论坛: 病毒专区 标题: 后杀毒软件时代”的病毒战__网络病毒手工清除指南 复制本贴地址    
作者: lijingxi [lijingxi]    见习版主   登录
当病毒库还没来得及针对新病毒升级,而你的机器又几乎瘫痪得不能工作,与病

毒的肉搏战看来是不可避免了,下文的介绍,望能探索一条基本完善的手工清除

思路。本文的“网络病毒”与业界精确的定义有出入,一切最终的损失将通过网

络来实现的包括邮件群发,木马,蠕虫,等,均在本文讨论范畴。
一,准备工作
尽管我拉讲的是手清除,但这种杀毒方式的费心费力,如不是了为学习或研究,

还是应当尽量避免。首先应当尝试用手头有的杀软清除病毒,但往往在已经感染

的情况下杀软不易奏效,此是时可采用以下步骤:
1,关闭系统还原,取消所有的共亨。为防止系统还原所做的备份中有病毒,需要

把所有盘的系统还原取消,方法是右击“我的电脑”选择“属性”,进入“系统

还原”标签,选定“在所有驱动器上关闭系统”。至于取消共享是为增加安全性

及彻底杀毒,如果你怕遗漏哪个共享,可选择“开始”菜单-“运行”,输入

regedit并回车,在打开的注册表编辑器中找到“

hkey_local_machine\system\controlset001\services\lanmanserver",将子项
“shares”,"shares\secruity"中的所有键值清除,同时为阻止系统自动共享各

磁盘根目录,还需将子项“parameters”下的“autosharewks”键值设为“0”
在计算机管理器中先删掉这些默认共享。
(控制面板――管理工具――计算机管理――共享文件夹,在这里删除。
或者运行下列命令删掉这些默认共享
net share IPC$ /delete
net share admin$ /delete
net share C$ /delete
net share D$ /delete
net share E$ /delete
直到最后一个硬盘分区)

然后在注册表中操作,找到如下键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
如果是服务器,在该键下增加一个名为“AutoShareServer”的DWORD值,值设为0。
如果是工作站(对于XP家庭版或者专业版也适用),在该键下增加一个名为“AutoShareWks”的DWORD值,值设为0。
最后重启即可!

或者干脆禁止server这个服务,如果不使用IIS等,在停止共享的同时,不会有不良影响。 http://community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=2431173&page=1
需要关闭的服务,请参考下文。 http://community.rising.com.cn/Forum/msg_read.asp?FmID=3&SubjectID=1706401&page=1

2,升级病毒库为新版本,并更新系统补丁,堵塞系统漏洞。由于这两个步骤都可

能要联网操作,而中了病毒后很可能会在这段时间中造成个人资料的泄漏,如果

你比较在意这一点,我们建议这个过程采用winxp带网络的安全模式+自带防火墙

,这样可以有效提高安全性。具体方法是重启机器,在bios检测之后按F8,选择

“带网络连接的安全模式”进入系统。系统启动完毕后将网络/拨号电话线拔掉,

在桌面“网络邻居”上点右键选择“属性”,在打开的“网络连接”界面上找到

你当前正使用的internet连接,在其上右键选择“属性”,选择弹出界面的“高

级”标签,勾选“通过限制或....”,确定后即打开了winxp自带的防火墙。完成

软件设置将刚才拔下的网线/拨号电话线插回,重新连网。用杀软自带的升级功能

完成病毒库升级,之后点击“开始”菜单-“windows update”按向导升级补丁

,选择补丁时可以有所取舍,但到少将所有的安全更新补丁选上。
3,重启系统按F8选择安全模式进入系统,使用杀毒软件进行全面扫描,如果你所

中的病毒不是特别新,一般情况下较好的杀毒软件应当能查找出来。假如仍然出

现查到病毒却无法清除的情况(少见),建议用杀毒软盘启动系统进行查杀。这

里有一个NTFS分区的问题,一些杀软(瑞星2004)的软盘杀毒模块已经内嵌了对

NTFS的支持,如果不支持,可以用NTFS FOR DOS这款这工具

(http://soft.tr163.cn/down.asp?id=312&no=1)。
  若以上方法均不能奏效,或者杀毒效果不理想,那就只好暂时将杀毒软件抛在一边,赤膊上阵了,但即使是手工清除,步骤1和步骤2中的更新系统补丁仍是必要的。
小提示:如何阻止系统关机
  “冲击波”与“震荡波”病毒均会导致系统必要服务停止响应,二者会使操作系统在1分钟左右后强行关机,可在计算机正在关机倒计时,运行,“开始”-“运行”“shutdown-a”回车,这就可以终止正在进行的关机周期。


地主 发表时间: 04-06-21 19:35

回复: lijingxi [lijingxi]   见习版主   登录
二、是谁启动了病毒?
  病毒的设计方法各有不同,如果你感染的不过是简单的病毒,可能一步就可到位,否则可能要多个回合才能彻底清除,但无论如何,首先我们要找到是谁启动了病毒,也就是说谁在系统启动时就将病毒载入了内存。
1.确定可疑进程
通过windows自带任务管理器固然可以查看到当前内存中的进程,但其功能颇为有限,我们要一个可以查看系统进程详细信息的软件,这里推荐国产软件“系统查看大师”(http://www.sinotransxm.com/wind/xpprocess.exe,http://www.pcdown.com/soft/8510.htm).为了找到病毒最初启动位置,我们需要重启动系统,待所有系统装载工作都 完成之后再运行该软件。点击软件主界面上的“进程列表”,可将当前所有进程列出(图下
)图中左窗口为进程列表,右窗口为该进程所调用的模块列表,两个窗口下方都给出了所选定项目的详细信息,当在右窗口选择第一项时,右下方能看到启动当前进程的程序的详细位置。通过对所有进程的逐一查看及对照,你很快就能缩小“嫌疑犯”的范围,不用担心误将系统进程怀疑为病毒进程,因为如果你所选定的是系统进程的(其实是由系统服务所启动的进程),则右边窗口不会列出其调用模块的详细信息,(当然并不是只要系统服务所启动的进程就是安全的,这个问题我们在后面继续分析)。注意这个过程尽量不要启动其他进程,如果要使用浏览磁盘文件,请尽量通过附件中的资源管理器来完成。



软件介绍:系统查看大师 V1.0.0
系统查看大师 是一个小巧的系统查看器。可以查看目前系统中正在运行的进程(当然包括那些用 Ctrl+Alt+Del 看不到的)。并且可以查看某个进程所调用的全部模块,运行的全部线程,以及内存的使用情况,还能强行终止进程的运行。可以用这个功能来对付那些讨厌的木马程序,同时可以浏览系统的软件、硬件信息,很方便的。『系统查看大师』是一个真正的绿色软件,它不用安装,只有一个主程序xpprocess.EXE。

B1层 发表时间: 04-06-21 19:37

回复: lijingxi [lijingxi]   见习版主   登录
小提示:如果你在资源管理器中看不到病毒文件,请点击菜单“工具-文件夹
选项”,在“查看”标签页中将“隐藏受保护的操作系统文件”取消,选择“显

示所有文件和文件夹”,必要时将“隐藏已知文件类型的扩展名” 取消。(图)


B2层 发表时间: 04-06-21 19:39

回复: kailangq [kailangq]   版主   登录
,还带了图片,我顶

B3层 发表时间: 04-06-21 19:41

回复: lijingxi [lijingxi]   见习版主   登录
2.找到病毒的启动位置
通过上述方式,应当基本能确定病毒是哪个了,即使还不嫌疑犯,数目也应当相当少了。下面我们看这个进

程到底是如何进入内存的,可查找以下可疑位置(以下简写‘hkey_local_machine`为"hklm"、“

hkey_current_user"为”hkcu")
(1)注册表中“hklm\software\microsoft\windows\currentversion\run”下的所有键值;
(2)注册表中“hklm\software\microsoft\windows\currentversion\runservices"下的所有键值;
 (3)注册表中"hkcu\software\microsoft\windows\currentversion\run"下的所有键值;
 (4)注册表中"hkcu\software\microsoft\windows\currentversion\runservices"下的所有键值;
(5)注册表中“hklm\software\microsoft\windowsnt\currentversion\windows"下的"run"和"load"键值;
 (6)注册表中"hkcu\software\microsoft\windowsnt\currentversion\windows"下的"run"和"load"键值;
(7)"开始"菜单-"程序"―"启动"中的项目。
 若是在win9x系统还要查看c:\autoexe.bat,c:\config.sys,windows系统文件夹下

win.ini,system.ini,winstart.bat中有无可疑项目。
通过与上一步可疑进程的对照,应当很快能找到病毒启动的位置,要注意的是检查要全面,不可因为查到一

处就不再看剩下的位置,因此还需简单查看一下已启动的系统服务。在“运行”对话框中输入“services.msc

”回车后打开服务列表, 在列表中找到状态为“已启动”的项目,双击其查看详细信息,重点是查看“服务

名称”和“可执行文件的路径”(下图)。如果该服务以svchost方式启动(路径显示为“.....\svchost.exe....

”字样),即其主体是一个dll文件,为了查看其信息,需要在注册表“hkml\system\controlset001\services"

下查找与其服务名称相同的子项,查看其下“parameters”的"servicesdll"键值,即可找到运行的主体。但这

种方法要了解winxp自身所启动的服务,这里给出微软官方给出的服务列表以便对照: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/management/svrxpser_7

.mspx


B4层 发表时间: 04-06-21 19:41

回复: lijingxi [lijingxi]   见习版主   登录
3.找出病毒进程的配合模块
通过以上两步,应当可以锁定病毒所使用的进程,在初步清除之前,我们不需要确定它们是否有调用其他配

合文件,以便清除时不要留下垃圾。这里使用process explorer(http://onlinedown.net/soft/19289.htm,http://www1.skycn.com/soft/15222.html)
也是一款查看系统进程及其调用模块的软件,使用它是因为它可以列也所调用模块的制作商。在其主界面上方

选定可疑进程,选择"view-lower pane view-dlls",下方即列出该进程的所调用的文件(图),文件列表很长

,其实中需特别留心其中厂商不属于“microsoft......”的,特别注意那些没有描述文字〔discription〕和

版本号〔version〕的dll文件。用这种方法,很快就能找到病毒的其他部分。有一些少见的病毒以dll为主体,

将自己内嵌在一些系统进程之下,用这种方法也可找出来。一会清除时别忘了去掉。



B5层 发表时间: 04-06-21 19:43

回复: lijingxi [lijingxi]   见习版主   登录
三、初步清除病毒
找到了病毒的启动位置及配合模块,就可以进行初步清除了。重启系统,并在启动时按f8,选择"安全模式"

进入系统。清除病毒文件,将注册表中的启动位置、启动组中的快捷方式删除,如果是由服务启动的,还要把

相关服务删除。方法:在注册表编辑器中找到hklm\system\controlset001\services,将个应的服务器键值删除

,如果是svchost.exe启动的,还要在hklm\software\microsoft\windowsnt\currentversion\svchost中,找到

包含该服务名称的键值,双击后将服务名称从列表中删除。这个过程中要注意两点:删除病毒体时尽量用资源

管理器而不要能过“我的电脑”,如果命令行很熟悉,则用“带命令行的安全模式”进入系统进删除更好。


B6层 发表时间: 04-06-21 19:44

回复: lijingxi [lijingxi]   见习版主   登录
四、第二和第三凶手......
初步清除后重启系统进入正常模式,此时如果病毒设计并不复杂,只要做些

善后工作就行。但往往是清除了某个病毒,操作计算机一段时间后,病毒又出现

了。因此在初次清除后,操作PC时需特别注意有无异常响应,并且鼠标呈长时间

沙漏等待状态。出现这种情况时应立即检查任务管理器。查看病毒的进程是否又

重新出现。病毒阴魂不散,除了“第一”凶手,一定还有“第二”凶手,它们暗

中藏匿,必要时出来恢复被解决的“第一”凶手,好在我们也不是没有准备。
先来看看病毒都有哪些常见狡诈伎俩及应对方法:
1、修改exe文件的打开方式而指向自身,症状为找开任何一个exe文件时响应

过慢。在注册表编辑中找到键值“hkey_classes_root\.exe",正常的“默认”键

值应为"exefile",找到"hkey_classes_root\exifile\shell\open\command",正常

的“默认”键值应当是”"%1"%”。
2、修改常见文件的打开方式,症状为打开某种类型文件时响应过慢。文件文

件.txt,批处理文件.bat,屏保文件.scr都是经常被修改的对象,在注册表的

"hkey_classes_root"下分别找到".txt"、".bat"、".scr",其正常的“默认”值

分别是"txtfile","batfile","scrfile",而"hkey_classes_root"下的"txtfile"

、"batfile"、"scrfile"下,"shell\open\command"的正常“默认”值分别是

"NOTEPAD.EXE %1"、""%1" %*"、""%1" /S"。
3、在磁盘根目录下放置autorun.inf,并在此文件加入“open=某病毒执行体

”代码,症状为双击磁盘符响应过慢,有时甚至不能找开磁盘。此时应当用资源

管理器打开该磁盘,删除其下的autorun.inf文件,并同时清除autorun文件中指

向的病毒文件。
4、在注册表

"hkcu\software\microsoft\windows\currentversion\explorer\mountpoint2"下

增加随explorer启动的的键值,症状为双击‘我的电脑’响应过慢。此时应查找

mounpoint2下各子项是否有autorun子项,如发现指向的是病毒应予删除,同时删

除其指向的病毒。
5、修改ie主页,使其指向带毒网址,此时不应打开ie,而直接进入“控制面

板”,双击“internet选项”将主页改回。如果internet选项中某个区域呈灰色

,此时应在注册表中

"hkcu\software\policies\microsoft\internetexplorer\control panel"下将相

应项的键值删除或改其值为0。



B7层 发表时间: 04-06-21 19:45

回复: www [wish259]   论坛用户   登录
可以

B8层 发表时间: 04-06-22 09:00

回复: lijingxi [lijingxi]   见习版主   登录


B9层 发表时间: 04-06-23 20:19

回复: TecZm [teczm]   版主   登录
楼上灌了这么多是不是累得哭了?

B10层 发表时间: 04-06-23 20:33

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号