以文本方式查看主题

-  ╋艺 镇╋  (http://zyzsky.com/bbs/index.asp)
--  ┣◇玩转系统  (http://zyzsky.com/bbs/list.asp?boardid=28)
----  清除病毒木马的基本操作  (http://zyzsky.com/bbs/dispbbs.asp?boardid=28&id=453)

--  作者:乐魔舞
--  发布时间:2007/12/28
--  清除病毒木马的基本操作
清除病毒木马的基本操作
     这几天我一直在病毒吧闲逛,遇到好多同志发帖曰:日志在哪里?进程列表是什么?呵呵~汗,好了

,有许多的感想就不多说了,进入主题,针对菜鸟介绍一下遇到问题后的基本操作(以xp为例),大虾走

开啊~
一、系统状态了解及操作方法
    在发现系统有异常情况后,首先要寻找原因,最简单的办法是查看进程列表和启动项,查看进程列表

的操作方法是同时按下ctrl+alt+del,在弹出的任务管理器中选“进程”选单,其列表就是进程列表;启

动项的查看是,在开始→运行→输入msconfig→选择启动就是了。
    系统的进程列表只有映像名称,用户名等等条目,没有对应的进程路径,有些伪装很强的程序拥有和

系统相同的进程名,在系统的这个进程列表我们就分辨不出了,所以建议大家参考本吧顶置的帖子“☆★  

求助必看(日志及工具下载地址)★☆”中的关于系统日志获取的方法
下面的一份典型的HijackThis_zww汉化版获得的系统日志:
------------------------------------------------------------------
HijackThis_zww汉化版扫描日志 V1.99.1  
保存于      9:19:52, 日期 2006-8-9  
操作系统:  Windows XP SP2 (WinNT 5.01.2600)  
浏览器:    Internet Explorer v6.00 SP2 (6.00.2900.2180)  
当前运行的进程:            
C:WINDOWSSystem32smss.exe---系统关键进程
C:WINDOWSsystem32csrss.exe---系统关键进程
C:WINDOWSSYSTEM32winlogon.exe---系统关键进程
C:WINDOWSsystem32services.exe---系统关键进程
C:WINDOWSsystem32lsass.exe---系统关键进程
C:WINDOWSsvchost.exe---病毒进程,看看和下面的程序的区别,他们的路径不同
C:WINDOWSsystem32svchost.exe---系统进程
C:WINDOWSsystem32svchost.exe ---系统进程
C:WINDOWSsystem32svchost.exe ---系统进程
C:WINDOWSExplorer.EXE ---系统进程
C:WINDOWSsystem32Rundll32.exe ---这里一般是病毒启动的,虽然是系统的程序
C:Documents and SettingsAdministrator桌面HijackThis1991【teyqiu】.exe---这个东西没见过,

怀疑是病毒
……
O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:WINDOWSsystem32

xunleibho_v13.dll  
……这里不多说了
O3 - IE工具栏增项: Kuaiso Toolsbar - {6D53ADB7-6AD5-4A59-BFE4-7B57D2F4AA89} - C:Program  

FilesKuaiso
……
O4 - 启动项HKLM\\Run: [SiS KHooker] C:WINDOWSsystem32khooker.exe
---这个不知道什么东西,应该是病毒
O4 - 启动项HKLM\\Run: [BigDogPath] C:WINDOWSVM_STI.EXE USB PC Camera 301P  
---从名称可以看出是摄像头的驱动
O4 - 启动项HKLM\\Run: [StormCodec_Helper] "C:Program FilesRingz StudioStorm  

CodecStormSet.exe" /S /opti  
---这是瑞星杀毒软件的启动项
O4 - 启动项HKLM\\Run: [RavTask] "C:Program FilesRisingRavRavTask.exe" -system  
---这是瑞星杀毒软件的启动项
O4 - 启动项HKLM\\Run: [HPDJ Taskbar Utility] ; C:WINDOWSsystem32spooldriversw32x863

hpztsb07.exe  
---这个不知道什么东西,应该是病毒
O4 - 启动项HKLM\\Run: [CnsMin] Rundll32.exe C:WINDOWSDOWNLO~1CnsMin.dll,Rundll32  
---这个不知道什么东西,应该是病毒
O4 - 启动项HKLM\\Run: [helper.dll] C:WINDOWSsystem32rundll32.exe C:PROGRA~13721

helper.dll,Rundll32  
---这是3721上网助手,我很讨厌这东西的
O4 - 启动项HKLM\\Run: [bgoomain.exe] C:PROGRA~1baigoobgoomain.exe  
---这是百狗搜索
O4 - 启动项HKLM\\RunOnce: [RavStub] "C:Program FilesRisingRavravstub.exe" /RUNONCE
---这是瑞星杀毒软件的启动项


  
作者: bpboy  2006-8-9 15:03   回复此发言   

--------------------------------------------------------------------------------

2 [原创]清除病毒木马的基本操作[补充]  
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe  
---输入法相关的进程
O4 - HKCU..Run: [bgswitch] C:WINDOWSsvchost.exe  
---这个是病毒的伪装
O4 - HKCU..Run: [MsnMsgr] ; "C:Program FilesMSN MessengerMsnMsgr.Exe" /background  
---这个是msn进程
O4 - HKCU..Run: [Yahoo! Pager] "E:yahooMESSEN~1YAHOOM~1.EXE" -quiet  
---雅虎
O4 - HKCU..Run: [eMuleAutoStart] E:电骡eMuleemule.exe -AutoStart  
---电骡自启动项(就是说开机自动启动电骡)
O4 - Startup: 腾讯QQ.lnk = C:Program FilesTencentQQQQ.exe  
---QQ自启动项
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft  

OfficeOfficeOSA9.EXE
---Office软件相关的东西
……
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - C:Program FilesThunder  

NetworkThundergeturl.htm  
……
--------------------------------------------------------------------------------------
以上我主要介绍了进程和04启动项,我们通过查看自己的进程列表或者系统日志,基本上就可以找出不正

常的进程了
当然我们在对付病毒木马程序时,要记住以上的系统进程的和一些常用的进程
比如:
QQ.exe 是QQ的进程
taskmgr.exe是任务管理器的进程
iexplore.exe是ie的进程
system.exe系统进程
还有就是我刚才说的,一些恶意软件和系统的程序一样的名字,比如svchost.exe,如果你不查看路径,

你就会认为这是系统进程
查看了路径后就是知道他不是系统的进程了,很可能就是病毒为了伪装自己而设置的
当然还有些程序是隐藏了的,也就是说在进程列表查不出的,在这里我只介绍基本的方法,就不深入了,

那样的话就需要其他软件来查看,如冰韧等。
二、病毒的查找
    以上介绍了病毒木马程序的查找方法,下面介绍怎样去寻找病毒之所在。
    这个步骤相对简单,根据进程列表和启动项找到其路径就是了,例如:C:WINDOWSsvchost.exe就是

说在c盘,windows目录里有个svchost.exe这样的文件。再如O4 - HKCU..Run: [bgswitch]  

C:WINDOWSsvchost.exe 也还是这个意思。
    通过以上可以找到病毒木马的所在,还有些情况,就是到了这个文件夹却没有这个文件,那可能就是

文件被隐藏了,解决办法:双击“我的电脑”→选择“工具”菜单→选择“文件夹选项”→选择“查看”

→选择显示系统文件夹的内容,选择显示所有文件和文件夹,把隐藏受保护的操作系统文件前的勾去掉,

然后确定,隐藏的文件就显示了。
    这个操作只能针对最简单的病毒或者木马,在进程列表把这个进程结束掉,删除其注册表项,然后手

工删除文件就可以了。复杂一点的就千奇百怪了,比如用dll注射的,互相监视的(就是说你删除这个文

件,但马上自己又出来了),我下面会接着说。
    当然有些厉害的木马可以隐藏自己的文件,国内的软件和一般的病毒用的不多,国外的挺多,例如诺

顿杀毒,你把文件添加到病毒库或者隔离区,文件就不见了,这里也不介绍了。
三、病毒的清除
    这是最难的最关键的一步,这里我介绍两个方法,一个使用软件[推荐],另一个是手工。
1.使用软件、工具
修复ie的工具:超级兔子,黄山ie修复专家 请参考http://post.baidu.com/f?kz=100707279 31楼32楼
扫描清除木马 :木马杀客
清除恶意软件:360safe,Windows 流氓软件清理大师
进程查看:PrcView.exe(很好用,还可以看到加载的模块dll)
端口进程关联察看器:Antiy Ports
2.手工(汗~ing)
    首先根据进程列表结束相关进程,如果结束后仍然启动说明这是相互监视的程序,使用进程查看软件

(PrcView.exe)查看explorer.exe中的模块,看有没有和病毒相同路径的东西加载进来,如果有就先打 开cmd,注意一定要先打开cmd,把explorer也结束,这时桌面和任务栏消失,使用alt+tab切换到cmd,进

入病毒或者木马所在路径,删除病毒程序,再删除那个加再到explorer的dll,然后注销再进入,如果病

毒或者木马没有启动了说明成功了,如果还是启动,就说明多个文件监视,按以上方法结束所有相关的进

程,再用cmd删除。
附上cmd使用方法:
    开始→运行→输入cmd,弹出黑色的框,输入病毒所在的盘的根目录,(假设病毒程序的路径

D:abcd.EXE) 这里输入D:→再输入cd abc→再输入del d.exe[注意如果此文件是隐藏的删除会失败,

先用attrib -s -h D:abcd.exe取消其隐藏属性]
    其次删除注册表中的相关项,开始→运行→输入regedit,按f3查找里输入病毒名称,寻找到关于病

毒的相关条目后,先检查是不是病毒的相关项,也就是这个项和你发现的病毒是不是完全匹配,如里面包

含D:abcd.exe全部内容,才能把这项清除。此操作务必备份注册表,未进行过注册表操作者慎用~!
    再次检查系统启动项和服务,开始→运行→输入msconfig,选择“启动”选单,把于病毒相关的项前

面的勾去掉,再选择“服务”选单,选择下面的隐藏microsoft服务,把于病毒有关的服务也去掉。
    最后更新杀毒软件,重新扫描病毒,删除系统临时文件及文件夹,请参考

http://post.baidu.com/f?kz=109417546
四、其他问题补充
1.关于系统重装时无法选择格式化硬盘的问题:
    以前的系统盘都有这功能,但windows xp sp2的没有,怎么办呢?方法:设置机器从光盘启动,加载

光盘文件完毕后会有系统的各个分区显示(也就是各个盘),把光标移到想要格式化的盘,如c盘,选择

删除此分区,然后就会出来个未分区的空间,你选中此空间,选择在此安装windows,系统会格式化此盘

,并安装windows。如果不按照此方法,系统光盘只能重新安装windows无法格式化。
    注意:此操作之前务必把想要格式化的盘中的重要文件备份,一旦格式化,文件就都没有了啊,到时

候可别怪我没有说啊~!
2.正常运行的系统弹出倒计时关机
   迅速点“开始”→“运行”→ 输入“shutdown /a”,然后倒计时消失,说明中了冲击波或者震荡波

病毒,请迅速给机器打上以上病毒补丁。
五、最后再说明
    引用那句俗话:苍蝇不叮无缝的蛋。对付病毒和木马,最好办法是预防。
引用一位网友的帖子:
1.不要下没有版权证书号来源的三无软件;  
2.杀毒软件经常升级,最好设为每天或自动;  
3.杀木马用专门的木马软件,很多人推荐木马杀客;  
4.系统打好补丁-建议自动更新;  
5.系统要做好备份(可以还原原来的系统);  
6.可以下超级兔子卸载流氓软件和不必要的程序,还可以用它屏蔽广告,GOOGLE TOOLER也不错。如果想

留部分流氓软件,建议改造它,做个精简,删掉不必要的插件和文件,我的DUDU下载器,SUPER RABBIT和

QQ等都进行了瘦身,现在不要太乖哦。  
7.要关注经常关注进程表,里面那些东东做什么的,网上有很多说明性的文章,搜索一下就可以了,发现异常尽快处理。


8.经常清理垃圾,整理磁盘。  
9.IE的皆容性固然最好,但最不安全,建议另外下个浏览器,如MYIE,Mozilla Firefox。能不用IE的时候尽量不用。
[此贴子已经被admin于2008-6-16 21:47:58编辑过]