关于带毒机器的杀毒问题！

jpzy

前几天遇到一个情况，让我有了一些想法！提出来跟大家讨论一下！

前几天一个朋友的机器让我看看，原来装的是KAV7.0.0.125，结果中了不少毒，它的KAV提示key进了黑名单。应该跟key和使用习惯有关（解释一下，免得卡巴的fans针对我哈~~）。

因为实在懒得给他找key（卡巴最近封key的速度快了很多），我就卸载了卡巴，给他装了红伞免费版。还用Autoruns清理了一下启动项目，把可疑的都去掉了（AppInit_DLLs下面挂了四个dll……囧）。结果重启以后，红伞不停的报警，每打开一个新程序或者新窗口就会提示一次。看报警的文件就是AppInit_DLLs挂载的一个！没办法，红伞免费版又没有自动处理。只好找光盘PE系统，手杀了这个dll。

联想起之前一个外地的朋友，也是中毒了的机器，也是叫他装的红伞免费版。结果他烦的不行，说是不停的点不停的跳。

卡巴也有类似的情况。有些毒提示要重启杀毒，重启以后仍然杀不掉，提示重启！！

想跟大家讨论一下，带毒杀毒能力比较强的杀软是什么？就是能将正在运行的毒杀死的，重启能干掉也行啊！

另外，杀软应该可以采取一些手段来使自己获得这样的能力的！比如，很多的行为分析工具，TF，NAB，微点，都能在当时或者重启后清理正在运行的病毒进程。用冰刃也能将挂载在系统进程里面的dll卸载掉。那么如果杀软发现了病毒，完全可以先将其卸载，然后杀掉。而不是不停的弹窗！当然了，这要求杀软做的比较底层~！

csliss

沒有

毒枭

如果是感染型病毒,不少杀软(除了卡巴)直接被干掉,都启动不了了~哪里还能带毒杀毒?不被干掉的,杀完重启,系统也启动不了了~

细路(L)

这方面偶经验也不是很多,不知道绿色杀软能不能杀正在运行的呢?比如AVK之类的,进安全模式再杀可以么?

其实我是这样的,帮人家装红伞时,不安装监控,更新完后手动查杀,就不会老被报DLL卡住...

[ 本帖最后由 细路(L) 于 2008-7-16 17:25 编辑 ]

jpzy

原帖由 毒枭 于 2008-7-16 17:19 发表
如果是感染型病毒,不少杀软(除了卡巴)直接被干掉,都启动不了了~哪里还能带毒杀毒?不被干掉的,杀完重启,系统也启动不了了~

能够安装杀软并启动，就表示中毒还不算很深。另外，目前大部分的毒都是木马。关键就是不好杀，木马驻留在内存里面，并且有进程守护，很难干掉！

杀软不能采取什么技术来解决这个问题吗？

tracydk

一般中了剧毒的机器安全模式都进不去的
360安全卫士绝对是被屏蔽 卡巴安装不上，红伞可以安装的上可是升级不了
用dr.web可以杀毒，可是被杀到死机。。或者就是无限死循环
所以如果机器里没重要资料的话就格了吧
PS:有重要资料的人一般都会备份数据的

tracydk

顺便说一下，到目前为止我还没发现有能带毒完美解决中了剧毒机器的杀软 虽然DR.WEB很优秀
一般中了剧毒就用DR.WEB杀，杀不了就格 还有中了剧毒的机器就要找没有进入中国市场的杀软，什么原因大家都知道

[ 本帖最后由 tracydk 于 2008-7-16 18:52 编辑 ]

huai168an

一般先手动查杀，光去装杀软还是不太可取的，毕竟病毒运行了（较厉害的，似乎现在都是较厉害的），它必会阻止或阻碍杀软的功能，所以效果不好啊。能手动杀的话还是手动杀，然后杀软打扫下战场

Vanny

好像现在还没有什么有效的方法和杀软，一般找一个带PE的光盘和绿色杀软。
不是很重要的机器，我都一般格盘装系统算了，搞这些病毒确实很烦人的

duandxxi

我建议 一般带毒的机子 进入安全模式 或者不进安全模式 用Dr.web的扫描器来先杀一遍毒，扫描完了以后，该删除的删除，该修复的修复，完了以后，在这样的情况下装微点……重启以后 又可以砍掉很多病毒……然后再装红伞C，扫描一遍，基本就干净了……而且最后剩下的微点配红伞C 这样的搭配还是不错的 呵呵