引言:
本文适合新手
正题:
使用工具:瑞星卡卡助手
关键分析操作:系统启动项管理
基本要求:会使用电脑,能找到卡卡助手“系统启动项管理”的一切卡卡网友
熟练要求:知识程度能一步不漏的做足以下要求的工作
最高级别:能明明白白清清楚知道自己在利用卡卡助手的“系统启动项管理”在干嘛!!
基本步骤一:安装卡卡助手
基本步骤二:找到卡卡助手的“系统启动项管理”
基本步骤三:隐藏微软已签名的项
基本步骤四:隐藏瑞星已签名的项
分析步骤一:选择左边的“登录项”
登录项是病毒最常见的启动方式,如:sysload3.exe\sysload2.exe病毒,在这里可以发现他们的影子。
私人技巧:因为是在注册表的run键值下,对应的位置是c:\windows\system32,所以,一般的软件积都会有些印象,如果没有印象,并且公司名称、描述为空的,非常有病毒/流氓的嫌疑!
PS重点:没有公司名称、描述为空,不认识的文件
分析步骤二:资源管理器插件
一般是流氓软件居多,在该项下面的正常软件有:RAR解压软件,腾讯的SOSO等工具。
一般正常软件都会具有描述和公司名称的,即使没有,也可以通过路径来确定是否为流氓软件。
PS重点:没有公司名称、描述为空,不认识的文件有可能是流氓软件
分析步骤三:IE插件
不用说,想用哪个用哪个,不想用哪个,删除哪个。
分析步骤四:计划任务
目前,好像没有这么笨的病毒了。不过腾讯的QQ喜欢这地方,假如哪天看不惯了,可以在这里删除或者在开始菜单删除。
PS:开始菜单不属此列,故不显示。
分析步骤五:服务项
当你“隐藏微软已签名的项”和“隐藏瑞星已签名的项”一般最多不会超过两三个,比较好分析。(著名的“灰鸽子”曾经非常喜欢这里。)
分析重点:没有公司名称和描述,路径可疑的。
PS:当你在RUN里找不到可疑文件时,不妨到这里的转几圈。
分析步骤六:驱动
这是我到目前为此,仍然无法渗透的一项!希望有网友能共享经验,感激不尽!!
PS:没有公司名称、描述为空,不认识的文件,可以参考一下,但是慎用!!!
分析步骤七:引导执行
勾选“隐藏微软已签名的项”和“隐藏瑞星已签名的项”后,一般该项为空。
假如不为空,则需要严重注意了!!!!
分析步骤八:应用程序劫持项和应用程序初始化动态连接库和已知动态连接库
这些项的数据一般为空。
PS:假如不空,莫问偶,偶至今没遇到过!不过可以试试SREG2修复。
分析步骤九:登录通知项
曾经有几类病毒使用过该项。找到没有描述、公司名称的,即可删除!
PS:能使用该项的,非简单类病毒!!慎重!务必严重关切!(著名的安全类软件SSM,即是通过该项启动!)
分析步骤十:winsock服务提供者(LSP)
一般为空,假使不为空,请使用卡卡助手的“IE及系统修复”
分析步骤十一:打印监控项
一般没啥问题,至今好像没有此类BT之病毒。
分析步骤十二:本地安全授权(LSA)提供者
PS:一般为空,假使不为空,莫问偶,偶8知道!
分析步骤十二:文件关联
这个,还是使用SREG2吧。
PS:病毒启动项重点“服务项”和“登录项”务必关切!
关于SREG2的下载地址,偶目前忘了。制顶的贴子也不知漂到哪里去了。偶又未吃透该论坛的搜索功能,故不提供,希望网友位能补充!阿门~
以上是私人的一些小“老本”,希望各位中毒的卡友们能喜欢,希望能帮到你们,阿门~~
特别奉献技巧:
杀毒时,请务必确保关闭了系统还原。
并且,在分析启动项时,请充分利用路径方法,找到文件。
对付病毒的启动项有两种办法:
一种是直接删除法,另一种是禁用法。
禁用方法:把前面的勾打掉,就会禁用启动,可以对付一些监控更改注册表的病毒。
特别:红色显示,一般是百分之百的病毒,或者恶意启动项!
排除办法,请注意看说明文字。
原帖地址:
http://forum.ikaka.com/topic.asp?board=28&artid=8297091Ö»NîhðáZbbs.ikaka.comSÙWþHá©