手工杀毒
病毒手动查杀步骤参考
中毒症状1
桌面被修改成如图所 示,且右键→属性, 显示属性中的主题、 桌面选项卡中的设置 项无法使用、或使用 后不生效。切每次注 销,启动,重启后背 景色会变动。
中毒症状2
打开任务管理器时, 提示任务管理器以被 管理员禁用,打开命 令行时,命令行被强 制关闭,切弹出英文 提示框,bat文件执行 现象同命令行。且rar 压缩文件不能执行。
通过任务管理器将通过任务管理器将smss32exesmss32exe进程关闭后进程关闭后进入进入windowswindowssystem32system32将将smss32exesmss32exe文件删文件删除且在原处创建文件夹除且在原处创建文件夹smss32exesmss32exe并进入并进入命令行到当前目录下执行命令行到当前目录下执行attribsmss32exesmss32exe进行手动文件免疫以免改文件进行手动文件免疫以免改文件被再次生成
进入windows\system32将winlogon32.exe删除。
启动SREngLdr.exe软件,启动项目会自动跳出 该注册表键值被修改,是否需要修复。
KEY_LOCAL_MACHINE\Software\Microsoft\ WINDOWSNT\CurrentVersion\Winlogon\Us erinit 键值为: C:\WINDOWS\system32\winlogon32.exe
病毒程序漏洞
经多次测试,发现该程序只能对一个命令 行进行监控,即当不理会提示框的情况下 打开第二个命令行时,第二个命令行将不 被强行关闭,且可以正常使用。
查找病毒启动项
使用msconfig命令打开系2.exe 的启动项。
smss(Session Manager Subsystem)是会话管理 子系统用以初始化系统变量。
Xuetr讲解
XueT r手杀病毒XueTr(简称XT)是一个强大的系统信息查看软件,也是一个强大的手工杀毒软件,用它可以方便揪出电脑中的病毒木马,目前它支持32位的2000、XP、2003、Vista、2008、Win7系统。
XueTr的主要功能1.进程、线程、进程模块、进程窗口、进程内存、定时器、热键信息查看,杀进程、杀线程、卸载模块等功能2.内核驱动模块查看,支持内核驱动模块的内存拷贝3.SSDT、Shadow SSDT、FSD、Keyboard、TCPIP、Classpnp、Atapi、Acpi、SCSI、Mouse、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除5.端口信息查看,目前不支持2000系统6.查看消息钩子7.内核模块的iat、eat、inline hook、patches检测和恢复8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除9.注册表编辑10.进程iat、eat、inline hook、patches检测和恢复11.文件系统查看,支持基本的文件操作12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联、系统防火墙规则、IME13.ObjectType Hook检测和恢复14.DPC定时器检测和删除15.MBR Rootkit检测和修复16.内核对象劫持检测17.其它一些手工杀毒时需要用到的功能,如修复LSP、修复安全模式等。
如何手工清除双进程病毒
如何手工清除双进程病毒有一种特殊的病毒拥有双进程,进程之间相互守护,如何清除这种高级病毒呢?用“冰刃”来终止病毒的进程这种方法杀伤力强,但对一种特殊的病毒没有效果,那就是双进程病毒。
对于这种特殊的病毒我们不是终止一个病毒进程就可以搞定的,而要把两个病毒进程都终止。
上期我们也说了,很多读者朋友根本分不清什么进程有问题什么进程无问题,通过工具的帮助能找到一个病毒进程就不错了,两个病毒进程怎么识别?会不会非常难?大家不用担心,我们教授的方法简单易学,很容易找出并终止双进程,剩下的扫尾工作就交给杀毒软件吧。
双进程为何难清除双进程病毒,是骚扰你私人领地(电脑)的精英怪物之一,这种怪物很像双头龙,拥有两个头或者说拥有两条命——拥有两个病毒进程。
所以双进程病毒的生存力非常强,在和领地门神杀毒软件的战斗中,时常取胜。
双进程病毒取胜的“奥秘”就在进程上,两个进程相互守护,其中一个进程判断另一个进程被结束后,就将被结束的进程立即恢复。
也就是说,如果无法同时终止两个进程,它们就会无限复活(图1)。
双进程这种病毒技术,到底什么病毒用得多呢?就目前而言,下载者类的病毒用得最多。
这类病毒的作用就是杀入你的领地内,然后挖一条专用的地道,让病毒军团源源不断地涌入,侵占你的领地指挥所、领地议事厅。
判断病毒的双进程如果利用上期介绍的方法无法彻底清除病毒,那么就要考虑是不是中了双进程病毒。
判断双进程病毒,重要的就是判断出哪两个进程是相互守护的,这可是一个技术活,方法有很多种。
最简单的一种就是利用系统自带命令。
例如,你通过工具已经确认了混入议事厅里面的“奸细”就是system.exe,在任务管理器最上方的“查看”下拉菜单中选择“选择列”项,在弹出窗口中勾选“PID(进程标志符)”(图2)。
现在你就可以在任务管理器中直接查看进程的PID了(图3)。
看到这里,你会问:PID是什么?为什么我要看到它?PID是进程的身份标志(PID=进程ID),相当于进程的身份证号码。
手工杀毒技术
工 具软 件 是 非 常重 要 的 ,与现 实 生 产关 系 中 的性 质一 样 ,
它 是 决定 性 环节 。手 工 杀 毒者 ,必要 具 备一 些 基础 知识 ,
P o es x lrr r csE po e 是手工杀毒者推崇的一款软件,它
能 轻 易 地 显 示 任 务 管 理 器 无 法 侦 查 的 病 毒 线 程 或 隐 藏
尤其 是操 作 系统 的理论 ,这 样才 能 更好地 使用 工具 排除 病
毒 。用于 杀毒 的工 具软 件越来 越 多 ,这 也是 伴 随着 病毒 的
进程 ;它还能查 出系统 中进程 ( 包括 s se y t m进程 )使
用 计 算 机 资 源 的 状 况 。 对 于 一 些 恶意 网 站 如 pi o e a xu 、
ha 1 3 b . 1 i n t等 ,用 P o es x l r r 户就 o 2 、b s 5 vp. e r c s E po e 用
发展 而 发 展的 。这 些 工具 包括 S M、超 级 兔子 、瑞 星卡 S
卡 ,g r me ,冰 刃 、u lc e ,k lc n o k r n s 、Pr c sE p o e 、 o e s x l r r L sDl 、Re Mo it l s g n,flmo i e n,S e g、a ( trb to rn c a ti u i n
1引言
计 算 机 病毒 的气 势在 当下似 乎 已经 压住 了杀 毒软 件 , 因为 许 多安装 了正 版杀 毒软 件 的计算 机 ,有时候 非 但 杀不 了病 毒却 反被 病毒 杀死 ;有 时候 ,不 安装 病毒 的计 算机 运
等等 ,这 些工 具是手 工 杀毒 的利 器 。
教你十招彻底清除顽固电脑病毒
教你十招彻底清除顽固电脑病毒有些病毒非常的顽固,在删除后等你重启电脑,它又来了,在此,本站教你几个小方法,轻松彻底地消灭你系统中的病毒。
下面是店铺跟大家分享的是教你十招彻底清除顽固电脑病毒,欢迎大家来阅读学习。
教你十招彻底清除顽固电脑病毒方法/步骤1清空 Internet Explorer (IE) 临时文件杀毒软件报告的病毒如果在类似这样的路径下:c:/Documents and Settings/Administrator/Local Settings/Temporary Internet Files/,这通常意味着病毒是通过网页浏览下载的,这时你的浏览器如果没有安装补丁,那么你很可能会中毒。
对于这样的病毒,最简单的清除方法就是清空IE临时文件。
2显示文件扩展名显示查看所有文件和文件夹(包括受保护的操作系统文件),很多木马病毒使用双扩展名、隐藏属性伪装,通过查看这个可以让病毒无藏身之3关闭“系统还原” 系统还原是修复系统最方便、快捷的一个工具,如果你有创建系统还原点,在发现系统出错或中毒时,恢复到比较早时创建的还原点,就可以修复系统。
如果你发现病毒存在于类似c:/System Volume Information/的目录下,说明以前创建的还原点里备份了病毒,清除的方法就是关闭或禁用系统还原,这时还原点会被删除,病毒也就不存在了。
稍等几分钟之后,你可以重新打开系统还原,再创建一个无毒的还原点。
4结束病毒进程打开任务管理器,找出不正常的进程。
结束进程是手工杀毒的一个方法。
五、修改服务“启动类型” 停止/启动服务有时,病毒是以服务方式加载的,可以用这个方法让病毒程序关闭掉。
5六、设置安全的帐户密码简单密码非常危险,很容易被黑客工具破解,然后,黑客就可以从远程给你的电脑植入木马了。
就算有杀毒软件也无忌于事,黑客可以轻易从远程关掉你的杀毒软件。
对于一个只用简单口令,又接入互联网的系统来说,风险实在太大了。
2021年网络安全培训试题集(带答案解析)
安全技术一、单选题1.下列哪项不是文件信息泄露的途径A、网站目录备份B、默认的网站数据库文件C、网站提供的上传功能D、第三方源代码管理答案:C解析:上传功能属于网站提供的正常功能模块,其它选项均有文件信息泄露的风险,网站目录备份可能通过目录扫描被发现,默认的数据库文件可能暴露配置信息,不安全的第三方工具也可能造成源代码泄露。
2.下列诈骗信息传播途径占比例最大的是A、电商网站B、社交工具C、搜索引擎D、分类信息答案:B解析:社交工具是人们通过互联网社交的窗口,用户使用基数大。
3.下列插件中,具有代理功能的是A、HackbarB、FoxyProxyC、ModifyHeadersD、ShowIP答案:B解析:FoxyProxy是一个高级代理管理工具,它能替代Firefox有限的代理功能。
4.下列软件中,属于源代码审计工具的是A、PCHunterB、webShellKillC、AZServerToolD、Seay答案:D解析:Seay是经典的源代码审计工具,PCHunter是windows系统信息查看软件,也可用于手工杀毒,WebShellKill是一款web后门专杀工具,AZServerTool是一款服务器安全工具。
5.php.ini是下列哪种形式的配置文件A、全局B、当前文件夹C、指定文件夹D、指定文件答案:A解析:php.ini是php的全局配置文件,这个文件控制了php许多方面的设置,性能也能在该文件的选项设置中体现。
6.下列php函数属于危险函数的是A、echoB、evalC、levenshteinD、php_check_syntax答案:B解析:eval函数在php中是用于执行php代码的函数,属于危险函数,php一句话木马通常就用这个函数来编写。
7.下列函数中,不属于包含函数的是A、requireB、includeC、include_onceD、levenshtein答案:D解析:php中常见的文件包含函数有include、require、include_once、require_once。
怎样彻底清除宏病毒
怎样彻底清除宏病毒──北信源公司林皓谈宏病毒的清除凡是用过Word的人十有八、九遭遇过宏病毒。
宏病毒自1996年出现以来,就随着网络应用的发展和计算机之间的数据共享而快速扩散,截止到目前,宏病毒的种类已达上千种,在国内流行的也有数十种。
如何判断宏病毒并将其彻底清除恐怕是每一位计算机用户都希望解决的问题。
记者日前就清除宏病毒有关的技术问题走访了国内著名的反病毒专业厂商——北信源公司。
宏病毒的结构古人云,"知己知彼,百战不殆",要彻底清除宏病毒,首先必须了解宏病毒。
林皓先生告诉记者,最早的宏病毒是Excel病毒,但因为Word用得最多,并且由于Word文档交换频繁,因而给Word宏病毒的流传创造了极好的条件,所以目前Word宏病毒最为普遍,也是各类杀毒软件的重点清除对象。
就其结构而言,Word病毒大致可分为两类:Office 97以前的宏病毒是用WordBasic编写的;Office 97中的宏病毒是用VB编写的。
由于这两种编程语言都非常容易掌握,因而使得宏病毒的种类和变种也格外多。
然而,无论是哪类宏病毒,它们都附着在文档上,因此,清除宏病毒的首要问题就是弄清Word文档的结构。
微软的Word文档采用了"二进制文件格式(Binary File Format)",它是微软公司为Word等文档定义的特殊文件存储格式。
普通文档通常是平面结构的,由文件头、正文内容和控制符组成,不存在与其它信息的链接,其文件头和控制符本身都不具备自动执行能力。
在未加密的情况下,如果将文件头和控制符去掉,就可以得到一份干干净净的纯文本。
而采用BFF格式的Word文档是立体结构的,文档中除了包括文本外,还包括字体、页面布局、图形、图像等信息,这些信息相互链接,形成完整的Word文件。
因此,要干净、彻底地清除宏病毒,就必须对BFF格式有透彻地理解,否则就可能在杀除宏病毒时出现以下现象:S文档被杀"死",用户再也无法用Word打开这份文件;S杀毒不干净,在文档中残留有宏病毒的结构,因而在重新打开文档时可能出现"非法错误"或"内存不足"等现象;S清除了宏病毒本身,但残留了病毒的"空壳",使得杀毒后的文档仍然不能另存,并且在用Office 97打开该文档时,Word总会提示用户文档中包含"可疑宏"。
如何利用系统自带命令搞定手工杀毒
如何利用系统自带命令搞定手工杀毒如何利用系统自带命令搞定手工杀毒电脑病毒看不见,却无处不在,有时防护措施不够或者不当操作都会导致病毒入侵。
电脑用户最害怕的就是一些病毒,虽然我们的电脑上安装有各种的杀毒软件,但是也抵制不了病毒的恶性侵入,下面小编教你如何自己亲自动手来用系统自带的工具绞杀病毒,快来看看吧方法步骤一、自己动手前,切记有备无患——用T askList备份系统进程新型病毒都学会了用进程来隐藏自己,所以我们最好在系统正常的时候,备份一下电脑的进程列表,当然最好在刚进入Windows时不要运行任何程序的情况下备份,样以后感觉电脑异常的时候可以通过比较进程列表,找出可能是病毒的进程。
在命令提示符下输入:TaskList /fo:csv>g:zc.csv上述命令的作用是将当前进程列表以csv格式输出到“zc.csv”文件中,g:为你要保存到的盘,可以用Excel打开该文件.二、自己动手时,必须火眼金睛——用FC比较进程列表文件如果感觉电脑异常,或者知道最近有流行病毒,那么就有必要检查一下。
进入命令提示符下,输入下列命令:TaskList /fo:csv>g:yc.csv生成一个当前进程的yc.csv文件列表,然后输入:FC g:\\zccsv g:\\yc.csy回车后就可以看到前后列表文件的不同了,通过比较发现,电脑多了一个名为“Winion0n.exe”(这里以这个进程为例)不是“Winionon.exe”的异常进程。
三、进行判断时,切记证据确凿——用Netstat查看开放端口对这样的可疑进程,如何判断它是否是病毒呢?根据大部分病毒(特别是木马)会通过端口进行对外连接来传播病毒,可以查看一下端口占有情况。
在命令提示符下输入:Netstat -a-n-o参数含义如下:a:显示所有与该主机建立连接的端口信息n:显示打开端口进程PID代码o:以数字格式显示地址和端口信息回车后就可以看到所有开放端口和外部连接进程,这里一个PID 为1756(以此为例)的进程最为可疑,它的状态是“ESTABLISHED”,通过任务管理器可以知道这个进程就是“Winion0n.exe”,通过查看本机运行网络程序,可以判断这是一个非法连接!连接参数含义如下:LISTENINC:表示处于侦听状态,就是说该端口是开放的,等待连接,但还没有被连接,只有TCP协议的服务端口才能处于LISTENINC状态。
电脑不联网也能杀毒
盘、移动硬盘、MP3、MP4、手机、存储卡、中毒、实用解.。
分享首次分享者:千里足下已被分享1次评论(0)复制链接分享转载举报许多人有过U盘中毒和电脑中毒的经历,但大多数人都不知道该如何解决,有的人找朋友帮忙,有的人就干脆直接把U盘格式化,为此,失去了许多文件.之所以这样,是因为对病毒的畏惧心理!其实如果你知道病毒的传播原理的话,就会发现,其实也没有什么!1. 准备:如果你的移动存储设备(U盘移动硬盘 MP3 MP4 手机存储卡等)中毒了,那么请首先找一台没有感染病毒的电脑,装杀毒软件的话就直接杀毒,没有杀毒软件或者病毒库没有更新的话也没有关系,但必须没有感染了病毒的机器!一下就是如何手工杀毒的方法.2。
预防:进行杀毒之前,不要急着将自己的盘与电脑连接!你要做的是首先看看机器的自动运行是否开启。
方法:单击“开始”菜单,找到“运行”并单击,出现【运行】窗口后,在其中输入gpedit。
msc,点击“确定”后,会出现一个“组策略”的窗口,在左侧依次找到“计算机配置”-〉“管理模板”-〉“系统”并单击打开,之后右侧会出现一个“关闭自动播放”的项,双击打开.在出现的窗口中点击选择“已启用",在下面的列表中选择“所有驱动器”,点击“确定”。
解释一下,之所以进行这些操作是为了防止将盘插上电脑的时候激活病毒。
现在你可以将自己的盘与电脑连接了。
但记得:不要急着双击打开!千万记得哦!3。
发现:下一步要做的是让病毒文件现身!按步骤跟着做:选择“开始”菜单—>“控制面板”-〉找到“文件夹选项"并打开,点击最上面的“查看”选项卡-〉在“高级设置"中找到“显示系统文件夹内容”,并在其前面的方框中打上钩.去掉“隐藏受保护的系统文件”前面的钩,点击“显示所有文件和文件夹".去掉“隐藏已知文件类型的文件名"前面的钩。
这步做完后,病毒就要现身了!4.删除:打开“我的电脑”-〉注意了!此时不要直接双击磁盘打开!一定要选择“地址栏”中的盘符(F盘/G盘/H盘)!盘打开了,此刻你发现什么了吗?对!有些文件或文件夹的图标是半透明的,有点虚。
计算机病毒防治课后答案参考
第二章一、填空:1、UltraEdit可以实现文字、Hex、ASCII的编辑;2、Doc文件的文件头信息是D0CF11E0,PowerPoint文件的文件头信息是D0CF11E0,Excel文件的文件头信息是D0CF11E0;3、单一影子模式仅为操作系统所在分区创建影像;4、影子系统分为单一影子模式和完全影子模式;5、对注册表修改前后进行对比可使用RegSnap工具软件;第三章典型计算机病毒剖析一、填空1、注册表一般Default、SAM、Security、Software、System5个文件组成。
2、注册表结构一般键、子键、分支、值项、默认值5个大类组成。
3、是否允许修改IE的主页设置的注册表表项是HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Control Panel。
4、注册表中IE的主页设置项是“Home Page”=dword 000000015、打开注册表编辑器的命令是regedit。
6、网页脚本病毒的特点有病毒变种多、破坏力较大、感染能力强。
7、Word的模版文件是Normal.dot。
8、Office中宏使用的编程语言是VBA(Visual Basic for Application)。
9、宏可保存在当前工作表、word通用模版中。
10、蠕虫的两个特征是传染性和复制功能。
11、蠕虫病毒的攻击方式有随机探测方式、基于列表的随机探测方式、基于DNS 探测方式、基于路由的探测方式、蠕虫攻击模块。
12、windows32/Baby.worm病毒主要攻击服务器。
13、木马分为远程访问型木马、密码发送型木马、键盘记录型木马、毁坏型木马、FTP型木马。
14、木马程序自动启动的方式利用INI文件、注册表的先关程序启动,加入系统启动组,利用系统启动配置文件和与其他程序捆绑执行。
二、选择1、寄存在Office文档中,用VB语言编写的病毒程序属于( D )A、引导区型病毒 B文件型病毒C、混合型病毒D、宏病毒2、注册表备份文件的扩展名是( C )。
自己动手绝杀同名EXE病毒
自己动手绝杀同名EXE病毒作者:香草来源:《电脑爱好者》2008年第20期近期非常流行一种病毒程序,电脑中病毒后,每个文件夹下面都有个和文件夹同名的EXE病毒文件,删了之后过一会又有,我们该如何查杀呢?我来教你手动杀毒。
断其后路防止重生病毒程序运行后会在所有磁盘和移动存储设备中生成Autorun.ini文件,实现浏览启动。
单纯地将所有Autorun.ini文件删除并不能解决这类问题,我们可以将一个健康系统的驱动盘下的Autorun.ini拷贝,覆盖所有中毒主机的Autorun.ini文件。
真枪实弹手工杀毒由于生成的EXE文件其实是病毒体,而真正的文件夹本身并没有丢失,而是被隐藏起来了,所以这类病毒可以采用如下方法进行清除:第一步:将电脑设置为显示隐藏文件及扩展名,查找[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ Folder\Hidden\SHOWALL],将“CheckedValue”的值改为1,如果这个键值没有,自己新建一个。
第二步:删除生成的与文件夹同名的EXE文件,新建一个文件夹,打开隐藏的文件夹,把里面的东西剪切到新建的文件夹中。
第三步:删除空了的隐藏文件夹,并把新建文件夹改名为删除的文件夹的名字。
第四步:按“Win+R”组合键调出运行窗口,输入CMD里检查每一个盘后用“attrib --a -h -s -r 文件名 del 文件名”来做最后清除。
最后,由于病毒并没有新建服务,所以在启动菜单里删除隐藏的启动项,在注册表项的启动项中删除一个启动键值即可。
(北京/香草)小提示这需要在不带网络环境的安全模式下,由于健康的Autorun.ini具有只读保护属性,病毒无法再次修改Autorun.ini。
小提示病毒运行后,会在Windows\SYSTEM32下释放主体,包括主程序,程序加载的文件,几个INF文件(主要用于调用Autorun.ini)。
项目四手工杀毒技巧总结
病毒查杀经验总结
多利用进程管理工具(IceSword)查看有无可疑进程 查看注册表启动项有无可疑的启动项 尽量在安全模式下杀毒,杀毒时尽量断开网络
尽量不要让机器裸奔,随时升级杀毒软件的病毒库 在可能的情况下尽可能打开杀毒软件的所有监控功能 尽量少上可能含有恶意代码的网站,降低风险 接收来文件时务必先查毒,不要打开不明来历的任何文件 利用组策略,禁用光盘、U盘的自启动功能 打开分区或U盘时,尽量多用资源管理器而少用直接双击打开的方式 如果不是必须,禁用掉不必要的服务如RPC服务、远程桌面服务等 关闭不必要的端口如:135、139、445等
U盘巡警的手工清除
USBPlice: 自动运行,当U盘插入后自动打开,尚未发现对程 2)删除C:\windows\目录下的USBPlice.exe及其它相关文件 3)打开注册表,搜索所有包含USBPlice的键值并删除 4)重启系统
病毒预防经验
任务1:手工杀毒
案例1: 手工清除AV终结者 案例2:手工清除U盘巡警
手工清除AV终结者
病毒特征: 1.生成文件 %programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dat %programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dll %windir%\{随机8位字母+数字名字}.hlp %windir%\Help\{随机8位字母+数字名字}.chm 也有可能生成如下文件 %sys32dir%\{随机字母}.exe 替换%sys32dir%\verclsid.exe文件
清除AV终结者
下载IceSword,并将该其改名,如改成abc.exe 名称,这样就可以突破病毒进程对该工具的屏蔽。然后双击打开IceSword,结束一个8位数字的EXE文件的进程,有时可能无该进程。 2.利用IceSword的文件管理功能,展开到C:\Program Files\Common Files\Microsoft Shared\MSINFO\下,删除2个8位随机数字的文件,其扩展名分别为:dat 和dll 。再到%windir%\help\目录下,删除同名的.hlp或者同名的.chm文件,该文件为系统帮助文件图标。 3. 然后到各个硬盘根目录下面删除Autorun.inf 文件和可疑的8位数字文件,注意,不要直接双击打开各个硬盘分区,而应该利用Windows资源管理器左边的树状目录来浏览。有时电脑中毒后可能无法查看隐藏文件,这时可以利用WinRar软件的文件管理功能来浏览文件和进行删除操作。 4.利用IceSword的注册表管理功能,展开注册表项到: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image Options],删除里面的IFEO劫持项。 5.安装或打开杀毒软件,升级杀毒软件到最新的病毒库,对电脑进行全盘杀毒。
手工杀毒常用工具命令
需要查看服务可以用“tasklist /svc”命令。
5、taskkill.exe,命令行界面工具,用来结束指定的进程,
可以用PID和进程名来指定结束哪些进程。
根据进程名结束:“taskkill /f /im:进程名”
首先,你需要判断的是机器到底有没有病毒,如果没有病毒,那你不是瞎折腾了?
1、最菜的方法:杀毒软件是干嘛的?杀毒的啊!首先升级到最新版本,然后全盘扫描!
当然,如果打开杀毒软件以后一闪就没了,或者双击以后根本没反应,那么基本可以肯定中毒了。
2、稍高级一点的方法,SReng扫描报告一份,发到论坛上,自然会有高手解答,
这个方法比杀毒软件保险的多,因为有可能遇到杀毒软件扫描不出来的,
而人就不会那么死板了,人会综合分析,可以根据报告,判断是否有病毒。
3、更高级的办法,也是最好的办法(当然,如果你很菜,这个并不是一个好办法),
打开各种工具,对系统诊断一番,没准会收获颇丰哦~
好了,不说废话了,如果有病毒,下一步就是杀毒了,那么,我们都不知道是什么病毒,如何杀毒呢?
3、taskmgr.exe,任务管理器,通常用Ctrl+Alt+Delete组合键调出,
可以查看当前运行的进程,但是有可能会不完全,因为有些病毒会隐藏进程!
也可以结束进程,但是对于一些特殊的进程无效,例如winlogon.exe等。
4、tasklist.exe,命令行界面工具,需要在cmd中执行,不然一闪而过,什么也看不见
接下来排查系统进程和正常软件的进程,这个完全是靠经验了,
简单列举一下,系统进程有
.exe病毒文件如何清除
评论
点击登录|昵称:
取消 验证码:换一张
上一页 1... -1-1-1-1-1-1-1... -1下一页
二、手工杀毒方法
1、重新启动计算机并按F8键键,选择 带命令行的安全模式。
2、在命令行窗口中输入以下命令:
cd\
attrib -s -h -r *.exe
attrib -s -h -r *.inf
dБайду номын сангаасl *.exe
del *.inf
attrib -s -h -r /d /s
等命令运行结束后,进入其他所有硬盘分区盘符,重复执行以上命令直到所有盘符运行一遍。
3、输入 explorer.exe进入系统桌面。
4、进入windows\system32目录,删除screensave.exe(为文件夹图标,不会看错)。
5、进入windows\system32\drivers目录,按时间排下序,删除排在前面的usb*.*文件(共计5个文件)。
6、进入C:\Documents and Settings\*\「开始」菜单\程序\启动 目录(其中,*为你所拥有的系统帐户),删除。
2、自动生成与原有文件夹同名的.exe文件,并且程序图标使用文件夹图标,达到迷惑用户的目的。
3、在系统根目录下自动生成autorun.inf和新建文件夹.exe,设为隐藏属性,用户双击打开盘符时可自己运行病毒文件。
4、更改系统drivers目录下的USB*.*文件,当发现用户插入U盘时自动写入病毒。
相关文章
四招彻底防御LOGO1,熊猫等,所有感染EXE文件的病毒zhuan 防范AutoRun.inf和setup.exe病毒文件的清除方法 _desktop.ini rundl132.exe Logo_1.exe等病毒文件的清除 中了exe病毒显示隐藏文件 LSASS.exe进程病毒
sola病毒使文件变成exe后的手工杀毒及修复方法
sola 病毒使文件变成exe后的手工杀毒及修复方法电脑病毒看不见,却无处不在,有时防护措施不够或者不当操作都会导致病毒入侵。
有用户电脑被一个名为sola的病毒感染,造成很多word文档(doc)、图片(jpg)都变成了exe文件,而且无法打开。
方法步骤用瑞星查毒无法差到,用卡巴升级到5月25号以后的才能查到,但是注意卡巴会把感染的word文档、图片一起删除!因为很多文件都是加急和重要的,如果丢失了就问题就严重了,所以不懂电脑千万别用卡巴斯基,因为他太专业了。
幸好这个毒源文件不多,几下我就删干净了,具体清除方法网上有,但我的方法可能更简单点:(如果你不懂怎样进安全模式怎样查看隐藏文件怎样解压缩就不用往下看了)1、进安全模式。
一定要进安全模式,不然像icesword这些软件他能模拟,打开后无法看见他的病毒进程sleep.exe。
这一度欺骗了我,利害!2、删每个分区下的名为sola隐藏文件夹3、搜索windows目录下关键字“sola"的所有文件和文件夹(注意打开搜索高级选项下的“搜索隐藏文件和系统文件”和“搜索子文件夹”),删除所有有关sola这个名字的文件和文件夹,基本就是在windows/fonts这个目录下有个solasetup文件夹,一定要找到它,删除这个文件夹包括其内全部文件。
4、windows/fonts这个目录下有个sleep.exe文件,按创建时间排序,删除所有和他同一时间创建的文件。
5、个别机器在system32下还有个sleep.exe文件,删除。
这样就清干净了。
但是我想说的重头戏才开始,怎样恢复被破坏的word文档和图片呢?!网上我没找到教程,希望对大家有用:如果直接把后缀该回doc或jpg是无法打开文件的,而是要把后缀(扩展名)改称rar,再双击用winrar打开,你会发现里面有三个文件,其中一个就是你原来的文件或图片,另外两个是病毒文件,选择你要恢复的原文件解压缩到硬盘就可以了,注意只选择解压缩原文件,另外两个病毒文件千万不要解压缩。
怎样阻止病毒在杀完后重生
怎样阻止病毒在杀完后重生
在病毒越来越厉害的今天,中毒后只借助于一些杀毒软件来查杀有时候经常是杀不干净,这就需要来手工杀毒。
手工杀毒的方法和技巧千变万化,病毒文件往往会不断启动来消耗完你的资源,使得杀毒软件也无法正常启动,在这里只针对阻止病毒文件再生来说说。
很多人会用冰刃等工具来剿灭病毒文件,但有时候效果却并不理想。
还有一种办法是在删除病毒文件后建立一个与病毒文件同名的文件夹,将其字节数调成和病毒文件一样大小,并将其设置为只读属性,步骤如下:
1、点开始——运行,输入"CMD",最好是带NTFS格式支持的。
2、转到病毒文件所在的分区,并用CD命令进入病毒文件所在的目录,如:
c: 回车进入C盘 cd windowssystem32 回车进入system32文件夹
3、去除病毒文件的隐藏和只读属性(如果没有可略去),如病毒文件名为bfdarx.exe,则:
attrib -s -h bfdarx.exe
4、删除病毒文件:
del bfdarx.exe
5、建立同名的文件夹,防止病毒文件再生:
md bfdarx.exe
注意:要把后缀也带上
另外,有的目录在DOS中是禁止进行写操作的,如windows\system32\
drivers。
如果已将大部分病毒文件进行以上处理后,剩余的就可以到windows 中进行操作了。
6、给同名文件夹加锁,避免病毒覆盖
attrib +s +h bfdarx.exe
不过用CACLS命令更好,可以直接拒绝任何人修改该文件夹!
7、完成后重启进入Windows安全模式中全面查杀病毒
杀毒完成后就可以把那些自己建立的极品文件夹删掉。
网络安全试题库
1、效率最高、最保险的杀毒方式是(D)(A)手工杀毒(B)自动杀毒(C)杀毒软件(D)磁盘格式化2、IE将Internet划分成Internet区域、本地Internet区域、可信站点和(C)A 不可信站点B 远程区域C 受限站点D 本地区域3、对于计算机病毒的潜伏性,下列较正确的说法是(C)A 病毒侵入后,立即活动B 病毒侵入后,一般不立即活动,条件成熟后也不作用C 病毒侵入后,一般不立即活动,需要等一段时间,条件成熟后才作用D 病毒侵入后,需要等一段时间才作用4、TCP是传输控制协议,IP协议又称(C)A 局域网协议B 广域网协议C 互连网协议D 内联网协议5、以下哪条不是Linux 操作系统的特点。
(C)(A)源代码公开(B)完全免费(C)完全的单用户多任务(D)适应多种硬件平台6、驻留型病毒感染计算机后,把自身驻留部分放在什么中(D)A ROM(光驱)B 软盘C 硬盘D RAM(缓存)7、数字证书采用公钥体制,即利用一对互相匹配的密钥进行(B )A 加密B 加密、解密C 解密D 安全认证8、数字证书的作用是证明证书中列出的用户合法拥有证书中列出的(D)A 私人密钥B 加密密钥C 解密密钥D 公开密钥9、计算机网络资源的类型不包括(C)(A)软件(B)硬件(C)协议(D)数据库10、SET协议运行的目标不包括(C)。
(A)保证信息在互联网上安全传输(B)保证电子商务参与者信息的相互隔离(C)网上信息传送的高效(D)保证电子支付的安全性。
11、计算机的运行环境安全性问题不包括?(B)(A)风险分析(B)数据库安全(C)审计跟踪(D)备份与恢复12、计算机的实体安全技术不包括?(B)(A)电源防护技术(B)防病毒软件(C)电磁兼容(D)防盗技术13、驻留型病毒感染计算机后,把自身驻留部分放在什么中(D)A ROM(光驱)B 软盘C 硬盘D RAM(缓存)1.简述现代主要的加密技术?答题思路:对称密码体制和非对称密码体制。
PCHunter_free(手工杀毒辅助工具)使用说明模板
PCHunter_free手工杀毒工具使用说明一、判断计算机1、检查计算机是否中毒2、检查进程的数字签名3、检查是否有名称异常且无文件厂商信息的驱动4、SSDT除常见杀毒软件的Hook外没有异常信息5、如果用户怀疑自己鼠标键盘被人控制(远程RTO除外),检查内核钩子-鼠标-键盘挂钩函数6、IE怀疑中毒,检查IE插件7、检查启动项、服务项是否有可疑内容8、鉴于MBR类病毒隐藏很深,可增加MBR检测二、进程列表分为七列:1、映像名称:表示进程名字2、进程ID:表示进程的Id3、父进程ID:表示该进程由谁创建4、映像路径:表示进程路径5、EPROCESS:表示进程内核对象地址,熟悉点Windows内核的人,可以通过这个地址查看更多的信息,对一般的人,这个地址无视即可6、应用层访问状态:表示这个进程是否允许其它进程在应用层打开,一般的安全软件为了保护自己,会禁止其它进程打开自己7、文件厂商:表示进程主文件由那个公司发布的,由于这个文件厂商信息很容易伪造,因此这个信息在少数情况下可能会是假的三、PCHunter_free颜色说明:1.驱动检测到的可疑对象,隐藏服务、进程、被挂钩函数----> 红色2.文件厂商是微软的----> 黑色3.文件厂商非微软的----> 蓝色4.如果您效验了所有签名,对没有签名的模块行---> 粉红色5.进程标签下,当下方使用模块窗口时,对文件厂商是微软的进程,会检测其所有模块,如果有模块是非微软的----> 土黄色四、PCHunter_free功能1、系统进程2、内核对像劫持3、网络IE插件IE右键菜单Host文件4、注册表5、文件管理6、系统启动项7、系统服务8、系统杂项--文件关联系统杂项--输入法系统杂项--杂项本工具配置。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2、IFEO劫持(冰刃等杀病毒工具不可用)
貌似冰刃是病毒的一个大危害,病毒自然也不会放过。有时候中毒后,所有杀毒软件和反病毒工具(比如冰刃)都无法使用了,原因就是IFEO劫持。原因:
二、解决不能查看隐藏文件的方法
1、有时病毒通过修改注册表和修改文件属性(伪造CheckedValue值)的方法来达到不能查看隐藏文件的目的,这是可是打开修改注册表,找到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \ Advanced\Folder\Hidden\SHOWALL,删除CheckedValue键(该键当前为字符串类型),新建 CheckedValue为DWORD值(正确的键为DWORD类型),修改值为1,系统隐藏文件就会显示了,恢复正常。
2、也可以通过ATTRIB命令使文件去掉隐藏和系统的属性。例如显示C盘根目录下文件,就可以在CMD命令提示符下输入CD\命令切换到根目录下,然后输入ATTRIB -S -H AUTORUN.INF命令就可以了
三、怎样删除病毒的主体文件
病毒都是有主体文件的,我们要手工杀毒首先就要清除病毒的主体文件,主体文件一般都是DLL文件,直接删是无法删除的,我们可以试试一下的方法(目前还没有发现什么DDL 文件不能被这三种方法删除的)。
六、杀毒软件被禁用的解决方法
杀毒软件是病毒的克星,所以病毒要想生存就必须杀掉杀毒软件。这也是现在很多病毒都具备的功能,也就是中毒后杀毒软件不可用了。
1、比较普遍的杀毒软件中毒现象是会提示:应用程序正常初始化(0x00000ba)失败。
原因分析:
ws2_32.dll是windows sockets应用程序接口,用于支持Internet和网络应用程序,程序运行时会自动调用ws2_32.dll文件。ws2_32.dll是个动态链接库文件,位于系统文件夹中,wind在查找动态链接库文件时,会先在应用程序当前目录搜索,如果没有找到才会搜索windows所在目录,如果还没有找到就会搜索 system32和system目录。一些病毒就
是利用此原理在杀毒软件目录中建立了ws2_32.dll文件或文件夹,在杀毒软件看来这是一个它需要的文件而调用,但事实上这个所谓的“文件”又不具真
正的ws2_32.dll文件所具备的功能,所以杀毒软件也就无法正常运行了,于是就会提示:应用程序正常初始化(0x00000ba)失败!
解决办法:
到杀毒软件安装目录找 ws2_32.dll文件或文件夹,删除即可!
解决方法:到此目录下,把我们的工具从黑名单里拖出来就可以了(删掉呗)
七、重装系统都无法解决的病毒问题
很多人认为中病毒了,重装系统就可以解决了,其实不然,有些病毒强制修改IE,设置默认首页,即使你重装了系统后仍然无法解决。方法是:把java虚拟机停掉后病毒就不会
发作了,然后再结束进程。
注:如病毒文件为RGWatch.sys的也可以使用同样的方法找出寄宿进程,然后再删掉。此外冰刃也是个不错的选择。
四、删除注册表病毒垃圾
这个没什么好说的,就是在我们手工杀完毒后别忘了删除其所在注册表留下的一些信息。方法:打开注册表(regedit),搜索我们要删除的病毒名即可。有时候我们无法删除,
可以使用冰刃强行删除。因为冰刃没有注册表修改搜索功能,我们可以先在注册表编辑器中搜索出相关项,再在冰刃的注册表中定位到搜索项目,然后删除!
五、找到病毒保护文件,强行删除!
很多病毒都会产生保护文件的,当你删出病毒后,病毒又会回来,很烦人,也很难办!我们可以使用下面的方法找出其保护文件,在这里需要两款辅助工具:Filemon和冰刃。 Filemon的作用是记录下对所有文件的添加、修改和删除记录,并且可以显示是哪个进程进行的修改!
通过修改注册表,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下建立特定的子键来屏蔽一些特定的程序,或指向
目标程序,来达到启动病毒和禁用工具的目的。
方法操作如下:打开冰刃,在设置里选择“禁止进/线程建立”,打开进程,结束所有无用进程(结束explorer.exe进程),只留下系统基本进程(不包括explorer.exe进程)一—方便我们详细记录。逐一删除注册表启动项目,并且刷新查看是否会自动恢复。在Filemon中就会发现这个保护进程进入注册表启动项的,我们可以通过一些方法查看和删除。打开注册表HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion点击查看其中RUN中的内容,如果不懂,把里面的东西就全删了。不过这样并不能解决病毒,病毒还会重新写入的,不过到时可以解决木马。如果想手工杀毒,就接着看下面的文章吧!
具体步骤:在internet选项中,把有关java的vm的启动项全部去掉即可。
1、进入安全模式删除
2、用windows系统自带的Rundll32.exe卸载后再删除,这一招对付wmpcd32.dll是很灵验的。在命令提示符下输入:Rundll32.exe 文件名.DLL Uninstall
3、找出这个DLL文件的寄宿。方法:要使用一款名为procexp进程管理工具,点击find,再点击find DLl,打开DLL文件查找对话框,在DLL Substring中输入“文件名.DLL”.点击 Search按钮就可以看到DLL文件被哪个进程调用了,只要结束这些进程,再尝试删除DLL文件就可以了。