最近生活慢慢的从上周的放纵中走出来了~~上午看书,下午在小辉那里做项目,晚上上上网,聊聊天,敲敲代码,倒也过的自在,但是很想朋友们呐,出来玩吧~~^O^

最近霸占小辉的T60写项目,确实是爽啊~~不过蹂躏着他的键盘也有点过意不去…保佑这个学期的T60能用上Santa Rose(虽然还没发布…>.<)~~这样我就可以买啦,暑假就更自由啦!~~

话说今天成绩全出来了,我绩点上4了~~开心!~~

明天就回家咯!~~

明天数据结构,看了一下往年的题目,能吓死人…争取拿个优吧~~

后天数据库,才是大头…可惜…失算了,我还以为英语考完再看也来得及,所以.NET了几天,没想到…这下赶来…T.T算了,重点的两章看完了,别的瞄瞄就好~~加油!

印象中自己是一个很懒的人,不怎么喜欢摸索,就算摸索了也不怎么发什么原创的和技术哪怕有一点点关系的贴子,今天就来破一个例,希望以后自己能常常摸索出能以发他为自豪的贴子~~

首先说说,大家都知道,最近U盘病毒那叫一个猖獗啊….凡是在打印店打过的U盘,没有一个不中毒的….而这些毒变种又多,再加上国际光缆还是没有修好,导致目前很多病毒的肆虐(比如说很牛X的熊猫烧香),而一些不起眼的小毒(比如我们这篇要说的soundmix.exe和autorun.inf)也是请神容易送神难~

症状:
常见的症状就是U盘目录下有一个隐藏文件:Autorun.inf,一个隐藏文件夹Recycled(内含一个隐藏文件autorun.exe).格式化U盘删除autorun.inf后又会自动生成.同时,用户无法勾选"工具 -> 文件夹选项 -> '查看"选项卡中的'显示所有文件和文件夹",一点确定完病毒自动将其设置为"不显示隐藏文件和文件夹".另外,在任务管理器中会发现一个soundmix.exe进程,无法结束(表现为结束后过一段时间自动加载).最后,U盘上有指示灯的朋友会发现指示灯每隔一段时间会闪一下.

分析:
我们先从最容易分析的指示灯开始.指示灯亮说明了不断的有程序在读写U盘,那么,我们就要借助下面的一个软件:FileMon,来实时监测到底什么软件在读写U盘.

[quote]
具体操作很简单,首先在分区菜单项中选定要监测的分区,然后用工具栏上的"捕获事件"按钮(或在菜单项"文件"上,或使用键Ctrl+E),一会儿就会出来结果,到底是什么东西在访问U盘

23:33:11 soundmix.exe:2824 Create N:\RECYCLER\ NAME COLLISION Options: Create Directory Access: 00100001
23:33:11 soundmix.exe:2824 Create N:\RECYCLER\autorun.exe NAME COLLISION Options: Create Sequential Access: 00130196
23:33:11 soundmix.exe:2824 OPEN N:\autorun.inf SUCCESS Options: Open Access: 00100100
23:33:11 soundmix.exe:2824 SET INFORMATION N:\autorun.inf SUCCESS FileBasicInformation
23:33:11 soundmix.exe:2824 WRITE N: SUCCESS Offset: 0 Length: 4096
23:33:11 soundmix.exe:2824 CLOSE N:\autorun.inf SUCCESS
23:33:11 soundmix.exe:2824 WRITE N: SUCCESS Offset: 0 Length: 4096
23:33:11 soundmix.exe:2824 Create N:\autorun.inf SUCCESS Options: OverwriteIf Access: 00120196
23:33:11 soundmix.exe:2824 WRITE N: SUCCESS Offset: 0 Length: 4096
23:33:11 soundmix.exe:2824 WRITE N: SUCCESS Offset: 0 Length: 4096
23:33:11 soundmix.exe:2824 WRITE N:\autorun.inf SUCCESS Offset: 0 Length: 201
23:33:11 soundmix.exe:2824 WRITE N: SUCCESS Offset: 0 Length: 4096
23:33:12 soundmix.exe:2824 WRITE N: SUCCESS Offset: 0 Length: 4096
23:33:12 soundmix.exe:2824 CLOSE N:\autorun.inf SUCCESS
23:33:12 soundmix.exe:2824 WRITE N: SUCCESS Offset: 0 Length: 4096
23:33:12 soundmix.exe:2824 WRITE N:\autorun.inf SUCCESS Offset: 0 Length: 4096
23:33:12 Mcshield.exe:1876 OPEN N:\autorun.inf SUCCESS Options: Open Access: 00120180
23:33:12 Mcshield.exe:1876 QUERY INFORMATION N:\autorun.inf SUCCESS FileBasicInformation
23:33:12 Mcshield.exe:1876 SET INFORMATION N:\autorun.inf SUCCESS FileBasicInformation
23:33:12 Mcshield.exe:1876 QUERY INFORMATION N:\autorun.inf SUCCESS FileStandardInformation
23:33:12 Mcshield.exe:1876 CLOSE N:\autorun.inf SUCCESS
23:33:12 Mcshield.exe:1876 OPEN N:\autorun.inf SUCCESS Options: Open Access: 00120180
23:33:12 Mcshield.exe:1876 SET INFORMATION N:\autorun.inf SUCCESS FileBasicInformation
23:33:12 Mcshield.exe:1876 QUERY INFORMATION N:\autorun.inf SUCCESS FileStandardInformation
23:33:12 Mcshield.exe:1876 CLOSE N:\autorun.inf SUCCESS
23:33:12 Mcshield.exe:1876 OPEN N:\autorun.inf SUCCESS Options: Open Access: 00120181
23:33:12 Mcshield.exe:1876 SET INFORMATION N:\autorun.inf SUCCESS FileBasicInformation
23:33:12 Mcshield.exe:1876 READ N:\autorun.inf SUCCESS Offset: 0 Length: 8192
23:33:12 Mcshield.exe:1876 CLOSE N:\autorun.inf SUCCESS
23:33:12 Mcshield.exe:1876 OPEN N:\autorun.inf SUCCESS Options: Open Access: 00120180
23:33:12 Mcshield.exe:1876 SET INFORMATION N:\autorun.inf SUCCESS FileBasicInformation
23:33:12 Mcshield.exe:1876 QUERY INFORMATION N:\autorun.inf SUCCESS FileBasicInformation
23:33:12 Mcshield.exe:1876 CLOSE N:\autorun.inf SUCCESS

从上面的日志中我们可以看到soundmix.exe在不停的Create然后Write文件到U盘,这就是U盘指示灯不停闪以及格式化U盘删除autorun.inf后又会自动生成的原因了.
[/quote]

找到原因是soundmix.exe引起的,那么就要想办法解决这个罪魁祸首了,可是,这时候,我发现,无论用什么东西,都是结束这个进程后他又会自动启动.进入安全模式也一样,这就奇怪了,难道是什么东西调用了他?

当时还以为是rundll32加载了这个模块,然后在执行了regsvr32 /u soundmix.dll后提示找不到模块,那么会是什么原因呢~~在搜了一番注册表后发现了问题…

[quote]
注册表的以下两个路径:
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command

的exefile键值都已经被改为soundmix "%1" %*

问题找到了,原来他擅自更改了系统EXE的关联,那么一旦运行exe就会自动运行soundmix.exe了,难怪我们一直结束不了它…
[/quote]

这时候,删除它的唯一方法就是进入DOS下了,可是我的机器上没有软驱,无法使用启动盘,怎么办呢?~~突然,我想到了XP安装盘自带的故障控制修复台,那时候尚未加载系统,系统的EXE关联一定不会影响到我们的操作,说干就干,拿出了安装盘,进入了故障控制修复台,本来还想是不是可以直接用ftype(一个命令行下修改文件关联的命令),结果发现不行…于是用help查询了一下支持的命令,发现了delete,OK,就用它了~~把%windir%\system32下的soundmix.exe直接删除掉,回到系统,这时候关联已经被破坏,不能直接运行regedit.exe,方法就是把exe改为com,这样就可以运行了.到上述的两个路径下将键值恢复为:"%1" %*,这样exe的关联就恢复了,可是,你会发现,"显示所有文件和文件夹"仍然无法选定,这个就简单了,进入路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,把CheckedValue改成1即可(注意这里有的病毒会把CheckedValue的类型改在REG_SZ,而我们需要的是REG_DWORD,方法就是删除后自己新建一个即可).最后,格式化U盘,至此,这个病毒彻底滚了~~

小结
一个小病毒也这么麻烦….实在是~~不过这个病毒让我学到了不少知识,比如,使用filemon监测磁盘读写,使用ftype查看文件关联,还有一些常用的注册表键值所在路径等~~果然摸索还是有意思滴~~

核心步骤
用任何可以不加载系统就进入命令行(如DOS启动盘或者从光盘启动进入DOS或者故障控制修复台),之后应该要首先去掉soundmix.exe的各种属性:attrib -s -h soundmix.exe,尤其是这个-s,它标识了soundmix.exe是一个系统文件,如果不去掉的话将无法使用delete(或者del)命令删除,然后就是恢复EXE文件的关联和将显示隐藏文件的注册表项改回来.

希望这些对大家删除这两个该死的讨厌的东西有用~~

最后,希望大家百毒不侵哈~~平时做好预防工作还是比什么都重要~~

好久没有更新了,上周一整周沉浸在windows项目的赶工中,这周一整周和A楼的暖气缠绵,都已经快忘了这个小地方了~~^O^

最近过的一切都好,挂念的朋友放心~恨我的朋友痛苦吧~~[lol]

快回家了,期待ing…

Meanwhile,更新背景音乐