等菜單項的點擊操作，實現(xiàn)病毒自動運行。
    一些典型的癥狀：
    1、雙擊磁盤分區(qū)無法打開分區(qū)，提示找不到某某程序
    2、雙擊響應速度變慢。
    3、在新窗口打開
    謹慎的通過在地址欄輸入c:\等方式進入分區(qū)根目錄。不要雙擊或右鍵哦！嘗試顯示隱藏文件和系統(tǒng)文件，誒，這個病毒居然沒有修改文件夾的hidden的注冊表項，可以顯示系統(tǒng)文件和隱藏文件。果然，在每個分區(qū)根目錄下面有兩個隱藏的文件：autorun.inf和system.dll，但是沒有.exe的可執(zhí)行文件，有點奇怪。查看autorun.inf的內容：
    [autorun]
    shell\open\command=rundll32 system.dll,explore
    shell\explore\command=rundll32 system.dll,explore
    我不太了解這些語法，從字面意義上看，時調用rundll32 來調用這個syste.dll病毒控件。以前見過的其他autorun.inf的寫法還有自定義右鍵菜單的，反正一句話，如果不是自定義的autorun.inf都是不正常的。
    Autorun.inf本來是用在光驅上實現(xiàn)光盤自動播放的工具。本身無害，難而很容易被病毒利用以傳播病毒?？梢酝ㄟ^修改系統(tǒng)組策略禁止驅動器不自動播放，防范病毒通過自動播放達到自動運行。
    嘗試刪除這兩個文件，馬上，3秒鐘，這兩個文件又生成了，說明有進程在監(jiān)控這兩個文件，刪除了就補回來。嘗試先建一個同名的文件抑制再生，就是建立一個同名的文件夾，根據(jù)windows文件建立規(guī)則，同一個目錄下不能有同名的文件或文件夾。結果病毒自行先刪除那個文件，重新建立。囧，看了那些抑制病毒再生的工具也可以退伍咯。
    常見的抑制U盤病毒的工具，就是在U盤下面生成一個autorun.inf文件夾來實現(xiàn)抑制的。這也容易被病毒*。要加強這種方式，可以通過修改autorun.inf文件夾的NTFS權限，禁止所有人刪除！
    打開任務管理器，發(fā)現(xiàn)有一些莫名進程，是一些數(shù)字和.txt，比如說3***.txt，進程不是都是.exe的么？不解，不管他了。結束掉，結束掉發(fā)現(xiàn)該進程并未再次生成。再次嘗試刪除那兩個文件，依然如此，看來，我得知道是誰在生成那兩個文件了。下載Filemon，這個軟件微軟的網站有下，我從skycn下的，別人修改過的filemon居然綁了流氓軟件，什么上網助手啊，幸好是可以選擇不安裝。運行后，在過濾器里面添上過濾標志autorun.inf。發(fā)現(xiàn)居然是svchost在讀寫這個文件。右鍵選擇進程，查看進程位置，c:\windows\system32。找到那個文件后，查看文件屬性，Microsoft出品...，強行結束掉一個svchost，彈出提示要關機，趕忙輸入shutdown -a停止自動關機。我預計這個文件被感染了，或者被利用了。這可如何是好。
    很多病毒的進程名要么是不規(guī)則的，要么就是偽裝的，可以通過工具軟件，找到該可疑進程對應的文件的屬性，路徑，廠商來判斷是不是正常的文件。
    打開IE，以autorun.inf svchost system.dll搜索下相關信息，發(fā)現(xiàn)還是有一些的有人中了的，一打開那個網頁，糟糕，網頁給殺掉了，這病毒作者，學了很多東西嘛。這里我有一個想法啊，能不能讓標題欄不顯示網頁的title啊。這樣網頁就不會給殺掉了。
    很多病毒都通過鉤子檢查當前窗口的標題，如果符合一些特征，則將該窗口關閉。
    這是流氓會武術，誰也擋不住啊。從另外一方面想，我不讓病毒隨機器啟動運行也行。msconfig，查看系統(tǒng)服務和啟動。在系統(tǒng)服務中隱藏掉微軟服務，將那些服務禁止掉。啟動里面，清理調未知的。重啟，嘗試刪除那兩個文件，依然再生，看來，病毒建立了驅動或者服務了，那需要工具了－－SRENG。軟件我就不介紹了，很好的工具。（只是我給作者反饋信息不理我，抑郁啊。）運行后，查看啟動項，可以發(fā)現(xiàn)AppInit_DLLs被大量修改，還有就是Image File Execution Options中大量安全軟件被處理，所以大部分的殺軟無法啟動了。
    AppInit_DLLs
    AppInit_DLLs 是啟動項是初始化動態(tài)鏈接庫 ，但是有病毒通過修改AppInit_DLLs來執(zhí)行 ，通過修改[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]鍵值來插入病毒.
    讓病毒在安全模式下也能運行。
    Image File Execution Options，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windowsNT\currentversion\image file execution options，病毒通過修改該處鍵值，實現(xiàn)誤導某些可執(zhí)行程序的路徑。比如說，在這個下面添加一個360safe.exe，然后將其鍵植改為virus.exe，那么我們在運行360safe時，實際上執(zhí)行的是virus.exe！這個叫映像劫持！通常被病毒利用來阻止殺毒軟件的運行。
    通常病毒實現(xiàn)隨系統(tǒng)啟動的辦法除了上面提到的兩種方式,還有:
    1、注冊表項：RUN
    2、注冊表項：Userinit
    3、作為服務啟動
    4、作為驅動啟動
    這里就可以找到那些文件，一個一個的DEL。本來想那么作，后來沒有，我想，這些事情還是交給殺軟去做吧。用SRENG按shift連續(xù)選擇，將他們給del掉。刪了，刷新后還有，難道病毒會重寫回去呢。無意間，我查看了下SRENG掃描出來的日志，我發(fā)現(xiàn)一些可疑的東西，正在運行的進程
    [PID: 588 / SYSTEM][\SystemRoot\System32\smss.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [PID: 644 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [PID: 668 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [PID: 712 / SYSTEM][C:\WINDOWS\system32\services.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [PID: 724 / SYSTEM][C:\WINDOWS\system32\lsass.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [PID: 884 / SYSTEM][C:\WINDOWS\system32\svchost.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [PID: 948 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [PID: 1096 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [PID: 1224 / LOCAL SERVICE][C:\WINDOWS\system32\svchost.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [PID: 1456 / SYSTEM][C:\WINDOWS\system32\spoolsv.exe] [(Verified) Microsoft Corporation, 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [C:\WINDOWS\system32\mdimon.dll] [Microsoft Corporation, 11.3.1897.0]
    [C:\WINDOWS\System32\spool\PRTPROCS\W32X86\mdippr.dll] [Microsoft Corporation, 11.3.1897.0]
    [PID: 1676 / SYSTEM][C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE] [Microsoft Corporation, 7.00.9466]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\2052\mdmui.dll] [Microsoft Corporation, 7.00.9466]
    [PID: 1732 / LOCAL SERVICE][C:\WINDOWS\system32\wdfmgr.exe] [Microsoft Corporation, 5.2.3790.1230 built by: dnsrv(bld4act)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [PID: 364 / LOCAL SERVICE][C:\WINDOWS\System32\alg.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\System32\HBDNF.dll] [N/A, ]
    [PID: 480 / SYSTEM][C:\WINDOWS\TEMP\32656.txt] [N/A, ]
    [C:\WINDOWS\TEMP\textfont.dat] [N/A, ]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [C:\WINDOWS\TEMP\WowInitcode.dat] [N/A, ]
    [PID: 1088 / Administrator][C:\WINDOWS\system32\wonlinsk.exe] [N/A, ]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [PID: 1240 / Administrator][C:\WINDOWS\system32\ctfmon.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [C:\WINDOWS\system32\appwinproc.dll] [N/A, ]
    [PID: 252 / Administrator][C:\WINDOWS\system32\conime.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [C:\WINDOWS\system32\appwinproc.dll] [N/A, ]
    [PID: 1216 / Administrator][C:\Documents and Settings\Administrator\桌面\sreng2\SREngLdr.EXE] [Smallfrogs Studio, 2.7.0.1210]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [PID: 428 / Administrator][C:\Documents and Settings\Administrator\桌面\sreng2\SREb2cb0ef4.EXE] [Smallfrogs Studio, 2.7.0.1210]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [C:\Documents and Settings\Administrator\桌面\sreng2\Upload\3rdUpd.DLL] [Smallfrogs Studio, 2, 1, 0, 15]
    [C:\WINDOWS\system32\appwinproc.dll] [N/A, ]
    [PID: 1908 / Administrator][C:\WINDOWS\explorer.exe] [(Verified) Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\HBDNF.dll] [N/A, ]
    [C:\WINDOWS\system32\appwinproc.dll] [N/A, ]
    這個日志比以前的日志好看多了，以前的日志每個進程的dll鏈接庫一大排，看得眼暈。
    很多安全工具都有掃描日志功能。通過查看各個進程調用的DLL動態(tài)連接庫，來確定那一些是非正常的dll。比如說廠商，路徑。
    幾乎每一個進程都有一個DLL文件：HBDNF.dll！估計這個文件有鬼。我要刪掉他，但大部分的進程都在使用那個文件，如何是好？對了，有一個工具：unlocker！下載，運行，接鎖進程，依然刪不掉，但是有一個選擇，重啟后刪除。那就重啟后刪除吧
    如果文件正在被使用，是無法刪除的。方法有一些：
    1、利用工具軟件，很多，unlocker，文件粉碎器等一些刪除文件的工具。
    2、DOS下刪除。
    3、修改文件的NTFS權限，阻止所有人訪問。
    4、XCOPY替換。等等
    重啟后，再次運行SRENG，刪除Image File Execution Options，刪了依然還有，但我發(fā)現(xiàn)新出來的項和剛刪除來的不一樣，估計是SRENG沒有將所有的都顯示出來？不管了，再刪吧，重復了5 ，6遍，終于刪完了。接下來的事情，就是下載殺毒軟件來查殺了。（如果不刪除Image File Execution Options，這些殺軟是無法運行的。）
    手殺軟件還是很辛苦的，有很多病毒會下載大量的木馬，那一個個刪費事費力，最終還是要使用殺毒軟件來處理。要讓殺毒軟件跑起來，那就得把那些阻擾殺軟運行的障礙清除掉。推薦在安全模式下運行殺軟
    完，也許語句組織的不好，因為病毒給殺掉了后才做的，也沒截圖，見諒見諒。為什么用NOD?免費半年。。。