冰忍、Autoruns、wsyscheck联合命令行 手动杀掉这个贱毒--教程
看起来好像很复杂,当你明白的时候发现好简单的。有兴趣的朋友可以研究一下这篇文章,相信如果你真能把文章里提及的软件和技巧都掌握了,那么大部分毒都能用类似的方法手动查杀。
这种毒我碰到好几回了,放正这几天有空又写个教程吧。一般杀毒我只用 冰忍和autoruns就能搞定,但这种毒太贱,因为它改了一个注册表值,把几乎所有的非系统核心的进程都注入了一个dll的病毒文件,就连冰忍,autoruns,任务管理器也不放过。所以我还得用wsyscheck和命令行才能干掉它
中毒现象:
没注意那么多,简单说一下,在除C盘外的各盘生成autorun.inf,nhbivui.exe文件,隐藏病毒文件,几乎所有的杀软启动不了。就连冰忍这种工具如不作处理也启动不了,就算想办法运行的杀软也杀不了这个毒。(可以防,但杀不了),其它危害我也没去查,我的目的只有一个----Kill it.
Autoruns的图,这个是杀软及一些工具启动不了的原因,都被劫持运行xnxlufi.exe去了。
这里我们可以看到这个值本应该为空的,现在这个dll病毒文件会注入到很多进程里的,其实这里可能还有另外的文件比如在kvwdbzy.dll,在杀毒过程中病毒会换这个文件注入,总之这里应该是空的,有的文件不管是什么都是有问题的。
这个图是wsyscheck的,看看红色和紫色进程都可能被注入了病毒文件,看一下,被注入的等一下都要停掉,包括任务管理器,最后关掉这个程序本身,用 命令行。
现在我要开始杀了
改名冰忍,我这里改成了ICE-cn,打开冰忍,这时候病毒会自动关闭冰忍,同时我们按几下方向键的左右键,就会让焦点转换,让病毒不能关掉冰忍,你可以多试几下,只要冰忍启动了就好办了。然后找出病毒进程(如何找呢,这个取决于你对系统进程的熟悉程度,明眼人一看就知道哪个是毒了。这个能力只能靠经验积累。)如下图操作:(一起结束掉病毒进程,非注入的那些)
一起结束的目的是破坏病毒的互保,(然后我要关一些工具和打开一些工具,这和是否让病毒运行有关,所以顺序很重要,一定要注意),关掉冰忍,打开命令行,打开autoruns(启动不了就改名), 打开wsyscheck(等一下结束掉资源管理器后要用,所以这里先打开为好),之后打开任务管理器结束掉explorer.exe,没有了桌面,不要紧的,要用的工具我们都打开了,关掉任务管理器,切换到autoruns如下面几个图操作
怎么确定哪些钩要去掉呢,去研究几下注册表多杀几个毒,多打开autoruns这个软件看看,有经验后就知道哪些值是不正常的了。这个也算是个经验的东东,不好说的。
之后,关掉autoruns,切换到wsyscheck,将那些被注入的进程关掉,最后关掉自wsyscheck,因为它也被注入病毒文件.现在只剩下有命令行,如果你还有其它工具没关,则可能会杀毒失败。在命令行下如下图操作:
差不多了,按ctrl+shift+esc启动任务管理器,新任务-浏览到c:\windows\explorer.exe,确定后桌面出来了,将下面的东东复制到记事本,保存为reg 文件,双击导入。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
这个代码是网上很多,这个也是从网上搜索来的,也可以从别的机子导出这部分来,然后我们就可设置显示隐藏文件了,(先前设置不了是因为病毒修改了注册表)打开我的电脑,工具-文件夹选项-查看,如下图设置
然后的事情就很简单了,删除 C:\Program Files\下meex.exe文件
C:\Program Files\Common Files\System\下yyjnldu.exe和mhlclyg.inf文件
C:\Program Files\Common Files\Microsoft Shared\下xnxlufi.exe和mhlclyg.inf文件
再用autoruns看一下。那几个dll文件已变成命令行里建立的空文件文件夹,当然不会有破坏作用,可以再把钩去掉,以后就会有了,其实这时候理不理它都可以的,反正不是毒。
还有几个毒在系统里,但是没有运行起来,不会对系统造成任务影响,所以 也可以不理它,实在不放心,现在你可以用杀软扫描一下,这里杀软是能轻松对负这些没有运行起来的病毒的。本教程可能有遗漏的地方,有什么意见和建议请到这个群里来讨论,群号42295792,人基本满了,加入请注明理由,要不奉献点Q币肯定让你进来,呵呵! |
发表于 2007-10-8 16:33:51
楼主
