以文本方式查看主题 - ╋艺 镇╋ (http://zyzsky.com/bbs/index.asp) -- ┣◇玩转系统 (http://zyzsky.com/bbs/list.asp?boardid=28) ---- 清除病毒木马的基本操作 (http://zyzsky.com/bbs/dispbbs.asp?boardid=28&id=453) |
-- 作者:乐魔舞 -- 发布时间:2007/12/28 -- 清除病毒木马的基本操作 清除病毒木马的基本操作
这几天我一直在病毒吧闲逛,遇到好多同志发帖曰:日志在哪里?进程列表是什么?呵呵~汗,好了 ,有许多的感想就不多说了,进入主题,针对菜鸟介绍一下遇到问题后的基本操作(以xp为例),大虾走 开啊~ 一、系统状态了解及操作方法 在发现系统有异常情况后,首先要寻找原因,最简单的办法是查看进程列表和启动项,查看进程列表 的操作方法是同时按下ctrl+alt+del,在弹出的任务管理器中选“进程”选单,其列表就是进程列表;启 动项的查看是,在开始→运行→输入msconfig→选择启动就是了。 系统的进程列表只有映像名称,用户名等等条目,没有对应的进程路径,有些伪装很强的程序拥有和 系统相同的进程名,在系统的这个进程列表我们就分辨不出了,所以建议大家参考本吧顶置的帖子“☆★ 求助必看(日志及工具下载地址)★☆”中的关于系统日志获取的方法 下面的一份典型的HijackThis_zww汉化版获得的系统日志: ------------------------------------------------------------------ HijackThis_zww汉化版扫描日志 V1.99.1 保存于 9:19:52, 日期 2006-8-9 操作系统: Windows XP SP2 (WinNT 5.01.2600) 浏览器: Internet Explorer v6.00 SP2 (6.00.2900.2180) 当前运行的进程: C:WINDOWSSystem32smss.exe---系统关键进程 C:WINDOWSsystem32csrss.exe---系统关键进程 C:WINDOWSSYSTEM32winlogon.exe---系统关键进程 C:WINDOWSsystem32services.exe---系统关键进程 C:WINDOWSsystem32lsass.exe---系统关键进程 C:WINDOWSsvchost.exe---病毒进程,看看和下面的程序的区别,他们的路径不同 C:WINDOWSsystem32svchost.exe---系统进程 C:WINDOWSsystem32svchost.exe ---系统进程 C:WINDOWSsystem32svchost.exe ---系统进程 C:WINDOWSExplorer.EXE ---系统进程 C:WINDOWSsystem32Rundll32.exe ---这里一般是病毒启动的,虽然是系统的程序 C:Documents and SettingsAdministrator桌面HijackThis1991【teyqiu】.exe---这个东西没见过, 怀疑是病毒 …… O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:WINDOWSsystem32 xunleibho_v13.dll ……这里不多说了 O3 - IE工具栏增项: Kuaiso Toolsbar - {6D53ADB7-6AD5-4A59-BFE4-7B57D2F4AA89} - C:Program FilesKuaiso …… O4 - 启动项HKLM\\Run: [SiS KHooker] C:WINDOWSsystem32khooker.exe ---这个不知道什么东西,应该是病毒 O4 - 启动项HKLM\\Run: [BigDogPath] C:WINDOWSVM_STI.EXE USB PC Camera 301P ---从名称可以看出是摄像头的驱动 O4 - 启动项HKLM\\Run: [StormCodec_Helper] "C:Program FilesRingz StudioStorm CodecStormSet.exe" /S /opti ---这是瑞星杀毒软件的启动项 O4 - 启动项HKLM\\Run: [RavTask] "C:Program FilesRisingRavRavTask.exe" -system ---这是瑞星杀毒软件的启动项 O4 - 启动项HKLM\\Run: [HPDJ Taskbar Utility] ; C:WINDOWSsystem32spooldriversw32x863 hpztsb07.exe ---这个不知道什么东西,应该是病毒 O4 - 启动项HKLM\\Run: [CnsMin] Rundll32.exe C:WINDOWSDOWNLO~1CnsMin.dll,Rundll32 ---这个不知道什么东西,应该是病毒 O4 - 启动项HKLM\\Run: [helper.dll] C:WINDOWSsystem32rundll32.exe C:PROGRA~13721 helper.dll,Rundll32 ---这是3721上网助手,我很讨厌这东西的 O4 - 启动项HKLM\\Run: [bgoomain.exe] C:PROGRA~1baigoobgoomain.exe ---这是百狗搜索 O4 - 启动项HKLM\\RunOnce: [RavStub] "C:Program FilesRisingRavravstub.exe" /RUNONCE ---这是瑞星杀毒软件的启动项 作者: bpboy 2006-8-9 15:03 回复此发言 -------------------------------------------------------------------------------- 2 [原创]清除病毒木马的基本操作[补充] O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe ---输入法相关的进程 O4 - HKCU..Run: [bgswitch] C:WINDOWSsvchost.exe ---这个是病毒的伪装 O4 - HKCU..Run: [MsnMsgr] ; "C:Program FilesMSN MessengerMsnMsgr.Exe" /background ---这个是msn进程 O4 - HKCU..Run: [Yahoo! Pager] "E:yahooMESSEN~1YAHOOM~1.EXE" -quiet ---雅虎 O4 - HKCU..Run: [eMuleAutoStart] E:电骡eMuleemule.exe -AutoStart ---电骡自启动项(就是说开机自动启动电骡) O4 - Startup: 腾讯QQ.lnk = C:Program FilesTencentQQQQ.exe ---QQ自启动项 O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOfficeOSA9.EXE ---Office软件相关的东西 …… O8 - IE右键菜单中的新增项目: &使用迅雷下载 - C:Program FilesThunder NetworkThundergeturl.htm …… -------------------------------------------------------------------------------------- 以上我主要介绍了进程和04启动项,我们通过查看自己的进程列表或者系统日志,基本上就可以找出不正 常的进程了 当然我们在对付病毒木马程序时,要记住以上的系统进程的和一些常用的进程 比如: QQ.exe 是QQ的进程 taskmgr.exe是任务管理器的进程 iexplore.exe是ie的进程 system.exe系统进程 还有就是我刚才说的,一些恶意软件和系统的程序一样的名字,比如svchost.exe,如果你不查看路径, 你就会认为这是系统进程 查看了路径后就是知道他不是系统的进程了,很可能就是病毒为了伪装自己而设置的 当然还有些程序是隐藏了的,也就是说在进程列表查不出的,在这里我只介绍基本的方法,就不深入了, 那样的话就需要其他软件来查看,如冰韧等。 二、病毒的查找 以上介绍了病毒木马程序的查找方法,下面介绍怎样去寻找病毒之所在。 这个步骤相对简单,根据进程列表和启动项找到其路径就是了,例如:C:WINDOWSsvchost.exe就是 说在c盘,windows目录里有个svchost.exe这样的文件。再如O4 - HKCU..Run: [bgswitch] C:WINDOWSsvchost.exe 也还是这个意思。 通过以上可以找到病毒木马的所在,还有些情况,就是到了这个文件夹却没有这个文件,那可能就是 文件被隐藏了,解决办法:双击“我的电脑”→选择“工具”菜单→选择“文件夹选项”→选择“查看” →选择显示系统文件夹的内容,选择显示所有文件和文件夹,把隐藏受保护的操作系统文件前的勾去掉, 然后确定,隐藏的文件就显示了。 这个操作只能针对最简单的病毒或者木马,在进程列表把这个进程结束掉,删除其注册表项,然后手 工删除文件就可以了。复杂一点的就千奇百怪了,比如用dll注射的,互相监视的(就是说你删除这个文 件,但马上自己又出来了),我下面会接着说。 当然有些厉害的木马可以隐藏自己的文件,国内的软件和一般的病毒用的不多,国外的挺多,例如诺 顿杀毒,你把文件添加到病毒库或者隔离区,文件就不见了,这里也不介绍了。 三、病毒的清除 这是最难的最关键的一步,这里我介绍两个方法,一个使用软件[推荐],另一个是手工。 1.使用软件、工具 修复ie的工具:超级兔子,黄山ie修复专家 请参考http://post.baidu.com/f?kz=100707279 31楼32楼 扫描清除木马 :木马杀客 清除恶意软件:360safe,Windows 流氓软件清理大师 进程查看:PrcView.exe(很好用,还可以看到加载的模块dll) 端口进程关联察看器:Antiy Ports 2.手工(汗~ing) 首先根据进程列表结束相关进程,如果结束后仍然启动说明这是相互监视的程序,使用进程查看软件 (PrcView.exe)查看explorer.exe中的模块,看有没有和病毒相同路径的东西加载进来,如果有就先打 开cmd,注意一定要先打开cmd,把explorer也结束,这时桌面和任务栏消失,使用alt+tab切换到cmd,进 入病毒或者木马所在路径,删除病毒程序,再删除那个加再到explorer的dll,然后注销再进入,如果病 毒或者木马没有启动了说明成功了,如果还是启动,就说明多个文件监视,按以上方法结束所有相关的进 程,再用cmd删除。 附上cmd使用方法: 开始→运行→输入cmd,弹出黑色的框,输入病毒所在的盘的根目录,(假设病毒程序的路径 D:abcd.EXE) 这里输入D:→再输入cd abc→再输入del d.exe[注意如果此文件是隐藏的删除会失败, 先用attrib -s -h D:abcd.exe取消其隐藏属性] 其次删除注册表中的相关项,开始→运行→输入regedit,按f3查找里输入病毒名称,寻找到关于病 毒的相关条目后,先检查是不是病毒的相关项,也就是这个项和你发现的病毒是不是完全匹配,如里面包 含D:abcd.exe全部内容,才能把这项清除。此操作务必备份注册表,未进行过注册表操作者慎用~! 再次检查系统启动项和服务,开始→运行→输入msconfig,选择“启动”选单,把于病毒相关的项前 面的勾去掉,再选择“服务”选单,选择下面的隐藏microsoft服务,把于病毒有关的服务也去掉。 最后更新杀毒软件,重新扫描病毒,删除系统临时文件及文件夹,请参考 http://post.baidu.com/f?kz=109417546 四、其他问题补充 1.关于系统重装时无法选择格式化硬盘的问题: 以前的系统盘都有这功能,但windows xp sp2的没有,怎么办呢?方法:设置机器从光盘启动,加载 光盘文件完毕后会有系统的各个分区显示(也就是各个盘),把光标移到想要格式化的盘,如c盘,选择 删除此分区,然后就会出来个未分区的空间,你选中此空间,选择在此安装windows,系统会格式化此盘 ,并安装windows。如果不按照此方法,系统光盘只能重新安装windows无法格式化。 注意:此操作之前务必把想要格式化的盘中的重要文件备份,一旦格式化,文件就都没有了啊,到时 候可别怪我没有说啊~! 2.正常运行的系统弹出倒计时关机 迅速点“开始”→“运行”→ 输入“shutdown /a”,然后倒计时消失,说明中了冲击波或者震荡波 病毒,请迅速给机器打上以上病毒补丁。 五、最后再说明 引用那句俗话:苍蝇不叮无缝的蛋。对付病毒和木马,最好办法是预防。 引用一位网友的帖子: 1.不要下没有版权证书号来源的三无软件; 2.杀毒软件经常升级,最好设为每天或自动; 3.杀木马用专门的木马软件,很多人推荐木马杀客; 4.系统打好补丁-建议自动更新; 5.系统要做好备份(可以还原原来的系统); 6.可以下超级兔子卸载流氓软件和不必要的程序,还可以用它屏蔽广告,GOOGLE TOOLER也不错。如果想 留部分流氓软件,建议改造它,做个精简,删掉不必要的插件和文件,我的DUDU下载器,SUPER RABBIT和 QQ等都进行了瘦身,现在不要太乖哦。 7.要关注经常关注进程表,里面那些东东做什么的,网上有很多说明性的文章,搜索一下就可以了,发现异常尽快处理。 8.经常清理垃圾,整理磁盘。 9.IE的皆容性固然最好,但最不安全,建议另外下个浏览器,如MYIE,Mozilla Firefox。能不用IE的时候尽量不用。 [此贴子已经被admin于2008-6-16 21:47:58编辑过]
|