中毒后的处理及手动清除方法

LLJ杰

写文章很累的，您的一个表情一个回复，我都同样感谢
可能我没时间一个个的回复，但是我会一个个的浏览
如需转载请与我联系QQ657927512手机15123684335，未经永许未注明出处的转载者后果自负，由于本人为初中生，不足之处还请大家多多指教！好了废话不说直接进入主题
中毒后的应急处理及手动清除方法（原创）
1.查看网络端口
在这里有些朋友就要问了为什么中毒后查看端口啦？因为某些病毒会在系统中开放一些危险端口（如2010，1388等）一般这些病毒通常是后门程序，开放端口是为了让黑客可以控制电脑，如灰鸽子等，所以查看端口也可以起到判断电脑是否中了后门，方法就是使用“netstat -a”命令，然后一般能都入侵电脑的后门端口都是隐藏的，这里我们就要使用TCPView，它可以查看每个打开的TCP/UDP端口相关的进程名字,从而找出危险端口和程序.
2网络通信的嗅探和捕获
除了监控查看网络端口,还可以进一步使用Ethereal等嗅探工具来捕捉网络数据包,它能增加对恶意代码的理解.后门和蠕虫通常会在网络上通信.
3病毒的清除
这节中我们将以AV终结者病毒为例向大家讲解
首先我们介绍一下AV终结者（一下为节约时间AV终结者简称AV）：AV是一种可以禁止映像劫持各类杀软，防火墙，各类杀软网站，如果进入安全模式甚至会蓝屏的一种恶性病毒，由于这种病毒比普通病毒的清除难度较大，所以选择AV作为示例
工具：Icesword（冰刃）（同类软件使用方法大致相同），Autoruns，由于病毒对安全软件进行了映像劫持，如果直接运行这些安全软件，会出现打不开并且执行病毒程序所以我们要对Icesword，Autoruns进行改名如把Icesword的名字改成xx.exe,Autoruns改成aa.exe,对了在这里可能某些新手会问为什么不使用任务管理器来用啦？我在这里要给这一类新手说说原因：这是因为AV的进程会隐藏起来任务管理器是找不到的，如果任务管理器能找到病毒进程并结束那那个病毒的技术含量就不高了
步骤（精华）：使用冰刃查看病毒进程首先要对常用系统进程进行一定的了解不然可能因结束错了进程（如结束了系统进程）而导致系统崩溃，对于常用系统进程的了解我就不介绍了，因为百度上有一大堆，同时也是为了节约时间。好下面正式开始清除病毒首先打开冰刃，选择左边的“进程”，在我们实验的中了AV的电脑中可以看见2个病毒进程apkhiap.exe和sirxdsf.exe，这里有一点需要注意，这2个进程采用了互相保护的技术需要按下Ctrl把2个进程都选上然后结束他们，这里还要记住病毒所在的路径为下一步做准备，这里还有一点要注意在冰刃进程列表中红色显示出来的进程IEXPLORE.EXE进程实际上是AV下载下来的后门程序，红色就意味着该进程采用了Rootkit技术来保护和隐藏自己，在任务管理器下是看不见这个进程的，这是都要有安全工具（如冰刃）一般才能检测出，一般进程的进程都有可能是病毒程序，可以把它结束。结束完进程后就要清楚病毒了，对于这类病毒一般普通方法也是同样删除不掉的需要用到安全工具（如：冰刃），首先选择冰刃左边的文件，然后根据刚刚记录下来的病毒路径找到病毒文件，其中像Autorun.inf通常是和病毒伴随在一起的文件需要用冰刃的强制删除功能才能删除，选着完病毒程序后右键选着强行删除就行了。当做完这一切就因该还原系统映像了，用Autoruns可以查看到AV的劫持选项，这里我再我们这台试验的电脑上看见360，冰刃等工具都被劫持，如果不改名而运行这些被劫持的工具则会运行病毒程序，AV也正是通过这个方法来阻止安全软件运行的以保护自己。在这里我们需要一一清除这些被劫持项，最后由于病毒会建立自启动项，我们的实验机上的AV就在注册表的常用值run下建立了病毒关联的启动项，通过Autoruns能够查看并清除这些病毒的启动项。
好大功告成，重启电脑后打开杀软升级后全盘查杀就OK了

sjzxjs125

楼主辛苦了

沧海ふ无涯

楼主复制辛苦啦~~~~  （复制的东西也太古老了把？）

pk196371

个人认为。。这有点太旧了吧。。

飘渺沙子

感谢作者的转载。
冰刃替换成XueTr ，是否能好些呢？

首先肯定。
但是正如楼上所说，这个方法已经很古老了，应该可以追溯到冰刃刚被发掘出来的那时候。
对付一般的小木马缺失够用了

djdl5885

学习了，支持啊

jingtailan2

多谢分享。以前处理不怎么规范。今天学习了。收藏备用。

137946438

我也来学习一个！！！