|
第三部分:杀毒篇 既然在上面发现了病毒及其痕迹,现在自然就是动手操作了,杀毒也是最简单的一个步骤,操作无非就是删除文件,结束服务,删除驱动保护,而想做到这些,相信徒手是不可能做到的,具体还是要请好的工具当助手 从软件界面看发现以下提示:
从上面发现得,我们自然要从启动项目得病毒先清理,首先是最关键的load,shell,和Userinit,相应的日志是: [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] [N/A] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] [N/A] [(Verified)Microsoft Corporation] 其次,启动文件夹(这个可以在程序-启动看到): [Empty] [N/A]> 最后,其他启动项目: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] [Microsoft Corporation] [Microsoft Corporation] [N/A] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] [N/A] 从中我们知道病毒文件有: C:\windows\system32\wincfgs.exe C:\WINDOWS\eksplorasi.exe EXPLORER.EXE(位置未知) Empty.pif(该病毒后来竟然在c盘明目张胆的出现,也没有隐藏,呵呵,好大胆阿) wsctf.exe C:\Documents and Settings\茅屋\Local Settings\Application Data\smss.exe C:\WINDOWS\ShellNew\sempalong.exe 然后,我们通过icesword查看系统进程,看看,发现什么了?
没错了,看到很奇怪的东西吧? 系统的进程lasaa.exe,winlogon等都是文件夹图标?看他们的位置,呵呵,全部是同个文件夹,还 知道了病毒,就应该进行杀除了,可是病毒也不是吃斋的和尚,单凭简单的del是无法达到目的的,因此,借助辅组工具自然也是必要的,常用的有killbox、Icesword和unlocker 第四部分:修复篇
扫干净病毒,自然要对战场进行清理,病毒为了保护自己,自然对电脑环境中不利于自己的设置进行修改,诸如以上的一些工具被禁用和注册表被锁定的提示一点也不新鲜. 各位应该还记得寒冰在SXS.exe病毒时说过该病毒就是通过修改注册表实现隐藏文件无法查看从而让自己不被发现,而这次寒冰碰上的病毒似乎更厉高明一些,她把系统的“文件夹选项”隐藏了,呵呵,所以,清理病毒后如果不对系统进行必要的修复,相信没有哪一个MM认为你已经把问题解决了,一般的系统被破坏的痕迹包括一下几分面(以下修复建议在查杀完之后再进行,因为病毒运行本身会检测这些项目是否被修正,而且如果有人发现这些修复的方法都无须,更改后马上又被窜改,那就要考虑是不是毒还没清理干净了): 1.禁用注册表 2.隐藏“文件夹选项” 3.禁用组策略 4.窜改文件关联 5.启动项目残留(如果开机后提示"**无法找到",就是启动项目未清理的缘故) 具体的修复建议还是通过小工具去实现,毕竟很多项目需要查找注册表对于后续工具也麻烦了一些,在此推荐几个工具,由于百度空间无法上传,已经发到寒冰的优盘了(电脑软硬件应用网为你提供本地下载,下载地址:down.45it.com)点击进入,可看到相关工具。 而且提醒一点,像寒冰差毒过程中曾经插进了u盘,这时候你应该考虑是不是存在被感染的可能性,像寒冰的u盘,查看后发现多了一个anturun.inf和以用户名命名的文件夹,鉴于此,的确可疑,双击运行后,ssm报警了,的确,就是残留物,如果你不删除,下次插入u盘,相信你又得再把工作重新来一遍了,呵呵 总结: 好了,终于把这篇文章写完了,寒冰费了一个多星期,又赶上期末考试,本来想涉及更多内容的,可是时间实在是没有办法了,师姐也不允许话费时间太多在文章上,就只能这样发表了,不过一有时间本人一定及时补充更多资料上去,同时,在此希望各位好好学习一些病毒的查杀知识,寒冰基本已经把本人所知道,所了解的知识都包括在内了,在此也期盼更多的高手,大虾们补充更多想法和秘笈,提出更多意见,期待各位畅言!!!不甚感激!!! 同时也劝说一句,最近流行的病毒破坏力都不弱,尤其是威金,可以感染系统的所有exe文件和gho文件,就算你用以上的方法把病毒清理了,可是最后一步的修复却是难度十分困难,因此,如果不是特别懂,建议还是各位乖乖的装个杀软免得费时,而且有些杀软也可以帮你百分百还原文件原貌啊(不过有一些杀软竟然直接删除了事,BS一下) 同时对于杀软,我想没有必要崇洋媚外,不是说人家技术不行,只是有时候也要考虑国情,最近的病毒都有本地化的感觉,而且,江民可以搜集到185个威金的变种,而卡吧呢?也许对于国内的病毒,技术不是关键,更多的,是对新病毒尤其是本地病毒的反应啊,当然,纯属个人意见,奉劝给那些老是看不起发展中的国产软件的人,也给更多人一个客观的认识. 最后祝愿各位网络遨游愉快,共同维护网络安全!!! |
