病毒运行方式和查杀

病毒运行方式和查杀下面有7个例子:

     1.自启动项在开始运行里输入msconfig的启动里就可能看到所有开机启动项，或者你可以在注册表的run项下看到这些启动项除了输入法的ctfmon.exe WINNT系统的是internat.exe 其余的视个人安装的杀毒软件防火墙而定启动项。其余不常见的全部删除吧.
　　2.系统服务型自启动项类型的木马病毒的启动需要你对系统服务和他们启动路径相当了解，也可以参考一些工具软件或者百度上的一些进程服务解释，最好能把服务列表备份一份以便以后好用记事本做比较，可以在cmd下输入 net services >>c:/1.txt 这样导出一个备份服务列表的记事本 下次做比较可以这样 cmd下输入 net services >>c:/2.txt 这样然后在cmd下用fc c:/1.txt c:/2.txt 这样比较2个服务文件的不同可以判断出那些可疑服务是木马服务。
　　3.exe和dll进程插入类型病毒，exe插入容易被杀 dll插入这类病毒一般杀毒软件即使发现了这类病毒也很难杀病毒，因为windows系统保护系统正在运行的程序，这类dll运行方式以共享的形式插入了多个进程，或者被多个程序调用和共享，所以这类病毒在查找和发现方面也存在一定的技术难度，比如说系统一个进程加载的dl非常多，名字也非常不容易辨认。这样的病毒我们该如何下手呢？ 其实有个比较简单的查杀工具“安全之盾 SysCheck”他可以显示并标记危险的进程，你点中这类进程时底下不会显示所有正常的系统dll，而是显示的不常见和可疑的dll 这样给我们的分析带来了极大的方便，即使是系统关键进程winlogon.exe这样的进程它也能轻易的删除正在运行的dll文件 不过删除后系统会崩溃蓝屏，当然重启过后会回复正常了。
　　4 对于驱动类型或者像 userinit.exe启动类型病毒 ,这类文件替换型的病毒我们以机器狗类型的病毒为例，主要是通过文件免疫，还有权限管理，判断这类病毒可以通过观察userinit.exe文件系统的系统版本号，如果无版本号说明被替换或者修改过了，证明被感染此类病毒。可以找一个正常的这个文件替换系统文件即可。然后再吧网维的文件免疫文件夹拷贝到divers目录就可以实现免疫了。
　　5.对于文件关联类型的病毒，比如记事本关联的冰河，.rar类型压缩包病毒关联等都属于这类的启动，这类病毒的清除可以用一个简单的命令搞定cmd下输入 ftype exefile="%1" %*
　　6.对于反复杀掉反复感染类型的.exe文件确实让人头疼到了极点 可以在开始运行里输入cmd然后输入
　　ftype exefile=notepad.exe %1 这样就把.exe类型的病毒以记事本打开了，这样就实现了病毒无法正常运行的目的。删除掉乱码记事本里的内容保存退出，然后进入c盘系统目录下找到cmd.exe文件就可以再次打开cmd 输入ftype exefile=%1 %* 这样就取消了exe 关联记事本，就又可以正常运行.exe文件了。
　　7.对于autorun.inf类型的u盘感染病毒，可以先关闭掉光盘自动运行，开始运行里输入gpedit.msc然后在组策略里的计算机 配置=》管理模板=》系统里右边找到关闭自动播放，选择所有驱动器即可关闭自动播放功能，然后在cmd下输入dir /ah
　　taskkill /im 病毒名字.exe /t
　　attrib -s -r -h *.* 这样就显示了所有的隐藏文件
　　然后cmd下autorun.inf 文件查看下他里面的文件是跟哪一个自启动文件一起关联然后一起删除即可，
　　命令如下：type autorun.inf
　　del 病毒文件.exe

 

本文来自:PHP小戴(www.phpxd.com) 详细出处参考：http://www.phpxd.com/jishuwenzhang/2008-12-22/200812221648470.html