Jans的BLOG
Jans的BLOG

        前一段时间,从网上下载文件,遇到为灰鸽子伪装的安装文件,一点安装文件,文件图标就消失了,我就知道可能是中毒了。后来费了九牛二虎之力才把那个讨厌的东西清除干净。“灰鸽子”不但在系统里添加自己的自加载项,而且还感染桌面的EXE可执行文件,修改系统动态库,已经超出了一般意义上的木马,变为货真价实的病毒。

        因为我向来对自己的系统比较自信,从来不安装杀毒软件,顶多是系统自带的Windows Defender。我觉得在上网或安装程序时,可以防止一些插件非法安装。即便是不小心安装上了,我也可以使用我的三剑客:Procexp,Autoruns,IceSword三个工具 手工清楚掉木马,因为一般的Windows木马,大都是在系统里安装几个流氓插件,很少去更改系统文件的,微软的系统文件大都进行了数字签名,而且也有文件更改保护,去修改可执行文件往往导致系统瘫痪,达不到偷窥和操纵计算机的犯罪目的,犯罪成本和风险太高,大部分采用的手段都是劫持,加几个驱动,修改一些默认加载设置,来确保自己的被自动执行。但是“灰鸽子”却不择手段,采用了DOS时代大为盛行的病毒手段,让人不齿,也出乎我的意料,让我再清除灰鸽子头疼不已,我确信已经清楚干净时,它确偷偷的又冒了出来。

        我正在思考什么原因时,一次使用非管理员帐号登录时,运行桌面的程序产生了异常并自动退出的现象引起了我的注意,原来如此啊!我删除了,被病毒感染的文件,迅速而干净的清理了“灰鸽子”留下的其他自加载项,但是接下来的后遗症,如标题所示,因为很隐蔽,所以折磨了我很久,知道今天才发现。

        我有一个移动硬盘,在单位的电脑上使用没有问题,但是就是在家里的电脑上使用时,总会提示“Windows无法为Volume加载安装程序。请于硬件供应商联系,寻求协助”的错误,而且在“我的电脑”里看不到盘符,但是在系统的“磁盘管理”里看的到,但是没有盘符,即便手工恢复了盘符,在“我的电脑”里还是看不到。看来硬件没问题,应该是系统卷加载失败的问题,我重新安装了USB的驱动程序,问题依旧,查看系统的事件查看器,里面没有关于此问题的描述,于是我想到了Procmon系统进程监视器,所有的对于注册表,文件的访问都应该于此有关。

        在重现此问题的时,我发现对 %SystemRoot%\setupapi.log 文件有访问,我找到这样一句话:

#-019 正在查找硬件 ID(s): storage\volume
#I022 在 "C:\WINDOWS\inf\volume.inf" 中发现了 "STORAGE\Volume";设备: "通用卷";驱动程序: "通用卷";提供程序: "Microsoft";制造商: "Microsoft";段: "volume_install"
#I023 实际安装部分: [volume_install]。等级: 0x00000000。驱动程序有效日期: 07/01/2001。
#-147 为 "存储卷" 加载类别安装程序模块。
#E360 驱动程序 "存储卷" 的一个未经过签署或签署不正确的文件 "C:\WINDOWS\system32\syssetup.dll" 将得到安装(策略=忽略)。 错误 2: 系统找不到指定的文件。
#E144 加载模块 "C:\WINDOWS\system32\syssetup.dll" 失败。 错误 126: 找不到指定的模块。
Windows 无法为 Volume 加载安装程序。请与硬件供应商联系,寻求协助。 错误 126: 找不到指定的模块。
#I060 设置所选的驱动器。
#-147 为 "存储卷" 加载类别安装程序模块。

     其中黑体的部分,就是问题的症结所在,这个syssetup.dll曾被灰鸽子给替换为病毒文件,因此被我杀掉了,没想到就是它引起了这个隐蔽的错误。从Windows光盘里解压缩出来syssetup.dll并复制到%SystemRoot%\system32\目录下,问题解决。

看到网上有很多朋友也在问此问题,确没有几个能得到有效的解答,大多说是让重新安装系统,或认为是硬件损坏,我觉得,可以学习我的经验,从%SystemRoot%\setupapi.log日志文件中找更详细的错误原因来帮助解决问题,希望此文能抛砖引玉,大家一起交流经验。

posted on 2007-10-13 12:13  Jans  阅读(13311)  评论(7编辑  收藏  举报