针对最近流行的病毒,感染了系统文件造成文件版本签名等在日志里没能发现,在借助日志分析清理时,容易产生错误判断,而删除文件后又会使得重起以后无法进入系统的,而借助系统安装盘等实现修复对于求助者无法进入系统后单凭QQ等联系教与也是有一定难度,现在只能在实行操作之前,推荐安装PE工具箱,这样即便在失误操作之后,也方便修复。
另外,针对现在的病毒对于常见的删除文件的工具,如XDelBox等软件针对性的破坏,如1.6版之前的针对XD驱动文件boot.sys的和现在更新1.7版后的窒息拟稿重起时提示的 safe.sys驱动不存在路径从而无法实现XD正常删除文件功能,这里也是推荐,安装PE后进入PE删除文件。
这里就对“TonPE_V1.4.exe” 这款是网友对雨林木风PE工具箱的修改版,进行对PE的介绍:
1.首先,就是要在上传日志得到网友分析后,下载PE安装程序进行安装,
地址:
http://search-soft.ylmf.com/download.php?sid=882&did=1034 (这个是雨林1.1)
http://d5.97sky.cn/TonPE_V1.4.exe(这个是下面要介绍的“通用1.4PE”)
大小:38,348,897Bytes
MD5值:6B074855DF619BC1579B5F51F578FEC8
默认的等待时间是4秒,建议对没有用过的朋友可以设置长一些,这样就不要担心重起时不知道在什么时候选择。(我上面是修改成10秒)
图2
正在安装,因为虚拟机上只有一个分区所以我安装在C盘,建议大家装到非系统分区上。
装完以后要检查c:\boot.ini是否正常修改。
图3
上面的c:\WXPE\PELOAD= 就是PE安装后修改系统启动列表了
在系统属性-高级-性能和故障恢复设置中 一样可以修改 如果在这次处理结束后想不要系统列表等待 可以在这里设置
图4
之后就重起进入PE
图5
重起的时候到这里,就是选择进入的系统了 这里我们要选进入PE 所以只需要点“↑”“↓”键就可以选择 然后按“Enter”
图6
正在启动
图7
这个就是这个PE的桌面了。。还经过了美化 呵呵。。
然后就可以根据保存好的处理方法,跟正常系统模式一样的搜索要删除的文件,然后删除
图8
这里需要注意的是,搜索的时候,分区一定要选清楚,如果你是在插入移动硬盘时,一定要分清楚你的移动硬盘和系统分区的盘符,因为有时移动硬盘会变成C盘等等 所以这里一定要注意 还有个就是搜索文件时 高级选项要勾上 如图
对于大堆的马群,这样一个个找,可能大家都会嫌烦,这里 可以用“费尔木马强力清除助手”达到批量删除,就在PE系统里。
在正常系统中下载并解压好后,直接就可以在PE里运行
图9
用法就跟正常系统一样了,复制所有要删除的文件路径,在“文件夹”列表框里点右键-粘贴,然后选中“清除,并抑制文件再次生成”-点开始就行了
图10
还有就是最近常见的感染正常系统文件:mfc40u.dll、cdfview.dll、lsass.exe、services.exe,具体的
http://bbs.ikaka.com/showtopic-8501837.aspx这里大版有介绍并将持续更新。而我们要处理就是用正常的文件替换掉被感染文件。在PE里复制备份文件夹c:\windows\system32\dllcache\ 里要替换的文件后粘贴到相应路径 提示替换选是即可(如果备份文件夹里没有备份文件,可以到论坛上下载对应版本系统的文件解压后进入PE复制粘贴,方法相同,这方法同样适用于机器狗感染explorer.exe和userinit.exe的修复)
图11
图12
删除替换文件以后,就可以重起回到系统继续修复的工作了。当然 这个PE里还带了注册表编辑器,熟练的话可以直接在PE下进行注册表的修复,不过这里还是推荐用工具达到,注册表毕竟麻烦点,搞坏了就难办。
图13
以上是根据我的系统盘在C盘为例,相应系统分区不是在C盘的 在复制和搜索删除文件时要依照具体路径处理,同时还要提醒一句,千万记的如果插入移动硬盘时对应分区一定要分清楚。
PE里还有其他很多功能,在这里就不一一介绍,只介绍一些简单的病毒文件清理和替换的 应付这阵子流行的病毒。
附件里有“费尔强力木马清除助手”可以直接下载
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MAXTHON 2.0)
