再强的杀毒软件,百密也难免有一疏,所以手动杀毒就成了很多杀毒高手的必杀之技。遇到一些顽劣的病毒,还必须用猛招来应对。今天浏览金山毒霸铁军的blog时候,发现铁军在手工杀毒上就有很多猛招,好东西要分享给大家,现在贴出来大家看看,这么多图很累的,请大家多多捧场,谢谢。
远程实在是很慢,指导这哥们下载了清理专家2,Sreng,指导他升级毒霸到最新版本。然后又传过去一个AV终结者的4.5(其实呢,我知道他中的那个毒不是AV终结者,呵呵,因到现在他的毒霸还跑的欢呢。为防止下次还来烦我,我会用AV终结者4.5关掉自动播放功能,同时启用保护毒霸,这样他就不会因插入U盘再中毒了)
在用AV终结者扫描的同时,我看了一眼他的毒霸版本,的确是今天刚升级的。特别偏爱清理专家的文件粉碎器,开始下载清理专家2。试过多款诊断系统的工具,还是觉得小青蛙的Sreng日志比较不错。只是这个日志,越来越冗长(该死的病毒越来越复杂,日志不长还真看不到)。Sreng是面向有经验的用户,一般用户使用Sreng的困难很大。一般用户建议还是用清理专家2吧,其中在全面检测中,有个提交加载项的功能。把你所有不清楚的东西提交给程序员分析,这样更适合对系统了解不深的用户。
<AppInit_DLLs><WinFormA5.dll> []
<{D8E0E3BA-D55F-4A08-8EE4-0A59E0284124}><C:\WINDOWS\system32\Agent.dll> [N/A]
<{28E5A4B2-65E2-49F1-0707-86BE08FF2F46}><C:\WINDOWS\system32\zt.DLL> [N/A]
<{3495D328-661A-4FB0-BA67-8ACDD1704D1E}><C:\WINDOWS\system32\102.dll> [N/A]
<{44123FF1-8371-9834-9021-184518451FA4}><C:\WINDOWS\system32\Kvsc31.dll> [N/A]
<{13BA17C5-1BAB-1F85-237A-27422B722F15}><C:\WINDOWS\system32\wmgj2qso.dll> [N/A]
<{DE35052A-9E37-4827-A1EC-79BF400D27A4}><C:\Program Files\Internet Explorer\PLUGINS\System64.aaa> [N/A]
<{00274BC4-F915-4741-A6F6-6EF95C5E17AA}><\\.\C:\DOCUME~1\lenovo\LOCALS~1\Temp\con\zttz.dll> []
注意看一下,这些加载项是没有数字证书、版本信息或签名,通常病毒程序的可能性较大。注意,版本信息或签名也可能被伪造。正确分析Sreng日志,还需要对常用的应用软件加载项有所了解。另外,这些加载项中,可能还有一部分是以前感染过病毒的残留信息,区别的方法是搜索这个加载项,如果没有在内存列表中,可能是残留文件。上面文本框中的以下加载项,使用搜索功能后证实是以前病毒入侵的残留信息。
<{D8E0E3BA-D55F-4A08-8EE4-0A59E0284124}><C:\WINDOWS\system32\Agent.dll> [N/A]
<{28E5A4B2-65E2-49F1-0707-86BE08FF2F46}><C:\WINDOWS\system32\zt.DLL> [N/A]
<{3495D328-661A-4FB0-BA67-8ACDD1704D1E}><C:\WINDOWS\system32\102.dll> [N/A]
<{44123FF1-8371-9834-9021-184518451FA4}><C:\WINDOWS\system32\Kvsc31.dll> [N/A]
<{13BA17C5-1BAB-1F85-237A-27422B722F15}><C:\WINDOWS\system32\wmgj2qso.dll> [N/A]
<{DE35052A-9E37-4827-A1EC-79BF400D27A4}><C:\Program Files\Internet Explorer\PLUGINS\System64.aaa> [N/A]
那如何处理这些加载项呢,从上面诊断日志看,通过<AppInit_DLLs><WinFormA5.dll> 加载肯定不能用传统的方法删除,即使你启动到安全模式,普通方法一样无法删除。这时,我们应该想到一个极好的工具——清理专家的文件粉碎器。根据日志提供的程序路径,在清理专家2的百宝箱中,打开文件粉碎器,分别浏览到这几个文件,将添加到删除列表。你也可以使用windows的搜索功能,搜索这几个文件,找到后插入粉碎器的窗口。(注意,有的病毒会采用rootkit技术隐藏,此时windows 搜索全部文件,也不一定能找到,而文件粉碎器内置的抗rootkit机制可以浏览到此文件。)
我有搜集样本的习惯,我会把搜索到相关的文件,复制到桌面的新建文件夹,把样本提交给专业病毒分析员。不然,你一个个看日志,累死了也只能解决有限的几个问题,而杀毒软件升级会让更多的电脑及时得到保护。
完成样本备份后,点击文件粉碎器的彻底删除按钮,这些病毒就化为灰烬了。那我们现在是不是要重启呢,不要着急,我们从日志中看到病毒修改了LSP,如果现在立即重启,就意味着这台机器不能上网。我们可以用清理专家中集成的LSP修复模块,点击恢复到初始状态完成修复。
是不是到这一步就完工了呢?现在病毒程序已经没有了,重启后,系统就将正常工作。但是,我们还有必要把病毒生成的一堆垃圾加载项打扫干净。从安全性易用性考虑,还是使用清理专家2,在全面检测的加载项中右键点击相关的加载项,在弹出的窗口中点击“清除此项”。 在远程的计算机上,因为色彩限制,右键菜单的窗口不能正常显示,只好拿我机器上清理专家来做示例。就是类似这个样子的,点击清除此项,病毒的残留就被打扫干净了。 对于普通用户来说,上传所有未知项,把任务交给专业人员是个不错的选择,你需要稍等几天以便更新这个在线检测库。如果怀疑是病毒的可能性很大,建议创建当前系统的还原点,再尝试手工删除这些加载项,看看是否可以令系统恢复正常。觉得仍然心存疑虑时,还可以在相关加载项点右键,直接使用搜索引擎检索相关信息,以正确处理相关加载项。 总结,本案是个典型的多个工具结合的修复操作,提供了手工解决病毒的思路,没有强调使用杀毒软件。杀毒软件通常可以给我们提供有限的保护,在新病毒威胁时,我们还需要其它的解决方案。此时,清理专家之类的杀毒辅助工具价值得到体现,清理专家无法准确判断病毒和非病毒,但给我们提供了解决问题的参考方法。加载项联机检查的功能,给普通用户以很大帮助,你只需要关注未知的加载项就可以了。建议我们把全部未知项提交,这样杀毒软件就能及时得到样本,升级更新病毒特征,就可以保护更多的用户免糟病毒之苦。
| 
[复制链接]
发表于 2007-8-27 17:28:32
发表于 2007-8-27 20:59:38
卡饭混大的基本都能看懂SRE报告...
