这是一篇我以前写的文章,最早发表在我的网站上 ,今天看了一下觉得有一些需要改进的地方,所以修改了一下,顺便更新至活动。手动杀毒是个老生常谈的问题了,只不过是现在的大部分病毒或者木马实在无聊,没有一点创新能力,总是使用一些老一套的方法,只能让新手措手不及或者是抓耳挠腮的手段。今天就想结合卡卡的应用再一次谈一下这个问题,希望对大家有一些用处。
一、写在前面 1、这个方法可能并不解决所有的问题,但是它可以作为一个思路,用以解决类似的问题。
2、如果你决定了自己动手杀毒,那么在以下的所有操作中请不要双击任何分区,打开任何一个分区或者文件夹都是通过"资源管理器"实现的(很重要)。
3、同样如果你决定了自己手动杀毒,我希望你了解一些起码的病毒知识,否则会有一定的难度。
4、关闭系统还原,否则你下次还原后病毒有会重现。
5、由于是一类病毒在作祟,所以我们将其通称为:xxx.exe
6、使用工具:
(1)冰刃
(2)卡卡上网安全助手6.0(这个就不用说了吧,相信大部分应该都有安装吧!
(3)解决映像劫持、文件夹选项等问题的注册表文件包 。
7、在杀毒之前要断开网络,以防病毒通过网络再次感染。
8、当然了还要注意使用管理员账号,因为一些软件是必须得要管理员级别才可以正常运行的。
二、确定中毒深度 其实有许多原因可以导致安全软件无法运行,比如机器配置比较低(严格地说是打开慢,不是打不开)、或
者软件安装文件丢失了等等。中毒后导致软件无法运行一般可以这样判断:
1、机器上的所有安全软件都无法运行,如:瑞星杀毒软件、瑞星卡卡、360、卡巴斯基等等。
2、文件夹选项(资源管理器—>菜单栏“工具”—>“文件夹选项”)没有了,或者是隐藏的文件没办法显示等等让你感觉很是不爽的症状,就不一一列举了,反正有了上面的两项就差不多可以确定了。紧接着再确定一下中毒的程度,因为有的病毒或者木马是相当好对付的,我们几步操作就可以搞定了;而有的操作起来就比较麻烦了,所以确定这个是很有必要的。可以通过以下方式确定一下:
(1)、按照上述方法打开文件夹选项,去掉“隐藏受保护的操作系统文件(推荐)”和选中“显示所有文件和文件夹”(如下图);
(2)、点击“开始”,运行“msconfig”,看一下这里的启动项里有多少是自己从来没有见过的或者是没有用的启动项;
(3)、查看一下“任务管理器”里的有没有可疑的进程,比如说:如下图所示的进程SCOHOST.EXE,就是一个可疑进程,正常的系统进程是svchost.exe,而且用户名一列为“system”;
(4)、点击“开始”,运行“regedit”,看一下会是什么效果;
(5)、如果你按照上面的做了,发现更本就没有"文件夹选项",或者是显示了隐藏后根本没有反应,选项马上又变了回去,再或者你打开注册表和打开其它软件一样没有任何反应。那么就试着重新启动电脑,并进入“安全模式 ”(开机后按f8,选择进入“安全模式”)。如果运行到一定程度后系统蓝屏或者是自动重新启动,就是说根本无法进入安全模式,那么你的中毒就应该是比较深了。否则会简单很多。
三、动手杀毒 不管你的毒中的有多深,我们下面就以比较严重的无法进入安全模式为例解决这个问题。
1、首先将附件中的注册表文件包下载后分别双击导入的:
regedit.bat 破解被禁用的注册表;
imagefile.reg 恢复正常的映像劫持文件;
floder.reg 找回文件夹选项;
hider.reg 显示隐藏的文件夹或者文件;
syshider.reg 显示隐藏的系统文件夹或者文件;
safeboot.reg 修复安全模式。
一般情况下,病毒制造安全模式蓝屏是通过删除注册表中的相应项目,但是不排除其他删除系统相关文件的可能,上面的修复只针对前者。你可以找到注册表中:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot这一项,下面有Minimal和Network分别对应安全模式与带网络连接的安全模式,你可在导出备份后试着删除这两项有什么效果,重启进入安全模式蓝屏。正常启动进入系统后将备份的注册表导入就可以修复了。
2、之后你可以尝试重新进行一次文件显示,一般可以显示隐藏的文件了(主要是通过检查系统分区下是否多了许多文件:切记不要双击盘符)。
3、此时立即运行冰刃(因为映像劫持已经解除,所以这个是可以运行的),此时添加规则,怎么添加如下图的说明。因为一些病毒都采用了进程保护模式,即有两个或者多个进程作为守护进程同时运行,一个被关闭后另外一个马上重启这个进程。所以有必要好好观察一下是哪些进程在相互守护,这个很简单就不说了。规则创建以后你就可以结束这些进程,在怎么厉害也很难逃过冰刃的规则。在一般的杀毒过程中,你有可能会遇到有很多病毒在同时发作,个人认为此时有必要记录这些病毒文件的路径及文件名以备后面的删除。同时查看一下启动项里的项目,同样将可疑的文件路径进行记录。
4、此时你就可以根据刚才记住的文件名、路径找到这个文件,用卡卡的“文件粉碎”功能将这些病毒文件统统粉碎,有的文件可能需要重新启动之后删除。
5、删除完成后,在全盘以“xxx.exe”或者“xxx”为关键字搜索文件并全部删除,记住要选择高级搜索中的“搜索系统文件夹”与“搜索隐藏的文件及文件夹”两项选中(如下图),同样的在注册表里做这样的操作。这步一般可以将一些残留的病毒文件和注册表里的相关信息删除掉(如启动项)。需要注意的是,一般的病毒文件都喜欢将自己伪装成系统文件,删除时一定要通过文件的创建日期、大小以及版权等信息作出判断以免误删除造成的系统损坏。
6、做完这些后,你安装的瑞星或者其他杀毒软件也可以运行了,当务之急就是对安全软件进行升级,并进行全盘扫描,这是很必要的,因为有一些病毒或者木马的可执行文件分布范围很广。
7、到这里应该是可以说是大功告成了,但是我们也不要大意,重新启动计算机一次。看那些病毒症状是否任然存在,免得让残留的病毒文件死而复生。在做一些修复性质的工作,因为有一些病毒会修改IE首页,修改HOST,修改文件关联... ... 这些工作就不用我们手工操作了,瑞星卡卡就可以帮助我们解决这些问题。
8、最后如果有能力的话,可以将上面的操作写成批处理或者制作一个小的专杀,最好可以以病毒分析报告的形式发表到网络上和大家分享你的经验。怎么写病毒分析报告可以看这里的范文(
http://it.rising.com.cn/new2008/Anti_Virus/NewsInfo/2008-06-18/1213775076d47776.shtml)!
其实手动杀毒主要是靠一些基本的计算机知识和杀毒经验的积累。就像我在开始写的那样,我希望在决定手动杀毒之前你了解一些最起码的知识。因为这里有几个问题没有办法逃避:你如何确定哪个是病毒的启动项?如果注册表文件导不进去怎么办?什么样的进程是病毒的进程... ...我本想尽量多的将这些问题的解决办法写在文章里面,但是涉及到的东西太多了,没有办法一篇而盖之。这篇文章的用意在于抛砖引玉,希望大家可以将自己的杀毒心得写到这里,已解决广大网友的燃眉之急。
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
