手工杀毒方法【唐山黑客吧】

唐山黑客吧关注：12贴子：171

2回复贴，共1页

手工杀毒方法

手工杀毒的方法
一 EXE后缀型病毒文件的手工杀毒的方法教程：
　　这类病毒一般是以进程的方式运行，这类病毒一般是比较好被发现的。下边先说下这类病毒，是在哪里启动的。
1/注册表如果发现计算机有不名的进程和异常情况请在注册表内下列地方进行核实找住可以的程序进行删除
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
　　HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \RunServicesOnce
　　HKEY_CURRENT_USER/Software\Microsoft\Windows\CurrentVersion\Run
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
　　HKEY_CURRENT_USER \Software \Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\Run
　　HKEY_CURRENT_USER\ Software\ Microsoft \Windows\ CurrentVersion
　　Explorer/ShellFolders Startup="C:/windows/start menu/programs/startup
　　2/系统WIN.INI文件内在win.ini文件中，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动件。也许你会问了我是XP系统啊怎么没有这个呢？不必担心给你个正确的你参考下就知道有没有可疑程序了。下边就是正常的WIN.INI(XP)
; for 16-bit app support
　　[fonts]
　　[extensions]
　　[mci extensions]
　　[files]
　　[Mail]
　　MAPI=1
　　CMCDLLNAME32=mapi32.dll
　　CMCDLLNAME=mapi.dll
　　CMC=1
　　MAPIX=1
　　MAPIXVER=1.0.0.1
　　OLEMessaging=1
　　[MCI Extensions.BAK]
　　aif=MPEGVideo
　　aifc=MPEGVideo
　　aiff=MPEGVideo
　　asf=MPEGVideo2
　　asx=MPEGVideo2
　　au=MPEGVideo
　　m1v=MPEGVideo
　　m3u=MPEGVideo2
　　mp2=MPEGVideo
　　mp2v=MPEGVideo
　　mp3=MPEGVideo2
　　mpa=MPEGVideo
　　mpe=MPEGVideo
　　mpeg=MPEGVideo
　　mpg=MPEGVideo
　　mpv2=MPEGVideo
　　snd=MPEGVideo
　　wax=MPEGVideo2
　　wm=MPEGVideo2
　　wma=MPEGVideo2
　　wmv=MPEGVideo2
　　wmx=MPEGVideo2
　　wvx=MPEGVideo2
　　wpl=MPEGVideo
　　3/SYSTEM.INI文件中在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，本文发表于pcpxp.com网站，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。又会有人问了我是XP系统怎么又不一样呢？在给你个正常的XP系统的SYSTEM.INI请大家可以参考下正常的SYSTEM.INI文件
; for 16-bit app support
　　[drivers]
　　wave=mmdrv.dll
　　timer=timer.drv
　　[mci]
　　[driver32]
　　[386enh]
　　woafont=app936.FON
　　EGA80WOA.FON=EGA80WOA.FON

送TA礼物

1楼2009-05-07 22:12回复

　　3/普通后门连接需要打开特定的端口，DLL后门也不例外，不管它怎么隐藏，连接的时候都需要打开端口。我们可以用netstat –an来查看所有TCP/UDP端口的连接，以发现非法连接。大家平时要对自己打开的端口心中有数，并对netstat –an中的state属性有所了解。当然，也可以使用Fport来显示端口对应的进程，这样，系统有什么不明的连接和端口，都可以尽收眼底。
　　4/最关键的方法对比法。安装好系统和所有的应用程序之后，备份system32目录下的EXE和DLL文件：打开CMD，来到WINNTsystem32目录下，执行：dir *.exe>exe.txt & dir *.dll>dll.txt，这样，就会把所有的EXE和DLL文件备份到exe.txt和dll.txt文件中；日后，如发现异常，可以使用相同的命令再次备份EXE和DLL文件(这里我们假设是exe0.txt和dll0.txt)，并使用：fc exe.txt exe0.txt>exedll.txt & fc dll.txt dll0.txt>exedll.txt，其意思为使用FC命令比较两次的EXE文件和DLL文件，并将比较结果保存到exedll.txt文件中。通过这种方法，我们就可以发现多出来的EXE和DLL文件，并通过文件大小，创建时间来判断是否是DLL后门。
　　DLL型病毒的清除方法
　　1/ 在确定DLL病毒的文件的话请尝试下边方法
　　移除方法：
　　1. 开始——运行——输入"Regedit"
　　2. 搜索"*.dll"
　　3. 删除搜索到的键值。
　　4. 重启
　　5. 转到C:\Windows\System32\
　　6. 删除*.dll
　　2/到注册表下列地方寻找DLL的踪迹
HKEY_LOCAL_MACHINE/ SOFTWARE/ Microsoft/ WindowsNT/ Currentversion/ Svchost
　　3/如果上边的地方都找不到的话建议使用优化大势进程显示工具对 RUNDLL32.EXE和SVCHOST.EXE里边运行的DLL程序进行核实找到病毒文件对其进行结束然后在对他进行删除建议使用第1种方法是非常有效的
三、$NtUninstallQxxxxxxx$（x代表数字）型病毒的手工杀毒的方法教程：
　　这个属于恶意脚本文件病毒。C盘下生成文件夹：$NtUninstallQxxxxxxx$（x代表数字）冒充微软更新补丁的卸载文件夹，并且在Win2000/XP下拥有系统文件级隐藏属性。下边说下清楚方法
　　注册表手动删除启动项，参考：
　　HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run
　　HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run
　　删除：regedit -s C:\$NtUninstallQxxxxxxx$\WINSYS.cer
　　HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\Windows\ CurrentVersion\ RunOnce
　　HKEY_LOCAL_MACHINE\ SOFTWARE \Microsoft\ Windows\ CurrentVersion\RunOnce
　　删除：Sys32，值为：C:\$NtUninstallQxxxxxxx$\WINSYS.vbs
　　HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft \Windows\ CurrentVersion \Run
　　删除：Sys32，值为：regedit -s C:\$NtUninstallQxxxxxxx$\WINSYS.cer
　　删除：internat.exe，值为：internat.exe
　　删除整个$NtUninstallQxxxxxxx$ 目录
　　pcpxp.com 补充说明：
　　系统文件夹（\WINNT或\Windows）下出现的如$NtUninstallQ823980$ 、$NtUninstallQ814033$ 这类文件夹是Windows Update 或安装微软补丁程序留下的卸载信息，用来卸载已安装的补丁，按补丁的编号如Q823980、Q814033 可以在微软的网站查到相应的说明。请注意与恶意代码建立的文件夹区分。

3楼2009-05-07 22:12