手工查杀病毒经验谈

时间:2007-03-10 11:34:39   来源:  作者:蓝色寒冰  点击:次  出处:技术无忧
关键字:杀毒 病毒 注册表 启动项 工具 查毒


第四部分:修复篇

8b58cd1b7b8b6b8bb4edbd5dbd4043d6.jpg

0f772484f613c5472e28852b309c40dd.jpg
       
 

  扫干净病毒,自然要对战场进行清理,病毒为了保护自己,自然对电脑环境中不利于自己的设置进行修改,诸如以上的一些工具被禁用和注册表被锁定的提示一点也不新鲜.

  各位应该还记得寒冰在SXS.exe病毒时说过该病毒就是通过修改注册表实现隐藏文件无法查看从而让自己不被发现,而这次寒冰碰上的病毒似乎更厉高明一些,她把系统的“文件夹选项”隐藏了,呵呵,所以,清理病毒后如果不对系统进行必要的修复,相信没有哪一个MM认为你已经把问题解决了,一般的系统被破坏的痕迹包括一下几分面(以下修复建议在查杀完之后再进行,因为病毒运行本身会检测这些项目是否被修正,而且如果有人发现这些修复的方法都无须,更改后马上又被窜改,那就要考虑是不是毒还没清理干净了):

1.禁用注册表
2.隐藏“文件夹选项”
3.禁用组策略
4.窜改文件关联
5.启动项目残留(如果开机后提示"**无法找到",就是启动项目未清理的缘故)

具体的修复建议还是通过小工具去实现,毕竟很多项目需要查找注册表对于后续工具也麻烦了一些,在此推荐几个工具,由于百度空间无法上传,已经发到寒冰的优盘了,相应目录是:

而且提醒一点,像寒冰差毒过程中曾经插进了u盘,这时候你应该考虑是不是存在被感染的可能性,像寒冰的u盘,查看后发现多了一个anturun.inf和以用户名命名的文件夹,鉴于此,的确可疑,双击运行后,ssm报警了,的确,就是残留物,如果你不删除,下次插入u盘,相信你又得再把工作重新来一遍了,呵呵

总结:
好了,终于把这篇文章写完了,寒冰费了一个多星期,又赶上期末考试,本来想涉及更多内容的,可是时间实在是没有办法了,师姐也不允许话费时间太多在文章上,就只能这样发表了,不过一有时间本人一定及时补充更多资料上去,同时,在此希望各位好好学习一些病毒的查杀知识,寒冰基本已经把本人所知道,所了解的知识都包括在内了,在此也期盼更多的高手,大虾们补充更多想法和秘笈,提出更多意见,期待各位畅言!!!不甚感激!!!


同时也劝说一句,最近流行的病毒破坏力都不弱,尤其是威金,可以感染系统的所有exe文件和gho文件,就算你用以上的方法把病毒清理了,可是最后一步的修复却是难度十分困难,因此,如果不是特别懂,建议还是各位乖乖的装个杀软免得费时,而且有些杀软也可以帮你百分百还原文件原貌啊(不过有一些杀软竟然直接删除了事,BS一下)
同时对于杀软,我想没有必要崇洋媚外,不是说人家技术不行,只是有时候也要考虑国情,最近的病毒都有本地化的感觉,而且,江民可以搜集到185个威金的变种,而卡吧呢?也许对于国内的病毒,技术不是关键,更多的,是对新病毒尤其是本地病毒的反应啊,当然,纯属个人意见,奉劝给那些老是看不起发展中的国产软件的人,也给更多人一个客观的认识.

最后祝愿各位网络遨游愉快,共同维护网络安全!!!


附上两个不错的进程查询网址:
进程信息库(推荐)
http://www.processlib.net/directory/a/1.html

兔子知道
http://www.pctutu.com/process/index.html
工具提供篇

 
 
 软件名称:SREng 软件性质:免费 更新时间:2006-11-25  文件大小:443 KB 
System Repair Engineer(SREng):是一款全新的、强有力的、可扩充的用于调整和修复你系统的免费工具,在这个工具的帮助下,你可以察觉你的系统故障并能够很容易的修复他们。
SREng带有强大的系统日志扫描功能,是反病毒必备的日志提取工具。
more..
 
 软件名称:IceSword 软件性质:免费 更新时间:2006-11-25 文件大小:697 KB 
IceSword:是一斩断黑手的利刃(所以取这土名,有点搞e,呵呵)。它适用于Windows 2000/XP/2003操作系统,用于查探系统中的幕后黑手(木马后门)并作出处理,当然使用它需要用户有一些操作系统的知识。
IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件,比如一些进程工具、端口工具,但是现在的系统级后门功能越来越强,一般都可轻而易举地隐藏进程、端口、注册表、文件信息,一般的工具根本无法发现这些“幕后黑手”。
more..
 
 软件名称:WinProcess 软件性质:免费 更新时间:2006-11-25 文件大小:245 KB 
WinProcess:为windows优化大师里面的进程管理器。
 软件名称:procexp 软件性质:免费 更新时间:2006-11-25 文件大小:1.18 MB  
Process Explorer工具:只有一个可执行程序 procexp.exe,可以调用运行,也提供了注销、关机 重起、锁定等接口的菜单链接,可以保存进程树,替代任务管理器杀死进程,根据条件查找进程。是一个了解系统运行信息、执行进程管理功能的强大工具。
 软件名称:KillBox 软件性质:免费 更新时间:2006-11-25 文件大小:108 KB 
KillBox:一款非常棒的系统进程强制终止个及删除工具。由Qoo酷儿汉化。
 软件名称:Tcpview 软件性质:免费 更新时间:2006-11-25 文件大小:104 KB 
Tcpview:计算机Tcp协议有关的进程管理工具。
 软件名称:TroyanFindInfo 软件性质:免费 更新时间:2006-11-25文件大小:140 KB 
TroyanFindInfo:为KasperskyLab开发的一个有关系统进程dll管理工具。
 软件名称:RegFix 软件性质:免费 更新时间:2006-11-25 文件大小:143 KB 
RegFix:是一款用于修复注册表关键值的免费工具。全称叫做“RegFix 注册表关键值修复工具”。由 Smallfrogs 用 VC 开发完成。能够在简体中文版的 Windows 98(SE)/ME、简体中文版/英文版的 Windows 2000/XP/Server 2003 操作系统上运行。

技术 无忧 pc51.Net


顶一下

文章评论

共有 0 位网友发表了评论 此处只显示部分留言 点击查看完整评论页面

特别推荐
300x250广告位招租

最新信息