手工杀毒报告分析详细解释又一力作(实战教程一)
手工杀毒
系统安全,方法有很多:影子系统、虚拟机、沙箱...但很多时候真的没有必要。
保持良好的上网习惯和用机习惯,做好适当的备份就可以了。
所以这里不讨论那些虚拟技术,主要是真实系统中的一些问题。
虽然谈的是手工杀毒,但还是要列举一下平常会用到的可能有关的一些东西:——360,卡卡,超级兔子,window清理助手,超级巡警,黄山IE修复,恶意软件清理助手......虽然并不讨论,但是这些日常所用到过的东西很有帮助。
对于杀毒软件的优劣没什么多评判的,主流我几乎都算是用过一遍了,也只是觉得各有所长。
对于防御,最重要的无非还是补丁和好的习惯,手工只是辅助,杀毒软件仍然只是辅助吧。
下面是一般处理的方式(一层进一层地处理):安全模式下全盘查杀。
将硬盘挂接到其它机器上全盘查杀。
重装系统后,仅操作桌面的情况下,安装杀毒软件全盘查杀。
依靠杀毒软件是对的,因为手工来杀意味着麻烦和很可能的失败,但是完全交给杀毒软件也不妥当。
在病毒成功干扰杀毒软件之后,我们就要手工尽可能去排除干扰。
一旦病毒进来了,难说病毒不会把杀毒软件先干掉。
即使不用,了解下也没有坏处。
进入手工杀毒的主题:当中毒之后,第一步,就是断网,并且千万不能系统重启(即使重启也不要正常重启)。
中毒后的症状现在也出奇的有一致性,干扰如360这类安全工具,禁用任务管理器等等。
平时多注意任务管理器多注意进程,熟悉系统盘里的文件,以及文件的修改时间,会为手工杀毒带来方便,第一时间知道中毒,第一时间划定可疑范围。
在杀毒里最开始也是最重要的一步,就是干掉病毒的进程。
这就涉及到很多工具。
没有这些工具,手工杀毒根本无从谈起。
首先是我们平时用的最多的任务管理器。
用Ctrl+Shift+ESC调出(似乎平时人们都更喜欢Ctrl+Alt+Delete)。
最大的缺点是不能同时结束两个以上的进程,而且可以说一直是病毒的首要目标,功能比较鸡肋。
但是通常可以是一个信号灯,一旦其失效,就要考虑是不是中毒了~我强烈推荐Sysinternals的Process Explorer和Process Monitor,因为这两个软件实在是太好了。
实验14网络木马手工查杀
实验网络木马手工查杀(一)【实验目的】掌握dos或安全模式下的查杀木马病毒的方法【实验原理】注:请在虚拟机中做杀毒实训。
3.实验步骤:一、把老师给你的木马程序,放入操作系统中。
注:双击病毒之前,请用netstat /ano查看一下端口二、双击其中一个csgame.exe程序。
三、查找生成的程序在电脑的哪些地方,并查看其开放的端口;Netstat /ano 看异常端口,再看对应的进程号(记得进行比校)Tasklist 根据上面的进程号,找到这个进程名四、利用已学的方法,在安全模式下手工查杀该病毒程序请杀死该进程ntsd /c q /p 进程号或者用taskkill /im 进程名;五、在所有盘上查找那个进程名,然后删除之,并记住它的生成日期时间,再到所有盘上查找同一日期时间生成的文件,那些就一定是病毒的副本或“尾巴”,再将其删除。
六、再到注册表中,查找所有的病毒母体文件和副本,并删除之;若是附在正常的注册表键值路径下,只要删除病毒文件。
进注册表的方法:“运行”中输入regedit,即可进入。
七、最后再进入“启动”项,在“运行”中输入msconfig,即可进入。
在“启动“项中,查找一下,是否有病毒文件,若有的话,请将左的的勾去掉。
八、最后检测该病毒是否已查杀干净,若干净重启机器,其端口就不见了。
若刚才的病毒在正常模式或者安全模式下,不能删除,请住病毒在那些盘中及它的路径,再到纯DOS下,用DOS删除之。
一般要用到的DOS命令如下:DirCdRdDelDeleteAttribXcopyCopy注:以上操作步骤,须详细的操作步骤和文字说明并截图。
手工杀毒技术
工 具软 件 是 非 常重 要 的 ,与现 实 生 产关 系 中 的性 质一 样 ,
它 是 决定 性 环节 。手 工 杀 毒者 ,必要 具 备一 些 基础 知识 ,
P o es x lrr r csE po e 是手工杀毒者推崇的一款软件,它
能 轻 易 地 显 示 任 务 管 理 器 无 法 侦 查 的 病 毒 线 程 或 隐 藏
尤其 是操 作 系统 的理论 ,这 样才 能 更好地 使用 工具 排除 病
毒 。用于 杀毒 的工 具软 件越来 越 多 ,这 也是 伴 随着 病毒 的
进程 ;它还能查 出系统 中进程 ( 包括 s se y t m进程 )使
用 计 算 机 资 源 的 状 况 。 对 于 一 些 恶意 网 站 如 pi o e a xu 、
ha 1 3 b . 1 i n t等 ,用 P o es x l r r 户就 o 2 、b s 5 vp. e r c s E po e 用
发展 而 发 展的 。这 些 工具 包括 S M、超 级 兔子 、瑞 星卡 S
卡 ,g r me ,冰 刃 、u lc e ,k lc n o k r n s 、Pr c sE p o e 、 o e s x l r r L sDl 、Re Mo it l s g n,flmo i e n,S e g、a ( trb to rn c a ti u i n
1引言
计 算 机 病毒 的气 势在 当下似 乎 已经 压住 了杀 毒软 件 , 因为 许 多安装 了正 版杀 毒软 件 的计算 机 ,有时候 非 但 杀不 了病 毒却 反被 病毒 杀死 ;有 时候 ,不 安装 病毒 的计 算机 运
等等 ,这 些工 具是手 工 杀毒 的利 器 。
手工查杀病毒木马与电脑36技巧
一·手工查杀病毒木马你的电脑安全吗?你的电脑可以防黑吗?在平时一不小心中病毒或木马的时候,对于高手来说,都采用手动查杀的方式,因为一方面,对于互联网上新出现的病毒或其变种,大多数的杀毒厂商往往都是被动的,这样就给那些病毒木马提供了时间上的有利条件;另一方面,用杀毒软件查杀的话,是很浪费宝贵的时间的。
现在的杀毒软件那么多啊,为什么我们还要学习用手动来杀毒呢?你想想病毒的产生肯定是比你的杀毒软件的升级快很多的,既然是那个样子的话,我们学习手动杀毒就对我们很有帮助,也可以让我们更加熟悉计算机的进程以及对我们将来学习更多的计算机技术打下很好的基础。
首先,对于自己的计算机要有洞悉力,说得通俗点就是如果发现什么不对的就要考虑下是什么原因了。
因为是讲手工杀毒那就先讲中毒的几个特别征兆,例如:你的电脑在上网的时候自己会打开不知名的网站(恶意代码也是会这样的啊,我们也把它暂时当病毒吧);你的电脑的速度变得很慢很慢,特别是开机的时候要很久;你的电脑文件有的开不了;有时候点一个陌生的文件突然一闪而过;有时候总跳出非法操作……可以说你觉得很可疑的时候,都可能是中了病毒。
那么我们就要找到病毒。
这时我们的第一步就是打开任务管理器,仔细查看有没有哪些异常或自己尚不清楚的进程,发现后,先不要急着结束它,先用纸和笔记录下来,这时我们可以在网上查下该进程的相关资料(比如*.exe),这时如果上网不方便的话,可以在资源管理器中按F3打开“搜索”,首先确保将系统中的所有文件全部显示出来,包括重要的系统文件,并在“所有文件和文件夹”搜索,看看它到底藏在了哪里,也许有时候你会发现,这个你不熟悉的进程名正是系统中正常的一个程序的进程。
如果从网上找到的资料里,发现这个确是病毒或木马的话,则毫无疑问的进行下一步骤。
如果是在“搜索”中找到的,则右击查看它的属性,看看它是具体什么时间被建立的,如果与实际不符而相违背的,或明显带有迷惑用户性质的话,则可以肯定它们对我们是不利的。
手工杀毒
10
(六)desktop.ini结构 desktop.ini结构
自定义文件夹相关信息的配置文件 利用desktop.ini可设置文件夹图标,背景等。 可设置文件夹图标, 利用 可设置文件夹图标 背景等。
11
(七)映像劫持
[HKEY_LOCAL_MACHINE\SOFTWARE\Micros oft\Windows NT\CurrentVersion\Image File Execution Options\QQ.exe]
7
(四)开机启动
启动菜单 msconfig gpedit.msc 注册表
8
(五)autorun.inf
设备信息文件 双击盘符时自动运行指定文件 必须放在系统根目录下 例如把光盘放入光驱时自动播放 光驱图标替换为指定图标
9
autorun.inf结构 autorun.inf结构
[AutoRun] Open=X:\“程序”.exe或“命令行” 程序” 程序 或 命令行” Icon=X:\“图标”.ico 图标” 图标 shell\“关键字”=“鼠标右键菜单中加入显示的内容” 关键字” 鼠标右键菜单中加入显示的内容” 关键字 shell\“关键字”\command=“要执行的文件或命令 关键字” 关键字 = 行”
2
结构
病毒发作的触发条件
手动杀毒
常被病毒利用的配置文件
批处理查杀病毒
3
病毒发作的触发条件
日期时间 键盘触发
双击盘符触发病毒
感染触发 启动触发 ……
4
(一)隐藏、系统、只读文件 隐藏、系统、
显示隐藏文件及扩展名 工具→文件夹选项 工具 文件夹选项 搜索隐藏文件
5
(二)端口
查看端口开放情况 netstat –na na 关闭可疑端口 防火墙
手动清除计算机病毒案例分析
手动清除计算机病毒案例分析作者:马振伟来源:《电脑知识与技术》2020年第31期摘要:计算机病毒是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码(1)。
计算机病毒具有很强的隐蔽性,有些可以通过病毒软件监测出来,有些隐蔽性很强,具有一定的环境适应性能力,这类病毒处理进来通常很困难(2)。
由于杀毒软件更新的滞后性,用常规的杀毒方法未必能及时有效,且很容易损坏正常软件,造成计算机无法正常运转等损失。
正确分析计算机的异常行为,查找发病源,通过手动杀毒,也是一种直观的方法及有价值的尝试。
关键词:计算机病毒;杀毒软件;手动杀毒中图分类号:TP311 文献标识码:A文章编号:1009-3044(2020)31-0071-02计算机感染病毒后通常会出现一些容易发觉的异常表现行为,如计算机启动速度慢、程序运行卡顿、文件损坏或丢失以及出现间歇性断网等。
通过计算机行为的异常表现,然后反推问题的根源,再通过适当的杀毒方法进行病毒清除。
下面是一个服务器出现异常的案例:笔者打开服务器时异常卡顿,打开任务管理发现svchost运行程序占用CPU资源达到99%以上,严重影响了服务器的运行,这是病毒的一种典型表现。
1 病毒特征分析1.1 Svchost进程分析Svchost.exe是Windows操作系统中的核心进程文件,从动态链接库(Dynamic Link library,DLL)中加载的通用主机进程,该进程是系统运行的基础进程之一,且不能被中止(3)。
因为svchost.exe是一個基础进程,可以访问很多系统资源和文件,所以svchost.exe非常容易被病毒所利用。
被病毒利用之后,系统常会弹出svchost.exe错误,当然svchost.exe病毒也有不少专杀工具。
很多木马程序喜欢伪装成这个服务程序来逃过查杀。
为进一步确认,笔者通过资源管理器观察了一下这个进程的更多属性,发现了更多异常之处。
手工杀毒
手工杀毒之三十六计””手工杀毒之““三十六计计算机病毒已经越来越多的严重的威胁用户的信息安全,不论您是个人还是企业用户,掌握如何去清楚木马病毒,显得十分迫切。
本文将介绍几种清楚病毒的常用方法……电脑用户与病毒、木马的斗争不亚于一场战争,而且旷日持久!战争中,杀毒软件或存妇人之仁,不能除恶务尽,或悄无声息地倒下了。
伟大的孙子兵法,不仅被应用于人类社会的战争,而且适用于这场战争。
在与病毒、木马的赤膊大战中灵活运用孙子兵法,你就会取得最后的胜利。
下面看我手工杀毒之“三十六计”......一、声东击西说明:在平常的操作中,一些病毒因为正被调用而无法删除,我们常常要到DOS环境下查杀。
根据病毒、木马运行的机制,我们可以采用忽东忽西,即打即离的战术,制造假象,引诱它们作出错误判断,然后乘机歼灭它们。
实例:我遭遇一个无法删除的病毒“C:\Program Files\CommonFiles\PCSuite\rasdf.exe”,同时也无法复制这个文件,如何清除它?工具:Windows自带的备份程序操作:第一步:单击“开始→所有程序→附件→系统工具→备份”,打开备份或还原向导窗口,备份项目选择“让我选择要备份的内容”,定位到“C:\Program Files\CommonFiles\PCSuite”。
第二步:继续执行备份向导操作,将备份文件保存为“g:\virus.bkf”,备份选项勾选“使用卷阴影复制”,剩余操作按默认设置完成备份。
第三步:双击“g:\virus.bak”,打开备份或还原向导,把备份还原到“g:\virus”。
接着打开“g:\virus”,使用记事本打开病毒文件“rasdf.exe”,然后随便删除其中几行代码并保存,这样病毒就被我们使用记事本破坏了(它再也无法运行)。
第四步:操作同上,重新制作“k:\virus”的备份为“k:\virus1.bkf”。
然后启动还原向导,还原位置选择“C:\Program Files\Common Files\PCSuite\”,还原选项选择“替换现有文件”。
用系统命令手工杀毒
用系统自带命令搞定手工杀毒上网最恐怖的事莫过于新病毒出来的时候,尽管电脑上我们都装有各种强大的杀毒软件,也配置了定时自动更新病毒库,但病毒总是要先于病毒库的更新的,所以中招的每次都不会是少数,这里列举一些通用的杀毒方法,自己亲自动手来用系统自带的工具绞杀病毒:一、自己动手前,切记有备无患——用TaskList备份系统进程新型病毒都学会了用进程来隐藏自己,所以我们最好在系统正常的时候,备份一下电脑的进程列表,当然最好在刚进入Windows时不要运行任何程序的情况下备份,样以后感觉电脑异常的时候可以通过比较进程列表,找出可能是病毒的进程。
在命令提示符下输入:TaskList /fo:csv>g:zc.csv上述命令的作用是将当前进程列表以csv格式输出到“zc.csv”文件中,g:为你要保存到的盘,可以用Excel打开该文件.二、自己动手时,必须火眼金睛——用FC比较进程列表文件如果感觉电脑异常,或者知道最近有流行病毒,那么就有必要检查一下。
进入命令提示符下,输入下列命令:TaskList /fo:csv>g:yc.csv生成一个当前进程的yc.csv文件列表,然后输入:FC g:\zccsv g:\yc.csy回车后就可以看到前后列表文件的不同了,通过比较发现,电脑多了一个名为“Winion0n.exe”(这里以这个进程为例)不是“Winionon.exe”的异常进程。
三、进行判断时,切记证据确凿——用Netstat查看开放端口对这样的可疑进程,如何判断它是否是病毒呢?根据大部分病毒(特别是木马)会通过端口进行对外连接来传播病毒,可以查看一下端口占有情况。
在命令提示符下输入:Netstat -a-n-o参数含义如下:a:显示所有与该主机建立连接的端口信息n:显示打开端口进程PID代码o:以数字格式显示地址和端口信息回车后就可以看到所有开放端口和外部连接进程,这里一个PID为1756(以此为例)的进程最为可疑,它的状态是“ESTABLISHED”,通过任务管理器可以知道这个进程就是“Winion0n.exe”,通过查看本机运行网络程序,可以判断这是一个非法连接!连接参数含义如下:LISTENINC:表示处于侦听状态,就是说该端口是开放的,等待连接,但还没有被连接,只有TCP协议的服务端口才能处于LISTENINC状态。
[Windows] 教你如何手工查毒
![[Windows] 教你如何手工查毒](https://img.taocdn.com/s3/m/80292d3d580216fc700afdb5.png)
这个目录是流氓软件“强奸”你电脑的必经之所,请注意随时检查的。更重要的是,我偷心小帅哥要告诫你,到
安全模式并用命令行方式去查看它吧,,找到有些多余的东西,请删掉它。。这里不是正常程序该呆的地方。
安全避风港之四
一般应用程序的安装目录
C:\Program Files
这个要看你的系统安装在哪个盘,默认为C盘
大部分手工查杀毒高手,发现电脑有问题,首先看的就是他了。一旦有问题,一般在这里面可以找到问题的所
在。
任务管理器中的进程信息,会详细的反映出系统目录运行有哪些进程,进程占用内存大小,以及该进程加载了哪
些动态键接库(tasklist /m)。具体可参看:
此主题相关图片如下:
当你一旦有怀疑的进程,,请迅速果断的或google一下,,也可以直接搜索到该文件,查看该文件的最后修改
HOSTS
WINSOCK
APIHOOK
说明:Windows利用扩展名为.INI的文件保存Windows及其应用程序的初始化信息。Windows的两个最重要的INI文
件是WIN.INI和SYSTEM.INI,WIN.INI控制 Windows用户窗口环境的概貌(如窗口边界宽度、系统字体等),而
前一个是IE扩展组件注册的地方(IE工具栏多出的东西,在这可以找到),后一个就是ActiveX方式注册成IE组件的地
方。
才说着,就发现俺的IE工具栏也多了两个东西:
此主题相关图片如下:
另外,流氓软件可能还会在系统注册表其它地方注册,这时你就要留心它的那个clsid了。。
比如:classid="clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B"
项目四手工杀毒技巧总结
病毒查杀经验总结
多利用进程管理工具(IceSword)查看有无可疑进程 查看注册表启动项有无可疑的启动项 尽量在安全模式下杀毒,杀毒时尽量断开网络
尽量不要让机器裸奔,随时升级杀毒软件的病毒库 在可能的情况下尽可能打开杀毒软件的所有监控功能 尽量少上可能含有恶意代码的网站,降低风险 接收来文件时务必先查毒,不要打开不明来历的任何文件 利用组策略,禁用光盘、U盘的自启动功能 打开分区或U盘时,尽量多用资源管理器而少用直接双击打开的方式 如果不是必须,禁用掉不必要的服务如RPC服务、远程桌面服务等 关闭不必要的端口如:135、139、445等
U盘巡警的手工清除
USBPlice: 自动运行,当U盘插入后自动打开,尚未发现对程 2)删除C:\windows\目录下的USBPlice.exe及其它相关文件 3)打开注册表,搜索所有包含USBPlice的键值并删除 4)重启系统
病毒预防经验
任务1:手工杀毒
案例1: 手工清除AV终结者 案例2:手工清除U盘巡警
手工清除AV终结者
病毒特征: 1.生成文件 %programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dat %programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dll %windir%\{随机8位字母+数字名字}.hlp %windir%\Help\{随机8位字母+数字名字}.chm 也有可能生成如下文件 %sys32dir%\{随机字母}.exe 替换%sys32dir%\verclsid.exe文件
清除AV终结者
下载IceSword,并将该其改名,如改成abc.exe 名称,这样就可以突破病毒进程对该工具的屏蔽。然后双击打开IceSword,结束一个8位数字的EXE文件的进程,有时可能无该进程。 2.利用IceSword的文件管理功能,展开到C:\Program Files\Common Files\Microsoft Shared\MSINFO\下,删除2个8位随机数字的文件,其扩展名分别为:dat 和dll 。再到%windir%\help\目录下,删除同名的.hlp或者同名的.chm文件,该文件为系统帮助文件图标。 3. 然后到各个硬盘根目录下面删除Autorun.inf 文件和可疑的8位数字文件,注意,不要直接双击打开各个硬盘分区,而应该利用Windows资源管理器左边的树状目录来浏览。有时电脑中毒后可能无法查看隐藏文件,这时可以利用WinRar软件的文件管理功能来浏览文件和进行删除操作。 4.利用IceSword的注册表管理功能,展开注册表项到: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image Options],删除里面的IFEO劫持项。 5.安装或打开杀毒软件,升级杀毒软件到最新的病毒库,对电脑进行全盘杀毒。
新人手工杀毒入门步骤概述
当杀毒软件无法彻底杀毒的时候,我们不得不面对两个选择:1. 重装系统2. 手工杀毒重装系统,对于大部分菜鸟来说,自然是跟天书奇谭一样,遥不可及~虽然。
其实。
真的。
它没有大家想象中的那么复杂。
但大部分人,还是希望选择后者:手工杀毒。
经常有人在QQ群上问我,想学手工杀毒,该从何入手。
鉴于这不是一句两句就能说清楚的,我就把简单的“入门”方法,写出来给大家。
对于那些希望学习手工杀毒的朋友,带你们“入门”。
一。
进行手工杀毒的前提条件这个很重要,中毒后,在什么条件下,可以进行手动杀毒呢?很简单,一句话:不管你中的什么病毒,一定要能进入系统,才行。
系统都进不去,自然也无法手工杀毒了。
(有一个例外,我后面会说)二。
学习手工杀毒,需要先学习的知识1.必须事先了解Windows系统常见的进程名称,以及他们确切的位置。
不知道什么是进程?不知道具体位置?去下载这个进程查看工具:/html/fuzhugongju/20080314/28.html以windows xp系统为例,常见的进程名称包括:smss.exe; winlogon.exe;services.exe;lsass.exe;svchost.exe;explorer.exe;alg.exe这几个,必须死记下名称,以及相应的路径!这个没有“商量”的余地,是死知识!通过上面的任务管理器,可以直接看到这些进程的所在位置。
2.学习IFEO 技术,以及清理方法三.手工杀毒,需要借助的“辅助软件”虽然说是“手工”,但也还是得依靠第三方软件的,当然,以后积累的多了,也可以做到像我这样“大胆”,直接拿肉眼,去看系统文件夹,看的多了,积累的多了。
自然能挑出病毒的。
手工杀毒,需要具备的辅助软件有:(不一定在杀毒过程中会全部用到)1.System Repair Engineer就是我常说的SRE了,其常见功能,也就是做完手工杀毒的人,必须会用的功能包括:⑴做系统报告⑵删除服务、删除驱动程序⑶修复winsock⑷删除浏览器加载项⑸删除注册表启动项目⑹删除多余的HOST 项目上述6项,是很全面的,对于不同的病毒,上述6种操作,用到的自然也不同。
浅谈手工杀毒技术
刘鑫
前言
杀毒软件随着病毒的升级而升级,一个好的杀毒 软件并不能保证随时杀出所有的病毒,当遇到不 能杀掉的病毒时,最好的办法就是手工杀毒。
手工杀毒听起来挺高深,其实就是Windows的 使用而已,学习一下基本软件的使用,就这么简 单.
本文所涉及的内容
• 杀毒所需要知道的基本概念 • 病毒的隐藏手段 • Exe类型的病毒清除 • Dll类型的病毒清除 • U盘病毒全面封杀 • 网页传播病毒的原理 • 合理的配置预防病毒
Load\ 16 HKEY_C_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\run 17 HKEY_C_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load 18 HKEY_C_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ru
第二个概念——注册表
注册表是windows的命根,里面储存着大量 的系统信息,是一个庞大的数据库。注册表里 面所有的信息平时都是由windows操作系统 自主管理的,也可以通过软件或手工修改。注 册表里面有很多系统的重要信息,包括外设, 驱动程序,软件,用户记录等等,注册表在很 大程度上“指挥”电脑怎样工作。注册表有很 大的用处,功能非常强大,是windows的核 心。通过修改注册表,我们可以对系统进行限 制、优化等等 。杀毒时所必须知道的就是注册 表里的启动项。百分之九十的病毒都是通过注 册表与服务启动的。
fc dll_bak.txt dll_xin.txt >> dll_diff.txt fc svc_bak.txt svc_xin.txt >> svc_diff.txt 来逐个判断 对于前面提到的系统进程建议全部做备份dll文档
手工杀毒手册
中了病毒的修复方案大致流程1.强制删除文件通常病毒的文件都不那么容易删除,在处理病毒问题时,通常使用强制删除工具。
2.清除启动项病毒想要运行,必须有启动项。
所以,能清除启动项就相当于成功了一大半。
3.清除服务&驱动这类型的启动方式比普通的注册表启动的时间更早,更难清除。
服务与驱动的操作是类似的,只是XT稍有不同~~~而XT 删除时要连文件一起清除,而且不能改变启动类型,所以SRE还是首选。
要注意的是,第一次一般不选择删除服务(驱动),以免误判断导致出现其他问题。
先禁用,在重启无问题后再进行删除操作。
另外驱动的删除一定要备份。
4.修复映象劫映象劫持至今仍被部分病毒使用,能导致杀软无法启动。
5.重置winsock病毒修改此项可导致无法上网,要注意的是在重置以后P2P,网络电视,杀软之类的软件可能需要重装。
具体在提供方案时会说明。
6.重置HOST文件病毒修改HOST文件可以使部分网页(如杀软官网)无法打开。
要注意的是,有时HOST文件也会被用来屏蔽广告,这时应该手动编辑而不是重置。
(位于C:\Windows\System32\drivers\etc,可使用记事本打开)7.修复安全模式不少病毒会破坏安全模式,使用户无法进入安全模式8.修复文件关联病毒可以通过修改文件关联实现启动。
需要注意的是,工具提醒的问题项未必是出错,因为多数工具都只是文字上的对比,而没有考虑环境变量。
9.浏览器插件一般都是流氓软件修改的地方,使用SRE相当有效10.重建MBR部分病毒会通过修改MBR实现启动。
在重建MBR之前应先进行检查与备份。
检查时注意部分还原软件及win7软激活软件会修改MBR。
具体方法就直接看这个吧,我就不多讲了:/thread-879895-1-1.html要注意一下的是:重建时要选择适当类型:11.重建分区表分区表是硬盘关键部分,损坏可导致分区出错,无法进入系统。
此操作可在PE下操作。
三.反馈信息在执行解决方案后,要观察问题是否得到解决。
计算机安全-2.4 手工杀毒
4
病毒文件操作
很多攻击在执行之后都会产生一些文件,这些文件中既有 二进制文件又有文本文件。二进制文件中主要有可执行文 件和 DLL 文件两类,可执行文件中有些是攻击自身的副 本,DLL 文件包含着攻击的主要功能。文本文件的内容主 要包含着攻击的一些配置信息、日志信息和攻击的攻击目 标信息。因此有必要对文件的增减进行监测。 系统中的一些关键文件夹中的文件、文件夹的增减进行监 测,这些文件夹是攻击经常光顾的地方。
24
使用组策略禁用自动播放
"开始"菜单->"运行",输入"gpedit.msc",点击"确定" 或回车,打开"组策略"
25
结束进程
启动任务管理器, 切换到“进程”选 项卡,选择一个需 要结束的进程,点 击“结束进程”按 钮。
26
DOS命令行下删病毒
执行命令如下: attrib X: -s -h -r *.*(去除病毒文件隐藏属性) dir (查看病毒文件名) del autorun.inf (删除病毒相关文件) del XXXX.exe (删除病毒相关文件)
1、通过服务启动
通过将恶意代码注册成服务的方法,每次系统启动的 时候都可以启动恶意代码
8
通过添加注册表启动项启动
注册表的启动项包括:
[HKEY_LOCAL_MACHINE \Software\Microsoft\Windows \CurrentVersion\RunServices [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\C urrentVersion\RunServicesOnce [HKEY_LOCAL_MACHINE \Software\Microsoft\Windows \CurrentVersion\Run [HKEY_LOCAL_MACHINE \Software\Microsoft\Windows \CurrentVersion\RunOnce [HKEY_CURRENT_USER \Software\Microsoft\Windows \CurrentVersion\Run [HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\RunOnce [HKEY_CURRENT_USER \Software\Microsoft\Windows \CurrentVersion\RunServices
手工杀毒原理
手工杀毒原理我呀,一直对电脑里的那些小病毒特别好奇。
你想啊,它们就像一群调皮捣蛋的小怪兽,悄咪咪地钻进我们的电脑,然后搞出各种乱子。
今天呢,我就来和大家唠唠手工杀毒这个事儿。
我有个朋友,叫小李。
有一次他电脑突然就变得奇奇怪怪的。
打开文件特别慢,还时不时弹出一些莫名其妙的广告窗口。
他当时就慌了神儿,来找我。
我就寻思着,这估计是被病毒给缠上了。
这病毒就好比是小偷进了屋子,把东西弄得乱七八糟的。
那怎么办呢?这就轮到手工杀毒上场啦。
手工杀毒呢,首先得知道病毒大概藏在哪儿。
这就像是在一个大迷宫里找坏家伙一样。
一般来说,病毒喜欢躲在一些特定的地方。
比如说系统的启动项,这就像是房子的大门入口。
要是病毒在这儿藏着,那电脑一开机,它就跟着启动了。
我就跟小李说:“你想啊,这病毒要是在启动项里,就像有个坏蛋在你家门口等着,你一开门他就冲进来捣乱。
”我打开他电脑的系统配置实用程序,一个一个查看那些启动项。
有些程序的名字看起来就很可疑,就像一个陌生人在一群熟人里特别扎眼。
比如说有个名字里全是乱码的启动项,这时候我就会想:“嘿,这啥玩意儿啊?看着就不像个好东西。
”这可能就是病毒的伪装啦。
再就是那些经常被病毒利用的文件夹,像Windows系统里的System32文件夹。
这个文件夹就像是电脑的工具箱,里面装着各种重要的工具来让电脑正常运行。
可病毒呢,就想混进这个工具箱里,把那些工具搞坏或者利用这些工具来搞破坏。
我在这个文件夹里仔细查看,看看有没有新出现的、不认识的文件。
我跟小李说:“这就好比你工具箱里突然多了个奇怪的工具,你都不知道是干啥用的,那肯定得小心啊。
”还有注册表,这可复杂得很。
注册表就像是电脑的大账本,记录着电脑的各种设置和程序信息。
病毒就喜欢在这个账本里乱改东西。
我在注册表编辑器里小心翼翼地查看那些键值。
有时候看到一些键值的名字很怪异,或者它指向的文件路径很可疑。
我就会嘟囔:“哎呀,这看着就不太对劲儿啊。
”这时候我就像个侦探一样,一点点排查线索。
手消实训报告
一、实训目的本次手消实训旨在通过实际操作,使学生掌握手消毒的正确方法和步骤,增强对手部卫生重要性的认识,提高个人卫生防护能力。
同时,通过实训,检验和巩固学生在课堂上学到的理论知识,培养学生的实际操作技能,为今后的工作和生活中提供卫生防护知识。
二、实训时间及地点实训时间:2022年X月X日实训地点:XXX学院实验室三、实训内容1. 手部卫生知识介绍实训开始前,由实验室指导老师介绍了手部卫生的基本知识,包括手部卫生的重要性、手部污染的途径、手部卫生的注意事项等。
2. 手消毒操作步骤(1)准备工作:取适量手消液于掌心。
(2)涂抹:将手消液均匀涂抹于双手,特别是指缝、指甲边缘等易藏污纳垢的地方。
(3)揉搓:双手相互揉搓,使手消液充分接触皮肤,持续15-30秒。
(4)冲洗:用流动水冲洗双手,去除残留手消液。
(5)干燥:用纸巾或干净的毛巾擦干双手。
3. 实际操作演练在指导老师的指导下,学生分组进行手消毒操作演练。
每组学生轮流担任操作者和观察者,确保每位学生都能熟练掌握手消毒操作步骤。
4. 总结与讨论实训结束后,各小组分享操作心得,讨论在手消毒过程中遇到的问题及解决办法,并总结实训成果。
四、实训结果通过本次手消实训,学生掌握了以下成果:1. 了解手部卫生的基本知识,认识到手部卫生的重要性。
2. 掌握手消毒的正确方法和步骤,能够熟练进行手部消毒。
3. 增强了个人卫生防护意识,提高了在实际工作中应对手部污染的能力。
4. 学会了在团队中相互协作,共同完成实训任务。
五、实训总结本次手消实训取得了圆满成功,达到了预期目的。
以下是实训总结:1. 实训内容丰富,理论与实践相结合,使学生能够更好地掌握手消毒的操作技能。
2. 指导老师讲解生动,操作示范到位,使学生能够直观地学习手消毒的正确方法。
3. 学生积极参与实训,认真进行操作演练,提高了实训效果。
4. 通过实训,学生不仅掌握了手消毒的操作技能,还增强了个人卫生防护意识,为今后的工作和生活奠定了基础。
手指皮肤消毒实验报告
手指皮肤消毒实验报告手指皮肤消毒实验报告引言:手指是我们日常生活中最常用的工具之一,然而,手指上的细菌和病毒可能会引发各种感染疾病。
为了保护我们的健康,手指皮肤消毒显得非常重要。
本实验旨在探究不同消毒方法对手指皮肤细菌清除效果的影响。
实验方法:1. 实验材料准备:- 10名志愿者的手指- 洗手液- 酒精棉球- 消毒湿巾- 纯净水- 培养皿- 细菌培养基2. 实验步骤:a. 志愿者首先将手指放入培养皿中,用无菌棉球蘸取适量的纯净水,轻轻擦拭手指皮肤,作为对照组。
b. 接下来,志愿者将手指放入另一个培养皿中,用洗手液彻底清洗手指皮肤,然后用纯净水冲洗干净。
c. 志愿者再将手指放入第三个培养皿中,用酒精棉球擦拭手指皮肤,确保彻底消毒。
d. 最后,志愿者将手指放入第四个培养皿中,用消毒湿巾擦拭手指皮肤,确保彻底消毒。
3. 细菌培养:a. 将每个培养皿放入恒温培养箱中,保持在37摄氏度下培养48小时。
b. 在培养箱中培养完毕后,观察每个培养皿中的菌落数量和形态。
实验结果:经过观察和计数,我们得出以下实验结果:- 对照组:手指皮肤上的菌落数量较多,呈现不同形态,且分布较为均匀。
- 洗手液组:手指皮肤上的菌落数量显著减少,形态较为单一,且分布较为稀疏。
- 酒精组:手指皮肤上的菌落数量几乎消失,形态单一,且分布极为稀疏。
- 消毒湿巾组:手指皮肤上的菌落数量明显减少,形态较为单一,但分布相对较为密集。
讨论与分析:从实验结果可以看出,洗手液、酒精和消毒湿巾对手指皮肤上的菌落数量都有一定程度的杀菌效果。
洗手液通过清洁作用去除了一部分细菌,酒精则具有较强的杀菌能力,而消毒湿巾则具备杀菌和清洁的双重作用。
这与我们平时的消毒经验相符。
然而,需要注意的是,洗手液和消毒湿巾的杀菌效果相对较弱,可能无法完全清除手指皮肤上的细菌。
因此,在特殊情况下,如接触病人、处理生鲜食品等高风险场景,最好选择酒精进行彻底的消毒。
此外,长时间使用酒精可能会导致手指皮肤干燥,因此在日常生活中,选择合适的消毒方法非常重要。
皮肤消毒实验报告分析
皮肤消毒实验报告分析1. 引言皮肤消毒是一种常见的医疗操作,用于预防手术等操作过程中的细菌感染。
本实验旨在比较不同消毒剂对皮肤上细菌的杀菌效果,以便选择最适合的消毒剂。
2. 实验设计本实验使用了4种常见的消毒剂:酒精、碘酒、过氧化氢和苯扎溴铵。
实验将从同一人体部位采集细菌样本,然后分别用不同的消毒剂进行处理。
处理后的细菌样本将进行培养并观察生长情况,以评估各种消毒剂的杀菌效果。
3. 实验步骤3.1 采集细菌样本首先,选择一个干净的容器和棉签。
使用无菌技术,从人体皮肤上采集细菌样本。
确保避免将细菌样本污染。
3.2 处理细菌样本将采集到的细菌样本分成四份,每份约相等。
分别使用酒精、碘酒、过氧化氢和苯扎溴铵对每份细菌样本进行处理。
按照说明书上的用量将消毒剂涂抹在细菌样本上,确保样本表面均匀覆盖。
3.3 培养细菌样本将处理好的细菌样本分别转移到含有富营养培养基的琼脂平板上。
使用无菌技术将细菌样本均匀涂抹在琼脂平板表面上。
确保每个样本之间有足够的距离,以防止不同细菌的交叉污染。
3.4 观察生长情况将培养好的琼脂平板放置在适宜的温度和湿度条件下,培养一段时间(例如24小时)。
观察每个细菌样本的生长情况,包括菌落的数量、大小和颜色。
4. 结果分析根据观察到的生长情况,可以对不同消毒剂的杀菌效果进行评估。
以下是可能的分析结果:4.1 酒精观察到酒精处理后的细菌样本中,菌落数量明显减少,并且菌落大小较小。
这表明酒精具有一定的杀菌效果,可以有效地减少皮肤上的细菌数量。
4.2 碘酒碘酒处理后的细菌样本中,菌落数量也减少,但相比酒精处理,碘酒的杀菌效果略低。
此外,碘酒处理后的菌落颜色可能会有变化,可能会呈现棕色或紫色。
4.3 过氧化氢过氧化氢处理后的细菌样本中,菌落数量并没有明显减少。
这表明过氧化氢在杀菌方面的效果较差,可能不适合用于皮肤消毒。
4.4 苯扎溴铵观察到苯扎溴铵处理后的细菌样本中,菌落数量显著减少,并且菌落大小较小。
手工排查病毒木马
手工排查病毒木马小弟总结的手工排查的方法,方法如下:很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor. RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名,这时有些人就懵了,那么长一串的名字,我怎么知道是什么病毒啊?其实只要我们掌握一些病毒的命名规则,我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。
世界上那么多的病毒,反病毒公司为了方便管理,他们会按照病毒的特性,将病毒进行分类命名。
虽然每个反病毒公司的命名规则都不太一样,但大体都是采用一个统一的命名方法来命名的。
一般格式为:<病毒前缀>.<病毒名>.<病毒后缀> 。
病毒前缀是指一个病毒的种类,他是用来区别病毒的种族分类的。
不同的种类的病毒,其前缀也是不同的。
比如我们常见的木马病毒的前缀 Trojan ,蠕虫病毒的前缀是 Worm 等等还有其他的。
病毒名是指一个病毒的家族特征,是用来区别和标识病毒家族的,如以前著名的CIH病毒的家族名都是统一的“ CIH ”,还有近期闹得正欢的振荡波蠕虫病毒的家族名是“ Sasser ”。
病毒后缀是指一个病毒的变种特征,是用来区别具体某个家族病毒的某个变种的。
一般都采用英文中的26个字母来表示,如Worm.Sasser.b就是指振荡波蠕虫病毒的变种B,因此一般称为“振荡波B变种”或者“振荡波变种B”。
如果该病毒变种非常多(也表明该病毒生命力顽强^_^),可以采用数字与字母混合表示变种标识。
综上所述,一个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。
通过判断病毒的类型,就可以对这个病毒有个大概的评估(当然这需要积累一些常见病毒类型的相关知识,这不在本文讨论范围)。
而通过病毒名我们可以利用查找资料等方式进一步了解该病毒的详细特征。
病毒后缀能让我们知道现在在你机子里呆着的病毒是哪个变种。
手工清除电脑病毒的种种方法-10页文档资料
手工清除电脑病毒的种种方法手工清除隐藏的病毒文件五招当你选择"显示隐藏文件"这一选项后,发现U盘有个文件闪出来一下就马上又消失了,而再打开文件夹选项时,发现仍就是"不显示隐藏文件"这一选项。
而且刚发现点击C、D等盘符图标时会另外打开一个窗口!病情描述1、无法显示隐藏文件;2、点击C、D等盘符图标时会另外打开一个窗口;3、用winrar查看时发现C、D等根目录下有autorun.inf和tel.xls.exe两个文件;4、任务管理器中的应用进程一栏里有个莫明其妙的kill;5、开机启动项中有莫明其妙的SocksA.exe.解决办法:以下整个过程中不要双击硬盘分区,需要打开时用鼠标右键-打开。
一、关闭病毒进程在任务管理器应用程序里面查找类似kill等你不认识的进程,右键-转到进程,找到类似SVOHOST.exe(也可能就是某个svchost.exe)的进程,右键-结束进程树。
二、显示出被隐藏的系统文件开始运行输入regedit找到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorer AdvancedFolderHiddenSHOWALL删除CheckedValue键值,单击右键新建-Dword值-命名为CheckedValue,然后修改它的键值为1,这样就可以选择"显示所有隐藏文件"和"显示系统文件"。
三、删除病毒在分区盘上单击鼠标右键-打开,看到每个盘跟目录下有autorun.inf和tel.xls.exe两个文件,将其删除,U盘同样。
四、删除病毒的自动运行项开始-运行-msconfig-启动-删除类似sacksa.exe、SocksA.exe之类项,或者打开注册表运行regedit HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run删除类似C:WINDOWSsystem32SVOHOST.exe的项。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
为节省篇幅,不提供扫描报告,而且这里有:扫描报告贴子地址:/thread-17644-1-1.html2楼是详细解决方案。
我们从进程和模块列表开始看起。
来到了winlogon.exe这个进程。
然后我们来看这个进程的路径:\??\C:\WINDOWS\system32\winlogon.exe这是正常的。
以前不知道的话现在记一下。
在它下面有4个模块,前三个,如果你不知道是什么,那么请百度一下google一下。
我们来到最后一个模块处:[C:\WINDOWS\system32\fvldkps.dll] [Microsoft Corporation,8.90.1101.0]首先,当我看到这个文件名的时候,就觉得奇怪。
我分析过很多报告,注入winlogon.exe 进程的模块几乎很少,这个更是从没见过。
于是我开始对它关注。
看其出品公司及版本:Microsoft Corporation,这个正常。
8.90.1101.0 这个版本号就不正常了。
我们来看一下其它的进程及模块文件的版本号大都是:5.1.2600或者6.00.2900.3300。
也许说这些还没有多大的说服力,那么我们再往下看一些进程及模块,你会发现C:\WINDOWS\system32\fvldkps.dll它还注入了其它的一些模块,象敏感进程svchost.exe,explorer.exe等。
这时,我们就可以基本判定此文件是病毒了。
那么我们百度一下,结果是:抱歉,没有找到与“fvldkps.dll” 相关的网页。
试想一下,如果此文件真的是Microsoft Corporation(微软公司)的文件,百度一下的话会搜索不到结果吗???绝对不可能吧?除非百度抽风了。
那么我们再来google一下,结果是:找不到和您的查询"fvldkps.dll" 相符的网页。
如果百度抽风了,google也抽风了吗?概率极少甚至不可能吧?好了,此文件是病毒了。
此模块分析完毕。
关于进程:C:\WINDOWS\system32\svchost -k DcomLaunch 可以参阅:/thread-17581-1-1.html这里不做更多说明。
其实继续往下看我们会在一个svchost.exe进程和explorer.exe进程中发现上面的病毒文件C:\WINDOWS\system32\fvldkps.dll了对不对?这就是最有力的证据。
点上一支烟继续……继续往下看发现一个可疑进程:C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exeglobal是编程的关键字。
意为“公共的”。
其路径为:C:\WINDOWS\system32\dllcache\ 这同样是一个敏感目录。
一些病毒喜欢藏身于此。
怎么来解释呢……对于进程,我们要求它们是干净的,而这个global.exe,有谁知道它是做什么的呢?或者有谁知道它是系统进程的一部分呢?当我看到这份扫描报告中的这个进程时,我不知道它是干什么的。
而且进程名比较敏感,进程路径比较邪乎,就凭它进程路径比较特殊并且不在system32下面,我就可以把它当病毒对待,而不管它是不是病毒。
因为它不是操作系统的一部分,不是系统的文件,有没有无所谓。
既然我们不知道它是干什么的,完全可以临时结束进程。
事实证明,我们只需要结束其进程就可以了。
完全没必要免疫它。
当然对菜鸟来说,还是不要随便放过它。
继续往下看……发现一个重度可疑的病毒进程,不用正面看,看它的背后就知道是病毒:C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe为什么这么说:svchost.exe进程,凡是路径不是C:\WINDOWS\system32\svchost.exe 的svchost.exe进程,我们一律认为是病毒。
(这并不是说其进程是C:\WINDOWS\system32\svchost.exe的就不是病毒)继续……C:\WINDOWS\Fonts\Fonts.exefonts目录下扩展名为exe的文件出现在进程中,我们也认为它是病毒。
大家有机会拿doit 自带的资源管理器去此目录下看看都是些什么文件(看其扩展名)就知道我为什么这么说了。
来看下下面的这个进程:rndll32.pif [C:\WINDOWS\Media\rndll32.pif "C:\WINDOWS\system32\msconfig.exe"/auto] [,1.00]pif 文件轻易不会在进程中出现(几乎不出现)。
这里出现了,看其进程参数:C:\WINDOWS\system32\msconfig.exe这里疑点重重,系统的 msconfig.exe 进程应该是:C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe进程参数的路径是在迷惑群众,那么这个进程呢?狼狈为奸?对!由后面的进程参数判断出此进程是病毒,当然参数就更不用说了肯定是病毒。
那么此进程文件需要免疫,参数也要免疫。
即免疫以下2个文件:C:\WINDOWS\Media\rndll32.pifC:\WINDOWS\system32\msconfig.exe又一个奇怪的进程:Fonts.exe [C:\WINDOWS\Fonts\Fonts.exe "C:\WINDOWS\system32\ctfmon.exe" ] [,1.00] [、quote]其参数,ctfmon.exe,这个路径是对的。
但被病毒进程C:\WINDOWS\Fonts\Fonts.exe利用着。
莫非……病毒是想用这个方法启动ctfmon.exe??我没看明白病毒要做什么。
当然我们也不需要知道病毒要做什么,如果不放心,可以下载一个ctfmon.exe替换系统的那个就是了。
这个进程:[quote]C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe[、quote]是不是有点面熟??进程路径前面是不是看见过呢?贼窝?贼窝里面都是什么?贼?对了,它也是病毒。
当然这个分析方法不够妥当。
我可以这样来分析一下:system.exe,系统根本,,,就没这个进程。
不中病毒的话是不会有这个进程的。
不要被他的system所迷惑,此文件也可疑。
系统也根本没这个文件。
记住了哦。
再往下看。
NND居然又出现一个system.exe。
[quote]c:\windows\system32\fvldkps.dll再度出现,注入了ie进程。
没话可说了吧??又一个精典进程:svchost.exe [svchost.exe C:\WINDOWS\TEMP\VRT1.tmp] [MicrosoftCorporation,5.1.2600.3300 (xpsp.080125-2028)]进程svchost.exe没有路径,我们暂且认为它是system32路径,看后面的参数就不对了呀C:\WINDOWS\TEMP\VRT1.tmp,微软不会将一个tmp作为svchost.exe参数,因为svchost.exe 是多么关键的一个进程。
关于svchost.exe及手工判断正常与否的问题,请参阅:/thread-17509-1-1.html此进程结束,直接删除或者免疫文件C:\WINDOWS\TEMP\VRT1.tmpC:\WINDOWS\System32\reader_s.exe阅读器?我们就当他是阅读器,但请你不要往system32下面跑,这里不是随便可以进入的。
所以,把他请出去。
结束进程,删除文件。
cmd.exe [cmd /c "adobe.bat"] [Microsoft Corporation,5.1.2600.3300(xpsp.080125-2028)]cmd.exe进程,除非你自己打开或者别的程序临时打开它,否则也不会轻易出现的。
只要出现了,就结束进程。
看其参数:adobe.bat 这个没有路径,那它一定是和cmd.exe的路径相同。
那么它的路径就是c:\windows\system32\adobe.bat处理方法:结束进程,免疫文件c:\windows\system32\adobe.bat。
注意cmd.exe不要免疫哦,它可是系统的东西。
真累……换了好多姿势打字了``````````精典进程:services.exe [C:\WINDOWS\services.exe /do_work] [,]services.exe,此进程,在系统中确实存在,但我们只认为进程路径为c:\windows\system32的为系统进程,其它的一概为病毒。
那么,请结束进程,并免疫文件C:\WINDOWS\services.exe其实,到此为止我们就可以通过进程路径来判断它为病毒了,其它判断理由是,系统的services.exe没有参数。
(这个我也刚刚看到)进程分析完毕。
btw:如果你觉得上面的文字你有所收获,请来朵鲜花吧。
现在来看启动项(包括自启动项、服务、驱动、浏览器加载项)[MSConfig] [C:\WINDOWS\system32\msconfig.exe /auto] [Microsoft Corporation,] [] [C:\WINDOWS\system\KEYBOARD.exe] [,][reader_s] [C:\WINDOWS\System32\reader_s.exe] [,][services] [C:\WINDOWS\services.exe] [,]上面这4个启动项,我们已经说过三个了,即第一、三、四个。
我们已经分析过他们是病毒了,这里当然要把他们的启动条件删除了。
第二个,记住 system 目录下,没有什么关键文件需要开机启动的。
而这个文件名字又具有迷惑性。
所以,第二个启动项很可能也是病毒。
刚装完系统,只有一个启动项,那就是ctfmon输入法指示器的启动项。
可见,其它的启动条件并不重要。
而这里,不是重要不重要的问题了,而是危险不危险的问题。
而且,keyboard.exe的属性里没有任何东西,即没有出品公司也没有版本号,这个也是需要特别关注的。
[auto.exe] [C:\WINDOWS\system32\drivers\drivers.cab.exe] [,][autorun.exe] [C:\WINDOWS\system32\drivers\drivers.cab.exe] [,][autoruns.exe] [C:\WINDOWS\system32\drivers\drivers.cab.exe] [,][boot.exe] [C:\WINDOWS\Fonts\fonts.exe] [,][ctfmon.exe] [C:\WINDOWS\Fonts\Fonts.exe] [,][msconfig.exe] [C:\WINDOWS\Media\rndll32.pif] [,] [procexp.exe] [C:\WINDOWS\pchealth\helpctr\binaries\] [,] [taskmgr.exe] [C:\WINDOWS\Fonts\tskmgr.exe] [,]drivers目录下,几乎不存在exe文件,当然安装了autocad的朋友可能会发现有一个,而且是自启动的。