今天手杀的一点感想。

yhjtj

　　今天帮单位一个老同志杀毒，它裸奔。 外面下雨，闲来无事，练练手杀顺便长长见识吧！
　　沿用上次偷懒的老方法——半自动杀毒法， 装上红伞s，扫描了100多，还把userinit.exe干掉了，弹出系统文件被替换的框子，把其他机器拷贝的好的userinit.exe拷贝到32下，系统重启红伞正常，拦截了几个不正常的上网请求，开xt、wyscheck、狙剑、失败，连影子都看不到（偶寄予很高期望的ｘｔ也失败了），任务管理器只能看到任务栏图标，不能看到界面。（病毒太变态了）
　　进安全模式，（还好病毒没做的太绝，如果进ｐｅ就不太方便了），先清垃圾文件（狙剑带的），开伞扫描继续杀了几十个，开xt、狙剑、wyscheck、sreng轮番上阵，干掉了很多病毒启动项、驱动、浏览器加载项……（病毒挂的地方太多了，有本地文件甚至还有网络地址文件，累死了），删除了很多红伞不杀的病毒文件，终于搞定了。
　　删除过程中发现几个软件需要分工互补，狙剑的启动项比xt的全面，xt的文件删除比wyscheck变态，sreng扫描出来删不掉的启动项很多，xt普通模式看不到的注册表，通过hive模式可以看但改不了，但狙剑（hive模式）不光能看还能修改编辑（但删除不了项），还发生了灵异现象，sreng能看到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks下有很多键值指向fonts下的病毒文件，但删除不了，ｘｔ普通模式看不到，ｈｉｖｅ无法编辑，狙剑能看到，但键值为空，刷新多次仍然为空，但ｓｒｅｎｇ仍然显示有键值 ，还好最后没事。

总结一下：１、在正常模式下和病毒老大硬抗是搞不过他的，安全模式或ｐｅ下杀病毒可以减少干扰。
　　　　　２、红伞不是万能的，很多病毒是不杀的。
　　　　　３、单一安全工具不是万能的，需要功能优势互补，需要多兵种配合。
　　　　　４、手杀是体力活，真不是人干的，如果你没有重要资料，还是ｇｈｏｓｔ吧。

建议大家多用ｈｉｐｓ或沙盘，不要再裸奔了，尤其是老同志和女同志！
打完收工。

这是今天抓的一部分，很多红伞不杀http://bbs.kafan.cn/redirect.php?goto=findpost&pid=7837517&ptid=487442

[ 本帖最后由 yhjtj 于 2009-5-25 14:03 编辑 ]

Jade

safe，支持

dl123100

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks项仍显示有键值是sreng的bug，一直存在。

jasond

也不适合懒惰的年轻同志，比如我

jiang790

纯支持，楼主精神可嘉！！！

yhjtj

第一次听说，谢谢指教！
但是还有各疑问，sreng显示键值指向的病毒文件在fonts目录内是确实存在的。
我按照显示删除了相应的文件，重启无事。

[ 本帖最后由 yhjtj 于 2009-5-25 14:00 编辑 ]

tawny2008

欢迎继续发表杀毒经验为菜鸟造福

yhjtj

我就是个菜鸟，我为自己造福。呵呵

coolhui

哈哈，希望老鸟们多写经验，好让我们都学习啊，呵呵！！

lomo

给裸奔多时的毒机看病
偶的首选是安全模式上CUREIT
其他的收拾残局。。。