手动杀毒方法简述

llj4862

注：本文的病毒指广义上的病毒、木马、间谍软件等，但不包括钓鱼类的网站。虽然目前本文只涉及到杀毒，但以后会加入一些防毒的东西，通过多种方式（包括提高电脑操作人员的安全意识）来尽力构建一个少中毒、甚至不中毒的windows系统。

　　Author: qintel  Mailto: qintel 后面是163.Com

　　苟利国家生死以  岂因祸福避趋之

　　欢迎各位在本文的宗旨和基础上指出不足和改进建议。

　　建议使用对象：本文的适合对windows系统有一定了解的人，新手请慎重使用。虽然即使把系统杀坏了，把盘格了，重新分区，数据也能恢复，但恐怕对于新手来讲还是不容易的。另外，本文是一些思路和工具的结合，并无技术上的突破，所以对高手也没有价值。

　　产生背景：现在，病毒、木马，流行，不管是诺顿，卡巴斯基，还是Mcafee，都对一些病毒无能为力，国产的我就不提了。最近smss.exe lsass.exe.winlonon.exe等病毒横行，正好同学要一点资料，就抽空写一点心得。

　　本文概要：本文的关键在于识别进程，利用一些工具＋已有的知识＋搜索引擎，找出可疑进程，并消灭之。最后恢复被恶意软件修改的注册表相关启动项。尽管大部分人知道这些步骤，但我要介绍几个功能强大的软件，可以帮助你在手动清除病毒时事半功倍。

　　本文要介绍几个有利的工具是，

　　一、        Baidu，Google， 搜索类工具，自学时最好的老师。可惜目前有不少人只会做简单搜索，作者强烈建议每一个人认真学习一下搜索技巧，搜索的核心在于“选择合理的关键字＋高级搜索功能＋多步搜索思想”。http://www.baidu.com/search/skill.html

　　二、        Procexp （），进程管理类工具，可结束任务管理器结束不了的进程。还有一个Icesword也不错，各有千秋。

　　三、        Autoruns（)，一个自动运行项目查看器，可以查看所有开机自动加载的程序。包括服务、驱动等，双击某一启动项可进入对应的注册表位置。

　　四、        360安全卫士()，这个版本越新越好。Ewido，卡巴斯基，

　　五、        深山红叶袖珍PE启动盘，在硬盘无法启动时，可从光盘、U盘运行XP系统。

　　一、杀进程类的病毒

　　首先打开Procexp，如下图：

　　

　　图片附件: 1.jpg (2006-10-16 22:37, 109.87 K)

　　

　　这里，系统的进程，子进程，进程描述一目了然。从这里找到可疑的进程，通过进程属性可以查看其路径。(虽然从“附件->系统工具->正在运行的任务”也可以查看到，但那里不能结束进程，这个工具的好处就是能结束掉许多在任务管理器里结束不了的进程)。

　　欲了解windows常见系统进程，可参阅：Windows XP常见进程列表.doc一文

　　找到全部的可疑进程以后，好，上baidu，输入＜此进程名＋病毒＞查查是否为病毒进程，根据返回的多个结果综合起来判断一下是否为病毒进程。如果是，

　　1．        记下进程的，及进程所调用的文件路径，并记下此文件的创建日期和修改日期。

　　2．        用关键字＜　进程名＋专杀工具　＞　例：smss.exe病毒专杀工具。去找专杀工具，找不到再考虑手动去杀。因现在病毒动不动就添加几十个文件和改几十处注册表，手动去杀比较麻烦，所以优先考虑专杀工具。下载专杀工具时注意伪装成专杀工具的病毒。

　　3．        如果找为到相应的专杀工具，就用上面我们提到的工具Procexp或Icesword把这些进程一一关掉。(有些进程在被结束了以后，会被另一个进程生成，这时不妨改变一下结束时的顺序)。然后根据第1步记下信息，到相应目录下，根据文件名，创建的日期、时间，删除掉此文件及与此文件类似的可疑文件。

　　4．        查找电脑中所有与病毒文件创建日期相同的.exe;.com;.dll.sys文件，找到后还是要用baidu和个人知识判断一下，是否删除之。一般来讲，与病毒文件生成的时间（分钟数）都一样的，90%是病毒。

　　5．        到注册表启动的相关位置删掉此启动项。建议使用上面提到的Autoruns.exe(一个“自动运行项目查看器”)的软件进行此步。因windows自启动项在注册表中十几处不同的位置，人工查找要麻烦一些，而且容易漏掉。

　　二、杀IE类的病毒。

　　这类病毒推荐用360安全卫士或超级兔子，启动到安全模式下杀，不行就到安全模式下用另一个用户登陆杀，一般一些利用IE特性没有生成自己进程的病毒都可以这样杀。

　　三、杀驱动程序类的病毒。

　　这类是最难杀的。明天写了，怕关门进不去。

　　一些进程你结束并删除后，过会他会自动又生成，这种情况可能就是有类似3721的驻留在驱动程序里的病毒了。（还有一种情况是，有由另外一个进程的）。

　　Windows启动时会加载windows\system32\drivers下的在注册表指定的*.sys驱动程序，如果病毒是以这种方式感染的话，那么就会出现当你杀掉病毒进程并删除病毒文件以后，过一会病毒文件又自动生成并运行。

　　这类病毒，只能是找到其对应的.sys文件，启动到另一个系统下（推荐用深山红叶的PE盘，可从光盘运行XP），把对应的sys和病毒进程文件删除了，并把注册表相应启动项改一下。

　　六、        出现意外时的数据恢复：

　　万一在手动杀毒出现意外，系统无法正常启动时，可以做如下工作挽回数据：

　　1．        启动到网络连接的安全模式下，把数据拷到本机的非系统盘或其它机器上。

　　2．        开机时按F8，利用“最后一次正确的配置”启动系统。

　　3．        利用深山红叶袖珍PE启动盘，光盘启动到XP下，从网络，从USB设备把数据做相应移动。

　　4．        此外，只要数据所在区域没有进行过新的写操作，即使你格了盘，重分了区，都可以都进行数据恢复。推荐软件：Finaldata。

　　七、        一个有用小工具简介：

　　Killbox: 强力文件删除工具，可以删除正在使用的文件，有时用procexp结束不了的进程，可用此工具直接删除其文件试试。删除后有时会蓝屏，重启一下。

　　微软OS安全主页：

　　八、        利用MS自带系统命令手动杀毒：

　　在没办法利用上述第三方工具手动杀毒时，可以利用MS自己的一些工具替代上面的工具。

　　Procexp的替代品：任务管理器＋Ntsd.exe＋Tasklist＋Taskkill。

　　AutoRuns.替代器：Msconfig＋Regedit。

　　下面给出ntsd.exe Tasklist Taskkill的简单用法：

　　1、        NTSD用法：

　　开个cmd.exe窗口，输入：

　　ntsd -c q -p PID

　　把最后那个PID，改成你要终止的进程的ID。如果你不知道进程的ID，任务管理器－>进程选项卡－>查看－>选择列－>勾上"PID（进程标识符）"，然后就能看见了。

　　2、        Tasklist＋Taskkill用法：

　　例如要关掉本机的notepad.exe进程，有两种方法：

　　1.先使用Tasklist查找它的PID，假设系统显示本机notepad.exe进程的PID值为1132，然后运行“Taskkill /pid 1132”命令即可。其中“/pid”参数后面是要终止进程的PID值。

　　2.直接运行“Taskkill /IM notepad.exe”命令，其中“/IM”参数后面为进程名。

　　有关这三个命令的详细用法，请用命令名/?去参阅系统帮助文件或阅读

　　Ntsd Tasklist Taskkill 命令介绍.doc 一文。

　　原文及工具下载请到:


http://bbs.chinaunix.net/viewthread.php?tid=842576&extra=page%3D2

伊の星

推荐wsyscheck

三人行

苟利国家生死以  岂因祸福避趋之
太夸张了吧