手工杀病毒
Xuetr讲解
XueT r手杀病毒XueTr(简称XT)是一个强大的系统信息查看软件,也是一个强大的手工杀毒软件,用它可以方便揪出电脑中的病毒木马,目前它支持32位的2000、XP、2003、Vista、2008、Win7系统。
XueTr的主要功能1.进程、线程、进程模块、进程窗口、进程内存、定时器、热键信息查看,杀进程、杀线程、卸载模块等功能2.内核驱动模块查看,支持内核驱动模块的内存拷贝3.SSDT、Shadow SSDT、FSD、Keyboard、TCPIP、Classpnp、Atapi、Acpi、SCSI、Mouse、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除5.端口信息查看,目前不支持2000系统6.查看消息钩子7.内核模块的iat、eat、inline hook、patches检测和恢复8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除9.注册表编辑10.进程iat、eat、inline hook、patches检测和恢复11.文件系统查看,支持基本的文件操作12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联、系统防火墙规则、IME13.ObjectType Hook检测和恢复14.DPC定时器检测和删除15.MBR Rootkit检测和修复16.内核对象劫持检测17.其它一些手工杀毒时需要用到的功能,如修复LSP、修复安全模式等。
实验14网络木马手工查杀
实验网络木马手工查杀(一)【实验目的】掌握dos或安全模式下的查杀木马病毒的方法【实验原理】注:请在虚拟机中做杀毒实训。
3.实验步骤:一、把老师给你的木马程序,放入操作系统中。
注:双击病毒之前,请用netstat /ano查看一下端口二、双击其中一个csgame.exe程序。
三、查找生成的程序在电脑的哪些地方,并查看其开放的端口;Netstat /ano 看异常端口,再看对应的进程号(记得进行比校)Tasklist 根据上面的进程号,找到这个进程名四、利用已学的方法,在安全模式下手工查杀该病毒程序请杀死该进程ntsd /c q /p 进程号或者用taskkill /im 进程名;五、在所有盘上查找那个进程名,然后删除之,并记住它的生成日期时间,再到所有盘上查找同一日期时间生成的文件,那些就一定是病毒的副本或“尾巴”,再将其删除。
六、再到注册表中,查找所有的病毒母体文件和副本,并删除之;若是附在正常的注册表键值路径下,只要删除病毒文件。
进注册表的方法:“运行”中输入regedit,即可进入。
七、最后再进入“启动”项,在“运行”中输入msconfig,即可进入。
在“启动“项中,查找一下,是否有病毒文件,若有的话,请将左的的勾去掉。
八、最后检测该病毒是否已查杀干净,若干净重启机器,其端口就不见了。
若刚才的病毒在正常模式或者安全模式下,不能删除,请住病毒在那些盘中及它的路径,再到纯DOS下,用DOS删除之。
一般要用到的DOS命令如下:DirCdRdDelDeleteAttribXcopyCopy注:以上操作步骤,须详细的操作步骤和文字说明并截图。
手工杀毒技术
工 具软 件 是 非 常重 要 的 ,与现 实 生 产关 系 中 的性 质一 样 ,
它 是 决定 性 环节 。手 工 杀 毒者 ,必要 具 备一 些 基础 知识 ,
P o es x lrr r csE po e 是手工杀毒者推崇的一款软件,它
能 轻 易 地 显 示 任 务 管 理 器 无 法 侦 查 的 病 毒 线 程 或 隐 藏
尤其 是操 作 系统 的理论 ,这 样才 能 更好地 使用 工具 排除 病
毒 。用于 杀毒 的工 具软 件越来 越 多 ,这 也是 伴 随着 病毒 的
进程 ;它还能查 出系统 中进程 ( 包括 s se y t m进程 )使
用 计 算 机 资 源 的 状 况 。 对 于 一 些 恶意 网 站 如 pi o e a xu 、
ha 1 3 b . 1 i n t等 ,用 P o es x l r r 户就 o 2 、b s 5 vp. e r c s E po e 用
发展 而 发 展的 。这 些 工具 包括 S M、超 级 兔子 、瑞 星卡 S
卡 ,g r me ,冰 刃 、u lc e ,k lc n o k r n s 、Pr c sE p o e 、 o e s x l r r L sDl 、Re Mo it l s g n,flmo i e n,S e g、a ( trb to rn c a ti u i n
1引言
计 算 机 病毒 的气 势在 当下似 乎 已经 压住 了杀 毒软 件 , 因为 许 多安装 了正 版杀 毒软 件 的计算 机 ,有时候 非 但 杀不 了病 毒却 反被 病毒 杀死 ;有 时候 ,不 安装 病毒 的计 算机 运
等等 ,这 些工 具是手 工 杀毒 的利 器 。
手工查杀木马病毒的一般详细步骤
手工查杀木马病毒的一般详细步骤其实,在平时一不小心中病毒或木马的时候,对于高手来说,都采用手动查杀的方式,因为一方面,对于互联网上新出现的病毒或其变种,大多数的杀毒厂商往往都是被动的,这样就给那些病毒木马提供了时间上的有利条件;另一方面,用杀毒软件查杀的话,是很浪费宝贵的时间的,你知道,高手们往往是不会去选择做傻事的,因为他们知道应该在这些傻事中学到些什么,而对于我们普通菜鸟用户来说,怎么办呢,总不能坐以待毙吧~作为高手是不能容忍的,因此,手工查杀就从中起了重要作用。
那么我们应该怎么办呢,我们应该从中学到些什么呢,首先,当我们感到机器变得比以前慢很多,或者鼠标有时会不自主的乱抖动,这时我们就应该考虑是不是病毒或木马在作怪了。
这时,我们的第一步就是打开任务管理器,仔细查看有没有哪些异常或自己尚不清楚的进程,发现后,先不要急着结束它,先用纸和笔记录下来,这时我们可以在网上查下该进程的相关资料(比如*.exe),这时如果上网不方便的话,可以在资源管理器中按F3打开“搜索”,首先确保将系统中的所有文件全部显示出来,包括重要的系统文件,并“所有文件和文件夹”搜索,看看它到底藏在了哪里,也许有时候你会发现,这个你不熟悉的进程名正是系统中正常的一个程序的进程。
不过这也没关系,我们都是从不懂到懂得的一个过程,没什么指得可笑的。
如果从网上找到的资料里,发现这个确是病毒或木马的话,则毫无疑问的进行下一步骤。
如果是在“搜索”中找到的,则右击查看它的属性,看看它是具体什么时间被建立的,如果与实际不符而相违背的,或明显带有迷惑用户性质的话,则可以肯定它们对我们是不利的。
我们只有将它们赶尽杀绝了!!!下一步,我们就要毫不留情的在任务管理器中先结束其进程了。
右击它选择“结束进程”,“确定”即可。
如果中的病毒或木马很强的话,我们就要采取强制的方式结束它了。
具体方法:首先“开始——运行”,输入CMD,打开命令提示符。
输入“Tasklist”后就会看到我们各个程序的进程列表了,其中有一列叫PID(进程标识符)的,这对我们强制关闭某个进程时有用到。
没有杀毒软件如何徒手消灭电脑中的病毒
没有杀毒软件如何徒手消灭电脑中的病毒想要消灭电脑中的病毒,但是没有杀毒软件你知道怎么徒手消灭电脑中的病毒吗?那么没有杀毒软件如何徒手消灭电脑中的病毒的呢?下面是店铺收集整理的没有杀毒软件如何徒手消灭电脑中的病毒,希望对大家有帮助~~没有杀毒软件徒手消灭电脑中的病毒的方法一、杀除自启动病毒自动启动文件夹的病毒打开位于“C:\Users\Administrator\AppData\Roaming\Microsoft\Window s\Start Menu\Programs\Startup”(XP系统:C:\document and setting\all users\开始菜单\程序\启动)的文件夹,一般情况下这个文件夹下什么东西也没有。
而有些病毒喜欢把执行文件拷贝到这个文件下。
组策略设置中的病毒步骤:"开始"-“运行”- 输入gpedit.msc - 打开左侧“用户配置”- “管理模板”- “系统”- “登陆” - “在用户登陆时运行这些程序”- 查看是否已启用 -如果已启用,点击显示可查看启动的程序。
找出注册表启动项中的病毒步骤:"开始"-“运行”- 输入regedit -在注册表run和runonce 分支下查看是否有陌生的键值找出服务列表中的病毒步骤:"开始"-“运行”- 输入services.msc - 找出陌生服务,并停止 -在常规标签中找到可执行文件的路径并删除找出系统配置程序中的病毒步骤:"开始"-“运行”- 输入msconfig-在启动项中查看陌生程序(一般陌生程序的可执行路径为system32,很可能它就是病毒) 用以上5中手工方法找出病毒后一般可以找到病毒的可执行文件的路径,删除它就可以杀掉病毒。
二、杀除dll病毒查找可以进程步骤:运行- cmd - 输入netstat -ano -tasklist /m列出进程详细信息- 把信息全部保存在记事本a1.txt中找出可疑模块在正常的电脑上上导出进程信息a2.txt,然后再cmd窗口中输入fc a1.txt a2.txt,缩小查找范围-最终找出木马病毒。
如何手动查杀电脑病毒
如何手动查杀电脑病毒我的电脑中了许多病毒!想要手动查杀下病毒!用什么方法最好呢?下面由店铺给你做出详细的手动查杀电脑病毒方法介绍!希望对你有帮助!手动查杀电脑病毒方法一:要想手动杀毒,首先你得晓得病毒所在的位置,当你能确认那个文件就是你所说的病毒,那么就可以将它点右键删除(DELETE)或是(SHIFT+DELETE),假若无法将其删除就点右键看看它的属性,若在存档那前面已经被打上了勾的话,就把勾给去掉,然后再重复开始的那个动作... ...假若仍然无法将其删除就重起计算机按F8键进入安全模式下将其删除对它仍然无效的话还可以进入DOS下输入命令将其删除以上的办法都没能将它删除的话,就只有在运行里输入"REGEDIT"进入注册表里修改那文件的键值后将其删除手动查杀电脑病毒方法二:自己手动查杀病毒和木马时下,病毒、木马可谓越来越多,而且经常造访我们的“爱机”,给工作带到来极大的不便!如此之多的病毒、木马,若要都用杀毒软件来杀的话,并非确保全盘杀掉,况且有的病毒出现快杀毒软件还未来得及更新病毒库就已侵袭了我们的电脑,在这种情况下,如何是好呢?是否一筹莫展呢?非也,您不妨按照如下步骤自已动手进行删除。
1、检查注册表中RUN、RUNSERVEICE等几项,先备份,记下可以启动项的地址,再将可疑的删除。
2、删除上述可疑键在硬盘中的执行文件。
3、一般这种文件都在WINNT,SYSTEM,SYSTEM32这样的文件夹下,他们一般不会单独存在,很可能是有某个母文件复制过来的,检查C、D、E等盘下有没有可疑的.exe,.com或.bat文件,有则删除之。
4、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\InternetExplorer\Main中的几项(如Local Page),如果被修改了,改回来就可以。
5、检查HKEY_CLASSES_ROOT\inifile\shell\open\command 和 HKEY_CLASSES_ROOT\txtfile\shell\open\command等等几个常用文件类型的默认打开程序是否被更改。
一种顽固的U盘病毒的分析及手工查杀
根目录下的病毒源文件 冰 . v b s 和快捷方式逐一删除 , 此时系统 中 [ 1 ] h t t p : / / b a i k e . b a i d u . t o m / v i e w / 6 0 3 3 7 4 . h t m .
复真实文件 夹 的系 统和 隐藏 属性 。 注册 表 的修 复要依 赖于用 户平时 良好的安全习惯和 意识, 在 对系统作 重大 改动 时, 一般
至此 , 用手工的方 法完成了病毒的清 除和系统的恢复。
[ 参考文献]
_ 2 ] 张 2 0 0 5 .
[ 3 ] h t t p : / /  ̄ e n k u . b a i d u . c o m / v i e w / c 7 f S e 4 3 1 5 a S l O 2 d 2 7 6 a 2 2 f g o . h t m l
t r e n d S a r l d t r a n s j e n t P a t t e rn s i n l i t e ra t u r e [ . ] .
( 上接 第5 7 页) 毒监控 , 故需要找一个第三方 的进程 管理工具, 如I c e s w o r d 或 都要对 注册 表进 行备份 。 对真实文件 夹的属性修 改用在 图形 P r c m g r 等, 同时结束两个用户名为a d m i n i s t r a t o r 的S v c h o s t 界面下 已经 是无能 为力了, 需要通过命令 的方法进 行, 用命令 进 程和w s c r i p t 进 程。由于病毒 污染了系统进 程e x p l o r e r  ̄ D S i l l S S , 所 以这 两个进 程 在清 除病毒源 程 序之前也要结 束 。 由
电脑不联网也能杀毒
盘、移动硬盘、MP3、MP4、手机、存储卡、中毒、实用解.。
分享首次分享者:千里足下已被分享1次评论(0)复制链接分享转载举报许多人有过U盘中毒和电脑中毒的经历,但大多数人都不知道该如何解决,有的人找朋友帮忙,有的人就干脆直接把U盘格式化,为此,失去了许多文件.之所以这样,是因为对病毒的畏惧心理!其实如果你知道病毒的传播原理的话,就会发现,其实也没有什么!1. 准备:如果你的移动存储设备(U盘移动硬盘 MP3 MP4 手机存储卡等)中毒了,那么请首先找一台没有感染病毒的电脑,装杀毒软件的话就直接杀毒,没有杀毒软件或者病毒库没有更新的话也没有关系,但必须没有感染了病毒的机器!一下就是如何手工杀毒的方法.2。
预防:进行杀毒之前,不要急着将自己的盘与电脑连接!你要做的是首先看看机器的自动运行是否开启。
方法:单击“开始”菜单,找到“运行”并单击,出现【运行】窗口后,在其中输入gpedit。
msc,点击“确定”后,会出现一个“组策略”的窗口,在左侧依次找到“计算机配置”-〉“管理模板”-〉“系统”并单击打开,之后右侧会出现一个“关闭自动播放”的项,双击打开.在出现的窗口中点击选择“已启用",在下面的列表中选择“所有驱动器”,点击“确定”。
解释一下,之所以进行这些操作是为了防止将盘插上电脑的时候激活病毒。
现在你可以将自己的盘与电脑连接了。
但记得:不要急着双击打开!千万记得哦!3。
发现:下一步要做的是让病毒文件现身!按步骤跟着做:选择“开始”菜单—>“控制面板”-〉找到“文件夹选项"并打开,点击最上面的“查看”选项卡-〉在“高级设置"中找到“显示系统文件夹内容”,并在其前面的方框中打上钩.去掉“隐藏受保护的系统文件”前面的钩,点击“显示所有文件和文件夹".去掉“隐藏已知文件类型的文件名"前面的钩。
这步做完后,病毒就要现身了!4.删除:打开“我的电脑”-〉注意了!此时不要直接双击磁盘打开!一定要选择“地址栏”中的盘符(F盘/G盘/H盘)!盘打开了,此刻你发现什么了吗?对!有些文件或文件夹的图标是半透明的,有点虚。
自己动手绝杀同名EXE病毒
自己动手绝杀同名EXE病毒作者:香草来源:《电脑爱好者》2008年第20期近期非常流行一种病毒程序,电脑中病毒后,每个文件夹下面都有个和文件夹同名的EXE病毒文件,删了之后过一会又有,我们该如何查杀呢?我来教你手动杀毒。
断其后路防止重生病毒程序运行后会在所有磁盘和移动存储设备中生成Autorun.ini文件,实现浏览启动。
单纯地将所有Autorun.ini文件删除并不能解决这类问题,我们可以将一个健康系统的驱动盘下的Autorun.ini拷贝,覆盖所有中毒主机的Autorun.ini文件。
真枪实弹手工杀毒由于生成的EXE文件其实是病毒体,而真正的文件夹本身并没有丢失,而是被隐藏起来了,所以这类病毒可以采用如下方法进行清除:第一步:将电脑设置为显示隐藏文件及扩展名,查找[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ Folder\Hidden\SHOWALL],将“CheckedValue”的值改为1,如果这个键值没有,自己新建一个。
第二步:删除生成的与文件夹同名的EXE文件,新建一个文件夹,打开隐藏的文件夹,把里面的东西剪切到新建的文件夹中。
第三步:删除空了的隐藏文件夹,并把新建文件夹改名为删除的文件夹的名字。
第四步:按“Win+R”组合键调出运行窗口,输入CMD里检查每一个盘后用“attrib --a -h -s -r 文件名 del 文件名”来做最后清除。
最后,由于病毒并没有新建服务,所以在启动菜单里删除隐藏的启动项,在注册表项的启动项中删除一个启动键值即可。
(北京/香草)小提示这需要在不带网络环境的安全模式下,由于健康的Autorun.ini具有只读保护属性,病毒无法再次修改Autorun.ini。
小提示病毒运行后,会在Windows\SYSTEM32下释放主体,包括主程序,程序加载的文件,几个INF文件(主要用于调用Autorun.ini)。
WORD文档杀手病毒手工删除方法
WORD文档杀手病毒手工删除方法一、电脑中毒现象病毒通称为“WORD文档杀手”,病毒主体文件为 c:\windows\doc.exe 或者c:\windows\doc1.exe ,病毒运行后,搜索硬盘中所有的Word文档并将硬盘里面的所有的word 文档建立一个列表,输出到c:\ww.txt文件中,然后逐一将这些word文件删除,在删除的同时还会将这些Word文档复制到c:\windows\wj\ 目录中,并将文件扩展名改为“.com”。
同时此病毒还能修改注册表键值,以达到隐藏扩展名的目的。
并锁定文件夹查看隐藏文件的选项,不允许显示隐藏文件。
在用户看来,所有的word文件就像突然消失了一样。
该病毒采用VB语言编写,病毒主体文件为 c:\windows\doc.exe 或者 c:\windows\doc1.exe ,并且该病毒文件会模拟成Word文档的图标:病毒运行后,会在C盘根目录下生成病毒文件c:\ww.bat 和c:\ww.txt ,其中 ww.bat文件内含有批处理程序,搜索硬盘中所有的Word文档:dir c:\*.doc /a/b/s >>c:\ww.txtdir d:\*.doc /a/b/s >>c:\ww.txtdir e:\*.doc /a/b/s >>c:\ww.txt这样,病毒就将硬盘里面的所有的DOC文档建立一个列表,输出到c:\ww.txt文件中,然后逐一将这些DOC文件删除,在删除的同时还会将这些Word文档复制到c:\windows\wj\ 目录中,并将文件扩展名改为.COM。
同时此病毒还能修改注册表键值,以达到隐藏扩展名的目的。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt]"CheckedValue" = dword:00000001"UncheckedValue" = dword:00000001这样用户无论如何查看文件扩展名都是无法显示的。
计算机安全-2.4 手工杀毒35页PPT文档
自启动技术
自启动技术的任务是保证恶意代码在受害主机下 一次开机启动的后能够正常工作。自启动的方法 有很多,归纳起来主要有六种:
通过服务启动、 通过添加注册表启动项启动、 通过文件关联启动、 通过修改系统配置文件启动、 作为其他程序插件启动、 通过文件绑定方式启动
7
自启动技术
5
病毒文件操作
很多攻击经常修改系统的一些重要文件以达到其 攻击目的,比如用带有后门的系统命令文件替换 掉系统中原有的系统命令文件,修改系统的一些 重要配置文件。因此有必要对文件进行完整性检 查。
AUTOEXEC.BAT CONFIG.SYS :\Program Files\Internet Explorer Autorun.inf
病毒要激活,必须能够实现自动运行 木马,蠕虫还要对外进行网络通信。
4
病毒文件操作
很多攻击在执行之后都会产生一些文件,这些文件中既有 二进制文件又有文本文件。二进制文件中主要有可执行文 件和 DLL 文件两类,可执行文件中有些是攻击自身的副 本,DLL 文件包含着攻击的主要功能。文本文件的内容主 要包含着攻击的一些配置信息、日志信息和攻击的攻击目 标信息。因此有必要对文件的增减进行监测。
1、通过服务启动
通过将恶意代码注册成服务的方法,每次系统启动的 时候都可以启动恶意代码
8
通过添加注册表启动项启动
注册表的启动项包括:
[HKEY_LOCAL_MACHINE \Software\Microsoft\Windows \CurrentVersion\RunServices
[HKEY_CURRENT_USER \Software\Microsoft\Windows \CurrentVersion\Run
sola病毒使文件变成exe后的手工杀毒及修复方法
sola 病毒使文件变成exe后的手工杀毒及修复方法电脑病毒看不见,却无处不在,有时防护措施不够或者不当操作都会导致病毒入侵。
有用户电脑被一个名为sola的病毒感染,造成很多word文档(doc)、图片(jpg)都变成了exe文件,而且无法打开。
方法步骤用瑞星查毒无法差到,用卡巴升级到5月25号以后的才能查到,但是注意卡巴会把感染的word文档、图片一起删除!因为很多文件都是加急和重要的,如果丢失了就问题就严重了,所以不懂电脑千万别用卡巴斯基,因为他太专业了。
幸好这个毒源文件不多,几下我就删干净了,具体清除方法网上有,但我的方法可能更简单点:(如果你不懂怎样进安全模式怎样查看隐藏文件怎样解压缩就不用往下看了)1、进安全模式。
一定要进安全模式,不然像icesword这些软件他能模拟,打开后无法看见他的病毒进程sleep.exe。
这一度欺骗了我,利害!2、删每个分区下的名为sola隐藏文件夹3、搜索windows目录下关键字“sola"的所有文件和文件夹(注意打开搜索高级选项下的“搜索隐藏文件和系统文件”和“搜索子文件夹”),删除所有有关sola这个名字的文件和文件夹,基本就是在windows/fonts这个目录下有个solasetup文件夹,一定要找到它,删除这个文件夹包括其内全部文件。
4、windows/fonts这个目录下有个sleep.exe文件,按创建时间排序,删除所有和他同一时间创建的文件。
5、个别机器在system32下还有个sleep.exe文件,删除。
这样就清干净了。
但是我想说的重头戏才开始,怎样恢复被破坏的word文档和图片呢?!网上我没找到教程,希望对大家有用:如果直接把后缀该回doc或jpg是无法打开文件的,而是要把后缀(扩展名)改称rar,再双击用winrar打开,你会发现里面有三个文件,其中一个就是你原来的文件或图片,另外两个是病毒文件,选择你要恢复的原文件解压缩到硬盘就可以了,注意只选择解压缩原文件,另外两个病毒文件千万不要解压缩。
手工查毒方法四种
新人上手指南电脑木马查杀大全一、手工方法:1、检查网络连接情况由于不少木马会主动侦听端口,或者会连接特定的IP和端口,所以我们可以在没有正常程序连接网络的情况下,通过检查网络连情情况来发现木马的存在。
具体的步骤是点击“开始”->“运行”->“cmd”,然后输入netstat -an 这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口,它包含四个部分――proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。
通过这个命令的详细信息,我们就可以完全监控电脑的网络连接情况。
2、查看目前运行的服务服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之一。
我们可以通过点击“开始”->“运行”->“cmd”,然后输入“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们可以进入“服务”管理工具中的“服务”,找到相应的服务,停止并禁用它。
3、检查系统启动项由于注册表对于普通用户来说比较复杂,木马常常喜欢隐藏在这里。
检查注册表启动项的方法如下:点击“开始”->“运行”->“regedit”,然后检查HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值;HKEY-USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值。
Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。
打开这个文件看看,在该文件的[boot]字段中,是不是有 shell=Explorer.exe file.exe 这样的内容,如有这样的内容,那这里的file.exe就是木马程序了!4、检查系统帐户恶意的攻击者喜在电脑中留有一个账户的方法来控制你的计算机。
手动杀毒技术的应用
发后 ,能够 引起 媒体 广 泛 关注 的病 毒 数 量减 少 了。现在 的趋 势是 ,试 图控 制 许 多计 算 机 发动 攻 击和 利 用 钓 鱼式 攻 击 获得 用 户机 密 资 料 的黑 客 越来 越 多 了。病 毒 发展 的趋 势 主要 呈 现 以下
8 。
I HLY术 No 应 T oG技用 E c
手动杀毒 技术 的应 用
谢 ( 南 民族 大 学 西 川 四川成 都 6 04 1 0 1)
摘 要 : 一款优 秀的防 火墙 并不 能防御 所有 的病毒 ,一款优 秀的杀毒 软件 并不 能查杀所 有 的 带毒 程序 。在 杀毒 软件 无 法智能化 的今 天 ,稍 经修 改过 的木 马想要 骗过 几款 出色的 杀 毒软件其 实并不困难。所以,在杀毒软件不能识别病毒的情况下 ,我们 完全有必要手工查 杀病毒 。本 文提 出了一套 手 工杀毒 的方案及 其 实际应 用 。 关键 词 :手动 杀毒 ;备份 ;进 程
b cu po es S : o po e s S ,通 过 比对 a k p rcs. Vc n w rc s. V C \ C
b c u p o esCV 令 ,当前 进程 列 表 随 即 以 a k p rc s. 命 S C V格式 备份到 “ak p rcs. V S b c u po es S ”文件 中。 C
发布 病毒 的 目的在于 在 黑 客 世界 扬 名 ,现 在 ,
他们 的动 机 已经 转 向利 用 更 有针 对 性 的恶 意 软
杀毒 软件 其 实原理 很 古 老 ,就 是 通 过 数据 库 中 已知病 毒 的特征 代 码来 识 别病 毒 ,对 于数 据库 中没 有 的病毒 ,或是 已知 病毒 的 变种 是 无
手动杀毒
我们要想在病毒运行的过程中杀掉病毒,困难非常大。
另外,现在的病毒利用驱动技术过滤进程、文件、注册表、端口,想想都可怕。
那么怎么样杀毒才最有效?在病毒没有运行的时候,杀毒!病毒再厉害,也需要运行后才发挥作用,我们中毒后第一件事情就是停止病毒的运行。
那么怎么停止病毒的运行呢?杀病毒进程?不行,进程已经被过滤了,而且驱动在不停的监控进程。
最好的方法就是在病毒被windows装载前就禁止掉。
几乎所有病毒是靠后缀名来运行的,windows运行一个普通的可执行文件的时候是靠后缀名关联来运行的(system csrss lsass smss 等系统核心进程则不是这样)如果我们更改了病毒的后缀名关联,病毒将在重启系统后不能加载!所以我们的思路就是,中毒的时候,首先新建立一个可执行文件类型,比如.xxx,看下面的命令:首先,点击开始,运行,输入cmd,回车打开,输入以下命令: assoc .xxx=xxxfileftype xxxfile="%1" %*copy %systemroot%\system32\cmd.exe %systemroot%\system32\cmd. xxx好了,现在在开始->运行里面输入cmd.xxx,然后回车,发现了cmd运行了!一旦CMD运行了,我们的天空就灿烂了,现在就可以让一切病毒木马瘫痪了,木马病毒就完蛋了!继续运行下面的命令:assoc .exe=txtfileassoc .com=txtfileassoc .scr=txtfileassoc .cmd=txtfileassoc .bat=txtfileassoc .vbs=txtfileassoc .js=txtfileassoc .hta=txtfile我们重新启动电脑吧!exe/com/scr/cmd/bat/vbs/js/hta 这些后缀的文件都运行不成拉!包括病毒在内,包括杀毒软件在内,重启后都运行不成拉!这就达到了我们的目的:在病毒没有运行的时候,杀毒!然后呢,我们怎样来运行杀毒软件呢?把杀毒软件后缀名改成.xxx或者直接用CMD.xxx具体方法:点击开始->运行,输入cmd.xxx,然后进入杀毒软件的文件夹,把杀毒软件的主程序用鼠标拖到cmd窗口上,再按回车键,杀毒软件就打开拉!现在你可以扫描系统了,现在是病毒没有运行呢。
巧用注册表手动清除常见的木马和病毒
巧用注册表手工清除木马病毒湖南省冷水江市教师进修学校杨贤417500[摘要] 木马是病毒的一种,许多人为了利益,利用木马病毒控制他人的电脑,盗取资料,威胁他人财产安全。
很多人能用杀毒软件预防和清除木马病毒,但用注册表手工查看和清除木马病毒,可能知之甚少。
[关键词] 注册表、木马病毒、手工、实例、“冰河”木马对Windows操作系统稍有了解的用户都听说过注册表,它是用来对Windows操作系统进行配置的一个工具。
通过它可以对操作系统及应用软件进行优化,可以自己管理Windows的安全限制,可以解决硬件设置不当带来的故障,可以对网络进行管理,甚至可以改造自己的操作系统。
但可以用注册表手工清除计算机感染的木马病毒,可能读者知之甚少。
统计表明,现在木马在病毒中所占的比例已经超过了四分之一,而在近年涌起的病毒潮中,木马类病毒占绝对优势。
木马是一类特殊的病毒,如果你的电脑一旦感染木马,该木马就会被“种”到电脑上,以后上网时,电脑控制权就完全交给了“黑客”,他便能通过跟踪击键输入等方式,窃取密码、信用卡号码等机密资料,而且还可以对电脑进行跟踪监视、控制、查看、修改资料等操作。
一、在注册表等中查看是否浸入木马病毒:1、打开“win.ini”文件,在[WINDOWS]下面,查看“run=”和“load=”后面是否有内容。
正常情况下,它们的等号后面什么都没有(有时连[WINDOWS]项都没有)。
如果发现后面跟有你不熟悉的路径与启动文件,你的计算机就可能中上“木马”病毒了。
更要小心的是有很多“木马”,如“AOLTrojan木马”,它把自身伪装成command.exe 文件,你不要认为这是系统启动文件。
2、打开“system.ini”文件,在[BOOT]下面有“shell=文件名”项,正确的文件名应该是“explorer.exe”(正常时有时连[BOOT]项也没有),如果是“shell=explorer.exe程序名”,那么后面跟着的那个程序就是“木马”程序,说明你的计算机已经中“木马”病毒。
网络常见木马的手工清除方法
网络常见木马的手工清除方法木马的出现对我们的系统造成了很大的危害,但是由于木马通常植入得非常隐蔽,很难完全删除,因此,这里我们介绍一些常见木马的清除方法。
1. 网络公牛(Netbull)网络公牛是国产木马,默认连接端口23444。
服务端程序newserver.exe运行后,会自动脱壳成checkdll.exe,位于C:\WINDOWS\SYSTEM下,下次开机checkdll.exe将自动运行,因此很隐蔽、危害很大。
同时,服务端运行后会自动捆绑以下文件:win2000下:notepad.exe;regedit.exe,reged32.exe;drwtsn32.exe;winmine.exe。
服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、QQ、ICQ等)上,在注册表中网络公牛也悄悄地扎下了根。
网络公牛采用的是文件捆绑功能,和上面所列出的文件捆绑在一块,要清除非常困难。
这样做也有个缺点:容易暴露自己!只要是稍微有经验的用户,就会发现文件长度发生了变化,从而怀疑自己中了木马。
清除方法:1.删除网络公牛的自启动程序C:\WINDOWS\SYSTEM\CheckDll.exe。
2.把网络公牛在注册表中所建立的键值全部删除:3.检查上面列出的文件,如果发现文件长度发生变化(大约增加了40K左右,可以通过与其它机子上的正常文件比较而知),就删除它们!然后点击“开始→附件→系统工具→系统信息→工具→系统文件检查器”,在弹出的对话框中选中“从安装软盘提取一个文件(E)”,在框中填入要提取的文件(前面你删除的文件),点“确定”按钮,然后按屏幕提示将这些文件恢复即可。
如果是开机时自动运行的第三方软件如:realplay.exe、QQ、ICQ等被捆绑上了,那就得把这些文件删除,再重新安装。
2. Netspy(网络精灵)Netspy又名网络精灵,是国产木马,最新版本为3.0,默认连接端口为7306。
手工杀马安全支招
删除掉木马文件了。但是有些木马进程通过系统内梭I I 嘲 用, 权限级别 常高. 无法直接结束掉。 在这样的情况下, 只有进人瓷垒模式进行删除. 如果无法删除的活就直接进
有一些特殊的术马采用了双进程方法稿动 . 同时运行 了两个进程 , 当发现其中 一 个被结束后, 另一个就会自动 不过在强行删除木马文件时 , 切记要先备份要删除的 文 件 。因 为有 许害 木 马病 毒是 将 自身感 染 注人 到 wilg n e e no o .x ”之类的重要系统文件中.因此杀毒软
“
件将系统文件识别为木马病毒 如果 , 删除 r} 木 卜 j “ 七
汗记事本. 输人如凰4 所示的语句。
马文件” 的话 . 耶么Wid ws n o 系统将无法引导朐动 先备 然后保存该文件, 文件名为任意后糍名为. 乱的批处 份一下木马文件 . bt 如果在删除木马文件后出现系统无法启动 理文件,最后双击此批处理文件 ,即可籽两个进程都结 时 . 可以恢复刚才删除的文件. 以便蓐新引导系统. 再考 束掉 了 虑其它的清除方法。 如果实在别无它法的话. 可以考虑从其它的电脑上复 | , 制婴删酴的系统文件. 用其覆盖感染的木马瘸毒的系统文 件。 这样就可 防止删除了病毒文件后无{ 启动系统的情 去 有些木马进程伪装非常巧妙. 没有经验的用户可能很 . 难分辨哪个是术马进程.; j有借助一些工再来揪出正在使 况 了 。 = }
柞介 绍 了
三 ,结 柬可 疑进 程
二,清 除所有 启动项 目
一
,Z r
般来说 .当杀毒软件无法乐掉木马病毒时 .往往
重新肩动后 .可以尝试手工删除木马病毒文件 ,如 果还是无法删除的活. 那么木马一定屉通过其它辕蔽的方
病毒木马删除不了怎么办
病毒木马删除不了怎么办经常上网的你可能都遇到过发现木马病毒却无法杀掉的情况,其实并不是杀毒软件无能,而是病毒和木马总是先杀毒软件一步,病毒和木马技术也是也是计算机行业最先进的技术代表,如果杀毒软件没有检测过或者收到过这个木马病毒的样本,并且这个木马或者病毒的行为和之前的木马和病毒不一样,那么杀毒软件就不会有对策,比方说将自己隐藏在系统进程里,并且没有特殊的的条件不予激活,那么这个木马或者病毒就看起来是一个安分守己的程序。
这就是很多时候实际上我们的电脑并不干净,虽然用杀毒软件没有发现木马或病毒。
但是,有时候,我们确实会遇到能够查到木马病毒却无法删除的情况。
这种主要是四种原因:1、木马或者病毒文件绑架了程序的核心进程或文件,杀毒软件无法下手(此种情况居多,若下手就有可能造成误杀,并且很多杀毒和安全类软件对于系统默认程序和常见的程序都是信任和放行的);2、木马或病毒禁止了杀毒软件的某些核心进程或已将杀毒软件禁用;(此种情况也不少,不少木马程序对于国内的杀毒软件就是这么干的,甚至木马悄悄禁止了杀毒软件的运行)3、杀毒软件收到了这种病毒的样本,却还没有找到解决的办法;4、杀毒软件的主动防御机制发现了这个文件的异常行为,但却符合以上3条中的某一条,杀毒软件无法下手;上面的木马杀不掉,提示处理失败上面这些木马杀不完,每次扫描都有但是,对于用户的我们如果真的遇到这种查到病毒无法清除的情况怎么办?对于那些隐藏的比较深的木马或病毒,只有靠对计算机的熟悉程度,经常关注系统的进程来发现;对于那些能够查到但无法清除的情况反而比较好办了,你可以试试有图小站给你提供的以下方法。
1、使用木马病毒专杀工具试试。
既然能查到病毒的名称,不妨搜索一下是否有专杀软件,金山和瑞星喜欢出专杀工具,360也有不错的木马专杀工具。
2、更换一个杀毒软件。
如果当前你的杀毒软件遇到了杀不掉的木马病毒,建议你暂停或卸掉当前的杀毒软件,然后安装其他的杀毒软件试试,特别是比较严格的卡巴斯基或者nod32,更新到最新的病毒库查杀一下试试。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
手工杀病毒(转最好的网络安全博客/anbianshao/blog) 可增加知识本文一共分四部分,分别为:第一部分:工具篇(随兵出征)第二部分:查毒篇(请君入瓮)第三部分:杀毒篇(初战告捷)第四部分:修复篇(打完收工)第一部分:工具篇工欲善其事必先利其器,手动查杀并不是徒手而来,当然要借助些工具,好的工具可以帮助你快速找到解决的方案与窍门当然要借助些工具:一、扫描日志工具:当你去到一部中毒的机子,是不是会对如何下手有点茫然呢?那样,不管3721,扫描一份报告看看有何不妥先,而在报告总,系统的启动项目,进程,驱动和服务一目了然,多少可以重装发现一些蛛丝马迹,而寒冰也是习惯从这个步骤开始的. 至于寒冰推荐的扫描日志扫描当属hijackthis和SREng,尤其是后者,最近360的报告好像也挺热火的,可能是个人使用习惯吧,寒冰感觉他是介乎于两者之间,没有Sreng那么强大的dll数据,也没有hijackthis般的修复功能,虽然有颜色可以一目了然,可是排列却有点乱,有待改善啊,所以,如果你还没用过使用报告,寒冰首推SRENG这款软件,现在新的2.3版本已经出来了,具体更新的内容可以去寒冰的百度空间查看二、进程服务工具:没有病毒会选择沉默,病毒的特性决定他不会一直闲着,而活动,必然会在系统留下蛛丝马迹,可是,系统自带的资源管理器在现在病毒面前却显得如此软弱,因此,请进助手自然势在必行,常用的进程分析当属Icesword和Process Explorer三、删除工具:相信跟电脑相处多了的人,总会遇见过“文件正在被另一个人或程序使用,无法删除”诸如此类的警告,而正常文件尚且如此,病毒更是猖狂,一个具备完好自我保护体系的病毒单单的资源管理器无法结束其进程,更不用说删除他了,发现了病毒却不能删除,郁闷也许有人会建议进入安全模式进行查杀,没错,的确可以,可是,太麻烦了,而且,安全模式下又不利于我们发现病毒的同伙,最好的状态还是在“病毒进行时”,因此,一款在正常模式下可以正常删除任意文件的工具就这样应运而生了,常用且有效的有:killbox、Icesword和unlocker,其中Icesword当属得力助手(当然,有时候他也无能为力,只能多试几个好工具第二部分:查毒篇隐蔽性是病毒的一大特性,可是再隐蔽,他也总要让他自身运行的,而保证的途径必然会使他在系统留下蛛丝马迹,因此了解病毒的自启动方式对于进一步发现病毒的蛛丝马迹很有帮助,具体常见的宝地有:一、启动项目留迹1.内臵到注册表启动项目中注册表是病毒最喜欢隐藏的地方,既没有人能找到它,又能自动运行,真是快哉!的确注册表由于比较复杂,木马常常喜欢藏在这里快活常见的键值有:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curre ntVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\Curren tVersion下所有以“run”开头的键值;HKEY-USERS\Default\Software\Microsoft\Windows\Curre ntVersion下所有以“run”开头的键值。
2、隐形于启动组中有时木马并不在乎自己的行踪,它更注意的是能否自动加载到系统中,因为一旦木马加载到系统中,任你用什么方法你都无法将它赶跑(哎,这木马脸皮也真是太厚),因此按照这个逻辑,启动组也是木马可以藏身的好地方,因为这里的确是自动加载运行的好场所。
动组对应的文件夹为:C:\windows\start menu\programs \startup,在注册表中的位臵:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders Startup="C:\windows\start menu\programs\startup"。
要注意经常检查启动组哦!3、捆绑在启动文件中即应用程序的启动配臵文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。
4、潜伏在Win.ini中木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。
当然,木马也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。
大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\windows\file.exe load=c:\windows \file.exe这时你就要小心了,这个file.exe很可能是木马哦。
5、在System.ini中藏身木马真是无处不在呀!什么地方有空子,它就往哪里钻!这不,Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。
还是小心点,打开这个文件看看,它与正常文件有什么不同,在该文件的[boot]字段中,是不是有这样的内容,那就是shell=Explorer.exe file.exe,如果确实有这样的内容,那你就不幸了,因为这里的file.exe就是木马服务端程序!另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径\程序名”,这里也有可能被木马所利用。
再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里喽。
6、隐蔽在Winstart.bat中按照上面的逻辑理论,凡是利于木马能自动加载的地方,木马都喜欢呆。
这不,Winstart.bat也是一个能自动被Windows加载运行的文件,它多数情况下为应用程序及Windows自动生成,在执行了并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。
由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。
7、集成到程序中为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。
绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。
(高招)8、隐藏在配臵文件中木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配臵文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。
而且利用配臵文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。
不过,现在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys 中加载木马程序的并不多见,但也不能因此而掉以轻心哦。
(这种方式现在好像没那么流行了)明白了系统的藏身之处,我们就有思绪把他找出来了,当使用sreng查看其启动项目时,自动弹出了相应警告,提示load,shell,和Userinit等值被修改,所以,首先用Sreng 扫描一份报告如下:[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows][N/A][HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon][N/A][(Verified)Microsoft Corporation]从中可以看出,病毒为了实现启动,分别在load,shell,和Userinit等进行了窜改,其中Userinit的EXPLORER.EXE 还假装了(Verified)Microsoft Corporation的标识,具备很大诱惑性。
比如之前大名顶顶的熊猫烧香,就是通过userinit.exe加载病毒程序C:WINDOWS\system32\SVCH0ST.exe实现开机启动,如果发现了这一项目,相信你的硬盘数据就危险了二、运行系统留迹病毒要运行,自然会有进程,可是,庆幸的是某个病毒的进程还算是统一的(除非变种了),而初级的病毒通过资源管理器可以立马做出判断(前提你应该认识系统进程和常用软件进程),再通过相应的工具辅组就可以找到他的相对路径,也许有人抱怨资源管理器连路径都无法提供,太无能了,就去找那个lohorn版本的装上,其实,只需要一个命令就可以找出来进程的文件路径,方法如下:开始-运行-msinfo32,切换到软件,就可以看到了然而,现在很多病毒已经实现了进程隐藏,单靠系统的资源管理器是无法查看到的,因此,加强型的进程查看自然应运而生,有人推荐了PE了,的确是很强,可是,为了尽量减少我们使用的工具,还是用Icesword(个人习惯,呵呵),,点击进程,如果可以看到红色的进程你就得小心了,同时,多注意一下进程的图标,比如之前的sxs就一目了然了,是柯南,而这次,本来lasaa,winlogon等进程是系统进程,在这里却是文件夹图标,十分可疑,而且看路径,呵呵,又被发现了,这是病毒了,icesword把痕迹扫描出来了三.SSM监控留迹相信SSM由于nslog的一篇文章很多人都认识了,[/size]/read.php?tid=136666&u =112814,在此不是讨论其他的功能,只是提供一个间接查毒的方案:在此开机设臵其自动启动,然后通过开机启动的进程也不愧为发现同党的一个好办法,如图,乖乖泄密了,呵呵第三部分:杀毒篇既然在上面发现了病毒及其痕迹,现在自然就是动手操作了,杀毒也是最简单的一个步骤,操作无非就是删除文件,结束服务,删除驱动保护,而想做到这些,相信徒手是不可能做到的,具体还是要请好的工具当助手从软件界面看发现以下提示:从上面发现得,我们自然要从启动项目得病毒先清理,首先是最关键的load,shell,和Userinit,相应的日志是[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows][N/A][HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon][N/A][(Verified)Microsoft Corporation]其次,启动文件夹(这个可以在程序-启动看到):[Empty][N/A]>最后,其他启动项目:[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run][Microsoft Corporation][Microsoft Corporation][N/A][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run][N/A]从中我们知道病毒文件有:C:\windows\system32\wincfgs.exeC:\WINDOWS\eksplorasi.exeEXPLORER.EXE(位臵未知)Empty.pif(该病毒后来竟然在c盘明目张胆的出现,也没有隐藏,呵呵,好大胆阿)wsctf.exeC:\Documents and Settings\茅屋\LocalSettings\Application Data\smss.exeC:\WINDOWS\ShellNew\sempalong.exe然后,我们通过icesword查看系统进程,看看,发现什么了?没错了,看到很奇怪的东西吧?系统的进程lasaa.exe,winlogon等都是文件夹图标?看他们的位臵,呵呵,全部是同个文件夹,还知道了病毒,就应该进行杀除了,可是病毒也不是吃斋的和尚,单凭简单的del是无法达到目的的,因此,借助辅组工具自然也是必要的,常用的有killbox、Icesword和unlocker 第四部分:修复篇[size=2]扫干净病毒,自然要对战场进行清理,病毒为了保护自己,自然对电脑环境中不利于自己的设臵进行修改,诸如以上的一些工具被禁用和注册表被锁定的提示一点也不新鲜. 各位应该还记得寒冰在SXS.exe病毒时说过该病毒就是通过修改注册表实现隐藏文件无法查看从而让自己不被发现,而这次寒冰碰上的病毒似乎更厉高明一些,她把系统的“文件夹选项”隐藏了,呵呵,所以,清理病毒后如果不对系统进行必要的修复,相信没有哪一个MM认为你已经把问题解决了,一般的系统被破坏的痕迹包括一下几分面(以下修复建议在查杀完之后再进行,因为病毒运行本身会检测这些项目是否被修正,而且如果有人发现这些修复的方法都无须,更改后马上又被窜改,那就要考虑是不是毒还没清理干净了)1.禁用注册表2.隐藏“文件夹选项”3.禁用组策略4.窜改文件关联5.启动项目残留(如果开机后提示"**无法找到",就是启动项目未清理的缘故)具体的修复建议还是通过小工具去实现,毕竟很多项目需要查找注册表对于后续工具也麻烦了一些,在此推荐几个工具,由于百度空间无法上传,已经发到寒冰的优盘了(地址/?readon99),相应目录是:网络安全系列--系统修复系列,其他的修复可以通过相应的介绍使用。