第四, 清除后遗症
病毒后遗症,论坛上经常会有此类帖子出现,我一项一项分别来说。
1、 EXE文件不能正常运行
有的时候病毒删除了,EXE文件还无法运行,那怎么办呢,介绍几种方法
第一种方法:最简单的方法,打开我的电脑,选择工具——文件夹选项——文件类型,点击新建,文件扩展名输入.exe(注意小数点),然后点击高级,选择应用程序就可以了。
第二种方法:利用修复软件,如我们上面提到的SRE、超级兔子等等。
第三种方法:直接修改注册表。打开冰刃,进入注册表。找到HKEY_CLASSES_ROOT\.exe查看其下面的(默认)是不是为exefile,不是则修改为exefile。然后,打开HKEY_CLASSES_ROOT\exefile\shell\open\command检查(默认)是否为"%1" %*,不是则修改。
第四种方法:把下面的语句复制下来放在reg文件里面(建立记事本文件,修改扩展名为.reg),双击运行导入注册表中,就可以打开EXE文件。
REGEDIT4
(空一行)
[HKEY_CLASSES_ROOT\.exe]
@="exefile"
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@=""%1" %*"
第五种方法:可以说这种方法比较万能,就是用命令提示符,但是因为测试过程中有问题,现在无法给出具体方法。
2、 无法显示隐藏文件
这个也是常见的病毒后遗症。和上面一样,同样介绍一些方法。
第一种方法:把下面的语句复制下来放在reg文件里面(建立记事本文件,修改扩展名为.reg),双击运行导入注册表中,问题即可解决。
REGEDIT4
(空一行)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
第二种方法:可以说这种方法比较万能,就是用命令提示符,但是因为测试过程中有问题,现在无法给出具体方法。
3、 对开机无法找到文件提示的处理
这个是一般用杀毒软件杀毒后出现的后遗症,按照第二里面的检查启动项查看是那个启动项出了问题,就可以了。
以上只叙述了一般的检测清除未知病毒的方法,但是此方法并不对任何病毒使用,每一位高手都会有自己特殊的方法对付顽固的病毒,我在这里献丑了,把我对付顽固病毒的经验写一写。对付病毒还要对症下药,所以我从两个方面写,就是病毒运行和病毒保护,了解这两个方面,才能对症下药,对每一种病毒进行删除。
第五,介绍病毒运行方法及其对策
1、EXE文件运行
这个是早期的,也是最简单的病毒运行方法,就是在启动项里面加入一个EXE文件运行的项目,从而达到病毒文件运行的目的,比如:密西木马在注册表启动项里面加入这么项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ToP: "C:\WINDOWS\LSASS.exe",达到运行C:\WINDOWS\LSASS.exe文件的目的,这样的运行方式在任务管理器中可以看见进程(病毒自身做了保护的除外)。
至于这样的病毒清除起来非常简单,按照上面说的第一种情况就可以了——结束进程,删除启动项,删除文件。
2、DLL嵌入(直接嵌入)
DLL嵌入分为两种,我们先说直接嵌入,大家都知道DLL文件是动态链接库,这类文件必须经过c:\windows\system32\rundll32.exe解释后才可以运行。在进程中只显示一个rundll32.exe的进程,这样直接在注册表启动项目里面添加一个键值为“c:\windows\system32\rundll32.exe 病毒DLL位置”的项就可以运行了。因为这种运行方式可以发现病毒进程,所以就有了嵌入Explorer.exe的,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run中建立,就可以隐藏在Explorer.exe里面启动。当然除了这几种方式,还有好多种可以嵌入系统EXE文件的方式,这样就加大了我们的检查难度。
对于这样的病毒,我们一般可以看SRE日志中的DLL加载项目,注意c:\windows\和c:\windows\system32\两个文件夹的文件,经过经验积累来判断是否是病毒。我的经验有几点,第一,按启动项判断,很多加载DLL的启动项比较独特,而且按照上面的叙述有明显的特征;第二,若一个DLL文件被多个进程启动,50%是病毒(这个概率较低,我原来犯错误就是认为这个概率应该很高);第三,看文件数字签名,SRE后面附带了数字签名,若签名为N/A,50%是病毒,有特殊的软件(一般为小软件或者个人开发的)不带签名。这类病毒删除起来也相对容易,直接用冰刃强制删除DLL文件,并且删除对应的启动项目就可以了。
3、DLL嵌入(间接嵌入)
我们再来看看这个间接嵌入,说它间接是因为病毒使用EXE文件作跳板来嵌入EXE文件。这类病毒很多,比如征途木马(Trojan.PSW.ZhengTu.*)的部分变种、Trojan.PSW.WSGame等等,这些病毒如果试验,有一个特点,其EXE文件会在运行后删除。
这个运行方式比较复杂,EXE文件会干以下几件事情:释放要嵌入的DLL、运行DLL(执行嵌入)、建立自身以供下一次运行、建立启动项指向自身、删除自身(顺叙就不知道了,没有试验)。完成运行过程后,EXE文件和DLL文件都会保住,且病毒也会正常运行。
删除方式很简单,就是首先查看启动项,掌握启动的EXE,然后把此EXE文件复制出来,可以用虚拟机(VMware Workstation)进行运行,估计新手没有这种条件,可以使用filemon监视,看看运行此文件创建或者读写了那一个DLL文件,用冰刃删除启动项和对应EXE、DLL文件,病毒解决。
4、多点运行及保护
这是最复杂的,我手头里面的试验过的典型病毒是Trojan.Agent.afz和密西木马(落雪、Trojan.PSW.Misc.*)病毒,而这种类型最为普遍,比如现在流行的威金(Worm.Viking.*)、熊猫烧香(Worm.Nimaya.*)。这种类型的病毒有着多边的特点,它不只是自己的保护非常到位,而且还释放了其他文件。这种类型的病毒就需要老手经过经验来处理,对于新手来说可能就非常棘手,那么怎么办呢?
提出以下几点建议,认真学习下面的保护方法介绍,因为此种类型病毒具有多种保护于一身,所以要先去除内存中的病毒后去除保护,否则病毒可能会卷土重来,但是去除保护。
第六,介绍某些病毒的保护方法及其对策
1、隐藏文件
这个最简单的一种,对于初级菜鸟特别有用,理论我不说大家也应该知道。只不过论坛有些人喊找不到文件的时候,我还以为预见了自身保护型病毒,结果就是此原因,让我郁闷半天。
解决方法:
打开我的电脑,点击工具——文件夹选项——查看,选择显示所有文件和文件夹,而且要去除“隐藏受保护的操作系统文件(推荐)”项目前面的对勾,如果无用,请看病毒后遗症,里面有具体解决方法。
2、EXE文件关联
典型病毒:密西木马(落雪、Trojan.PSW.Misc.*)
具体现象:清除病毒后,点击任何EXE文件,一定是任何,不是单一的病毒都会死灰复燃,且注册表项HKEY_CLASSES_ROOT\exefile\shell\open\command和HKEY_CLASSES_ROOT\.exe被修改(具体默认值参看清除病毒后遗症)。
解决方法:参看清除病毒后遗症
说明:此种保护方法比较厉害,但是很容易被发现,要和下面的第4项区分开来,现象差不多,但是处理方法不一样
3、autorun.inf保护
典型病毒:熊猫烧香(Worm.Nimaya.*)、U盘破坏者(Worm.vb.hy)等等
具体现象:在分区根目录或者移动硬盘、MP3、U盘根目录产生autorun.inf和一个病毒文件,达到传播病毒和保护病毒的作用。
解决方法:参看第二中的第五项
说明:一种常见的保护方法,应用也非常普遍,也有一种防护措施,参看第七的第一项。这种保护防止一些菜鸟重新安装系统来清除病毒,若重新安装系统后又运行带有此文件的分区,病毒会立马出现
4、文件保护
典型病毒:威金(Worm.Viking.*)、熊猫烧香(Worm.Nimaya.*)、过去的劳拉、CIH
具体想象:某一类文件被修改,在文件头或者文件的尾部加上病毒代码,以便日后运行此文件的时候释放病毒,达到病毒传播和保护的目的,而且一般被修改的文件图标也会被修改。
解决办法:少量文件高手可以自行解决,对于新手来说可以利用专杀、杀毒软件等清除代码
说明:最棘手的保护之一,删除非常困难。最可怕就是大量EXE文件被修改,数据丢失而且无法回复。
5、IE浏览器保护
就是利用桌面上的IE图标,桌面上的IE图标是通过注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command\的(默认)项来控制的,这里面的键值,就是双击桌面IE的连接。
解决方法:
第一种方法:打开注册表编辑器(c:\windows\regedit.exe),直接找到HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command\项目,修改默认为"C:\Program Files\Internet Explorer\iexplore.exe" %1即可。
第二种方法:编辑记事本文件,导入注册表即可,内容如下:
REGEDIT4
(空一行)
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command]
@=” "C:\Program Files\Internet Explorer\iexplore.exe" %1”
6、应用软件保护
这个最开始是被QQ盗号程序利用,病毒修改QQ安装文件夹里面的一个文件,让QQ启动后会自动检查病毒是否存在,如果不存在就会恢复,比如Trojan.Clicker.Agent.*的部分变种就有这个特性。
解决方法:参看第三项里面的第三种情况
7、自身保护自身
这个是最难处理的一种,有少量病毒,如Trojan.Agent.bfm、Trojan.EliteBar.*就是这一种,如果病毒进程在运行,那么此病毒的文件、注册表添加项、进程等明显部分都被隐藏了,利用多种软件无法查看(Windows基本软件、SRE、HJ、瑞星听诊器等),我用的软件只有冰刃可以看到这些进程等内容。
处理方法:利用冰刃,查看启动组、进程、服务是否有可疑项目,尤其是进程,然后按照第一种情况删除。
8、多进程木马
这个早年就有,一个病毒进程,一个保护进程,非常简单。
9、COM文件的保护
这种保护不容易发现,主要就是在windows文件夹下建立一个与某文件同名的.com文件。比如:regedit.exe是注册表编辑器,那么病毒就建立一个regedit.com,一般人利用windows里面的运行功能来执行这个文件,仅输入regedit,那么就会运行病毒。
处理方法:删除病毒后,删除那个保护文件即可。
第七,简单防护方法
本来我无意去写防护,毕竟对于防护来说,每一位高手都有自己的防护方法,比如baohe选择了SSM、Tiny等软件,包括杀毒软件,虽然是卡卡论坛,但是也包括了瑞星、金山、江民、卡巴、诺顿等多款杀毒软件的用户,所以写防护真的很难。
我使用瑞星杀毒软件,因为它的服务态度是比较好的,防火墙和杀毒功能等方面综合起来是国内最好的(病毒库另说,我认为防火墙功能江民做的非常出色)。废话就这么多吧,不同人有不同理论,以上只是我个人意见,不要因为这个吵起来。
1、防护autorun.inf
在清除autorun.inf后,在分区根目录或者U盘、移动硬盘、MP3的根目录建立一个autorun.inf的文件夹,属性为只读、隐藏,有能力的可以加上系统属性。
2、浏览网页时候的防护
浏览网页时候尽量在大网站留言,不要使用baidu、google进行搜索,尤其软件、游戏外挂等等。
有能力的可以运行虚拟机和影子系统,来达到防护的目的
3、下载文件的防护
下载后的文件,在运行前一定要看图标、文件大小,并用杀毒软件进行查毒。下面介绍一个软件Universal Extractor,一款不错的解压缩软件,有些人该问了,WinRAR不就可以么?我介绍的这款软件可以解EXE文件,还能脱一些壳,一般的安装程序都能解开,看里面的文件是否有异样,也可以辨别病毒。
4、注册表防护
经常备份注册表,保护好关键注册表项,也就是各个注册表启动项,有能力的用户可以运用一些注册表监视程序。对于新手,瑞星的注册表监控在上网的时候弹出,一定要点拒绝修改,而且要立马手工检查病毒。
5、文件保护
尽量可以进行文件监控,比如SSM等。
对于4、5,我再推荐一款软件RegShot,这款软件进行前后扫描,然后对比,来反映修改,如果你上网浏览网页,比如查资料,要经常进入小网站,就可以在浏览前作一次扫描,浏览后作一次扫描,就可以看到你浏览时计算机对注册表和文件的添加、删除、修改。
6、细心观察
附:
进程列表(表一)(只是简略说明,详细说明请自己查找,你会学习得更多)
进程名 svchost.exe 路径 c:\windows\system32\ 说明 服务启动辅助文件,若其他地方出现,或者出现相似,则90%为病毒
进程名 svchost.exe 路径 c:\windows\system32\ 说明 服务启动辅助文件,若其他地方出现,或者出现相似,则90%为病毒
进程名 ctfmon.exe 路径 c:\windows\system32\ 说明 输入法辅助文件。
进程名 winlogon.exe 路径 c:\windows\system32\ 说明 系统基础文件之一
进程名 csrss.exe 路径 c:\windows\system32\ 说明 系统基础文件之一
进程名 services.exe 路径 c:\windows\system32\ 说明 系统基础文件之一
进程名 smss.exe 路径 c:\windows\system32\ 说明 系统基础文件之一
进程名 lsass.exe 路径 c:\windows\system32\ 说明 系统基础文件之一
进程名 alg.exe 路径 c:\windows\system32\ 说明 系统基础文件之一
进程名 spoolsv.exe 路径 c:\windows\system32\ 说明 系统基础文件之一
进程名 explorer.exe 路径 c:\windows\ 说明 系统桌面文件,大部分DLL病毒会集中在这里
说明,以上是部分系统基本进程,一个完整的SP2按照后是18个进程左右(不同版本进程数量不同)。注意路径,若路径有问题,90%
是病毒
软件启动项列表(表二)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下面的软件
超级兔子
<Super Rabbit IEPro><C:\Program Files\Super Rabbit\MagicSet\SRIECLI.EXE /LOAD> [Super Rabbit Soft]
MSN Messenger
<MSMSGS><"C:\Program Files\Messenger\msmsgs.exe" /background> [(Verified)Microsoft Corporation](安装系统后的基本设置)
Google工具栏
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下面的软件
微软拼音
<IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [(Verified)Microsoft Corporation]
<PHIME2002ASync><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC> [(Verified)Microsoft Corporation]
<PHIME2002A><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName> [(Verified)Microsoft Corporation]
暴风影音
<StormCodec_Helper><"C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti>
NVIDIA显卡
<NvCplDaemon><RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup> [(Verified)NVIDIA Corporation]
摄像头(不同品牌的不同)
<BigDog305><C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)>
Nero
<NeroFilterCheck><C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe> [Ahead Software Gmbh]
Real系列
<TkBellExe><"C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot> [(Verified)RealNetworks, Inc.]
酷狗
<KuGoo3><E:\Program Files\KuGoo3\KuGoo.exe> [N/A]
腾讯搜搜
<stup.exe><C:\PROGRA~1\TENCENT\Adplus\stup.exe> [Tencent]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks下面的软件
服务列表(表三)(只说明除微软以外的)
正常
不明,但是正常
[Human Interface Device Access / HidServ][Stopped/Disabled]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
NVIDIA显卡
[NVIDIA Display Driver Service / NVSvc][Running/Auto Start]
<C:\WINDOWS\system32\nvsvc32.exe><NVIDIA Corporation>
VMware虚拟机
[VMware Authorization Service / VMAuthdService][Running/Auto Start]
<C:\Program Files\VMware\VMware Workstation\vmware-authd.exe><VMware, Inc.>
[VMware DHCP Service / VMnetDHCP][Running/Auto Start]
<C:\WINDOWS\system32\vmnetdhcp.exe><VMware, Inc.>
[VMware Virtual Mount Manager Extended / vmount2][Running/Auto Start]
<"C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe"><VMware, Inc.>
[VMware NAT Service / VMware NAT Service][Running/Auto Start]
<C:\WINDOWS\system32\vmnat.exe><VMware, Inc.>
服务对应路径:C:\WINDOWS\system32\rundll32.exe windhcp.ocx,start
其中病毒文件在C:\WINDOWS\system32\windhcp.ocx
服务对应路径:C:\WINDOWS\system32\\rundll32.exe windds32.dll,input
其中病毒文件在C:\WINDOWS\system32\windds32.dll
病毒服务
SRE扫描结果:
[Win32 DHCP Service / Win32DHCPsvc][Stopped/Auto Start]
<C:\WINDOWS\system32\rundll32.exe windhcp.dll,start><Microsoft Corporation>
服务对应路径:C:\WINDOWS\system32\rundll32.exe windhcp.dll,start
其中病毒文件在C:\WINDOWS\system32\windhcp.dll
SRE扫描结果:
[ZT Massacre / ZTmassacre][Running/Auto Start]
<C:\WINDOWS\help\ZTpass.exe><N/A>
服务对应路径:C:\WINDOWS\help\ZTpass.exe
其中病毒文件在C:\WINDOWS\help\ZTpass.exe
SRE扫描结果:
[WinXP DHCP Service / WinXPDHCPsvc][Stopped/Auto Start]
<C:\WINDOWS\system32\\rundll32.exe xpdhcp.dll,input><Microsoft Corporation>
服务对应路径:C:\WINDOWS\system32\\rundll32.exe xpdhcp.dll,input
其中病毒文件在C:\WINDOWS\system32\xpdhcp.dll
驱动列表(表四)(我对驱动也不是非常了解,只介绍某些非正常)
Trojan.Agent.bav释放的Trojan.PSW.LMir.jsk
病毒驱动对应路径:C:\WINDOWS\system32\drivers\npf.sys
Trojan.Agent.dex
病毒驱动对应路径:C:\WINDOWS\system32\drivers\KSDT1983.sys |