1.SREng
以下是引用片段:
作者Smallfrogs,System Repair Engineer(SREng) 是一款全新的、强有力的、可扩充的用于调整和修复你系统的免费工具,在这个工具的帮助下,你可以察觉你的系统故障并能够很容易的修复他们。
使用方法:
[如何发log]
附件 下载解压后运行 SREng,选择 "智能扫描","扫描","保存报告",然后把扫描后的SREng.log这个文件以附件发上来或者把其中的内容 复制 粘贴上来。
注意:扫描log前关闭打开的应用程序,包括qq等,方便看log
[如何修复]
简单概括:结束进程、修复、手动删除文件,具体如下,把(1)~(9)看懂再操作,
如果正常模式操作不成功进安全模式下操作
按下列方法操作,修复后手动删除文件(不能删除的可以使用删除工具KillBox或者Unlocker)。
(1)注册表
先在任务管理器里结束要修复的对应“注册表”项的进程(注意有的"注册表"项没有运行的进程,有的进程有同名的系统文件,如svchost.exe、lsass.exe等,结束这样的进程可以用icesword等软件,可以看到路径)。
在SREng中 "启动项目" "注册表" 鼠标左键在对应要修复的项上单击,然后点击"删除"
注意如果以下3项需要修复,恢复如下的默认值
(在SREng中 "启动项目" "注册表" 鼠标左键在对应要修复的项上单击,然后点击"编辑" 修改对应"值" 如下即可)
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINDOWS\system32\Userinit.exe,>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><>
(2)启动文件夹
在SREng中 "启动项目" "注册表" 鼠标左键在对应要修复的项上单击,然后点击"删除"。
(3)服务 & 驱动程序
在SREng中 "启动项目" "服务" "win32 服务应用程序"(或者"驱动程序") 先勾选右下角的 "隐藏已认证的微软项目" 鼠标左键在对应要修复的项上单击,然后选择右下角的"删除服务",点击"设置",在弹出的窗口中点"否"。
(4)浏览器加载项
在SREng中 "系统修复" "浏览器加载项" 鼠标左键在对应要修复的项上单击,然后点击"删除所选内容"。
(5)正在运行的进程
对于要删除的文件,可以到安全模式删除,或者用killbox等工具软件。
(6)文件关联
在SREng中 "系统修复" "文件关联" 鼠标左键在对应要修复的项前勾选,然后点击"修复"。
(7)Winsock 提供者
用log 中 提示的文件搜索,确认是恶意添加的
可以使用 lspfix 删除对应文件
最后再用 winsock xp fix 修复一下
(8)Autorun.inf
按照SREng log中 删除对应分区下的autorun.inf 及相关exe文件
如果要删除的文件看不到,文件夹选项设置显示所有文件;或者使用IceSword
(9)HOSTS 文件
在SREng中 "系统修复" "HOSTS 文件" "127.0.0.1 localhost"这个保留,其它的全部删除(自己添加的除外)
下载:http://www.xdowns.com/soft/6/65/2006/Soft_31423.html |
2、HijackThis
以下是引用片段:
简介:作者Merijn,是一个非常有用的检测扫描工具,主要用于扫描显示系统当前进程、启动项信息、BHO(Browser Helper Object)、ToolBar(浏览器工具栏)、DPF(Downloaded Program Files)等信息,并且具有修复功能,对于发现病毒等有害程序有很大帮助,尤其是在发现/修复浏览器劫持方面有很大作用。
使用方法:
[如何发log]
附件 下载 解压后 运行 hijackthis,选择 "扫描系统并保存日志",然后把扫描后的hijackthis.log这个文件以附件发上来或者把其中的内容 复制 粘贴上来。
注意:扫描log前关闭打开的应用程序,包括qq等,方便看log
[如何修复]
简单概括:结束进程、修复、手动删除文件,具体如下,把(1)~(5)看懂再操作,
如果正常模式操作不成功进安全模式下操作
(1)在HijackThis扫描的结果中,选中需要修复的项目,按下修复(Fix checked)按钮进行修复。修复前请关闭所有浏览器窗口和文件夹窗口。
(2)修复后手动删除对应文件(不能删除的可以使用删除工具KillBox或者Unlocker,注意hijackthis修复的只是注册表信息)。
(3)对于04项,修复前先在任务管理器里结束对应进程(注意有的04项没有运行的进程,有的进程有同名的系统文件,如svchost.exe、lsass.exe等,结束这样的进程可以用icesword等软件,可以看到路径)。
(4)对于023项,修复后,对于显示(file missing)项,可以用hijackthis的工具箱删除,或者SREng操作 对应的 服务项,方法看SREng。
(5)对于以下类似位置的项,注意
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\ .exe
(此项删除文件 C:\WINDOWS\ .exe)
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\System32\kernels32.exe
(此项删除文件 C:\WINNT\System32\kernels32.exe)
O4 - 启动项HKLM\\Run: [Desktop] C:\WINDOWS\system32\rundll32.exe "C:\Program
Files\DeskAdTop\Run.dll" ,Rundll
(此项删除文件 C:\Program Files\DeskAdTop\Run.dll)
下载: http://www.xdowns.com/soft/1/44/2006/Soft_30275.html |
3、KillBox 和 Unlocker
KillBox
以下是引用片段:
简介:作者Option Explicit,删除文件和文件夹的工具软件
使用方法:
(1)标准方式删除模式:选择此项后,可以辅助选择 "删除前先结束"Explorer.exe进程"和"删除dll前先反注销此文件
(2)重启后删除文件:选择此项后,浏览选上要删除的文件,然后点红色的X操作即可(对于同时删除多个文件,点红色X后在弹出的选择框中选择否,然后重复加入其他文件,最后一个文件加入后,在弹出框中选择是)
(3)重启后替换文件:选择此项后,浏览选上要删除的文件,然后勾选"替换文件",killbox自动提供替换文件,然后点红色的X操作即可
下载: http://www.xdowns.com/soft/6/12/2006/Soft_33499.html |
Unlocker
4、IceSword
以下是引用片段:
简介:作者pjf,IceSword是一斩断黑手的利刃(所以取这土名,有点搞e,呵呵)。它适用于Windows 2000/XP/2003操作系统,用于查探系统中的幕后黑手(木马后门)并作出处理,当然使用它需要用户有一些操作系统的知识。
IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件,比如一些进程工具、端口工具,但是现在的系统级后门功能越来越强,一般都可轻而易举地隐藏进程、端口、注册表、文件信息,一般的工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内核技术,使得这些后门躲无所躲。
使用方法:
参考其帮助文件
下载:http://www.xdowns.com/soft/8/21/2006/Soft_30727.html |
5、Msinfo32模块分析
以下是引用片段:
简介:操作系统自带的命令,有时SREng hijackthis 分析不出时,这个命令比较实用
使用方法:
开始菜单 运行 输入 msinfo32 回车
在弹出的 "系统信息" 窗口中,选择 "软件环境" "加载的模块"
(1)点击"文件日期"列,按时间排序,用最新加载的几个模块文件google,排查
(2)点击"制造商"列,进行排序,用不确认的制造商模块文件或没有制造商的模块文件google,排查 |
[/td][/tr][/table][/td][/tr][tr][td][/td][td][/td][/tr][tr][td][/td][td] [/td][/tr] [tr][td][/td][td][/td][/tr][/table] | | | 6、Winsock XP Fix 和 LSPFix
7、RootkitRevealer 【rootkit 类病毒首选检测工具!!!】
8、FileMon和RegMon
|
|
|
发表于 2006-12-31 11:22:40
