下载文档原格式
XueT r手杀病毒XueTr(简称XT)是一个强大的系统信息查看软件,也是一个强大的手工杀毒软件,用它可以方便揪出电脑中的病毒木马,目前它支持32位的2000、XP、2003、Vista、2008、Win7系统。
XueTr的主要功能1.进程、线程、进程模块、进程窗口、进程内存、定时器、热键信息查看,杀进程、杀线程、卸载模块等功能2.内核驱动模块查看,支持内核驱动模块的内存拷贝3.SSDT、Shadow SSDT、FSD、Keyboard、TCPIP、Classpnp、Atapi、Acpi、SCSI、Mouse、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除5.端口信息查看,目前不支持2000系统6.查看消息钩子7.内核模块的iat、eat、inline hook、patches检测和恢复8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除9.注册表编辑10.进程iat、eat、inline hook、patches检测和恢复11.文件系统查看,支持基本的文件操作12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联、系统防火墙规则、IME13.ObjectType Hook检测和恢复14.DPC定时器检测和删除15.MBR Rootkit检测和修复16.内核对象劫持检测17.其它一些手工杀毒时需要用到的功能,如修复LSP、修复安全模式等。
实验网络木马手工查杀(一)【实验目的】掌握dos或安全模式下的查杀木马病毒的方法【实验原理】注:请在虚拟机中做杀毒实训。
3.实验步骤:一、把老师给你的木马程序,放入操作系统中。
注:双击病毒之前,请用netstat /ano查看一下端口二、双击其中一个csgame.exe程序。
三、查找生成的程序在电脑的哪些地方,并查看其开放的端口;Netstat /ano 看异常端口,再看对应的进程号(记得进行比校)Tasklist 根据上面的进程号,找到这个进程名四、利用已学的方法,在安全模式下手工查杀该病毒程序请杀死该进程ntsd /c q /p 进程号或者用taskkill /im 进程名;五、在所有盘上查找那个进程名,然后删除之,并记住它的生成日期时间,再到所有盘上查找同一日期时间生成的文件,那些就一定是病毒的副本或“尾巴”,再将其删除。
六、再到注册表中,查找所有的病毒母体文件和副本,并删除之;若是附在正常的注册表键值路径下,只要删除病毒文件。
进注册表的方法:“运行”中输入regedit,即可进入。
七、最后再进入“启动”项,在“运行”中输入msconfig,即可进入。
在“启动“项中,查找一下,是否有病毒文件,若有的话,请将左的的勾去掉。
八、最后检测该病毒是否已查杀干净,若干净重启机器,其端口就不见了。
若刚才的病毒在正常模式或者安全模式下,不能删除,请住病毒在那些盘中及它的路径,再到纯DOS下,用DOS删除之。
一般要用到的DOS命令如下:DirCdRdDelDeleteAttribXcopyCopy注:以上操作步骤,须详细的操作步骤和文字说明并截图。
手工查杀木马病毒的一般详细步骤其实,在平时一不小心中病毒或木马的时候,对于高手来说,都采用手动查杀的方式,因为一方面,对于互联网上新出现的病毒或其变种,大多数的杀毒厂商往往都是被动的,这样就给那些病毒木马提供了时间上的有利条件;另一方面,用杀毒软件查杀的话,是很浪费宝贵的时间的,你知道,高手们往往是不会去选择做傻事的,因为他们知道应该在这些傻事中学到些什么,而对于我们普通菜鸟用户来说,怎么办呢,总不能坐以待毙吧~作为高手是不能容忍的,因此,手工查杀就从中起了重要作用。
那么我们应该怎么办呢,我们应该从中学到些什么呢,首先,当我们感到机器变得比以前慢很多,或者鼠标有时会不自主的乱抖动,这时我们就应该考虑是不是病毒或木马在作怪了。
这时,我们的第一步就是打开任务管理器,仔细查看有没有哪些异常或自己尚不清楚的进程,发现后,先不要急着结束它,先用纸和笔记录下来,这时我们可以在网上查下该进程的相关资料(比如*.exe),这时如果上网不方便的话,可以在资源管理器中按F3打开“搜索”,首先确保将系统中的所有文件全部显示出来,包括重要的系统文件,并“所有文件和文件夹”搜索,看看它到底藏在了哪里,也许有时候你会发现,这个你不熟悉的进程名正是系统中正常的一个程序的进程。
不过这也没关系,我们都是从不懂到懂得的一个过程,没什么指得可笑的。
如果从网上找到的资料里,发现这个确是病毒或木马的话,则毫无疑问的进行下一步骤。
如果是在“搜索”中找到的,则右击查看它的属性,看看它是具体什么时间被建立的,如果与实际不符而相违背的,或明显带有迷惑用户性质的话,则可以肯定它们对我们是不利的。
我们只有将它们赶尽杀绝了!!!下一步,我们就要毫不留情的在任务管理器中先结束其进程了。
右击它选择“结束进程”,“确定”即可。
如果中的病毒或木马很强的话,我们就要采取强制的方式结束它了。
具体方法:首先“开始——运行”,输入CMD,打开命令提示符。
输入“Tasklist”后就会看到我们各个程序的进程列表了,其中有一列叫PID(进程标识符)的,这对我们强制关闭某个进程时有用到。
没有杀毒软件如何徒手消灭电脑中的病毒想要消灭电脑中的病毒,但是没有杀毒软件你知道怎么徒手消灭电脑中的病毒吗?那么没有杀毒软件如何徒手消灭电脑中的病毒的呢?下面是店铺收集整理的没有杀毒软件如何徒手消灭电脑中的病毒,希望对大家有帮助~~没有杀毒软件徒手消灭电脑中的病毒的方法一、杀除自启动病毒自动启动文件夹的病毒打开位于“C:\Users\Administrator\AppData\Roaming\Microsoft\Window s\Start Menu\Programs\Startup”(XP系统:C:\document and setting\all users\开始菜单\程序\启动)的文件夹,一般情况下这个文件夹下什么东西也没有。
而有些病毒喜欢把执行文件拷贝到这个文件下。
组策略设置中的病毒步骤:"开始"-“运行”- 输入gpedit.msc - 打开左侧“用户配置”- “管理模板”- “系统”- “登陆” - “在用户登陆时运行这些程序”- 查看是否已启用 -如果已启用,点击显示可查看启动的程序。
找出注册表启动项中的病毒步骤:"开始"-“运行”- 输入regedit -在注册表run和runonce 分支下查看是否有陌生的键值找出服务列表中的病毒步骤:"开始"-“运行”- 输入services.msc - 找出陌生服务,并停止 -在常规标签中找到可执行文件的路径并删除找出系统配置程序中的病毒步骤:"开始"-“运行”- 输入msconfig-在启动项中查看陌生程序(一般陌生程序的可执行路径为system32,很可能它就是病毒) 用以上5中手工方法找出病毒后一般可以找到病毒的可执行文件的路径,删除它就可以杀掉病毒。
二、杀除dll病毒查找可以进程步骤:运行- cmd - 输入netstat -ano -tasklist /m列出进程详细信息- 把信息全部保存在记事本a1.txt中找出可疑模块在正常的电脑上上导出进程信息a2.txt,然后再cmd窗口中输入fc a1.txt a2.txt,缩小查找范围-最终找出木马病毒。
如何手动查杀电脑病毒我的电脑中了许多病毒!想要手动查杀下病毒!用什么方法最好呢?下面由店铺给你做出详细的手动查杀电脑病毒方法介绍!希望对你有帮助!手动查杀电脑病毒方法一:要想手动杀毒,首先你得晓得病毒所在的位置,当你能确认那个文件就是你所说的病毒,那么就可以将它点右键删除(DELETE)或是(SHIFT+DELETE),假若无法将其删除就点右键看看它的属性,若在存档那前面已经被打上了勾的话,就把勾给去掉,然后再重复开始的那个动作... ...假若仍然无法将其删除就重起计算机按F8键进入安全模式下将其删除对它仍然无效的话还可以进入DOS下输入命令将其删除以上的办法都没能将它删除的话,就只有在运行里输入"REGEDIT"进入注册表里修改那文件的键值后将其删除手动查杀电脑病毒方法二:自己手动查杀病毒和木马时下,病毒、木马可谓越来越多,而且经常造访我们的“爱机”,给工作带到来极大的不便!如此之多的病毒、木马,若要都用杀毒软件来杀的话,并非确保全盘杀掉,况且有的病毒出现快杀毒软件还未来得及更新病毒库就已侵袭了我们的电脑,在这种情况下,如何是好呢?是否一筹莫展呢?非也,您不妨按照如下步骤自已动手进行删除。
1、检查注册表中RUN、RUNSERVEICE等几项,先备份,记下可以启动项的地址,再将可疑的删除。
2、删除上述可疑键在硬盘中的执行文件。
3、一般这种文件都在WINNT,SYSTEM,SYSTEM32这样的文件夹下,他们一般不会单独存在,很可能是有某个母文件复制过来的,检查C、D、E等盘下有没有可疑的.exe,.com或.bat文件,有则删除之。
4、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\InternetExplorer\Main中的几项(如Local Page),如果被修改了,改回来就可以。
5、检查HKEY_CLASSES_ROOT\inifile\shell\open\command 和 HKEY_CLASSES_ROOT\txtfile\shell\open\command等等几个常用文件类型的默认打开程序是否被更改。
盘、移动硬盘、MP3、MP4、手机、存储卡、中毒、实用解.。
分享首次分享者:千里足下已被分享1次评论(0)复制链接分享转载举报许多人有过U盘中毒和电脑中毒的经历,但大多数人都不知道该如何解决,有的人找朋友帮忙,有的人就干脆直接把U盘格式化,为此,失去了许多文件.之所以这样,是因为对病毒的畏惧心理!其实如果你知道病毒的传播原理的话,就会发现,其实也没有什么!1. 准备:如果你的移动存储设备(U盘移动硬盘 MP3 MP4 手机存储卡等)中毒了,那么请首先找一台没有感染病毒的电脑,装杀毒软件的话就直接杀毒,没有杀毒软件或者病毒库没有更新的话也没有关系,但必须没有感染了病毒的机器!一下就是如何手工杀毒的方法.2。
预防:进行杀毒之前,不要急着将自己的盘与电脑连接!你要做的是首先看看机器的自动运行是否开启。
方法:单击“开始”菜单,找到“运行”并单击,出现【运行】窗口后,在其中输入gpedit。
msc,点击“确定”后,会出现一个“组策略”的窗口,在左侧依次找到“计算机配置”-〉“管理模板”-〉“系统”并单击打开,之后右侧会出现一个“关闭自动播放”的项,双击打开.在出现的窗口中点击选择“已启用",在下面的列表中选择“所有驱动器”,点击“确定”。
解释一下,之所以进行这些操作是为了防止将盘插上电脑的时候激活病毒。
现在你可以将自己的盘与电脑连接了。
但记得:不要急着双击打开!千万记得哦!3。
发现:下一步要做的是让病毒文件现身!按步骤跟着做:选择“开始”菜单—>“控制面板”-〉找到“文件夹选项"并打开,点击最上面的“查看”选项卡-〉在“高级设置"中找到“显示系统文件夹内容”,并在其前面的方框中打上钩.去掉“隐藏受保护的系统文件”前面的钩,点击“显示所有文件和文件夹".去掉“隐藏已知文件类型的文件名"前面的钩。
这步做完后,病毒就要现身了!4.删除:打开“我的电脑”-〉注意了!此时不要直接双击磁盘打开!一定要选择“地址栏”中的盘符(F盘/G盘/H盘)!盘打开了,此刻你发现什么了吗?对!有些文件或文件夹的图标是半透明的,有点虚。
自己动手绝杀同名EXE病毒作者:香草来源:《电脑爱好者》2008年第20期近期非常流行一种病毒程序,电脑中病毒后,每个文件夹下面都有个和文件夹同名的EXE病毒文件,删了之后过一会又有,我们该如何查杀呢?我来教你手动杀毒。
断其后路防止重生病毒程序运行后会在所有磁盘和移动存储设备中生成Autorun.ini文件,实现浏览启动。
单纯地将所有Autorun.ini文件删除并不能解决这类问题,我们可以将一个健康系统的驱动盘下的Autorun.ini拷贝,覆盖所有中毒主机的Autorun.ini文件。
真枪实弹手工杀毒由于生成的EXE文件其实是病毒体,而真正的文件夹本身并没有丢失,而是被隐藏起来了,所以这类病毒可以采用如下方法进行清除:第一步:将电脑设置为显示隐藏文件及扩展名,查找[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ Folder\Hidden\SHOWALL],将“CheckedValue”的值改为1,如果这个键值没有,自己新建一个。
第二步:删除生成的与文件夹同名的EXE文件,新建一个文件夹,打开隐藏的文件夹,把里面的东西剪切到新建的文件夹中。
第三步:删除空了的隐藏文件夹,并把新建文件夹改名为删除的文件夹的名字。
第四步:按“Win+R”组合键调出运行窗口,输入CMD里检查每一个盘后用“attrib --a -h -s -r 文件名 del 文件名”来做最后清除。
最后,由于病毒并没有新建服务,所以在启动菜单里删除隐藏的启动项,在注册表项的启动项中删除一个启动键值即可。
(北京/香草)小提示这需要在不带网络环境的安全模式下,由于健康的Autorun.ini具有只读保护属性,病毒无法再次修改Autorun.ini。
小提示病毒运行后,会在Windows\SYSTEM32下释放主体,包括主程序,程序加载的文件,几个INF文件(主要用于调用Autorun.ini)。
WORD文档杀手病毒手工删除方法一、电脑中毒现象病毒通称为“WORD文档杀手”,病毒主体文件为 c:\windows\doc.exe 或者c:\windows\doc1.exe ,病毒运行后,搜索硬盘中所有的Word文档并将硬盘里面的所有的word 文档建立一个列表,输出到c:\ww.txt文件中,然后逐一将这些word文件删除,在删除的同时还会将这些Word文档复制到c:\windows\wj\ 目录中,并将文件扩展名改为“.com”。
同时此病毒还能修改注册表键值,以达到隐藏扩展名的目的。
并锁定文件夹查看隐藏文件的选项,不允许显示隐藏文件。
在用户看来,所有的word文件就像突然消失了一样。
该病毒采用VB语言编写,病毒主体文件为 c:\windows\doc.exe 或者 c:\windows\doc1.exe ,并且该病毒文件会模拟成Word文档的图标:病毒运行后,会在C盘根目录下生成病毒文件c:\ww.bat 和c:\ww.txt ,其中 ww.bat文件内含有批处理程序,搜索硬盘中所有的Word文档:dir c:\*.doc /a/b/s >>c:\ww.txtdir d:\*.doc /a/b/s >>c:\ww.txtdir e:\*.doc /a/b/s >>c:\ww.txt这样,病毒就将硬盘里面的所有的DOC文档建立一个列表,输出到c:\ww.txt文件中,然后逐一将这些DOC文件删除,在删除的同时还会将这些Word文档复制到c:\windows\wj\ 目录中,并将文件扩展名改为.COM。
同时此病毒还能修改注册表键值,以达到隐藏扩展名的目的。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt]"CheckedValue" = dword:00000001"UncheckedValue" = dword:00000001这样用户无论如何查看文件扩展名都是无法显示的。
手工杀病毒(转最好的网络安全博客/anbianshao/blog) 可增加知识本文一共分四部分,分别为:第一部分:工具篇(随兵出征)第二部分:查毒篇(请君入瓮)第三部分:杀毒篇(初战告捷)第四部分:修复篇(打完收工)第一部分:工具篇工欲善其事必先利其器,手动查杀并不是徒手而来,当然要借助些工具,好的工具可以帮助你快速找到解决的方案与窍门当然要借助些工具:一、扫描日志工具:当你去到一部中毒的机子,是不是会对如何下手有点茫然呢?那样,不管3721,扫描一份报告看看有何不妥先,而在报告总,系统的启动项目,进程,驱动和服务一目了然,多少可以重装发现一些蛛丝马迹,而寒冰也是习惯从这个步骤开始的. 至于寒冰推荐的扫描日志扫描当属hijackthis和SREng,尤其是后者,最近360的报告好像也挺热火的,可能是个人使用习惯吧,寒冰感觉他是介乎于两者之间,没有Sreng那么强大的dll数据,也没有hijackthis般的修复功能,虽然有颜色可以一目了然,可是排列却有点乱,有待改善啊,所以,如果你还没用过使用报告,寒冰首推SRENG这款软件,现在新的2.3版本已经出来了,具体更新的内容可以去寒冰的百度空间查看二、进程服务工具:没有病毒会选择沉默,病毒的特性决定他不会一直闲着,而活动,必然会在系统留下蛛丝马迹,可是,系统自带的资源管理器在现在病毒面前却显得如此软弱,因此,请进助手自然势在必行,常用的进程分析当属Icesword和Process Explorer三、删除工具:相信跟电脑相处多了的人,总会遇见过“文件正在被另一个人或程序使用,无法删除”诸如此类的警告,而正常文件尚且如此,病毒更是猖狂,一个具备完好自我保护体系的病毒单单的资源管理器无法结束其进程,更不用说删除他了,发现了病毒却不能删除,郁闷也许有人会建议进入安全模式进行查杀,没错,的确可以,可是,太麻烦了,而且,安全模式下又不利于我们发现病毒的同伙,最好的状态还是在“病毒进行时”,因此,一款在正常模式下可以正常删除任意文件的工具就这样应运而生了,常用且有效的有:killbox、Icesword和unlocker,其中Icesword当属得力助手(当然,有时候他也无能为力,只能多试几个好工具第二部分:查毒篇隐蔽性是病毒的一大特性,可是再隐蔽,他也总要让他自身运行的,而保证的途径必然会使他在系统留下蛛丝马迹,因此了解病毒的自启动方式对于进一步发现病毒的蛛丝马迹很有帮助,具体常见的宝地有:一、启动项目留迹1.内臵到注册表启动项目中注册表是病毒最喜欢隐藏的地方,既没有人能找到它,又能自动运行,真是快哉!的确注册表由于比较复杂,木马常常喜欢藏在这里快活常见的键值有:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curre ntVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\Curren tVersion下所有以“run”开头的键值;HKEY-USERS\Default\Software\Microsoft\Windows\Curre ntVersion下所有以“run”开头的键值。
2、隐形于启动组中有时木马并不在乎自己的行踪,它更注意的是能否自动加载到系统中,因为一旦木马加载到系统中,任你用什么方法你都无法将它赶跑(哎,这木马脸皮也真是太厚),因此按照这个逻辑,启动组也是木马可以藏身的好地方,因为这里的确是自动加载运行的好场所。
动组对应的文件夹为:C:\windows\start menu\programs \startup,在注册表中的位臵:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders Startup="C:\windows\start menu\programs\startup"。
要注意经常检查启动组哦!3、捆绑在启动文件中即应用程序的启动配臵文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。
4、潜伏在Win.ini中木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。
当然,木马也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。
大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\windows\file.exe load=c:\windows \file.exe这时你就要小心了,这个file.exe很可能是木马哦。
5、在System.ini中藏身木马真是无处不在呀!什么地方有空子,它就往哪里钻!这不,Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。
还是小心点,打开这个文件看看,它与正常文件有什么不同,在该文件的[boot]字段中,是不是有这样的内容,那就是shell=Explorer.exe file.exe,如果确实有这样的内容,那你就不幸了,因为这里的file.exe就是木马服务端程序!另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径\程序名”,这里也有可能被木马所利用。
再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里喽。
6、隐蔽在Winstart.bat中按照上面的逻辑理论,凡是利于木马能自动加载的地方,木马都喜欢呆。
这不,Winstart.bat也是一个能自动被Windows加载运行的文件,它多数情况下为应用程序及Windows自动生成,在执行了并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。
由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。
7、集成到程序中为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。
绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。
(高招)8、隐藏在配臵文件中木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配臵文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。
而且利用配臵文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。
不过,现在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys 中加载木马程序的并不多见,但也不能因此而掉以轻心哦。
(这种方式现在好像没那么流行了)明白了系统的藏身之处,我们就有思绪把他找出来了,当使用sreng查看其启动项目时,自动弹出了相应警告,提示load,shell,和Userinit等值被修改,所以,首先用Sreng 扫描一份报告如下:[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows][N/A][HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon][N/A][(Verified)Microsoft Corporation]从中可以看出,病毒为了实现启动,分别在load,shell,和Userinit等进行了窜改,其中Userinit的EXPLORER.EXE 还假装了(Verified)Microsoft Corporation的标识,具备很大诱惑性。
比如之前大名顶顶的熊猫烧香,就是通过userinit.exe加载病毒程序C:WINDOWS\system32\SVCH0ST.exe实现开机启动,如果发现了这一项目,相信你的硬盘数据就危险了二、运行系统留迹病毒要运行,自然会有进程,可是,庆幸的是某个病毒的进程还算是统一的(除非变种了),而初级的病毒通过资源管理器可以立马做出判断(前提你应该认识系统进程和常用软件进程),再通过相应的工具辅组就可以找到他的相对路径,也许有人抱怨资源管理器连路径都无法提供,太无能了,就去找那个lohorn版本的装上,其实,只需要一个命令就可以找出来进程的文件路径,方法如下:开始-运行-msinfo32,切换到软件,就可以看到了然而,现在很多病毒已经实现了进程隐藏,单靠系统的资源管理器是无法查看到的,因此,加强型的进程查看自然应运而生,有人推荐了PE了,的确是很强,可是,为了尽量减少我们使用的工具,还是用Icesword(个人习惯,呵呵),,点击进程,如果可以看到红色的进程你就得小心了,同时,多注意一下进程的图标,比如之前的sxs就一目了然了,是柯南,而这次,本来lasaa,winlogon等进程是系统进程,在这里却是文件夹图标,十分可疑,而且看路径,呵呵,又被发现了,这是病毒了,icesword把痕迹扫描出来了三.SSM监控留迹相信SSM由于nslog的一篇文章很多人都认识了,[/size]/read.php?tid=136666&u =112814,在此不是讨论其他的功能,只是提供一个间接查毒的方案:在此开机设臵其自动启动,然后通过开机启动的进程也不愧为发现同党的一个好办法,如图,乖乖泄密了,呵呵第三部分:杀毒篇既然在上面发现了病毒及其痕迹,现在自然就是动手操作了,杀毒也是最简单的一个步骤,操作无非就是删除文件,结束服务,删除驱动保护,而想做到这些,相信徒手是不可能做到的,具体还是要请好的工具当助手从软件界面看发现以下提示:从上面发现得,我们自然要从启动项目得病毒先清理,首先是最关键的load,shell,和Userinit,相应的日志是[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows][N/A][HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon][N/A][(Verified)Microsoft Corporation]其次,启动文件夹(这个可以在程序-启动看到):[Empty][N/A]>最后,其他启动项目:[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run][Microsoft Corporation][Microsoft Corporation][N/A][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run][N/A]从中我们知道病毒文件有:C:\windows\system32\wincfgs.exeC:\WINDOWS\eksplorasi.exeEXPLORER.EXE(位臵未知)Empty.pif(该病毒后来竟然在c盘明目张胆的出现,也没有隐藏,呵呵,好大胆阿)wsctf.exeC:\Documents and Settings\茅屋\LocalSettings\Application Data\smss.exeC:\WINDOWS\ShellNew\sempalong.exe然后,我们通过icesword查看系统进程,看看,发现什么了?没错了,看到很奇怪的东西吧?系统的进程lasaa.exe,winlogon等都是文件夹图标?看他们的位臵,呵呵,全部是同个文件夹,还知道了病毒,就应该进行杀除了,可是病毒也不是吃斋的和尚,单凭简单的del是无法达到目的的,因此,借助辅组工具自然也是必要的,常用的有killbox、Icesword和unlocker 第四部分:修复篇[size=2]扫干净病毒,自然要对战场进行清理,病毒为了保护自己,自然对电脑环境中不利于自己的设臵进行修改,诸如以上的一些工具被禁用和注册表被锁定的提示一点也不新鲜. 各位应该还记得寒冰在SXS.exe病毒时说过该病毒就是通过修改注册表实现隐藏文件无法查看从而让自己不被发现,而这次寒冰碰上的病毒似乎更厉高明一些,她把系统的“文件夹选项”隐藏了,呵呵,所以,清理病毒后如果不对系统进行必要的修复,相信没有哪一个MM认为你已经把问题解决了,一般的系统被破坏的痕迹包括一下几分面(以下修复建议在查杀完之后再进行,因为病毒运行本身会检测这些项目是否被修正,而且如果有人发现这些修复的方法都无须,更改后马上又被窜改,那就要考虑是不是毒还没清理干净了)1.禁用注册表2.隐藏“文件夹选项”3.禁用组策略4.窜改文件关联5.启动项目残留(如果开机后提示"**无法找到",就是启动项目未清理的缘故)具体的修复建议还是通过小工具去实现,毕竟很多项目需要查找注册表对于后续工具也麻烦了一些,在此推荐几个工具,由于百度空间无法上传,已经发到寒冰的优盘了(地址/?readon99),相应目录是:网络安全系列--系统修复系列,其他的修复可以通过相应的介绍使用。
