慧眼（ver1.2）－捆绑型病毒终极解决方案

ddk0456

慧眼（ver1.2）－捆绑型病毒终极解决方案！

经常看到有人说中了某某利害的病毒，即使重装系统也无济于事，可执行文件图标异常，无奈之下只能删除所有可执行文件，甚至全盘重新分区，格式化，遭受重大损失。
    难道就没有方法判断这些文件型病毒吗？它们寄生在其它软件内难道可以隐形？实际上病毒并没有那么高明，它们的寄生方式多数都很简单，对于研究过病毒的人可能手工修复并不困难。不过如果您的硬盘中有2000个可执行文件，要手工把所有文件中的病毒都找出来然后清除恐怕再利害的人也要累倒了。用杀毒软件？杀毒软件不能发现新病毒是常事，发现以后不予修复而直接删除也是家常便饭。
    针对这个问题，我编制了“慧眼”软件，它通过分析可执行文件的结构来判断是否有病毒感染的嫌疑，然后可以强行将可疑结构清除，由于病毒特征为通用特征，所以病毒变形不会影响本软件的查杀，因此不需要更新病毒库，但是不能保证清除后的文件与染毒前文件完全相同，一般情况下文件都可以正常运行，带自校验的文件不能运行。本软件对目前流行的多数文件捆绑型病毒（如威金，熊猫等）有特效。

一、软件名称：慧眼
二、适用操作系统：Win2000/Winxp/Win2003
三、软件性质：共享软件

四、使用说明

1. 请在杀毒前关闭所有其它杀毒软件。
2. 先设置扫描目标，然后扫描，默认为扫描所有可用介质。
3. 默认扫描文件类型为可执行文件。
4. 默认为备份染毒文件，建议不要更改，防止出现误杀、杀坏文件造成损失！
5. 默认备份路径为C:\virbackup、D:\virbackup...各分区目录，保留源文件目录信息。
6. 默认不修复注册表，此功能为辅助功能，请根据病毒库说明使用。
7. 请您在杀毒以后逐一测试文件是否正常，如有异常，请保管好备份的染毒文件。
8. 杀毒日志文件在C:\vscan.log，您可以随时查看杀毒历史。
9. 默认为查毒模式，这样不会操作发现的可疑病毒，第一次扫描必须选择此模式。
10.您可以选择“结束非系统进程”，这样查毒之前会结束所有非系统进程，推荐选择。此选项默认关闭。
11.选择安静模式可以避免任何错误提示造成程序停止。此选项默认打开。
12.“自动解除多重感染”可以自动清除病毒多次感染，防止病毒清除不干净，此选项默认打开，如果病毒感染情况复杂时可以关闭。
13.“删除所有可疑文件”作用就不用说了，只要备份染毒文件就不要紧，对于彻底隔离病毒很有效。此选项默认关闭。
14.“辅助工具”－“清理非系统进程”会结束所有非系统进程，请在操作前关闭所有应用软件。
15.“清理开机启动项”会关闭所有开机启动项，WindowsXP输入法除外。
16.“恢复开机启动项”会恢复所有开机启动项，只有您确定所有病毒已经清除之后才可开启，不推荐使用。
17.“修复注册表”会根据病毒库提供的修复内容修复注册表，请根据病毒库说明使用。

五、查杀病毒的一般步骤：
1.当您无法确定内存是否有毒时，请运行“辅助工具”－“清理非系统进程”
2.当您无法确定启动项是否有毒时，请运行“辅助工具”－“清理开机启动项”
3.选择扫描目标及文件类型。
4.扫描并查看结果，判断病毒性质（前置或后置）。
5.在“杀毒选项”中解除查毒模式，选择病毒性质(前置或后置)，此选项不推荐用“自动”。
6.再次查毒，即可清除所有可疑病毒。

六、注意事项
1.请仔细阅读“使用说明”和“查杀步骤”，不正确的使用本软件可能给您造成更大损失。
2.关于病毒性质的判断：
2.1 本软件报告的可疑病毒不一定都是病毒，有些是正常软件，需要您加以判断。
2.2 凡是出现“前置?”或“后置?”说明本软件也无法确定，此项目只能参考，不能作为判断依据。
2.3 当出现不同文件报告结果不同时，以多数为准，当不同大小的文件报告结果不同时，以大文件为准，因为一种病毒的感染方式只能为二者之一，除非您中了多种病毒，这样的情况就不好处理了，保险的办法就是全部删除。
2.4 选择病毒类型一定要认真，如果选反了，你猜猜会怎么样？
3.本软件只能查杀染毒文件，对病毒本体不能查杀，不能代替杀毒软件，要想真正干净的清除病毒，请使用杀毒软件、专杀工具或重装系统。
4.本软件虽然有一定清理内存病毒能力，但不能保证内存干净，只有格式化系统盘，重装系统才能保证，因此重装系统后立即使用可以更安全的清除病毒。
5.本软件属于特别软件，有一定的风险，您如果自愿使用，本人对您因使用该软件造成的任何后果不负责任！

七、啰嗦了这么多，给您看看杀毒实战吧！

1.这是大名鼎鼎的“熊猫”病毒：


2.病毒检查，查毒率100％，不过病毒类型好像有点不一致，其实很好判断，多数都是“前置”，说明就是“前置”了。


3.解除查毒模式，选择“前置”，扫描，全部清除！


4.原文件图标恢复！

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

1.这是正常系统，那个unwise.exe属于误报。您在使用过程中，误报最多的是卸载程序，如unstall、unwise、uninst等等，因此这些文件报毒不能作为染毒的依据。


2.这是该系统染毒以后检查结果，此时可判断病毒类型为“前置”。


3.解除查毒模式，选择“前置”，扫描，病毒已清除！这是什么毒？就是刚刚火起来的光标漏洞病毒（又名麦英,myinflect）。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

1.再看看新鲜出炉的兔子病毒，刚刚放在桌面，还没运行就被发现了，这是我没想到的，原来兔子病毒也是捆绑文件，里面有几个病毒体的，所以被“慧眼”发现了！


2.感染后的扫描结果。


3.解除查毒模式，选择“后置”，病毒清除！其实兔子的感染是用病毒替换源文件，根本无法恢复，那清除结果是什么？


4.兔子挂了！其实清除兔子纯属意外收获，并不是本软件设计的本意。本软件也无法清除加壳的兔子。



误报问题：请大家在查到可疑病毒时不要惊慌，由于采用通用特征判断，存在部分误报情况，这是我的机器查到的误报。



八、更新历史
2007.4.15更新：增加杀毒选项“自动解除多重感染”和“删除所有可疑文件”。

软件下载



可能用到的系统文件，当您的电脑提示“缺少MSCOMCTL.OCX“或”stdole2.tlb”时下载，并与慧眼放在同一文件夹。

九尾野狐

发错版块了吧……

另 慧眼真这么好 怎么不去 VB100%甚么的去练练？？？

光在这里吹

jpzy

人家这算是一个专杀了！也不能太苛求了！

rcbblgy

原帖由 没注册 于 2007-4-22 08:34 发表
发错版块了吧……

另 慧眼真这么好 怎么不去 VB100%甚么的去练练？？？

光在这里吹

这是一个人写出来的作品，能这样已经不错了。另箫心和绅博有带图的说明和程序附件，可以去看看。

九尾野狐

一个人写的？

我还以为是团队弄的

那挺不错的啊！

得支持

PS.箫心和绅博 我都没有注册

给个链接ok？？