1、申 请 I D:731315150
2、个人邮箱:731315150@qq.com
3、一篇原创技术文章:
Windos下手动杀毒一.中毒特征
这一点非常重要,中毒发现的越早越好,不但便于处理而且还能够及时备份重要数据。
笔者发现的特征主要有以下几点:
1.运行未知程序时忽然刷新了桌面;
2.机子速度明显变慢;
3.弹出未知网页及提示框;
4.桌面出现异常图标,各盘符下出现无法删除的异常文件;
5.杀软被劫持或者干脆挂掉(看进程以及桌面上的图标就能判断)。
二.一线处理
如果你已经不幸的发现电脑中了某病毒,或被某流氓缠身,请千万先记得这两个操作:
1.切断网络;
2.先不要重启!
3.注意你的U盘。
第一当然是为了防止成为别人的肉.鸡,第二点我要特别强调!!!写了启动项和自我复制的病毒会在你盲目重启后占领你的硬盘,事情就会变得比较麻烦,更重要的是,如果遇上黑心作者覆写了所有的pe文件......你就拿块毛巾准备抹眼泪吧。搞清问题再做下一步打算,盲目重启只会让事情变得更糟。第三就是现在病毒基本都感染移动储存,碰上了最好先别再用......但是!如果优盘里有重要数据,说啥也要先备份,至于为什么我会在最后举个例子。
三.类型判断
一般来说,流氓类的脚本也算是一种病毒了,所以判断清楚对处理方向有很大的指向性,会更加的省时省力。由于这是一篇关于技巧的文章,小菜Nero我就只强调三点:
1.桌面上出新鲜玩意儿的大多是流氓类,危害性不大(这条只供参考啊,经验而已...)。
2.在各盘符底下拷贝了脚本或者文件夹的,一定记得备份好数据,弄不好有破坏性;
3.写了注册表或启动项的,大多有盗号的嫌疑,记得暂时不要再上邮箱和qq等。
四.思路
如下:
保存手头工作,备份重要数据→查看桌面,各盘符根目录,及杀软状况→基本判断病毒类型→(看端口→)kill进程→kill病毒源文件→kill病毒启动项→清理注册表→查看敏感目录→清理战场→重启(现在必须的)→查看是否有残留→根除病毒。
“看端口”这一点在查杀中不是很有用,其实经常就不用,所以括号括起来。但是判断类型上还是起作用的,有时候会有意外的收获。
五.辅助工具
这个是必须的,推荐必用的几款:冰刃,XueTr,Process Explorer(貌似比较老,查进程专用工具,强大专业就是有点复杂),IceSearch是个查找病毒源文件利器,关键看图里有个限定文件大小的功能,配合日期揪出病毒妥妥的。
最主要的个人觉得还是XueTr和冰刃。 file:///C:\Users\LISHIC~1\AppData\Local\Temp\ksohtml\wps_clip_image-12467.png file:///C:\Users\LISHIC~1\AppData\Local\Temp\ksohtml\wps_clip_image-24474.png file:///C:\Users\LISHIC~1\AppData\Local\Temp\ksohtml\wps_clip_image-22047.png 六.实例解析
病毒描述:
一个典型的流氓类病毒,各种损招传播该有的都有了,劫持浏览器并在桌面生成4个无法删除的网页快捷方式,均指向钓鱼网站sfc008.com(用这种方法简直无耻**了)。并在c:\windows\system32下产生两个文件夹,文件夹名不规则,为十个字符的随机生成,内各放一explore.exe和smss.exe木马文件。最巧妙的是在你感染该病毒的目录下,他会自动生成一个与子文件夹图标一模一样的exe文件,双击之后不但运行了病毒,而且随后会立刻打开该目录。绝对骗过大多数同学(这里只是简单说一下,网上已经有人专门写文章来剖析该病毒,好像叫做“sfc008木马”,大家可以搜搜看,委实说病毒写的很聪明,当时我中的时候各杀软都没辙,网上也没什么方法。在这里我简单说一下。)
手工步骤:
1.用冰刃 ,在进程中kill:c:\windows\system32\qfdpiaebbu\explore.exe,和c:\windows\system32\todqcgshvk\smss.exe这两个;
2.打开注册表编辑器,在 HKEY_CLASSES_ROOT 中找到exefile(不是.exe),选中exefile,在右边窗口空白处点右键,选择“新建→字符串值”,设置名称为AlwaysShowExt,然后重启explorer即可。反之,如果设置名称为NeverShowExt,就可以让exe文件扩展名从不显示(该病毒会把文件后缀隐藏);
3.用XueTr结果了病毒在注册表和启动项里留下的东西。
4.全盘搜索大小为“86557kb”的可执行文件,杀!
(5.如果插着优盘,千万千万先备份所有数据!他会把所有文件覆写了,数据全毁!下次打开就是满盘的86557kb的exe!)
6.这时候桌面上的东东就能删掉了,清理一下全盘。收工!
提示:在中毒后,文件夹不能随便点击,以免再次中毒;桌面上的所有IE图标也不要点击。清理完之后才可以打开来看是否恢复。
前几天做了个申请,申请文章是放在World文档里的,过了这么长时间不知道为什么还没有通过,这次放出来了希望H大手下留情给予通过。 我把上次写的文件放到我的百度网盘了 网盘地址:http://pan.baidu.com/s/1qWExzzQ
| 
吾爱游客
发表于 2014-6-10 21:23
