这次的文章,我会以自己的电脑,清除病毒全过程为例,向大家展示,如何利用辅助工具,手动清理,删除病毒。
y/q �Y}A1 �)j*lE{u�T 一.试验病毒:
a0ax;vXN?� 1.灰鸽子
�9�Yr��E�s 2.wlfins.exe(用于生成最近流行的 ***pri.dll病毒文件)
Yi �`�oU�- y&2p`%�?GW 二.所需辅助工具:
9Uy[&r
��B 1.System Repair Engineer,俗称 SRE。是目前最常用的杀毒辅助软件。下载地址:
http://download.kztechs.com/files/sreng2.zip &0��,G�}D| 2.增强型进程管理器。微软自带的进程管理器,实在太无能了。且不说功能少,中毒后,大多数情况,是被“干掉”的,也就是经常有人说,按下”ctrl+alt+del”,没反映的问题了。所以,建议大家找一个第三方的“增强型进程管理器”,代替它。现在网上流行的有很多,比如:windows 进程管理器,norton进程管理器等等。这些第三方软件,功能其实都是类似的,我们需要的功能,就是在每个进程后面,显示出该进程的文件的详细路径。后面的图,我会给大家展示,我目前在用的增强型进程管理器。
�UE|�-�4�K 3.深山红叶 PE 工具箱。这个是我今天推荐的重点。这个软件安装后,会添加启动菜单,让你除了现有系统外,再增加一个“PE 系统”,这个新增加的PE 系统,其实和XP的操作类似,而且,最重要的,在这个系统下,不会受到病毒的干扰,你可以随意对硬盘分区,进行任何操作,比如:文件删除,注册表编辑,甚至格式化!
qt4yz=B�6l 4. System Detector。这个软件,是萧心IT论坛出品的。其实,它的一些功能都和上面的SRE相似。但是我发现,有一个功能,很实用:Windows映象劫持修复。前段时间流行的:AV 终结者,很多用户反映,不能打开带有“病毒,杀毒”等文字的窗口,网页。其实就是“Windows映象劫持”弄得。有了这个软件,一键,就能修复!
cW$7(>kem\ �Uc"5�e)6� 好了,有了这4个工具,我们就能对付很多病毒了。现在,我们来开始实战!
7T�bK~l9�p E>� awm}k 三.手工杀毒,一般分为如下步骤:
�T&E
.6,)} 1.感觉中毒后,利用辅助软件,包括:任务管理器,System Repair Engineer,等,进行查看。
o,�BopU�. 2.用SRE 生成报告,发到网上,给高手们查看,从中挑出“不正常”的文件;
sY:Cf65,n 3.根据第二步的结果,进行记录(用纸和笔记录!除非你绝对相信自己的记忆力!)
h*.|^`��Yf 4.进入DOS,或者 PE 环境,按刚才的记录,逐个删除病毒文件,清理注册表。
,P�i�G;vRp 5.回到正常系统,查看进程和关键文件夹。查询是否还有“残留”。
Bh1R6�-HM U�E
i4jlT� 四.目前大部分病毒,或者木马的“典型操作总结”
Tzw�JPI\h# 现在大部分病毒或者木马,其实,对于他们的“动作”,都是有共性的,我来总结一下:
����O`2��� ��;=OSB�s� 1.向系统关键文件夹写入病毒文件,常见的包括:
LVIr.HbdL? ⑴ C:\WINDOWS
9V4&Po,5(C ⑵ C:\WINDOWS\system32
|�hS��P�/I ⑶ C:\WINDOWS\system
p�y7IOh(�' ⑷ C:\WINDOWS\system32\dllcache
1Y$v<1�q&8 ⑸ C:\Program Files\Internet Explorer\PLUGINS
wy[�&0���� ⑹ C:\Program Files\Common Files
�]I�d9repk ⑺ C:\Program Files\Common Files\Microsoft Shared\MSInfo
"L�a��uO,� ⑻ C:\Documents and Settings\你的用户名\Local Settings\Temporary Internet Files
Pi[~[6m�2* ⑼ 各个分区下面,写入:autorun.inf文件,以及中下病毒文件
"d�N*���%" 2.向系统注册表关键键位,写入键值,辅助/监控病毒运行,常见键位包括:
bv�a�x8vt5 ⑴ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ——系统启动项目
rgs|a�h{)y ⑵ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce ——系统启动项目
c{�dn��(�' ⑶HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
,�0WrW<�@� ⑷ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
��41" _jX= ⑸HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
��jtkf2dkR ⑹HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options —————— Windows 映象劫持路径!!!!
-L�r*y�TH; }:�rf
3e�/ 3.添加系统启动项目。这个简单了,其实就是添加注册表信息,达到开机自动启动的目的。键位,我上面 2 中都写了。
5u�NtBt#l� 4.添加服务和驱动文件。这2个也是很常见的,对于菜鸟,也是最难判断的。因为“不敢”拿这2处开刀。用SRE,可以轻松查看,我后面会详细图文说明。这里先知道就行了。
Rv,�J�ik�� 5.在各分区下面,写入 autorun.inf,放入病毒文件。
p"Q>#ji �m 6.病毒(对于 DLL 文件类型的)插入系统关键进程,达到无法删除,无法修改,无法让杀毒软件查杀的目的。对于这种文件,我后面会细说。
l�U�L5sq Y 7.感染常见可执行程序:exe,bat,cmd,scr,com,html,htm,asp。典型的:维金,熊猫,小浩,都是这样的。前两个,现在网上有修复工具,在确定C盘,病毒清理干净了以后,用修理工具修理即可,至于最新的小浩。。。。。。。。。。。唉。。据说是无法修复,只能都删除了。
M
�uiK%O9A <���8e��v 好了,一般的病毒和木马,他们的共性,就这么多了。下面,我们开始实战~~~
e}@&�2L�O8 �sa�Cm}0?� 五.实战杀毒
K]�9�=�Q1{ �Krf���#oC 这次用于教程的,有2种病毒,一种,是常见的,其实也是最简单的灰鸽子病毒,还有一种,就是时下最为流行的 ***pri.dll病毒。下面,我们就按照上面说的5个步骤,开始杀毒之旅~
�Z)O�B���D CAe�%:�Knt 1.感觉中毒后,利用辅助软件,包括:任务管理器,System Repair Engineer,等,进行查看。
D�?D*NGiwZ d#eW�P9w^ 首先,我用普通的任务管理器,和我自己的“增强型任务管理器”,截图给大家比较,大家就能看出区别了:
C��b]��1=y 45h�M1Mam@ 
'�Vq�d>�$n 
6��a"Aj�m F8�lL}E�;| 看出什么了么?除了增强型的管理器,功能更强大,仔细对比一下,还能从中发现2个“普通任务管理器”没有查到的:Wddins.exe和 wlfins.exe,而且,都给出了详细路径。
Qk6��6e7w- qs@�t�B��J 除此之外,还有一个问题,我自己用的是遨游网页浏览器,而从来不实用IE,那么,进程里面的 IEXPLORE.EXE,是什么呢??????
p�He@`�!�; �w~+eo5/� 通过加强型任务管理器,我们就暂时得到3个信息:
.��2:T:L'{ ⑴ 不用IE,没开IE,那么IEXPLORE.EXE这个进程,是怎么出来的????
Zu$��&)/CI ⑵ wddins.exe 是什么东西???
��km=!!\j/ ⑶ wlfins.exe 是什么东西???
./!a}h}Sw; S�q#��rm+ 我们再来看看经典的辅助工具:S.R.E:打开SRE,我的就是这样:
�M��j(.1�g NPap�[
.60 
O6?g�':�g[ �k]2�-r�p, 呵呵,典型的中毒症状噢!先点击确定,来看看注册表里面的启动项目:
o*w�!e}4_� 9~x�� ��]w 
O)S9k*$|~[ 额。。。。。。。。。说实话,不少。。。。。。呵呵,能看到典型的:wddpri.dll了吧?好了,注册表启动项目是看了,你可以在这里,都记录下来。不过,因为后面我们要做报告,你也可以这里先不记录,一会儿在报告里面看。我们来看看让人头痛的:服务。
�&I|�2Er@ 5l^PRUEg�m 
U%ML|RJNBB ��fF�GY2A� 大家肯定在奇怪,我怎么就2个服务???其实,我是选择了服务后,再选中了“隐藏微软的服务”,这个项目,所以,检测出来的,就剩下这两个了。很明显吧?GrayPigeon_Hacker.com.cn。。。。。。。灰鸽子服务,而且,后面还给出了详细文件路径:c:\windows下。。。。。。。到这里,灰鸽子,应该很容易解决了吧?
p��X"�@_i� 2.用SRE 生成报告,发到网上,给高手们查看,从中挑出“不正常”的文件;
G+!(E!�zVF 我的报告也做了,这里就不贴了,因为太。。。。。。。。。。。。。。长了,做好后,你可以发到网上,让高手帮你“挑病毒”,挑好后,我们继续到下面步骤。
ur0VPZ\�|� 3.根据第二步的结果,进行记录(用纸和笔记录!除非你绝对相信自己的记忆力!)
�nP#&p�ky� 根据自己的报告,我“挑”了一下,病毒文件,服务包括:
==#��a�zA& 病毒文件:
w" F��V\�� ————————————————————————————————————————————
k=Y�v=ah8Z <ravztmon><C:\Program Files\NetMeeting\ravztmon.exe>
hiIMf7G}tb <avpmy><C:\Program Files\NetMeeting\avpmy.exe>
[T<j�GV��� <MSDEG32><LYLoader.exe> []
-J
qd��,Go <MSDWG32><LYLoadbr.exe> [N/A]
�-+=����,p <MSDCG32 ><LYLeador.exe> [N/A]
~e�uyJ��l� <MSDOG32><LYLoador.exe> [N/A]
+}q�d��Wd <MSDSG32><LYLoadar.exe> [N/A]
mymSZL�v�r <MSDMG32><LYLoadmr.exe> [N/A]
(�>2;�'w�� <MSDHG32><LYLoadhr.exe> [N/A]
hqD�OG"?S� <MSDQG32><LYLoadqr.exe> [N/A]
31�UnW?2S7 <C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.bmt>
(D^d��^rj <{4F12545B-1212-1314-5679-4512ACEF8904}><C:\WINDOWS\system32\wddpri.dll>
=;{2�Q] p� <{C51C4AFB-8A3A-6C7E-BA41-C20F02940707}><C:\WINDOWS\system32\file10.dll>
Y6�v&f�%{� <{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}><C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys>
=DF0P�v<<H Q'*D
��mj_ 服务
�~PpN�dLFL [GrayPigeon_Hacker.com.cn / GrayPigeon_Hacker.com.cn][Stopped/Auto Start]
%q ��;q^f* <C:\WINDOWS\Hacker.com.cn.exe><N/A>
p�vnm���@/ 驱动:没有
O{ �'�Wbo| Autorun.inf:没有
#[��6�*>;X 隐藏进程:没有。
G,�U&�� �O —————————————————————————————————————————————
S�c!/�
C. a�h8a�
m3� 好了,总结一下,需要清理的文件包括:
grg)OUIc~ ① C:\Program Files\NetMeeting 文件夹下面3个:ravztmon.exe ,ravdhmon.exe,avpmy.exe
$|�>&O��Q� ② LYLoadar.exe以及名字相似的文件,虽然没给出路径,后面,我搜索到,它在 c:\windows \system32下,同样位置,在system32下的,还有:wddpri.dll,file10.dll
r5T�[Z&(EA ③ C:\WINDOWS 目录下面 1个:Hacker.com.cn.exe
h2gB{v*QH� ④ C:\Program Files\Common Files\Microsoft Shared\MSINFO\ 下 1个:NewInfo.bmt
�n7.Y�u��� ⑤ C:\Program Files\Internet Explorer\PLUGINS 下 1个:WinSys64.Sys
AlG�-�g�oh `A4�w�.06� 看看吧。其实,真正细心总结后,并不多,而且,也很好找的。
CU0�A"f+"� 好了,总结完毕,如果你记性不好,就拿笔和纸都写下来,一会儿进入PE系统,逐个删除!
V=2z��k6zb 4.进入DOS,或者 PE 环境,按刚才的记录,逐个删除病毒文件,清理注册表。
J�j�a"��K 安装好雨林木风 PE 工具箱,重启电脑,就能进入这里:
�,
RhB.+mm 
1]pI<g;�1Z "02}?a�V/% 图有点不清楚,下面那个就是:雨林木风 PE 工具箱,这几个字!选中,回车进入!
DJ�jwbi_� �,mUn��7c 
A�"QVcAu]] ��FGXf�>:4 这个清楚,嘿嘿~选第一个(默认就是),回车,继续。正式进入 PE 操作系统!
90d� �$D J e?UDu(;! 
M'ti#%MQVb 9��BP
l+e- 额。。。。图没截好。有点黑。。。。。。。凑合看了。^_^~,这个就是传说中的 PE 系统,看到了吧,很简单,我的文档,我的电脑,DOS命令行。下面还有任务栏~
?a;D>%��\� s���VQr|�� 下面,开始干活吧。打开我的电脑,找到刚才做的日志,双击,看到了吧?在PE 系统下面,进入也能打开日志查看。嘿嘿,所以,你其实也可以在PE 系统下面,照着清理的~
RlP"Bl>N(6 
g�HV�z&lNO N;96��I}o2 打开我的电脑,里面就能访问所有分区了。按照刚才的记录,逐个查找文件,进行删除吧~在PE系统下面,“隐藏的系统文件,隐藏文件”,都是完全直接显示出来的!不需要调整了。直接动手干活就OK~
YjR�q�3�Q5 Lkn�xTN-�� 删除了那些文件,我们还有一件事情需要做:就是清理注册表!在PE 这个系统下面?我们能访问自己电脑,XP系统的注册表么?答案,当然是肯定的~做法,看图:
%NhtD=.Y�� 
y,@Af1k�
3 �5�&���$xG 依次点击:开始-程序-ERD2003汉化版-设定ERD的目标 windows,弹出选中对话框,当然,我们选中 c:\windows,这样就行了。
EVY@xh2?D} 
C-x$Wb*��t %)vM��wfr 然后:回到刚才那个快捷栏去,点击上面的:编辑目标windows的注册表,就能打开,并且编辑咱们XP系统的注册表了!
>"y'I9O31A [qA�Xd9v56 
.N.�B/;^o! ��3Uu8C9H] 看到了吧?图不是很清除,呵呵,是我手机的原因了。前面写了,大部分病毒和木马,经常喜欢“光临”的位置。。。。慢慢找吧~搜索文件也行的,搜索到,删除!
UJUk�[kq<� 5. 回到正常系统,查看进程和关键文件夹。查询是否还有“残留”。
Btn-F�c9=s 按照sre的报告,高手的总结,都清理好了。就能关机-重启了。如果你清理的干净,应该可以正常进入XP系统了。进去后,可以再次利用设备管理器和SRE,看看有没有丢掉的。
�_zn�m�$HQ KM]A�6��'u 六.总结与补充
�I�m^SfPSY z+�z@v2�I� 1.整个手工杀毒就是这样了。大家应该可以看到,因为有了 PE 系统,就免去了我遇到那些“无法删除”的文件,而且,我不需要进入纯DOS去删除了。对于新手来说,DOS下删除文件,还是有一点难度的。对于图形化的PE系统,应该相对简单了吧?所以,如果你不能保证自己不中毒,那么,除非你对自己的“正版”杀毒软件,有1000000000000000%信心,那么,我还是推荐你安装这个PE系统,下载地址是:
http://soft.ylmf.com/downinfo/882.html �dH:��m0
� T}zq�ASw'w 还有,我在这里补充一句,本人不是雨林木风派来的枪手,我不会勉强任何人去装这个软件,装不装,大家随便,有人喜欢用DOS,我也不能说什么。只是,我自己觉得好用,所以推荐出来。大家用不用,我不能干涉~
=^eZGUF�9D 2.这次杀毒过程,我没有遇到:autorun.inf 和 windows 映象劫持,关于后者,我来补充一下,修复映象劫持,我推荐大家用萧心IT论坛出品的:system detector软件,如图:
x]?9�q=�^< -A'B�,z$| 
T(�/2�u�rP <��;iP4dgx 我这次是没碰到映象劫持问题,所以这里是空的(空的代表正常,没问题),如果有问题,会列出一片红的,这时候,点击:全选-修复,就行了。我简单搜索了一下,这个软件还没有找到下载地址,因为它是萧心IT论坛原创的。大家需要的话,去论坛下吧~
,(+QMmwO{/ raiTi�M�0E 关于autorun.inf,在C盘彻底清理完毕后,我们可以“显示隐藏文件”,然后删除。记得!如果其他分区里面有autorun.inf文件,千万不要双击打开磁盘分区!!!!!!用右键,选中“最下面”的“打开”,一般是第二项,第一项是病毒自己添加的假的“打开”。然后删除文件,都删除后,重启电脑,就好了。
*�r�Zwu��� yd>&z�|&N� 3.关于服务
b/�c{|#! f 我这次很幸运,把灰鸽子的文件删除后,服务也没了。但是,大部分情况,即便服务的文件删除了,服务项目,还是在里面,但是,它不会再起作用了。这时候,如果你看着不舒服,删除方法如下:
$���f/|tf~ ?���~Yi�Mb 先用sre,看你那个服务的名字,比如我这个灰鸽子,名字是:GrayPigeon_Hacker.com.cn,记住!然后:开始-运行-cmd,进入命令行,输入:sc delete “GrayPigeon_Hacker.com.cn”,就行了。会提示 successful的!如果出现其他错误,可能是你的名称输入错误,检查一下了!
^ohga;2yiN }S, :;�qU$ 4.关于 SRE
K"tF/*&A�� 关于这个软件,网上的介绍,教程,数不胜数。大家可以搜索一下,在真正杀毒的过程中,我们需要用到:
\]�cq�v+i ⑴ 查看注册表启动项
.e���� Zb3 ⑵ 查看(微软以外)的服务,驱动
��0#%�Y=�< ⑶ 做报告!
;LM^q)8Ao ⑷ 修复文件关联。我这次没碰到,其实也很简单的
�(�CPeOW-N v9ikm: s�j 这4个,算是sre这个软件,最基础的功能了。必须掌握用法~
ov~h)$IQpv �AF_���=Vb a�,}(rm!�� 手动杀毒过程,就是这样了。这次的图文教程,希望能给大家帮助。过几天有时间的话,我会以 “AV 终结者” 为例,再写一次的,里面将会涉及这次没遇到的:autorun.inf和映象劫持。
[ 此贴被nkevin在2007-08-24 18:55重新编辑 ]
