20CN网络安全小组论坛 - 病毒专区 - [原创]自己动手对付病毒、木马

论坛: 病毒专区标题: [原创]自己动手对付病毒、木马

作者: stcallme [stcallme]

论坛用户

曾经中毒无数次,为此也重装过系统――损失惨重，与病毒、木马的斗争可以说是一直没有停止过，虽然我们有杀毒软件、防火墙来保护我们的系统，但这些也有失灵的时候，（我们经常遇到这样的情况，杀毒软件提示发现病毒，但总是杀不掉，下次重启又提示发现病毒）这时候就要我们自己来动手了！当然了对付病毒、木马等等这类东西没有一个固定的格式，要根据不同的情况来处理，但所谓文无定法但有常规，今天我就给大家说说我自己通常所用的方法，也就是所谓的常规吧！（好了不说了正式开始了！如果扯开来说，恐怕要从什么是病毒他的产生、种类等等说起，但今天不谈这些，只说如何来对付它。）

我的方法是：
1.结束进程
先是查看进程中是否有相应的病毒、木马的.exe进程文件！（根据杀毒软件提供的病毒名来查）有些病会很明显的加在进程中比如logo1_.exe病毒！如有的话首先结束病毒、木马进程。

2.停止服务
有些病毒或木马是以服务的方式来启动的，会自己添加一个服务在系统中，我们首先应在services.msc中查看是否有可疑的服务，有的话应当立即停止。（这里值得注意的是在服务名称上查看其属性时有一个“可执行文件的路径”从中可以知道是哪一个文件启动或调用了这个服务！例如图1中的C:\WINNT\Hacker.exe很明显这是一个木马程序的服务，而不象你在服务名称中所看到的Windows_Help。这个是用来迷惑一下你！）直接将“启动类型”改为：已禁用。当然我们在注册表中也可以直接将这个服务删除掉，方法是打开注册表在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services这个位置下会找到它。如图2直接删除此服务了事。

(图1)

(图2)
3.删除相应的病毒、木马文件
（在很多情况下我们在一开始并不能直接删除掉发现的病毒、木马的文件，会提示程序正在使用不能删除，这是因为它已经在进程中运行了所以先结束它。）在这里一般是先根据杀毒软件报告的位置去找。但很多病毒可能在别的地方也存在所以这里应用“按病毒名字搜索”来查找机子里所有的分区！（在查找前应当在文件夹选项里去掉“隐藏受保护的操作系文件”并选择显示所有文件和文件夹。这样才能查到）
4.查看病毒、木马启动项
一些病毒或木马我们没有杀干净的话，会在下次启动的时候又会出现。为了能彻底杀掉，还应当查看病毒、木马是不是在我们系统中添加了启动项！传通的方法就是查看注册表中的Run、RunOnce、RunServices;Winstart.bat；Autoexec.bat；win.ini；system.ini；wininit.ini；Autorun.inf；Config.sys等等。当然其它的方法还有，就象我上面说的以添加服务的方式来达到启动的目的。更隐蔽的是有些木马是通过rundll32来启动的，这样就隐藏了进程。（逃避了我们对付木马通常用的“查端口、看进程”的方法！）
5.安全模式的应用
当以上方法还对付不了的话，可以在安全模式下试一下全面杀毒或一些病毒文件的删除！

好了就说这么多吧！这只是一个常规的法方，遇到利害的病毒，以上的法方还是不够的，需要大家不断摸索和总结。我曾中了一个叫vmmqk5c.dll的病毒,症状就是打开IE时会出现无法启动浏览器,提示重启IE结果还是打不开.位置在c:\winnt\temp\vmmqk5c.dll卡巴只是提示却怎么也杀不了！在安全模式下删除了vmmqk5c.dll也不行，下次还会有，后来在安全模式下干脆连temp也删除还删除了c:\TEMP文件夹，（TEMP文件夹删除了不必担也系统会自己重建的）问题解决了,卡巴再没有发现有毒!
这只是我个人的一点经验，请不要按部就班！只希望能给大家一个思路。

值得注意的是在注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon下右边有一个shell其值为Explorer.exe一些木马可以通过把它自己的.exe文件加在Explorer.exe的后面来实现开机自动运行！

地主发表时间: 06-02-22 21:26

论坛: 病毒专区