| 该用户匿名发帖 发表于 2007-3-1 22:34 只看TA 1楼 |
|---|
| 该用户已被删除 |
|
[交流] 识别,杀掉进程中的病毒文件, 病毒是我们最亲近的敌人,俗话说:"人在网上飘,谁不中两刀".希望我的一些心得能给新手一些帮助.(仅代表本人看法,俺也是江湖一菜鸟也)病毒分析:(大型病毒专业杀毒厂家都没罩,俺也只能杀些小毒). 1.病毒的感染,大部分是从你进入一些病毒网站,不小心下载或 接收了些病毒软件开始的.网页和程序语言都有专门往 注册表写入东西的命令.当你做了以上的事,注册表首先被 病毒改写. 2.病毒的潜伏期.一般在刚中之时,主要三个内容: 1.往注册表写东西,对系统各 个部件,文件进行限制或改写 操作.如.修改.EXE文件关联, 锁定注册表等等. 2.往系统中写入些文件,而为了达到隐蔽 的效果,常常病毒 文件在系统盘\WINDONS,\WINDOWS\ SYSTEM32下,而文件 名与正常的系统命令往往只有一子之 差,甚至把图标改为 系统文件的图标. 3.执行一些WINDOWS命令.如果病毒程序随便执行一个命令 都可能对系统造成重大型伤害,比如DEL,FORMAT.如果用 命令打开一些端口,启动一些服务,偷偷建立一些帐户,危 险性更大. 3.病毒发作期. 病毒在注册表中写入的破坏, 一般在电脑重启后开始全 面发作. 造成各种损坏. 二. 杀毒过程: 1.病毒要想发作,必定要先使 自己启动. 2.病毒启动后,会监视注册表,当我们发现中毒后, 最常做的就是就是杀毒,或进入注册表查看那些 RUN等 启动项中有哪些非法执行文件,强行杀掉.而那些病毒程 序往往在你刚改完它又重新往注册表里写东西.使自己 能在重启时启动,或者重新写入破坏的命令. 这就是杀完毒,或在注册表里全面禁止运行后病毒重新 发作的原因. 3.这时我们应该先关闭这些病毒程序.然后找到这些病毒 文件删除.如果没法子关闭病毒程序,往往是找到病毒文 件却无法删除. 4.这时再启动杀毒软件,或手动禁止文件再自动启动. 三.病毒防杀的方法:(只说我知道的,以后补充). 1.病毒文件常常不只一个,两个,如果只关闭这两个,它可以 通过其他病毒程序重新打开. 2.通过修改关联的方法使自己重新启动.比如修改.EXE文件 的关联为病毒程序,这样子当你关闭病毒程序后,只要你 运行任何一程序,病毒又一次打开.当然关联其他文件也 挺好. 3.比较强的病毒会把自己改为服务的名字,但我们试图杀 它们的时候,系统处于保护系统的目的,不允许关闭他们 如下图中的两个csrss.exe,一个是正常的系统文件.另一 个是病毒,但在任务管理器中你一关闭进程就提示错误, 无法关闭. 下面我把自己杀毒的经过说说,希望对大家有用. 1.必须关闭病毒进程.方法如下:任务管理器的进程表示我们目前电脑正在运行的程序。那这些程序哪些是合法的,哪些是系统必须的,不能关闭;哪些可能是病毒程序呢?下面以图简单谈谈识别的技巧。 1。用任何管理器。看图: a. 系统文件:进程中用户名标为system,network service,local service 一般是系统进程,不可关闭,关闭会出现提示禁止关闭。 就算能关闭也可能造成系统不稳定,或一些服务无法使用。 b.合法软件:进程中用户名为用户名字的,图中的liu就是本人的用户名, 那么那些进程就不是系统进程,那是你启动的一些软件的名字 c.可能的病毒木马:如果用户名为LIU的,除去你自己打开的软件,剩下的 就可能有问题。特别是病毒喜欢把自己的名字弄的与系统文件 一样。但用户名中却一目了然。 注:很多人说到打开任务管理器没有显示打开的用户名,是因为服务被关闭。打开方法:开始菜单-控制面板-管理工具-服务,在打开的服务窗口中找到Terminal Services,启用它就可以看到用户名了。但这个命令关系远程控制的,建议还是关闭为好。 当然系统自带的任务管理器太烂,网上有很多进程软件,希望大 家推荐几个.我这里介绍PrcMgr.他能辨认大部分系统进程,只要是系统 进程,在右边的窗口中会介绍这个进程的作用.如果不是系统文件,会 用红色的字显示程序不认识.当然你也可以把自己常用的软件加进程 序的资料库,下次程序就能认出是合法进程.而那些病毒非法侵入,当然 程序不认识,我们也可以一眼判断出来. 3.上面讲得是如何查看进程。下面说说如何禁止病毒进程。 一般直接在任务管理器或进程管理软件中点击,关闭即可。 上面图1共有6个病毒进程,分别是lsas32.exe,winmgr.exe,inte.exe, syslog.exe,csrss32.exe ,csrss.exe,剩下的以LIU为用户名的进程都是我打开的软件。 用任务管理器能杀死前5个,但CSRSS.EXE关闭时却提示 “系统重要进程,无法关闭”,如上面图2所示,就因为它与真正的系统进程CSRSS.EXE同名。可能有很多进程软件可以强制查杀,我用的是 脱壳软件PEiD的任务管理器,强制查杀。如图1: 二。修正注册表。 主要是以下方面: 1.删除病毒的自启动。 a.运行--MSCONFIG,如图2。不仅“启动”页要查,SYSTEM.INI, WIN.INI,BOOT.INI页要逐项认真查看,特别注意LOAD=,RUN= 的值,最重要的还有服务那一页。看图中解说。 B.运行--REGEDIT,启动注册表。查找所有启动的项目。主要 有以下键值: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run (以上各项,可以进注册表查找所有“RUN"项,删除右边窗口键值) 所有RUNservicesOnce键 所有RUNservices键。 查找所有RUNONCE键. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的两个 重要键值,很隐秘: SHELL=EXPLORER.EXE(后面可以跟上其他程序,会自启动。格式:EXPLORER.EXE *.EXE userinit=userinit.exe(格式:userinit=userinit.exe,*.exe,*.exe 可以跟很多程序,以逗号隔开) (这两个如果值变成其他程序,或者EXEPLORER.EXE后跟其他程序。那么系统一开机病毒在任何 程序启动前就会启动,甚至可能比杀毒程序更早,危险) LOAD键: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows右边的load,一般值为空的,加上其他程序可以自启动。 所有用户的启动项:开始菜单\程序\启动 这些启动项的启动顺序 runservicesonce ------runservices---用户登陆-winlogo下的userinit和shell两个键盘--hkey_local_machine下的runonce键--LOAD键---RUNONCE\SETUP键-两个CurrentVersion\Run键-开始菜单启动 [不一定注册表中这些键都有值,大部分是空的,在全部都有的情况下 启动顺序是上面。runservicesonce ------runservices是用来注册启动系统服务的,这两个键能在用户登陆前启动,相当危险。 C.注意文件关联的键值。许多病毒进程刚关闭,没一会儿 又 会 自动出现。不要奇怪,这是病毒改写了一些文件 的 关联。如HKEY_CLASSES_ROOT\exefile\shell\open\command 的值正常为"%1" %*,如果值被改为病毒程序。那么病毒就 可以在任何程序运行时跟着又启动了。 所以大家要认真看看病毒程序在运行哪一类文件后 出现, 找找那个文件的关联,改为默认值。 关联文件的知识,改法可以参考:文件关联的破坏和修复 三。删除病毒文件。 找到可疑进程,然后查看可疑进程的位置,进入该文件夹,直接删除就可以了。注意点: 1。病毒程序常会隐藏。可以在文件夹选项中进行调节显示。如图三项要调节。还有一种即使你把三项都调了,但重新打开发现,刚才的调节没有效果,就是仍然不显示隐藏文件和文件夹。就是注册表中被改动。 方法:运行-REGEDIT,依次打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 把CheckedValue的值改为1就可以了。附录中的双击执行就可以破隐藏了。 2。病毒程序往往不只一个。他们会互相照应,杀掉一个,但其他只要还在,往往又会重新写入文件。3721等流氓软件也有这样的特点。一定要把注册表中所有的自启动项,看清楚,找到路径,删掉文件。 附录4中的软件KILLBOX可以杀死任何顽固的文件,甚至正在运行的文件,关键是要选择删除文件前关闭进程。 |
| 0 |
