《手工清理病毒原来可以如此简单》由会员分享,可在线阅读,更多相关《手工清理病毒原来可以如此简单(12页珍藏版)》请在金锄头文库上搜索。
1、手工清理病毒原来可以如此简单2007-12-14来源: 进入论坛编者按:当大家看到这个题目的时候一定会觉得手工杀毒真的很简单吗?笔者写这个文章的目的就是让所有菜鸟在面对病毒的时候能轻而易举的狙杀掉它,而不是重装系统,或者在重装 N 次系统以后无奈的选择格式化,结果却依然无法将讨厌的病毒驱逐出你可怜的电脑。 今天我们以今年泛滥比较严重的病毒之一的“AV 终结者” 的手工清理方法来像大家讲述如何手工清理这类非感染 exe 文件类型的病毒(本次讲述的办法在清理完病毒源头以后借助专杀工具依然可以适用于清理感染 exe 类病毒)。第一步:知己知彼,百战百胜要战胜 AV 终结者,我们先要了解自己的处境和它
2、的特性还有弱点。首先我们来了解下 AV 终结者的执行以后的特征:1.在多个文件夹内生成随机文件名的文件旧版本的 AV 终结者在任务管理器里可以查看 2 个随机名的进程,新的变种文件名格式发生变化,目前我遇到过 2 种。一种是随机 8 个字母+ 数字.exe 和随机 8 个字母+数字.dll ;另一种是 6 个随机字母组成的 exe 文件和 inf 文件。不管变种多少它们保存的路径大概都是如下几个:C:windowsC:windowshelpC:WindowsTempC:windowssystem32C:WindowsSystem32driversC:Program FilesC:Program
3、 FilesCommon Filesmicrosoft sharedC:Program FilesCommon Filesmicrosoft sharedMSInfoC:Program FilesInternet Explorer以及 IE 缓存等这个是我个人总结出来的,随着病毒的变种。获取还有其他的。我这里只提供参考。2.感染磁盘及 U 盘当你的系统中了 AV 终结者,你会发现你的磁盘右键打开时将出现一个”Auto”也就是自动运行的意思,此时你的电脑已经中毒了,而且如果你这个时候企图插入移动硬盘、U 盘,或者刻录光盘以保存重要资料,都将被感染。这也就为什么许多用户重装完系统甚至格式化磁盘以后
4、病毒依然的原因。当你重装完系统,必定会有双击打开硬盘寻找软件或者驱动的时候,这个时候寄生在你磁盘根目录内的 Autorun.inf 文件就起到让病毒起死回生的功能了。这绝对不是耸人听闻哦!3.破坏注册表导致无法显示隐藏文件我们一起来看看磁盘里的 Autorun.inf,因为此时你的系统已经无法显示隐藏文件了。这个也是 AV 终结者的一个特征,所以我们这里用到几条简单的 dos 命令。开始菜单-运行-输入“cmd” 来到 cmd 界面,输入“D:” 跳转到 D 盘根目录,因为 AV 是不感染 C 盘根目录的,再输入“dir /a” 显示 D 盘根目录内的所有文件及文件夹。“/a”这个参数就是显示
5、所有文件,包含隐藏文件。如图: 我们看到 D 盘内多出了 Autorun.inf 以及随机生成的病毒文件 017a4901.exe。我们一起看看 Autorun.inf的内容,输入”type autorun.inf”,Autorun.inf 里的代码的意思就是当你双击打开、右键打开、资源管理器打开。都会自动运行目录里的 017A4901.exe 这个文件。所以对于普通用户来说,即使你听过别人劝告,通过右键打开企图避免运行病毒也是徒劳的。因为“上有政策下有对策”,病毒也是在不断的变种升级的!当然它并不是无敌的,下文中我们就会讲述如何清理它。4. 在注册表中写入启动项,已达到自动启动HKEY_CL
6、ASSES_ROOTCLSID随机 CLSIDurl=file:/inprocserver32/InprocServer32/url 病毒文件全路径 HKEY_LOCAL_MACHINESOFTWAREClassesCLSID随机 CLSID 病毒文件全路径 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks 生成的随机 CLSID HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 随机字符串 病毒文件全路径HKE
7、Y_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscsvc Start dword:00000004其他病毒及变种写入注册表的位置不同,下文的实战部分我们将详细说明5.映像劫持技术通过修改注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options 的内容达到劫持几乎所有主流杀毒软件,甚至 360 安全卫士这样的工具的目的,被劫持后的现象是,杀毒软件无法自动运行,实时监控也无法启动,双击运行闪出一个黑色 dos 窗口后立刻消失。其
8、实这个时候就是利用劫持技术转向运行了病毒本身。这个时候杀毒软件就彻底倒下了。关键时刻我们果然还是要靠自己手工清理啊!6.修改以下服务的启动类型来禁止 Windows 的自更新和系统自带的防火墙HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess Start dword:00000004HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswuauserv Start dword:000000047.删除以下注册表项,使用户无法进入安全模式HKEY_CURRENT_USERSYSTE
9、MCurrentControlSetControlSafeBootMinimal4D36E967-E325-11CE-BFC1-08002BE10318HKEY_CURRENT_USERSYSTEMControlSet001ControlSafeBootMinimal4D36E967-E325-11CE-BFC1-08002BE103188.连接网络下载更多的游戏木马、广告软件以为病毒作何谋取经济利益。9.强制关闭包含和病毒或者清理病毒或者杀毒软件有关的信息的页面。10.注入 Explorer.exe 和 TIMPlatform.exe 反弹连接,以逃过防火墙的内墙的审核。11.新的变种中加入
10、双进程保护,当你结束一个进程,另一个进程自动重新启动它并关闭你的任务管理器。12.跟随系统唯一可以使用的安全模式“控制目录恢复模式”启动,并防止企图清理注册表里的启动项以清除病毒的行为,让你清除注册表的下秒,它又自动建立了!第二步:实战清理病毒 通过上面的内容相信你已经基本了解病毒的运作方式,现在杀毒软件已经“下岗”了,那么现在我们就靠自己的双手将它驱逐出去,还您一片蓝色的天空吧!首先介绍今天的主角:WinPe 老毛桃修改版这是一个类似 windows98 的操作系统。它体积很小只有几十 M,现在很多系统安装版里都集成了这个软件,或者你也可以上网下载一个 iso 文件。用虚拟光驱运行,会有安装
11、到系统的功能,所以没有刻录机的朋友一样可以使用它,当然它还有 U 盘版。我今天使用的是光盘版,或许你会问“为什么要用这个操作系统?他和 xp 有什么区别呢?难道用他就不会开机运行病毒了?”是的!说的没错!因为 WinPe 是光盘或本地安装出来的一个虚拟磁盘的操作系统,他和系统本身是没有挂钩的,所以不会启动 windows 注册表里的启动项。这个的带来的优势就是我们可以在病毒启动之前就把他删除掉!设想,一个病毒虽然在注册表里配置的启动项,但是他的原始病毒文件已经不存在了。和谈启动运行?这就是我们今天的重点思路!在病毒启动以前将病毒文件全部删除,让他有心无力!下面是 winpe 下操作的截图:是不
12、是和 98 或者 2003 很像?Winpe 的另一个好处就是,我们前面提到的磁盘感染 Autorun.inf 对它也是无效的。右键是没有”Auto”这个选项的,所以我们在 winpe 下可以放心的双击盘符而不会运行病毒!我们首先来清理掉最容易找到的病毒文件磁盘根目录下的感染文件 除了 C 盘以外的每个盘根目录下都有,一定要记得全部删除!删除的文件包括 Autorun.inf 和那个隐藏的 exe 文件,有的病毒隐藏文件是.pif 或 cmd 或别的什么,因为 c 盘根目录没这些感染文件。所以我可以告诉大家一个诀窍:删除除 C 盘以外,所以盘目录下的隐藏文件(不包括文件夹)就可以了。好接下来看
13、看我们前面提到的其他文件夹:C:windowsC:windowshelpC:WindowsTempC:windowssystem32C:WindowsSystem32driversC:Program FilesC:Program FilesCommon Filesmicrosoft sharedC:Program FilesCommon Filesmicrosoft sharedMSInfoC:Program FilesInternet Explorer在 windows 文件夹下我们发现了 017A4901.hlp 和我们上面说的一样同样在 C:Program FilesCommon Fil
14、esmicrosoft sharedMSInfo 发现名为 017A4901.dll 的文件 所以我们利用 winpe 的文件搜索功能搜索” 017A4901”将其他病毒文件都挖出来 当我们把上面找到的这些文件全部清理完毕以后再搜索看看。是不是已经没有了? 那么现在 AV 终结者也“下岗” 了。注册表里的所谓映像劫持、自动启动、双进程保护都已经形同虚设了!这个时候你会发现你可以上杀毒软件的网站了 自此我们已经帮助可怜的杀毒软件重新“上岗再就业” 了。现在我们来彻底将病毒的启动请出我们的电脑吧(注意:这个时候建议先不要运行杀毒软件,避免还有残留的我们没发现的病毒残留文件通过映像劫持再度重生!)
15、开始菜单-运行- 输入“regedit” 打开注册表使用模糊查询搜索我们刚才的病毒文件。不要包括扩展名,因为有的地方是以名字做注册表项的,我们同时勾选 项、值、以及数据。确保不放过一个敌人! 我们找到一个 CLSID 为A490017A-017A-4901-7A49-17A9017A4901的项里面保存着病毒名称和路径:我们删除这个项,然后按下 F3 继续搜索下一个,找到就把它删除。这里要注意一个问题。如果你搜索出来的注册表项里面有很多个值,千万不要盲目删除项。只要删除包含病毒文件名称和路径的部分就可以了!避免系统崩溃!接下来删除映像劫持部分的注册表内容搜索 Image File Execution Options 既可来到 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options 这个位置。你会发现里面几乎包含了所有你知道的杀毒软件的进程名,病毒就是通过识别这些进程名来进行劫持的。所以有的时候你可以通过修改程序的名称。比如把 改为 xxx.exx 就可以运行了。当然不是绝对。例如对 AV 终结者就是无效的,因为他识别的是窗体标题。所以你可以发现的杀毒软件他们推出的专杀工具一般都是.com 的扩展名,而且运行时候是没
