  |
|
金币:1435 经验:7743 等级:高中二年级 功勋:8 |
【实战】半手工"清除"病毒木马实战
本文系360木马专杀版版主greedwind原创文章。
转载请注明: 作者:greedwind 原文出处:360木马专杀工具版 访问网址:http://baike.360.cn/4005462.html ************************************************************************************************ ***强力推荐:更精彩的实战真实详细记录请看: 【实战】U盘专杀妙解双击不能打开磁盘分区(explorer加载) New New  使用的方法: [分享]更简单的清除顽固病毒的方法 New 【分享】教你妙用360清除顽固木马(如新的asn.2病毒等) 多种方法结合使用. 关键是从系统启动时加载的程序分析入手, 找到病毒反复启动的源头, 对可疑启动项目屏蔽(可改名, 删除/粉碎, 移动, NTFS文件系统可以设置拒绝读取运行, 低级免疫 - 创建同名文件夹等) , 最终使相关连的病毒失去触发点. 终止病毒程序有先后顺序的: 最好在安全模式或不连接网络的情况下做 1) 用任务管理器(或360)把能终止的可疑进程先终止, 对于反复生成的进程, 不能彻底终止便接下一步 2) 用WINDOWS自带的服务控制台(命令行: mmc c:\windows\system32\services.msc )停止并禁用可疑服务 3) 再用任务管理器(或360)把能终止的可疑进程先终止, 对于反复生成的进程, 不能彻底终止便接下一步 4) 用MSCOFIG 检查一般启动加载项目, 禁止可疑加载(因为MSCONFIG使用比较简单, 其实Autoruns完全可以做到这点) 5) 用Autoruns 检查彻底全面检查其他启动加载项目(如驱动/导入并执行 等等), 禁止可疑加载 6) 用杀毒软件和360全盘查杀 对于可疑加载, 可以找到其文件改名等操作. 如果带毒运行中, 病毒反复增加启动项目, 那可能需要在纯DOS底下来做了. 这里就不介绍了. 对于分析查找启动时加载的程序的工作, 个人建议使用Autoruns, 见[分享]出色的启动项目管理工具, 对付自启动顽固病毒有奇效 这种办法对非感染EXE, DLL等的病毒有很好的效果.  以下黑体的都是不能自动清除并反复发作的病毒文件, 当然我还做了其他疑似病毒文件的改名工作. ________________________________________________________________________________________ 189楼 初雪之吻 说: 呵呵,在这里在给你推荐其他两个和Autoruns相媲美的软件,一个是大家都熟悉的IceSword(冰刃)和Process Explorer曾强版,对手动清除病毒很有帮助! 谢谢! 因为冰刃用法太高级和专业, 对于普通用户比较难操作, 所以我首先考虑的尽量使用WINDOWS的系统工具, 如果没必要, 我也不会用Autorus的. 因为清除木马病毒的辅助软件都是不常用的, 迫不得已才会用, 普通用户也不会去下载. 你看我的贴都不太着重介绍这些专业工具使用. 我推荐了一些工具, 在【分享】本版精华贴导游  的2楼当初我找出AUTORUNS来, 是想给360工作人员举个比较容易实现手工查除/整洁的系统报告的例子, 还有一些重要的辅助功能. 比如: 在线查询文件程序的作用, 显示全程加载启动项目等等. 因为这对于360来说, 比较容易实现, 也比较紧迫. 奖励189楼 初雪之吻 3金币 ________________________________________________________________________________________ 奇虎360安全卫士木马查杀历史报告 木马名称:Trojan/Win32.Agent.asd[SPY] 路径:C:\\WINDOWS\\system32\\12050697645.exe 查杀时间 :2008-03-13 15:21 木马名称:Trojan/Win32.Rodog.oda 路径:C:\\WINDOWS\\system32\\ssdtdt.sys 查杀时间 :2008-03-13 15:21 以上是2008-03-13 奇虎360安全卫士病毒库更新后发现的, 但2008-03-10日半手工除毒后, 成功掐断了病毒的启动源头. 实际上木马群是条链, 能打断其启动源头, 便成功了一大半. 没有触发点的病毒算是僵尸了. 木马名称:Trojan/Win32.Delf.bfq 路径:C:\\WINDOWS\\system32\\Com\\vuvowlfwjnzh.dll.bak 查杀时间 :2008-03-12 08:46 木马名称:Trojan-Downloader/Win32.Hmir.aou 路径:C:\\WINDOWS\\system32\\drivers\\3tf3eqoek.sys.bak 查杀时间 :2008-03-12 08:46 注意3tf3eqoek.sys和上图的第3项对应, 是病毒其中一个启动点 木马名称:Packed/Win32.Klone.ap 路径:C:\\calc.exe 查杀时间 :2008-03-12 08:46 木马名称:Win32.Jusi.i 路径:C:\\WINDOWS\\system32\\12050697452.exe 查杀时间 :2008-03-12 08:37 木马名称:Backdoor/Win32.Agent.fju 路径:C:\\WINDOWS\\system32\\640AD4C0.EXE.bak 查杀时间 :2008-03-12 08:37 木马名称:Packed/Win32.Klone.ap 路径:C:\\WINDOWS\\system32\\12050690171.exe.bak 查杀时间 :2008-03-12 08:37 木马名称:Backdoor/Win32.Agent.fju 路径:C:\\WINDOWS\\system32\\url2.exe 查杀时间 :2008-03-12 08:37 木马名称:Trojan/Win32.Rodog.lda 路径:C:\\WINDOWS\\dodolook133.exe 查杀时间 :2008-03-12 08:37 .................. greedwind 于2008-03-16 22:43:05 编辑过该帖 百科小助手 于2008-03-18 13:22:57 编辑过该帖 greedwind 于2008-03-19 05:48:03 编辑过该帖 |
到第 页
|
短信
欢迎加入360督导委员会,全民反木马!
