LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
查看: 806|回复: 7

我用linux手工清理windows下的病毒

[复制链接]
发表于 2004-6-9 00:05:15 | 显示全部楼层 |阅读模式
我用linux手工清理windows下的病毒

今天一个同学的windows xp中毒了,叫我去帮他看一下。
我打开他机器上的“我的电脑”,发现所以有的盘(c,d,e,f,g)盘都不能双击打开,一定要右键后选择“打开”才能打开,而右键的菜单有一个“自动播放”的选项,刚开始时候我没有注意到这点,而其他所以的文件夹都可以双击打开,而每个盘的根目录下都有几个相同文件名不同扩展名的rar和zip文件,机器运行很慢。
我初步确定是中了木马,我一开始以为随便的装个杀度软件就能解决问题,由于他的机器本身没有安装有杀度软件(好不怕死的人!!),于是我就先下载了一个“诺顿”,双击exe的安装文件运行安装,没想到只安装到一半的时候就突然的被关掉了,然后发现那个本来有1m多的“诺顿”的安装文件变成了只有125k的图标为dos程序的文件,我再次运行一次另一个正常的“诺顿”安装exe文件,还是安装到一半后就自动被关闭,然后那exe文件也边成了显示为dos程序的只有125k的东西。我意识到这个病毒有点厉害。我于是查看windows启动时候自动加载的程序,发现有一个C:\WINDOWS\system32>目录下的叫做iexplorer.exe的启动项,并且这个程序删不了的,系统说正在使用中的程序。我于是把那启动项关掉,并在注册表了把那个可疑的成效的自动运行给删掉了,满以为问题可以解决了,于是重启一次,再次打开windows启动时候自动加载的程序查看,发现还是有那个东西,看来这病毒很厉害啊。既然在windows下删不了,那我就到linux下把它删除不就行了吗?于是我马上用cdlinux的光盘启动电脑,把c盘挂载上去,顺利的把C:\WINDOWS\system32\iexplorer.exe删除掉了,我以为问题应该解决了,无意中我看到c盘根目录下有一个aotorun.inf的东西,我猛然想起在“我的电脑”里所有盘右键都有一个“自动播放”的选项,马上用cat aotorun.inf查看,竟然发现有个“open=command.exe”的内容,然后发现c盘根目录下有个command.exe的文件,看来问题就是出在这里了,马上把command.exe和aotorun.inf都删掉。然后看看其他盘的根目录下全也都有command.exe和aotorun.inf,于是把他们全都删掉。并且把所以盘下所有相同文件名不同扩展名的rar和zip文件也删掉。
无意中我又发现怎么同一个目录下有exe文件的地方都有一个相同文件名不同扩展名的.zmx文件的呢,而且这些exe文件大小都是128000,而且文件属性的时间都是差不多的,看来问题就是出在这里了,我进入那个“诺顿”的文件夹,发现有一个exe文件也有一个zmx文件,那个exe文件当然就是128000大小的了,而且那个zmx文件大小就等于原来的“诺顿”exe安装文件的大小。我又查看了其他用同样文件名不同扩展名(一个exe,一个zmx)的目录,发现都有一个特点,就是那些exe文件都是我同学在他的电脑中毒后曾经运行过的程序,而他没有运行过的那些exe文件目录下都没有同样文件名不同扩展名(一个exe,一个zmx)的东西。
我猛然知道了,原来那病毒就是把所运行的exe文件都关闭掉,然后把那exe文件的扩展名改为zmx,同时把那病毒文件(只有128000大小的东西)都拷贝到那exe文件的目录下并改名为原来的那exe文件的名字。
天啊,我一下子想到c盘的windows启动时会运行多少的exe文件,那样c盘下会有多少那样的病毒呢?
因为c盘是系统盘,我不敢随便的删里面的exe文件,我就把除c盘的其他都盘都挂载到/mnt的各子目录下,然后用find命令把所有的病毒文件都找出来并且删掉:find /mnt -name '*.exe' -size 128000 - exec rm -rf {}\;
我想这样问题应该可以解决了吧,于是重新启动进入windows,发现每个盘右击时还是有一个“自动播放”的选项,我于是从“文件夹选项”中选中“显示所有文件和目录”和“显示所有受保护的系统文件和目录”的选项,然后右击每个盘后选择“打开”,发现每个盘的根目录下都有command.exe和aotorun.inf的两个文件,而且还是“系统”的属性,那个病毒好厉害,我本来已经在linux里把这两个文件都删除掉了的,windows一启动它又自动生成了这两个东西。我又进入在linux里查看有相同文件名不同扩展名(一个exe一个zmx)的目录,那些exe扩展名的已经被我在linux删除了,我把zmx的扩展名改为exe,原来的程序又回来了,而那exe文件的属性都被那病毒改为“系统”的属性了,怪不得先前我在不显示所有系统文件的时候看不到它啦。
这个时候已经可以运行exe文件了,我就马上安装了一个“金山度霸”,重新启动后马上进入“安全模式”进行杀毒。目前正在杀毒中。







后话:当windows中毒的时候,我想到了linux,用linux我用得很放心!!
安装windows 的时候,千万不能用ntfs的文件格式,要是你非常不幸的用了ntfs文件格式,要是你的widows中毒了,linux读写不了ntfs,dos也读不了ntfs,那我就看你的windows怎么死!而且ntfs所谓的安全性对我来说完全用不着,而且设置也是非常非常的麻烦,跟*nix平台下的8进制文件属性的方便安全完全没得比,看来微软的东西也不怎么样。




我想起了一个笑话,跟大家一起笑笑吧:


IT公司生产避孕套

      有一天软件工业一蹶不振,软件业三大巨头SUN,UNIX和微软都决定改做避孕套生意。他们生产的避孕套分别命名为JAVA避孕套,X避孕套,和MS避孕套。
一个使用JAVA避孕套的顾客来到SUN公司投诉,说戴着不合适。SUN公司回答说要等国际标准组织(ISO)制定相应的标准才行,并吹牛说那时他们生产的避孕套将适合每个男人。
顾客只好转而使用X避孕套。可他发现等他读完随套附上的说明书后,他的妻子已经睡着了,他自己也忘了为什么要用X避孕套。最后,他只好换用MS避孕套。出乎他意料的是,MS避孕套非常好用,他很愉快的连续使用了好几个月,突然发现他妻子怀孕了。他非常生气气势汹汹的找到微软公司。
微软的回答是:补丁马上就到!
发表于 2004-6-9 08:54:01 | 显示全部楼层

高手呀.高手呀

高手呀这种办法也能想到...
太平洋里的水 该用户已被删除
发表于 2004-6-9 09:02:35 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2004-6-9 10:13:02 | 显示全部楼层
ntfs比fat32好,不过单机用fat32也行
发表于 2004-6-9 10:54:35 | 显示全部楼层
那个笑话有意思
发表于 2004-6-9 13:41:13 | 显示全部楼层
ntfs还是不错的,系统装在NTFS上速度比较快,磁盘碎片也小.一般我把需要的文档会方在FAT32分区上,系统出了问题直接把NTFS的分区用PQ MAGIC来FORMAT一下,再重装一遍----不过我现在已经基本转到LINUX下了,用不着这样做了.
一般菜鸟都会把系统装在FAT32上,所以帮那些菜鸟朋友修电脑就不会碰上这种问题;自己装系统时就装在NTFS分区上的人出了电脑问题一般都能自己解决.
发表于 2004-6-9 13:55:38 | 显示全部楼层
哈哈,,,,,,
发表于 2004-6-9 15:46:53 | 显示全部楼层
笑话有意思……
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表