因为一个时间段创建的文件不可能全部是病毒,所以需要区分出可疑文件和正常文件。
一般在经过确定都是可疑文件之后,选择可疑文件,然后右键_重命名,然后放开,如果提示是否重命名,点是即可。
鉴定可疑文件:首先搜索出来的文件,与WSyscheck在Explorer.exe里进程模块中列出来的对比一下,如果搜索出来的有EXE的文件,则查看他的属性,看看有没有版本信息,并且创建/修改时间是否和其它可疑文件是一致,如果没有版本信息,且创建时间一致,则一般都是可疑文件了
重命名后效果如下:除了倒数第二个是正常的文件(下载到一半左右的,快播程序)以外,其它的都重命名了(重命名后,病毒将不会再次运行,除非是EXE文件,并且你双击它运行,否则这些文件将会成为病毒尸体,对电脑没有危害,杀毒软件升级可查杀后将会被清除,在很久以前,有些个人编写的杀木马软件就是通过重命名来隔离病毒的
)
PS:一般建议远程,或者是其它,建议首先结束掉可疑的进程,然后再处理掉可疑的DLL文件。因为EXE和DLL文件是最好处理的。下面将说明的是:结束掉可疑EXE程序及将可疑的DLL程序都重命名后,使用瑞星卡卡安全助手的启动项管理检查可疑的启动项,及发现病毒创建的驱动。
下面讲的驱动操作比较危险,所以,在处理驱动之前,请一定要注意:
1、检查驱动创建时间是否与其它可疑文件创建时间一致,或者是相差几天而已(有些驱动会创建得相差大概是十天以内,因为一般正常的驱动相差是几个月甚至是半年左右,所以这是一个判断依据)。
2、查看驱动的属性,看看有没有版本信息,如果有的话,一般是正常驱动,所以不要处理。如果没有版本信息,并且符合第一条,则应该继续执行第三条:
3、将属性里的文件名复制一下,然后进入
www.baidu.com搜索一下,大概看一下,一般正常的驱动,都会有人询问,并且有人会回答的,一般正常的驱动问的人比较多,不正常的驱动一般搜索不到。
4、关于搜索,请随时遇到不明白的地方,就去搜索,搜索时,请一定要带上判断力,因为有些时候有一百个人说那个是病毒,但是其实有可能都是错的(我就遇到过一个网银的驱动有很多人说是病毒建议删除,但是其中有一个人说是网银的驱动。所以,我就在以后多翻了几页,确定这的确是网银的驱动)。并且最好是加入一些比较流行的QQ群,或者是在论坛里反馈询问是否是可疑文件。
5、不怕一万,就怕万一,请注意备份,或者是作好最坏的打算。
6、如果说你是在帮别人远程,请一定要说明:将重要的资料备份好在其它非系统盘中,以便于操作失误,或者是意外造成远程清除病毒后无法进入系统。(下面讲的病毒有一个行为:它替换了正常的inituser.exe,如果说在处理时没有注意到那个启动项,则清除完病毒之后求助者重启,将会出现不断注销的情况。)
以下继续,GO:
这些是那些重命名之前的DLL经过扫描后的情况(建议是杀毒软件能杀的就让他杀掉,如果病毒是新的杀不掉的,建议上报给杀毒软件,为其他的人们作点贡献吧,让他们不再中类似的病毒):
一般建议是处理完了一些明显的病毒(明显的EXE/DLL可疑文件)之后,再使用瑞星卡卡安全助手的启动项管理扫描一遍启动项,来发现可疑的启动项及隐藏的ROOTKIT驱动,如果卡卡助手无法运行,则可以进入卡卡的安装目录,找到RAS.exe然后选中,按住CTRL键拖动到空白的地方就可以创建一个新的程序了如下:
这个就是那个重要的userinit.exe启动项了,但是前面的图片显示的是丢失的意思,也就是说这个系统文件:userinit.exe被病毒替换了,而且现在被删除了。
所以,我将我系统中的Userinit.exe传送给了对方,并且放在了C:\windows\system32目录中
然后继续发现其它的可疑启动项
发现了两个可疑驱动启动项:
MACPIET、mtlrd,后来发现这个名称MACPIET的启动项是一个ROOTKIT,因为能看到它的属性,但是却无法搜索到的文件,即使使用WSYSCHECK的文件管理也发现不了
通过卡卡助手的打开所在文件夹功能找到了mtlrd的文件
当发现可疑驱动之后,一般都比较难删除之类的,所以,建议是使用Unlocker去解锁,然后动作选择删除。
又通过卡卡助手的打开所在文件夹功能去选择那个MACPIET的驱动,但是打开之后,却没有发现那个文件。
于是又使用卡卡助手的查看属性功能,发现启动项名称与文件名不同。
通过WSYSCHECK的文件管理,居然也没有发现这个LQT开头的驱动。看来这个是一个ROOTKIT做得比较好的可疑文件了,所以就通过启动项管理禁止了这个驱动启动,如下下图
去掉了这个驱动启动项前面的勾。
