查看: 79739|回复: 280
收起左侧

[推荐]手工查杀病毒经验谈(值得一看)!!!

[复制链接]
wangjay1980
发表于 2007-1-30 16:43:03 | 显示全部楼层 |阅读模式
关于手动杀毒的个人心得

原文首发雨林木风论坛,原文链接:http://bbs.ylmf.com/read.php?tid=151639&u=112814
经常在论坛看到不少关于中毒求助的帖子,在此寒冰也尽自己所知道,所掌握的知识,参考了些资料,做一个病毒的查杀实战贴,希望有一定基础的朋友可以通过学习掌握一定的查杀知识和技能,更欢迎各大论坛的朋友们提出意见和补充,好让更多人因为学习而受益啊.个人认为病毒无非是:病毒文件、注册表、启动项、服务四大块,既然如此,只要把这四方面都干掉了也就差不多了; 本次寒冰通过一次实战经历,把查杀病毒会出现的问题尽可能涉及,所以以下查杀部分不全部代表该病毒的情况,只是为了做一说明而添加必要的假设,希望本帖真的可以帮到经常被病毒困扰的朋友们。

本帖一共分四部分,分别为:

第一部分:工具篇(随兵出征)
第二部分:查毒篇(请君入瓮)
第三部分:杀毒篇(初战告捷)
第四部分:修复篇(打完收工)



第一部分:工具篇
工欲善其事必先利其器,手动查杀并不是徒手而来,当然要借助些工具,好的工具可以帮助你快速找到解决的方案与窍门当然要借助些工具:
一、扫描日志工具:
当你去到一部中毒的机子,是不是会对如何下手有点茫然呢?那样,不管3721,扫描一份报告看看有何不妥先,而在报告总,系统的启动项目,进程,驱动和服务一目了然,多少可以重装发现一些蛛丝马迹,而寒冰也是习惯从这个步骤开始的. 至于寒冰推荐的扫描日志扫描当属hijackthis和SREng,尤其是后者,最近360的报告好像也挺热火的,可能是个人使用习惯吧,寒冰感觉他是介乎于两者之间,没有Sreng那么强大的dll数据,也没有hijackthis般的修复功能,虽然有颜色可以一目了然,可是排列却有点乱,有待改善啊,所以,如果你还没用过使用报告,寒冰首推SRENG这款软件,现在新的2.3版本已经出来了,具体更新的内容可以去寒冰的百度空间查看
二、进程服务工具:
没有病毒会选择沉默,病毒的特性决定他不会一直闲着,而活动,必然会在系统留下蛛丝马迹,可是,系统自带的资源管理器在现在病毒面前却显得如此软弱,因此,请进助手自然势在必行,常用的进程分析当属Icesword和Process Explorer
三、删除工具:
相信跟电脑相处多了的人,总会遇见过“文件正在被另一个人或程序使用,无法删除”诸如此类的警告,而正常文件尚且如此,病毒更是猖狂,一个具备完好自我保护体系的病毒单单的资源管理器无法结束其进程,更不用说删除他了,发现了病毒却不能删除,郁闷 也许有人会建议进入安全模式进行查杀,没错,的确可以,可是,太麻烦了,而且,安全模式下又不利于我们发现病毒的同伙,最好的状态还是在“病毒进行时”,因此,一款在正常模式下可以正常删除任意文件的工具就这样应运而生了,常用且有效的有:killbox、Icesword和unlocker,其中Icesword当属得力助手(当然,有时候他也无能为力,只能多试几个好工具)


第二部分:查毒篇

隐蔽性是病毒的一大特性,可是再隐蔽,他也总要让他自身运行的,而保证的途径必然会使他在系统留下蛛丝马迹,因此了解病毒的自启动方式对于进一步发现病毒的蛛丝马迹很有帮助,具体常见的宝地有:



一、启动项目留迹


1.内置到注册表启动项目中

  注册表是病毒最喜欢隐藏的地方,既没有人能找到它,又能自动运行,真是快哉!的确注册表由于比较复杂,木马常常喜欢藏在这里快活常见的键值有:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;
HKEY-USERS\Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。


2、隐形于启动组中

  有时木马并不在乎自己的行踪,它更注意的是能否自动加载到系统中,因为一旦木马加载到系统中,任你用什么方法你都无法将它赶跑(哎,这木马脸皮也真是太厚),因此按照这个逻辑,启动组也是木马可以藏身的好地方,因为这里的确是自动加载运行的好场所。
动组对应的文件夹为:C:\windows\start menu\programs\startup,
在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
  Explorer\ShellFolders Startup="C:\windows\start menu\programs\startup"。要注意经常检查启动组哦!


3、捆绑在启动文件中

  即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。


4、潜伏在Win.ini中

  木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然,木马也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\windows\file.exe load=c:\windows\file.exe
  这时你就要小心了,这个file.exe很可能是木马哦。


5、在System.ini中藏身

  木马真是无处不在呀!什么地方有空子,它就往哪里钻!这不,Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。还是小心点,打开这个文件看看,它与正常文件有什么不同,在该文件的[boot]字段中,是不是有这样的内容,那就是shell=Explorer.exe file.exe,如果确实有这样的内容,那你就不幸了,因为这里的file.exe就是木马服务端程序!另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径\程序名”,这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里喽。



6、隐蔽在Winstart.bat中

  按照上面的逻辑理论,凡是利于木马能自动加载的地方,木马都喜欢呆。这不,Winstart.bat也是一个能自动被Windows加载运行的文件,它多数情况下为应用程序及Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。


7、集成到程序中

  为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。 (高招)

8、隐藏在配置文件中

  木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。不过,现在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心哦。 (这种方式现在好像没那么流行了)


明白了系统的藏身之处,我们就有思绪把他找出来了,当使用sreng查看其启动项目时,自动弹出了相应警告,提示load,shell,和Userinit等值被修改,所以,首先用Sreng扫描一份报告如下:

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  <load><C:\windows\system32\wincfgs.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  <shell><Explorer.exe "C:\WINDOWS\eksplorasi.exe"> [N/A]
  <Userinit><userinit.exe,EXPLORER.EXE> [(Verified)Microsoft Corporation]

从中可以看出,病毒为了实现启动,分别在load,shell,和Userinit等进行了窜改,其中Userinit的EXPLORER.EXE还假装了(Verified)Microsoft Corporation的标识,具备很大诱惑性。

比如之前大名顶顶的熊猫烧香,就是通过userinit.exe加载病毒程序C:WINDOWS\system32\SVCH0ST.exe实现开机启动,如果发现了这一项目,相信你的硬盘数据就危险了


二、运行系统留迹

病毒要运行,自然会有进程,可是,庆幸的是某个病毒的进程还算是统一的(除非变种了),而初级的病毒通过资源管理器可以立马做出判断(前提你应该认识系统进程和常用软件进程),再通过相应的工具辅组就可以找到他的相对路径,也许有人抱怨资源管理器连路径都无法提供,太无能了,就去找那个lohorn版本的装上,其实,只需要一个命令就可以找出来进程的文件路径,方法如下:

开始-运行-msinfo32,切换到软件,就可以看到了

然而,现在很多病毒已经实现了进程隐藏,单靠系统的资源管理器是无法查看到的,因此,加强型的进程查看自然应运而生,有人推荐了PE了,的确是很强,可是,为了尽量减少我们使用的工具,还是用Icesword(个人习惯,呵呵),,点击进程,如果可以看到红色的进程你就得小心了,同时,多注意一下进程的图标,比如之前的sxs就一目了然了,是柯南,而这次,本来lasaa,winlogon等进程是系统进程,在这里却是文件夹图标,十分可疑,而且看路径,呵呵,又被发现了,这是病毒了,icesword把痕迹扫描出来了







三.SSM监控留迹

相信SSM由于nslog的一篇文章很多人都认识了,
http://bbs.ylmf.com/read.php?tid=136666&u=112814,在此不是讨论其他的功能,只是提供一个间接查毒的方案:
在此开机设置其自动启动,然后通过开机启动的进程也不愧为发现同党的一个好办法,如图,乖乖泄密了,呵呵





第三部分:杀毒篇

既然在上面发现了病毒及其痕迹,现在自然就是动手操作了,杀毒也是最简单的一个步骤,操作无非就是删除文件,结束服务,删除驱动保护,而想做到这些,相信徒手是不可能做到的,具体还是要请好的工具当助手

从软件界面看发现以下提示:













从上面发现得,我们自然要从启动项目得病毒先清理,首先是最关键的load,shell,和Userinit,相应的日志是:

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  <load><C:\windows\system32\wincfgs.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  <shell><Explorer.exe "C:\WINDOWS\eksplorasi.exe"> [N/A]
  <Userinit><userinit.exe,EXPLORER.EXE> [(Verified)Microsoft Corporation]



其次,启动文件夹(这个可以在程序-启动看到):

[Empty]
<C:\Documents and Settings\茅屋\「开始」菜单\程序\启动\Empty.pif --> [N/A]><N>




最后,其他启动项目:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  <wsctf.exe><wsctf.exe> [Microsoft Corporation]
  <EXPLORER.EXE><EXPLORER.EXE> [Microsoft Corporation]
  <Tok-Cirrhatus><"C:\Documents and Settings\茅屋\Local Settings\Application Data\smss.ex> [N/A]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <Bron-Spizaetus><"C:\WINDOWS\ShellNew\sempalong.exe"> [N/A]


从中我们知道病毒文件有:

C:\windows\system32\wincfgs.exe
C:\WINDOWS\eksplorasi.exe
EXPLORER.EXE
(位置未知)
Empty.pif(该病毒后来竟然在c盘明目张胆的出现,也没有隐藏,呵呵,好大胆阿)
wsctf.exe
C:\Documents and Settings\茅屋\Local Settings\Application Data\smss.exe
C:\WINDOWS\ShellNew\sempalong.exe



然后,我们通过icesword查看系统进程,看看,发现什么了?




没错了,看到很奇怪的东西吧?

系统的进程lasaa.exe,winlogon等都是文件夹图标?看他们的位置,呵呵,全部是同个文件夹,还



知道了病毒,就应该进行杀除了,可是病毒也不是吃斋的和尚,单凭简单的del是无法达到目的的,因此,借助辅组工具自然也是必要的,常用的有killbox、Icesword和unlocker



附:转载自ALPHA'S STUDIO,http://hi.baidu.com/peaset/blog/item/b5efafa12ddb048b461064de.html,在此表示感谢:
发现病毒,无法清除怎么办?
Q:发现病毒,但是无论在安全模式还是Windows下都无法清除怎么办?
A:由于某些目录和文件的特殊性,无法直接清除(包括安全模式下杀毒等一些方式杀毒),而需要某些特殊手段清除的带毒文件。以下所说的目录均包含其下面的子目录。
1、带毒文件在\Temporary Internet Files目录下。
由于这个目录下的文件,Windows会对此有一定的保护作用(未经证实)。所以对这个目录下的带毒文件即使在安全模式下也不能进行清除,对于这种情况,请先关闭其他一些程序软件,然后打开IE,选择IE工具栏中的"工具"\"Internet选项",选择"删除文件"删除即可,如果有提示"删除所有脱机内容",也请选上一并删除。
2、带毒文件在\_Restore目录下,或者System Volume Information目录下。
这是系统还原存放还原文件的目录,只有在装了Windows Me/XP操作系统上才会有这个目录,由于系统对这个目录有保护作用。对于这种情况需要先取消"系统还原"功能,然后将带毒文件删除,甚至将整个目录删除也是可以的。 关闭系统还原方法。WindowsMe的话,禁用系统还原,DOS下删除。XP关闭系统还原的方法:右键单击“我的电脑”,选“属性”--“系统还原”--在“在所有驱动器上关闭系统还原”前面打勾--按“确定”退出。
3、带毒文件在.rar、.zip、.cab等压缩文件中。
现今能支持直接查杀压缩文件中带毒文件的反病毒软件还很少,即使有也只能支持常用的一些压缩格式;所以,对于绝大多数的反病毒软件来说,最多只能检查出压缩文件中的带毒文件,而不能直接清除。而且有些加密了的压缩文件就更不可能直接清除了。
要清除压缩文件中的病毒,建议解压缩后清除,或者借助压缩工具软件的外挂杀毒程序的功能,对带毒的压缩文件进行杀毒。
4、病毒在引导区或者SUHDLOG.DAT或SUHDLOG.BAK文件中。
这种病毒一般是引导区病毒,报告的病毒名称一般带有boot、wyx等字样。如果病毒只是存在于移动存储设备(如软盘、闪存盘、移动硬盘)上,就可以借助本地硬盘上的反病毒软件直接进行查杀;如果这种病毒是在硬盘上,则需要用干净的可引导盘启动进行查杀。
对于这类病毒建议用干净软盘启动进行查杀,不过在查杀之前一定要备份原来的引导区,特别是原来装有别的操作系统的情况,如日文Windows、Linux等。
如果没有干净的可引导盘,则可使用下面的方法进行应急杀毒:
(1) 在别的计算机上做一张干净的可引导盘,此引导盘可以在Windows 95/98/ME系统上通过"添加/删除程序"进行制作,但要注意的是,制作软盘的操作系统须和自己所使用的操作系统相同;
(2) 用这张软盘引导启动带毒的计算机,然后运行以下命令:
A:\>fdisk/mbr
A:\>sys a: c:

如果带毒的文件是在SUHDLOG.DAT或SUHDLOG.BAK文件中,那么直接删除即可。这是系统在安装的时候对硬盘引导区做的一个备份文件,一般作用不大,病毒在其中已经不起作用了。
5、带毒文件的后缀名是.vir、.kav、.kbk等。
这些文件一般是一些防毒软件对原来带毒的文件做的备份文件,一般情况下,如果确认这些文件已经无用了,那就将这些文件删除即可。
6、带毒文件在一些邮件文件中,如dbx、eml、box等。
有些防毒软件可以直接检查这些邮件文件中的文件是否带毒,但往往不能对这些带毒的文件直接的进行操作,对于一些邮箱中的带毒的信件,可以根据防毒软件提供的信息找到那带毒的信件,删除信件中的附件或者删除该信件;如果是eml、nws一些信件文件带毒,可以用相关的邮件软件打开,确认该信件及其附件,然后删除相关内容。一般有大量的eml、nws的带毒文件的话,都是病毒自动生成的文件,建议都直接删除。
7、文件中有病毒的残留代码。
这种情况比较多见的就是带有CIH、Funlove、宏病毒(包括Word、Excel、Powerpoint和Wordpro等文档中的宏病毒)和个别网页病毒的残留代码,通常防毒软件对这些带有病毒残留代码的文件报告的病毒名称后缀通常是int、app等结尾,而且并不常见,如W32/FunLove.app、W32.Funlove.int。一般情况下,这些残留的代码不会影响正常程序的运行,也不会传染,如果需要彻底清除的话,要根据各个病毒的实际情况进行清除。
8、文件错误。
这种情况出现的并不多,通常是某些防毒软件将原来带毒的文件并没有很干净地清除病毒,也没有很好的修复文件,造成文件无法正常使用,同时造成别的防毒软件的误报。这些文件可以直接删除。
9、加密的文件或目录。
对于一些加密了的文件或目录,请在解密后再进行病毒查杀。
10、共享目录。
这里包括两种情况:本地共享目录和网络中远程共享目录(其中也包括映射盘)。遇到本地共享的目录中的带毒文件不能清除的情况,通常是局域网中别的用户在读写这些文件,杀毒的时候表现为无法直接清除这些带毒文件中的病毒,如果是有病毒在对这些目录在写病毒操作,表现为对共享目录进行清除病毒操作后,还是不断有文件被感染或者不断生成病毒文件。以上这两种情况,都建议取消共享,然后针对共享目录进行彻底查杀,恢复共享的时候,注意不要开放太高的权限,并对共享目录加设密码。对远程的共享目录(包括映射盘)查杀病毒的时候,首先要保证本地计算机的操作系统是干净的,同时对共享目录也有最高的读写权限。如果是远程计算机感染病毒的话,建议还是直接在远程计算机进行查杀病毒。特别的,如果在清除别的病毒的时侯都建议取消所有的本地共享,再进行杀毒操作。在平时的使用中,也应注意共享目录的安全性,加设密码,同时,非必要的情况下,不要直接读取远程共享目录中的文件,建议拷贝到本地检查过病毒后再进行操作。
11、光盘等一些存储介质。
对于光盘上带有的病毒,不要试图直接清除,这是神仙也做不到的事情。同时,对另外一些存储设备查杀病毒的,也需要注意其是否处于写保护或者密码保护状态。


第四部分:修复篇


      


  扫干净病毒,自然要对战场进行清理,病毒为了保护自己,自然对电脑环境中不利于自己的设置进行修改,诸如以上的一些工具被禁用和注册表被锁定的提示一点也不新鲜.

  各位应该还记得寒冰在SXS.exe病毒时说过该病毒就是通过修改注册表实现隐藏文件无法查看从而让自己不被发现,而这次寒冰碰上的病毒似乎更厉高明一些,她把系统的“文件夹选项”隐藏了,呵呵,所以,清理病毒后如果不对系统进行必要的修复,相信没有哪一个MM认为你已经把问题解决了,一般的系统被破坏的痕迹包括一下几分面(以下修复建议在查杀完之后再进行,因为病毒运行本身会检测这些项目是否被修正,而且如果有人发现这些修复的方法都无须,更改后马上又被窜改,那就要考虑是不是毒还没清理干净了):

1.禁用注册表
2.隐藏“文件夹选项”
3.禁用组策略
4.窜改文件关联
5.启动项目残留(如果开机后提示"**无法找到",就是启动项目未清理的缘故)


具体的修复建议还是通过小工具去实现,毕竟很多项目需要查找注册表对于后续工具也麻烦了一些,在此推荐几个工具,由于百度空间无法上传,已经发到蓝色寒冰+工具集合盘(地址http://readon99.edudisk.cn/),相应目录是:网络安全系列--系统修复系列,其他的修复可以通过相应的介绍使用


而且提醒一点,像寒冰差毒过程中曾经插进了u盘,这时候你应该考虑是不是存在被感染的可能性,像寒冰的u盘,查看后发现多了一个anturun.inf和以用户名命名的文件夹,鉴于此,的确可疑,双击运行后,ssm报警了,的确,就是残留物,如果你不删除,下次插入u盘,相信你又得再把工作重新来一遍了,呵呵


附:转载自ALPHA'S STUDIO,http://hi.baidu.com/peaset/blog/item/b5efafa12ddb048b461064de.html,在此表示感谢:
解除禁用注册表:
方法一:应用组策略
在“开始——运行”中输入gpedit.msc,〔确定〕后打开“组策略”窗口。在“组策略”的左窗口中依次找到“用户配置→管理模板→系统”分支,在右边的窗口中双击〔阻止访问注册表编辑工具〕,打开其属性对话框,并在设置中点选〔已禁用),然后〔应用〕并〔确定〕就可以了。现在,再在“开始-运行”中输入Regedit看看,是不是你的注册表编辑器又回来了?
方法二:修改注册表
写一条解锁的注册表文件∶打开记事本,把下面两条虚线之间的内容复制进去,
--------------------------------------------------------------------
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableRegistryTools"=dword:00000000
--------------------------------------------------------------------
您可以把上面的内容复制进记事本里,然后点击∶文件--另保存为 abc.reg(REG文件,可任意命名文件名),保存在桌面或其它分区中,然后双击该文件执行即可。
以上为2000/XP/2003的注册表文件,如果你的系统是win98,只要将第一行的Windows Registry Editor Version 5.00改为REGEDIT4即可。

解决不能显示隐藏文件
打开记事本,把下面两条虚线之间的内容复制进去,
--------------------------------------------------------------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
--------------------------------------------------------------------

保存文件名:“显示被隐藏的文件.REG”,(确保在“文件夹选项”中去掉“隐藏已知文件类型的扩展名”),双击运行此文件,再重新到“文件夹选项”中设置显示隐藏文件。
注意:如果上述方法无效,先检查CheckedValue的类型是否为REG_DWORD,如果不是则删掉“李鬼”CheckedValue(例如在本“案例”中,应该把类型为REG_SZ的CheckedValue删除)。然后单击右键“新建”--〉“Dword值”,并命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”。
经过刚才一番操作,我的电脑里的隐藏文件可以看到了,假如上述方法无效,那么可能是
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden

的数据丢失或损坏,遇到这种情况,找一部没有问题的电脑,把

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden

这个分支导出(假如命名为1.reg);然后备份有问题的电脑的该注册表分支;最后把1.reg导入解决问题。

附:文件夹选项默认值:(XP系统,可以将以下文本保存为注册表文件导入注册表,以修复相关问题)
--------------------------------------------------------------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
  00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
  48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
  00
"HelpID"="shell.hlp#51131"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
--------------------------------------------------------------------

任务管理器已被系统管理员停用:
一、组策略”法,请按照下面步骤进行组策略操作:
1、点击『开始』菜单
2、点击“运行”并键入"gpedit.msc"(不包括双引号)后确定
3、在“组策略”中依次展开

"本地计算机"策略/用户配置/管理模板/系统/Ctrl+Alt+Del 选项
4、在该列表中打开 删除“任务管理器” 的属性
5、在 删除“任务管理器” 属性中的“设置”选项卡中点选“已禁用”或“未配置”单选项,确定。

注:该策略的效果为,“任务栏”上的右键菜单上的“任务管理器”呈不可点击状,而按下组合键Ctrl+Alt+Del之后会弹出题目为
“任务管理器”的对话框,内容是“任务管理器已被系统管理员停用”。
上述策略须在管理员帐户下操作
上述方法因需用到“组策略”,故该法适用于:
·Microsoft Windows XP Professional

二、“注册表”法,请按照下面步骤进行注册表编辑操作:
方法一:
1、点击『开始』
2、点击“运行”并键入"regedit"(不包括双引号)后确定
3、在“注册表编辑器”中依次展开

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
在该注册表项下建立名为 System 的项(如在Policies分支下已有System项,则无须此步骤)
在 System 项下建立名为 DisableTaskMgr 的“字串符值”或者“DWORD值”,键值为0。

方法二:
打开记事本,把下面的内容保存成1.reg文件,然后双击导入恢复。
--------------------------------------------------------------------
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskmgr"=dword:00000000
--------------------------------------------------------------------

无法删除所有指定的值——注册表权限问题

选择要删除的键,点击编辑-权限,在用户和组中添加你的用户名,并赋予它完全控制权限。

磁盘分区右键第一项为AUTO的解决办法在已经不存在autorun.inf的条件下

定位注册表到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\,把C、D、E、F...项下面的有关AUTO的项全部删除,之后你就能正常打开所有硬盘分区!







总结:
好了,终于把这篇文章写完了,寒冰费了一个多星期,又赶上期末考试,本来想涉及更多内容的,可是时间实在是没有办法了,师姐也不允许话费时间太多在文章上,就只能这样发表了,不过一有时间本人一定及时补充更多资料上去,同时,在此希望各位好好学习一些病毒的查杀知识,寒冰基本已经把本人所知道,所了解的知识都包括在内了,
在此也期盼更多的高手,大虾们补充更多想法和秘笈,提出更多意见,期待各位畅言!!!不甚感激!!!


同时也劝说一句,最近流行的病毒破坏力都不弱,尤其是威金,可以感染系统的所有exe文件和gho文件,就算你用以上的方法把病毒清理了,可是最后一步的修复却是难度十分困难,因此,如果不是特别懂,建议还是各位乖乖的装个杀软免得费时,而且有些杀软也可以帮你百分百还原文件原貌啊(不过有一些杀软竟然直接删除了事,BS一下)
同时对于杀软,我想没有必要崇洋媚外,不是说人家技术不行,只是有时候也要考虑国情,最近的病毒都有本地化的感觉,而且,江民可以搜集到185个威金的变种,而卡吧呢?也许对于国内的病毒,技术不是关键,更多的,是对新病毒尤其是本地病毒的反应啊,当然,纯属个人意见,奉劝给那些老是看不起发展中的国产软件的人,也给更多人一个客观的认识.

          最后祝愿各位网络遨游愉快,共同维护网络安全!!!




附上两个不错的进程查询网址:
进程信息库(推荐)

http://www.processlib.net/directory/a/1.html

兔子知道
http://www.pctutu.com/process/index.html

评分

参与人数 1经验 +1 收起 理由
ALEXBLAIR + 1 感谢提供分享

查看全部评分

whzl123
发表于 2007-1-30 22:04:46 | 显示全部楼层
好,学习
qyb179
发表于 2007-1-30 22:22:14 | 显示全部楼层
学习了
xnthc
发表于 2007-1-30 23:30:12 | 显示全部楼层
终于看玩了,强!!!!!!
waterou
发表于 2007-1-30 23:47:30 | 显示全部楼层
精彩教程贴,不顶不行啊~
tony1838
发表于 2007-4-6 19:39:57 | 显示全部楼层
谢了
无敌敏敏
发表于 2007-4-6 20:07:28 | 显示全部楼层
文章不错~ 收藏一下~
228879547
发表于 2007-4-6 20:30:08 | 显示全部楼层
顶一下 是个好帖``但没看完````  太长了``
漫步白月光
发表于 2007-4-6 22:22:44 | 显示全部楼层
哈哈 学习啦 版主 出面就是不一样哈
我不告诉你
发表于 2007-4-6 22:27:34 | 显示全部楼层
刚看完,写的好。顶了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 09:14 , Processed in 0.136093 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表