查看: 15340|回复: 37
上一主题 下一主题
收起左侧

[救援工具与知识] 清杀改变你的一生病毒——一小白清杀病毒系列第一季

  [复制链接]
zuo
跳转到指定楼层
1
发表于 2011-4-30 14:40:02 | |只看大图 回帖奖励 |倒序浏览 |阅读模式
本帖最后由 zuo 于 2011-4-30 14:54 编辑

本人只是一个垃圾的小白,欢迎各位大牛拍砖,今天我们来介绍一下如何清杀改变你的一生病毒,这个病毒可以说是比较经典的桌面流氓病毒,本人在此是想大家由此举一反三,能够对付其他的桌面流氓。

好了,废话不多说,我们现在就开始吧。
首先我们在虚拟机里下载病毒样本(请大家不要实机测毒)

大家看见这个图标想到什么?文件夹?你一定会毫不犹豫的点击吧,那么你就上当了,程序的图标是可以随意选择的,这是病毒常见的一种伪装方式哦。我们看看属性就知道了。

看见没有

现在我们双击,

很快,你就会看见奇妙的现象,你中招了

再双击IE试试,


主页被修改了

现在,重启

运行XT,当然也有运行不了的情况,这时我们可以改个名再运行,当然,别忘了把XueTr.config修改为相同的名字。否则XT将会相当疯狂。

我们会发现两个可疑文件,看看他们的路径,就知道不对了,乱字符,伪装系统文件名,在上面我们可以看见真实的系统进程,对比一下,很容易就可以知道这两个文件是病毒释放的。




现在我们选择这两个进程,结束进程并删除文件。

然后,我们检查一下进程模块(很多病毒都会插入其它进程)

没有可疑模块

驱动方面同样也没什么可疑的

启动项发现问题了,我们可以看到许多蓝色项,其中重点看没有版权信息的,当然如果这其中出现你没有安装过的软件也要格外注意。

看看这几个没有版权的东西,一看就格外可疑,看那个路径,有乱码,正常软件显然不可能有这样的路径。删除启动信息并删除文件

但是对于这一项我们要格外注意
Explorer.exe c:\eeqq\qqe.exe

对付这一项的正确方法不是删除,而是先定位到注册表中,将后面的那个东西删除(还有,别忘了记下路径)








再根据记下的路径,删除病毒文件








无规则的文件名,只读,隐藏属性,没有任何版权信息。一看就可疑,干掉他们。

映像劫持项也不少,这会导致安全工具和杀软无法运行(只要运行了这些程序,就会自动跳转到病毒文件),全选,删除





ok,到这一步病毒已经基本上被我们干掉了,现在就是扫尾工作,首先,删除那些图标
按shift键不放,再选择删除,这样就可以不经过回收站直接删除了


不费吹灰之力就删除了

接着,我们把剩下的任务交给金山卫士来完成(360也行,大家可以根据自己的喜好选择)
PS:即使大家也可以手动清除残余病毒,但寻找病毒并不是一件容易事,查看创建,修改日期的方法不一定奏效,因为这是可以伪装的,而且如果你最近安装了什么软件,这个方法就更不可行了。除非你用MD等工具分析病毒行为,然后删除生成的文件,但这太复杂,不建议这么做。(如果杀软或安全辅助工具不能解决问题可以试试这么做,如果自己不能分析可以将病毒文件上传论坛请其他人帮忙分析
安装




选择系统修复

立即修复

全盘扫描




重启一下

ok,病毒已经被我们解决了


评分

参与人数 3经验 +20 魅力 +1 人气 +2 收起 理由
卡卡洛夫 + 1 奖励
gtyre1 + 1 图多杀猫
屁颠屁颠 + 20 + 1 版区有你更精彩: )

查看全部评分

壮丁
2
发表于 2011-4-30 14:43:40 |
汗,你重复发了两次教程。
zuo
3
 楼主| 发表于 2011-4-30 14:55:04 |
回复 2楼 壮丁 的帖子

刚刚出了点问题,现在已经修复了
疯狂的小鬼
4
发表于 2011-4-30 15:12:48 |
zuo,来看教程了。不错。
凌凌通
5
发表于 2011-4-30 15:37:11 |
前排支持楼主!坐下来吃个包子,喝杯茶,慢慢学习。
凌凌通
6
发表于 2011-4-30 15:40:35 |
对了,楼主提供下该病毒样本下载吧,让大家都来过过手瘾吧,呵呵。
zuo
7
 楼主| 发表于 2011-4-30 19:37:56 |
回复 4楼 疯狂的小鬼 的帖子

欢迎支持,有什么不足还请指出
疯狂的小鬼
8
发表于 2011-4-30 19:39:19 |
回复 7楼 zuo 的帖子

客气了 我也在学习ing
tieshu0608
9
发表于 2011-4-30 21:56:48 |
还是看视频安逸   希望下次出视频
x-da
头像被屏蔽
10
发表于 2011-4-30 23:13:43 |
佩服啊~

写得太好了~

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.3( 苏ICP备07004770号 ) GMT+8, 2017-9-20 13:39 , Processed in 0.115280 second(s), 7 queries , MemCache On.

快速回复 返回顶部 返回列表