手工检测病毒

xngnln

在对新手说一句，不管什么病毒，请先贴日志，让大家了解你计算机后，才能对症下药。解决你的问题

手工检测未知病毒

近期，可能是因为病毒作者耐不住寂寞，纷纷发表新的病毒，年底的“熊猫烧香”，去年的“威金”等等大型蠕虫病毒，给我们带来的很多麻烦，我们应该如何对付这些病毒呢？我们要增强我们自己的防病毒意识。虽然现在杀毒软件做的非常不错，但对某些病毒的更新速度还需要改善，这就需要我们来自己动手检测未知病毒。

说到检测未知病毒，对于新手来说，可能很困难，经过这个文章可以让你完整了解病毒的检测和删除过程，加上自己努力学习和实践，就可以实现自己手工杀毒。好了废话就说这么多，我们来看看如何检测未知病毒。

第一， 全面检测计算机。
对于新手，手动全面检测计算机是非常困难的，因为需要打开注册表，一项一项去检查，那我们就使用简单的方法——运用SRE这个软件，SRE全名System Repair Engineer，下载地址：http://www4.skycn.com/soft/23312.html。打开软件后，点击软件左边的智能扫描，再点击“扫描”，就可以对计算机进行较为全面的扫描了。

对于不想自己分析的新手，请把日志贴到论坛上，会有人帮你解决。



第二， 分析扫描日志
这个是最关键的一步，对于很多新手，选择来论坛发布日志，让有经验的高手来分析，这样省时省力，但是如果大家学会分析日志，那么就可以有更多的人帮助新来的人，减少版主和论坛高人的劳动。分析日志学习起来很难，因为需要不断积累经验，在这里只介绍简单的方法（若有更好的方法，希望论坛或者邮件进行讨论）。

1、 了解日志
SRE日志分别扫描了注册表启动项、启动文件夹、服务、驱动、浏览器加载项、进程、文件关联、Winsock 提供者、autorun.inf、HOSTS文件、API HOOK。我会重点介绍一些检测时常用的项目

2、 看进程
看进程，看什么呢？看的就是，是否有除系统基本进程和软件产生进程外的其他进程，尤其注意进程路径是c:\windows\和C:\windows\system32\下的文件，可能有些新手不知道那些是系统基本进程，那些是软件安装的进程，这就是需要经验积累的地方，为了方便新手了解进程，我做了一个表一。
对于系统进程加载的DLL，这个需要具体分析，很多盗号木马运用了这个方式，那就要经过下面三步去完善。

3、 看启动项（包括注册表启动项、启动文件夹、服务、驱动）
看了进程以后，对那些是可疑文件有了一定了解后，就可以来看启动项目。SRE这个日志非常适合新手使用，因为它已经在服务和驱动这两个地方把微软签名的启动项隐藏，对于服务，驱动需要经验才能动，下面我一项一项的介绍。


注册表启动项
在SRE里面，这册表启动项包括了Winlogon启动，普通注册表启动等等多个项目。这个只能看下我在虚拟机下面刚安装一版SP2的Windows XP的日志了，当然因为每一种系统（盗版方式不同或者正版等等）不同，可能扫描出来的不仅相同，剩下的需要大家经验积累。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [(Verified)Microsoft Corporation]（启动输入法）
超级兔子、MSN Messenger等通过此项目启动
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [(Verified)Microsoft Corporation]（微软输入法启动项）
<PHIME2002ASync><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC> [(Verified)Microsoft Corporation] （微软输入法启动项）
<PHIME2002A><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName> [(Verified)Microsoft Corporation] （微软输入法启动项）
暴风影音、NVIDIA显卡、声卡、超级解霸、瑞星杀毒软件、瑞星个人防火墙、卡卡上网助手、金山毒霸、江民杀毒软件、Emule、金山词霸、Nero、Real系列、酷狗等通过此项目启动
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [(Verified)Microsoft Corporation]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [(Verified)Microsoft Corporation]（Winlogon启动项，逗号后面若有东西90%是病毒）
<UIHost><logonui.exe> [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><> [N/A]（初始化动态链接库，若这里面有东西90%是病毒）
以上只进行了概述，具体请看下面的表二

启动文件夹
这个最好看，只有部分软件修改这里，典型的比如QQ的启动项、OFFICE的工具栏启动项。这个利用的病毒也很少，早期的“比肩社区”（在桌面呈现比肩社区介绍）就利用。需要耐心检查。

服务
这个比较好看，第一看服务名称后面的状态，SRE日志扫描后的格式为（最新版本）[服务名称][当前运行状态/启动状态]，其中当前运行状态是表示扫描的时候计算机是否运行了此服务，Running表示运行、Stopped表示没有运行；启动状态，表示此服务是如何启动，Auto Start表示自动，Disabled表示已禁用，Manual Start表示手动启动。其中重点看Running和Auto Start的项目，如果此项目和你安装的软件和驱动程序无关，那就可能是病毒。
这里请看下面的表三

驱动
我经过5年的杀毒经验，也不敢轻易动这个项目，只能介绍一条经验，就是如果一个驱动全部为数字，可能为病毒文件。因为现在各种品牌的驱动都不一样，所以其他的就记不住了。
请看表四

鉴于启动项确定比较困难，希望新手在安装计算机后，做一次扫描备份，可以通过对比的方法，来看是否增加了启动项，如果此期间没有安装任何驱动和软件，那么就可能不是正常文件，就要小心的进行检查了。

4、 对比
对比所有可疑启动项目和所有可疑进程，是否可以一一对应，如果不可以，那么就要看是哪里出现的问题，就对那里进行进一步的研究。看看是否是因为病毒的运行方式或者保护方式问题，或者有其他病毒的存在。当然，原因不只这一些，还是需要大家积累经验。实践是根本。

5、 看其余项目
第一个要看的就是autorun.inf这个项目，如果某个盘有此文件，或者每个盘都有，那么就说明你的计算机中了病毒，处理方法很多，这里介绍几种。当然处理的时候，要保证系统中没有病毒运行了。

第一种：利用WinRAR。具体方法：打开所感染的硬盘，删除对应文件。说明不会感染计算机，方便实用。

第二种：利用资源管理器。具体方法：在打开显示隐藏文件和系统文件的前提下，利用资源管理器，在资源管理器左面选择感染的盘符，右面删除对应文件。说明对于某些病毒又感染的危险。

第三种：利用命令提示符。具体方法利用了DOS命令，具体命令如下：
Attrib –s –h –r –a X:\autorun.inf
Attrib –s –h –r –a X:\对应启动文件（EXE或者PIF）
Del X:\autorun.inf
Del X:\ 对应启动文件（EXE或者PIF）
其中X代表感染的盘符。
说明可以删除彻底，需要懂一些DOS命令和CMD的使用方法。

第四种：利用冰刃。具体方法打开冰刃后，点击下面的文件，后面的处理如同资源管理器。说明删除彻底，建议新手使用。

第二个要看的就是HOSTS文件，这里的看法是按照行，日志前面写的是网址对应的DNS解析的IP地址，如果所有IP地址都是同一个，或者和其他计算机解析的IP地址不同，那么就有问题，最主要的还是同一个或者同为127.0.0.1。处理方法很简单，利用记事本打开Host这个文件，路经在C:\WINDOWS\system32\drivers\etc，这个处理最好是在病毒删除以后。

第三， 处理所有可疑文件（清除病毒文件）

这个是最关键的一步，这一步就要删除病毒了，看到论坛以前有人光用SRE这类日志扫描程序删除，就非常气愤，因为这个程序无法完全解决问题。现在先来说明一下原因，第一，若病毒运行，病毒会不时的自动检测启动项是否被修改，你用SRE删除以后，病毒会立刻检测到，自动添加，当重新启动的时候就会重新回来，解决方法倒是有一个，这个可以在安全模式下进行，但是有部分病毒在安全模式下照样会运行，下一点就说明了这个。第二，有很多病毒选择了Winlogon启动或者初始化动态链接库启动再或者驱动启动，这三类启动有一个共同特点，就是病毒在安全模式下也会运行，那么SRE对其根本没有效果。那我们怎么进行处理呢，最可靠的方法还是使用冰刃（IceSword）。

当然也有一点冰刃不是全能的，现在有病毒以进程来结束冰刃，以后会怎么样，《黑客防线》曾经有一篇文章就是专门介绍冰刃的漏洞，利用这个漏洞，病毒可以结束掉冰刃。
废话就说以上这么多，看看具体处理方法吧。冰刃在杀毒的时候需要做一个预处理，点击上方文件下的设置，选中禁止线程创建。然后就可以做下面的处理了

删除方法：
第一种情况，有确实的EXE进程。打开冰刃后，点击进程，结束此可疑进程，这样此进程不会创建，按照上面对比后的结果，如果是注册表中的，在冰刃下面可以看到注册表，直接进行修改，注意一点就是<AppInit_DLLs><>项目需要双击打开编辑框清空，其它的直接找到对应键值删除即可；如果是服务启动，在冰刃下进入服务，找到启动服务，点右键，改为已禁用即可；如果是驱动启动，可以打开注册表进入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services找到对应的删除即可，也可以使用SRE进行删除。最后运用冰刃强制删除文件后杀毒结束。

第二种情况，无确定的EXE进程，现在很多木马喜欢用DLL潜入方式，比如江湖木马，征途木马，这些木马对应的启动项目是一个EXE文件，而最终起作用的是一个潜入进程的DLL，找此DLL的方法也是有经验的。此病毒删除方法就是先处理EXE文件，打开冰刃，进入对应启动项，按照第一种情况所说方法先删除启动项。然后强制删除对应文件，最后强制删除DLL文件重新启动后即可完成杀毒，如果找不到对应的DLL，不删除也可以，此DLL会成为系统垃圾，放在它该存在的位置，而不在产生作用。

第三种情况，也是最难处理的一种情况，现象就是杀毒软件报告病毒，但是无法从日志中找到任何病毒踪迹，这里要先启动冰刃，在进程、内核程序、启动组和服务中进行一次彻底查找（后面对次问题有解释），如果还是没有，就属于这种情况。此情况删除及其复杂。可以用冰刃强制删除对应文件（若杀毒软件以成功删除就不用做这一步），并且打开我的电脑，找到对应位置，建立一个同名的文件夹（包括扩展名），这样病毒将不会再产生，然后运用Filemon这个文件监控软件，进行监控，在监控过程中，逐一运行软件，看看那个软件要创建前面用冰刃或者杀毒软件删除的文件，找到后，删除此软件里面的所有文件重新安装，即可。

第四， 清除后遗症

病毒后遗症，论坛上经常会有此类帖子出现，我一项一项分别来说。

1、 EXE文件不能正常运行
有的时候病毒删除了，EXE文件还无法运行，那怎么办呢，介绍几种方法

第一种方法：最简单的方法，打开我的电脑，选择工具——文件夹选项——文件类型，点击新建，文件扩展名输入.exe（注意小数点），然后点击高级，选择应用程序就可以了。

第二种方法：利用修复软件，如我们上面提到的SRE、超级兔子等等。

第三种方法：直接修改注册表。打开冰刃，进入注册表。找到HKEY_CLASSES_ROOT\.exe查看其下面的（默认）是不是为exefile，不是则修改为exefile。然后，打开HKEY_CLASSES_ROOT\exefile\shell\open\command检查（默认）是否为"%1" %*，不是则修改。

第四种方法：把下面的语句复制下来放在reg文件里面（建立记事本文件，修改扩展名为.reg），双击运行导入注册表中，就可以打开EXE文件。
REGEDIT4
（空一行）
[HKEY_CLASSES_ROOT\.exe]
@="exefile"
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@=""%1" %*"

第五种方法：可以说这种方法比较万能，就是用命令提示符，但是因为测试过程中有问题，现在无法给出具体方法。

2、 无法显示隐藏文件
这个也是常见的病毒后遗症。和上面一样，同样介绍一些方法。

第一种方法：把下面的语句复制下来放在reg文件里面（建立记事本文件，修改扩展名为.reg），双击运行导入注册表中，问题即可解决。
REGEDIT4
（空一行）
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

第二种方法：可以说这种方法比较万能，就是用命令提示符，但是因为测试过程中有问题，现在无法给出具体方法。


3、 对开机无法找到文件提示的处理
这个是一般用杀毒软件杀毒后出现的后遗症，按照第二里面的检查启动项查看是那个启动项出了问题，就可以了。

以上只叙述了一般的检测清除未知病毒的方法，但是此方法并不对任何病毒使用，每一位高手都会有自己特殊的方法对付顽固的病毒，我在这里献丑了，把我对付顽固病毒的经验写一写。对付病毒还要对症下药，所以我从两个方面写，就是病毒运行和病毒保护，了解这两个方面，才能对症下药，对每一种病毒进行删除。

第五，介绍病毒运行方法及其对策

1、EXE文件运行
这个是早期的，也是最简单的病毒运行方法，就是在启动项里面加入一个EXE文件运行的项目，从而达到病毒文件运行的目的，比如：密西木马在注册表启动项里面加入这么项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ToP: "C:\WINDOWS\LSASS.exe"，达到运行C:\WINDOWS\LSASS.exe文件的目的，这样的运行方式在任务管理器中可以看见进程（病毒自身做了保护的除外）。
至于这样的病毒清除起来非常简单，按照上面说的第一种情况就可以了——结束进程，删除启动项，删除文件。

2、DLL嵌入（直接嵌入）
DLL嵌入分为两种，我们先说直接嵌入，大家都知道DLL文件是动态链接库，这类文件必须经过c:\windows\system32\rundll32.exe解释后才可以运行。在进程中只显示一个rundll32.exe的进程，这样直接在注册表启动项目里面添加一个键值为“c:\windows\system32\rundll32.exe 病毒DLL位置”的项就可以运行了。因为这种运行方式可以发现病毒进程，所以就有了嵌入Explorer.exe的，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run中建立，就可以隐藏在Explorer.exe里面启动。当然除了这几种方式，还有好多种可以嵌入系统EXE文件的方式，这样就加大了我们的检查难度。
对于这样的病毒，我们一般可以看SRE日志中的DLL加载项目，注意c:\windows\和c:\windows\system32\两个文件夹的文件，经过经验积累来判断是否是病毒。我的经验有几点，第一，按启动项判断，很多加载DLL的启动项比较独特，而且按照上面的叙述有明显的特征；第二，若一个DLL文件被多个进程启动，50%是病毒（这个概率较低，我原来犯错误就是认为这个概率应该很高）；第三，看文件数字签名，SRE后面附带了数字签名，若签名为N/A，50%是病毒，有特殊的软件（一般为小软件或者个人开发的）不带签名。这类病毒删除起来也相对容易，直接用冰刃强制删除DLL文件，并且删除对应的启动项目就可以了。

3、DLL嵌入（间接嵌入）

我们再来看看这个间接嵌入，说它间接是因为病毒使用EXE文件作跳板来嵌入EXE文件。这类病毒很多，比如征途木马（Trojan.PSW.ZhengTu.*）的部分变种、Trojan.PSW.WSGame等等，这些病毒如果试验，有一个特点，其EXE文件会在运行后删除。
这个运行方式比较复杂，EXE文件会干以下几件事情：释放要嵌入的DLL、运行DLL（执行嵌入）、建立自身以供下一次运行、建立启动项指向自身、删除自身（顺叙就不知道了，没有试验）。完成运行过程后，EXE文件和DLL文件都会保住，且病毒也会正常运行。
删除方式很简单，就是首先查看启动项，掌握启动的EXE，然后把此EXE文件复制出来，可以用虚拟机（VMware Workstation）进行运行，估计新手没有这种条件，可以使用filemon监视，看看运行此文件创建或者读写了那一个DLL文件，用冰刃删除启动项和对应EXE、DLL文件，病毒解决。

4、多点运行及保护
这是最复杂的，我手头里面的试验过的典型病毒是Trojan.Agent.afz和密西木马（落雪、Trojan.PSW.Misc.*）病毒，而这种类型最为普遍，比如现在流行的威金（Worm.Viking.*）、熊猫烧香（Worm.Nimaya.*）。这种类型的病毒有着多边的特点，它不只是自己的保护非常到位，而且还释放了其他文件。这种类型的病毒就需要老手经过经验来处理，对于新手来说可能就非常棘手，那么怎么办呢？
提出以下几点建议，认真学习下面的保护方法介绍，因为此种类型病毒具有多种保护于一身，所以要先去除内存中的病毒后去除保护，否则病毒可能会卷土重来，但是去除保护。

第六，介绍某些病毒的保护方法及其对策

1、隐藏文件
这个最简单的一种，对于初级菜鸟特别有用，理论我不说大家也应该知道。只不过论坛有些人喊找不到文件的时候，我还以为预见了自身保护型病毒，结果就是此原因，让我郁闷半天。
解决方法：
打开我的电脑，点击工具——文件夹选项——查看，选择显示所有文件和文件夹，而且要去除“隐藏受保护的操作系统文件（推荐）”项目前面的对勾，如果无用，请看病毒后遗症，里面有具体解决方法。

2、EXE文件关联
典型病毒：密西木马（落雪、Trojan.PSW.Misc.*）
具体现象：清除病毒后，点击任何EXE文件，一定是任何，不是单一的病毒都会死灰复燃，且注册表项HKEY_CLASSES_ROOT\exefile\shell\open\command和HKEY_CLASSES_ROOT\.exe被修改（具体默认值参看清除病毒后遗症）。
解决方法：参看清除病毒后遗症
说明：此种保护方法比较厉害，但是很容易被发现，要和下面的第4项区分开来，现象差不多，但是处理方法不一样

3、autorun.inf保护
典型病毒：熊猫烧香（Worm.Nimaya.*）、U盘破坏者（Worm.vb.hy）等等
具体现象：在分区根目录或者移动硬盘、MP3、U盘根目录产生autorun.inf和一个病毒文件，达到传播病毒和保护病毒的作用。
解决方法：参看第二中的第五项
说明：一种常见的保护方法，应用也非常普遍，也有一种防护措施，参看第七的第一项。这种保护防止一些菜鸟重新安装系统来清除病毒，若重新安装系统后又运行带有此文件的分区，病毒会立马出现

4、文件保护
典型病毒：威金（Worm.Viking.*）、熊猫烧香（Worm.Nimaya.*）、过去的劳拉、CIH
具体想象：某一类文件被修改，在文件头或者文件的尾部加上病毒代码，以便日后运行此文件的时候释放病毒，达到病毒传播和保护的目的，而且一般被修改的文件图标也会被修改。
解决办法：少量文件高手可以自行解决，对于新手来说可以利用专杀、杀毒软件等清除代码
说明：最棘手的保护之一，删除非常困难。最可怕就是大量EXE文件被修改，数据丢失而且无法回复。

5、IE浏览器保护
就是利用桌面上的IE图标，桌面上的IE图标是通过注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command\的（默认）项来控制的，这里面的键值，就是双击桌面IE的连接。
解决方法：
第一种方法：打开注册表编辑器（c:\windows\regedit.exe），直接找到HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command\项目，修改默认为"C:\Program Files\Internet Explorer\iexplore.exe" %1即可。
第二种方法：编辑记事本文件，导入注册表即可，内容如下：
REGEDIT4
（空一行）
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command]
@=” "C:\Program Files\Internet Explorer\iexplore.exe" %1”

6、应用软件保护
这个最开始是被QQ盗号程序利用，病毒修改QQ安装文件夹里面的一个文件，让QQ启动后会自动检查病毒是否存在，如果不存在就会恢复，比如Trojan.Clicker.Agent.*的部分变种就有这个特性。
解决方法：参看第三项里面的第三种情况

7、自身保护自身
这个是最难处理的一种，有少量病毒，如Trojan.Agent.bfm、Trojan.EliteBar.*就是这一种，如果病毒进程在运行，那么此病毒的文件、注册表添加项、进程等明显部分都被隐藏了，利用多种软件无法查看（Windows基本软件、SRE、HJ、瑞星听诊器等），我用的软件只有冰刃可以看到这些进程等内容。
处理方法：利用冰刃，查看启动组、进程、服务是否有可疑项目，尤其是进程，然后按照第一种情况删除。

8、多进程木马
这个早年就有，一个病毒进程，一个保护进程，非常简单。

9、COM文件的保护
这种保护不容易发现，主要就是在windows文件夹下建立一个与某文件同名的.com文件。比如：regedit.exe是注册表编辑器，那么病毒就建立一个regedit.com，一般人利用windows里面的运行功能来执行这个文件，仅输入regedit，那么就会运行病毒。
处理方法：删除病毒后，删除那个保护文件即可。

第七，简单防护方法
本来我无意去写防护，毕竟对于防护来说，每一位高手都有自己的防护方法，比如baohe选择了SSM、Tiny等软件，包括杀毒软件，虽然是卡卡论坛，但是也包括了瑞星、金山、江民、卡巴、诺顿等多款杀毒软件的用户，所以写防护真的很难。
我使用瑞星杀毒软件，因为它的服务态度是比较好的，防火墙和杀毒功能等方面综合起来是国内最好的（病毒库另说，我认为防火墙功能江民做的非常出色）。废话就这么多吧，不同人有不同理论，以上只是我个人意见，不要因为这个吵起来。

1、防护autorun.inf
在清除autorun.inf后，在分区根目录或者U盘、移动硬盘、MP3的根目录建立一个autorun.inf的文件夹，属性为只读、隐藏，有能力的可以加上系统属性。

2、浏览网页时候的防护
浏览网页时候尽量在大网站留言，不要使用baidu、google进行搜索，尤其软件、游戏外挂等等。
有能力的可以运行虚拟机和影子系统，来达到防护的目的

3、下载文件的防护
下载后的文件，在运行前一定要看图标、文件大小，并用杀毒软件进行查毒。下面介绍一个软件Universal Extractor，一款不错的解压缩软件，有些人该问了，WinRAR不就可以么？我介绍的这款软件可以解EXE文件，还能脱一些壳，一般的安装程序都能解开，看里面的文件是否有异样，也可以辨别病毒。

4、注册表防护
经常备份注册表，保护好关键注册表项，也就是各个注册表启动项，有能力的用户可以运用一些注册表监视程序。对于新手，瑞星的注册表监控在上网的时候弹出，一定要点拒绝修改，而且要立马手工检查病毒。

5、文件保护
尽量可以进行文件监控，比如SSM等。
对于4、5，我再推荐一款软件RegShot，这款软件进行前后扫描，然后对比，来反映修改，如果你上网浏览网页，比如查资料，要经常进入小网站，就可以在浏览前作一次扫描，浏览后作一次扫描，就可以看到你浏览时计算机对注册表和文件的添加、删除、修改。

6、细心观察

xngnln

附：

进程列表（表一）（只是简略说明，详细说明请自己查找，你会学习得更多）
进程名 svchost.exe 路径 c:\windows\system32\ 说明 服务启动辅助文件，若其他地方出现，或者出现相似，则90%为病毒

进程名 svchost.exe 路径 c:\windows\system32\ 说明 服务启动辅助文件，若其他地方出现，或者出现相似，则90%为病毒

进程名 ctfmon.exe 路径 c:\windows\system32\ 说明 输入法辅助文件。

进程名 winlogon.exe 路径 c:\windows\system32\ 说明 系统基础文件之一

进程名 csrss.exe 路径 c:\windows\system32\ 说明 系统基础文件之一

进程名 services.exe 路径 c:\windows\system32\ 说明 系统基础文件之一

进程名 smss.exe 路径 c:\windows\system32\ 说明 系统基础文件之一

进程名 lsass.exe 路径 c:\windows\system32\ 说明 系统基础文件之一

进程名 alg.exe 路径 c:\windows\system32\ 说明 系统基础文件之一

进程名 spoolsv.exe 路径 c:\windows\system32\ 说明 系统基础文件之一

进程名 explorer.exe 路径 c:\windows\ 说明 系统桌面文件，大部分DLL病毒会集中在这里

说明，以上是部分系统基本进程，一个完整的SP2按照后是18个进程左右（不同版本进程数量不同）。注意路径，若路径有问题，90%

是病毒

软件启动项列表（表二）
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下面的软件

超级兔子
<Super Rabbit IEPro><C:\Program Files\Super Rabbit\MagicSet\SRIECLI.EXE /LOAD> [Super Rabbit Soft]

MSN Messenger
<MSMSGS><"C:\Program Files\Messenger\msmsgs.exe" /background> [(Verified)Microsoft Corporation]（安装系统后的基本设置）

Google工具栏

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下面的软件

微软拼音
<IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [(Verified)Microsoft Corporation]
<PHIME2002ASync><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC> [(Verified)Microsoft Corporation]
<PHIME2002A><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName> [(Verified)Microsoft Corporation]

暴风影音
<StormCodec_Helper><"C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti>

NVIDIA显卡
<NvCplDaemon><RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup> [(Verified)NVIDIA Corporation]

摄像头（不同品牌的不同）
<BigDog305><C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)>

Nero
<NeroFilterCheck><C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe> [Ahead Software Gmbh]


Real系列
<TkBellExe><"C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot> [(Verified)RealNetworks, Inc.]

酷狗
<KuGoo3><E:\Program Files\KuGoo3\KuGoo.exe> [N/A]

腾讯搜搜
<stup.exe><C:\PROGRA~1\TENCENT\Adplus\stup.exe> [Tencent]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks下面的软件


服务列表（表三）（只说明除微软以外的）

正常
不明，但是正常
[Human Interface Device Access / HidServ][Stopped/Disabled]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>

NVIDIA显卡
[NVIDIA Display Driver Service / NVSvc][Running/Auto Start]
<C:\WINDOWS\system32\nvsvc32.exe><NVIDIA Corporation>

VMware虚拟机
[VMware Authorization Service / VMAuthdService][Running/Auto Start]
<C:\Program Files\VMware\VMware Workstation\vmware-authd.exe><VMware, Inc.>
[VMware DHCP Service / VMnetDHCP][Running/Auto Start]
<C:\WINDOWS\system32\vmnetdhcp.exe><VMware, Inc.>
[VMware Virtual Mount Manager Extended / vmount2][Running/Auto Start]
<"C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe"><VMware, Inc.>
[VMware NAT Service / VMware NAT Service][Running/Auto Start]
<C:\WINDOWS\system32\vmnat.exe><VMware, Inc.>

服务对应路径：C:\WINDOWS\system32\rundll32.exe windhcp.ocx,start
其中病毒文件在C:\WINDOWS\system32\windhcp.ocx

服务对应路径：C:\WINDOWS\system32\\rundll32.exe windds32.dll,input
其中病毒文件在C:\WINDOWS\system32\windds32.dll

病毒服务
SRE扫描结果：
[Win32 DHCP Service / Win32DHCPsvc][Stopped/Auto Start]
<C:\WINDOWS\system32\rundll32.exe windhcp.dll,start><Microsoft Corporation>
服务对应路径：C:\WINDOWS\system32\rundll32.exe windhcp.dll,start
其中病毒文件在C:\WINDOWS\system32\windhcp.dll

SRE扫描结果：
[ZT Massacre / ZTmassacre][Running/Auto Start]
<C:\WINDOWS\help\ZTpass.exe><N/A>
服务对应路径：C:\WINDOWS\help\ZTpass.exe
其中病毒文件在C:\WINDOWS\help\ZTpass.exe

SRE扫描结果：
[WinXP DHCP Service / WinXPDHCPsvc][Stopped/Auto Start]
<C:\WINDOWS\system32\\rundll32.exe xpdhcp.dll,input><Microsoft Corporation>
服务对应路径：C:\WINDOWS\system32\\rundll32.exe xpdhcp.dll,input
其中病毒文件在C:\WINDOWS\system32\xpdhcp.dll

驱动列表（表四）（我对驱动也不是非常了解，只介绍某些非正常）

Trojan.Agent.bav释放的Trojan.PSW.LMir.jsk
病毒驱动对应路径：C:\WINDOWS\system32\drivers\npf.sys

Trojan.Agent.dex
病毒驱动对应路径：C:\WINDOWS\system32\drivers\KSDT1983.sys