手工杀病毒

 

判断方法，
放法一：懂得看进程就可以看看进程里有没有什么可疑的进程，如果对进程不是那么的熟悉，可以借用第三方软件明确知道病毒的名字。

方法二：就是开始——》运行 cmd 到DOS下 输入 c:/ 然后cd windows/system32 到这个目录后输入 dir /ah dir /ah 意思是系统隐藏的文件，在这里面，是没有以exe为最后后缀的文件，此时便可分辩病毒的名称以及中了什么毒。
到了system32 看了以后 还需要看一个地方 cd drivers 进去后
也dir /ah 这里面是没有的，嗯，是没有系统隐藏文件的。可确定名字。 还有就是用dir /ah 看看C，D，E盘根目录 C盘的需要自己判断，因为学这个都知道一些东西的嘛。 还有就是D ，E 盘的系统隐藏文件，根据系统不同而不同，一般只有两个。

方法三：查看启动项， 就是 开行——》运行 msconfig 看启动项目里面有没可疑的东西吧。

方法四：注册表查看启动项，有些在msconfig 里面是不足以看到的，所以你可打开注册表进行操作！方法如下：开始——》运行 regedit 然后进入此目录[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]这里面的启动默认的是输入法的 输入法的是ctfmon.exe 。 还有RUN 下面那个文件是没有的，这里也需要看，是不是自己安装的一些虚拟机，等等。
还有一个启动位置和上面的一样 只是前面的不一样！[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]在这里，比如你的杀毒软件等一系列启动的对象就在里面，从而分析病毒的名称，以及是什么病毒。

法五：像近一些比较流行的病毒，不一定主程序就在C盘，D，E也有，此时你右键D，E会看到上面多出个AUTO 或相似英文，这个词是自动加载，意思就是说每次你双击进入D，E也就是先运行了病毒的主程序在打开的D，E 。此时的病毒是隐藏的系统文件。这种病毒会恶意的修改注册表，让你的查看文件隐藏属性的那个功能失效。

好了查看的一些方法，我一般都用这一些，现在我给你说说一些流行病毒该如何清楚吧。

比如：现在我家电脑中毒了，D，E都有AUTO，而且c:windows/system32 里在dos下 dir /ah 有以exe结尾的文件 。
而且启动项目里也有名字和 c:windows/system32 里面那个系统隐藏文件一样的名字。此时，我们就知道了病毒的名称，好了，我们需要安装一个虚拟软盘，此时要手工杀毒，小毒就不能在正常系统或是安全模式下进行操作了。此时，需要进入纯DOS，如果是98关机时就自带了纯DOS 功能的，但是好象后来的windows产品中就没有了。 安装好虚拟软盘后，重新启动机器，就会看到选择 第一个进入windows 第二个就是虚拟软盘。进入虚拟软盘后，就到达纯DOS了。 在纯DOS 在 进行操作， 进入c:目录 然后dir /ah 在del 病毒名 之后会看到 找不到此文件， 因为他是隐藏系统文件， 现在需要把它的属性更改 用到的命令是 attrib -s -h 文件名， 然后在 del 病毒名， 如果还是不行 则用 del /s /f /q
，依次把 c: c:windows/system32 c:windows/system32/drivers d: e: 下的都删除， 记住，是在纯DOS状态下 才可以删除。删除好了 重起机器，！
此时，到机器时会提示找不到 ****.exe 就是病毒的名字，因为机器现在还是要启动那个病毒的， 但是我们已经删除了，系统找不到了 需要提示。！
其实我们只完成了一半，此时 你开始运行 regedit 有些病毒会屏蔽掉它 ， 嗯 就算此时，意思是说regedit 打不开时 没反应被屏蔽了的吧 。 这时我们又要用到 cmd 开始 运行 dos 此时 我们 c:到根目录 再cd windows/system32/dllcache 到了以后 我们直接 copy regedit.exe 1.exe 后面的名字随便取 然后在开始运行 1.exe
此时注册表被打开 ， 然后在一些地方进行查看修改， 几个RUN键值上面我已经写了， 这里不写了哈。 还有一些地方 。

1：RUN
2：就是改回查看隐藏文件属性的功能改在。[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/NOHIDDEN]
下有个CheckedValue 是DWORO值的， 病毒常常改成 字符串的 趁红色 。正常名字是蓝色 DWORO值的。 如果病毒没改类型 则有些直接删除了 。 如果没删除 也是DWORO值的 此时 我们双击把键值改2就行了。 如果删除了就直接在右方 新建DWORO值的 打上一样的名字就行了。
3：映像劫持：喔 上面我还忘了告诉，此东西修改了，有些杀毒软件也是无法运行的，呵呵那时就别指望什么杀毒软件了。 这个地方在注册表的

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options]
这个地方 找到此地方 展开 看下面有许多的项，一个项一个项的点，点时需要看右方的显示， 看到有 debugger 值是 ntsd -d 的就把这项 删除了。

补充一点就是，如果不知道RUN下如何修改？ 只留 cftmon.exe/其他的都删除就可以。

呵呵 我只有16岁的 ，我也在到处学习的， 所以呀，技术也不很过关，我知道的就这些， 哈哈 ，但是我不安装杀毒软件的， 但是我提醒 你 不安杀毒软件 还是需要准备一个查病毒名字的第三方软件做为辅助， 还有就是 也必须安装 网络防火墙 浏览器也得换 ！ 呵呵 我的建议 有兴趣就加我吧
我很想和你一起探讨一些问题！。

呵呵补充：在线杀毒是不能全部将你的病毒全部杀掉的，因为现在的伪装程序很强的，比如现在更新了杀毒软件，可能一分钟后别人配置的木马 做了免杀，通过实验，他是可以过杀毒软件的。
你不认识病毒的，那就得用第三方软件，因为你不认识，就是系统自带的任务管理器 你不会看，不会看就要把这里面的内容更形象化的出现在你的面前，那另外的查看进程的软件就能形象化的出现在你的面前 从而知道。
好了 ， 你有什么疑问或遇到什么麻烦可以加的QQ：345728294
QQ：639402
再补充： 楼上门说的手杀不可能，知识学得越深，学问越深。
我可以这样说 手工杀毒比杀毒软件更来火，因为最新免杀的毒，我们却知道我可杀，但杀毒软件 给他扫 都扫不出来。
我想学过挂马，玩马的。都知道吧！
楼上们的说KO 就KO 啊？ 不需要一点方法。怎么KO呀？
回答者： caobin_8821 - 试用期 一级   7-17 07:35

 

 

 

 

你的电脑安全吗？你的电脑可以防黑吗？

我现在就跟大家说说手动杀毒的几个常用的方法。你也许会说现在的杀毒软件那么多啊，为什么我们还要学习用手动来杀毒呢？你想想病毒的产生肯定是比你的杀毒软件的升级快很多的，既然是那个样子的话，我们学习手动杀毒就对我们很有帮助，也可以让我们更加熟悉计算机的进程以及对我们将来学习更多的计算机技术打下很好的基础。费话多说了，现在我们开始。因为我使用的是XP操作系统，那这里就以XP的版本先给大家讲解一下。

首先，对于自己的计算机要有洞悉力，说得通俗点就是如果发现什么不对的就要考虑下是什么原因了。因为是讲手工杀毒那就先讲中毒的几个特别征兆，例如：你的电脑在上网的时候自己会打开不知名的网站（恶意代码也是会这样的啊，我们也把它暂时当病毒吧）；你的电脑的速度变得很慢很慢，特别是开机的时候要很久；你的电脑文件有的开不了；有时候点一个陌生的文件突然一闪而过；有时候总跳出非法操作……可以说你觉得很可疑的时候，都可能是中了病毒。那么我们就要找到病毒。

1.找到病毒

进程法：有的病毒在热启动（CTRL+ALT+DEL)就可以看出来，它们总是想隐藏自己成为系统里面的特殊文件，仔细看就可以看出猫腻了。什么把l(字母）写成1（数字）啦，把O（字母）变成了0的啊，更好笑的是连大小写都出来了，其实只要认真看问题就简单。如果你对进程不是很了解的话，建议把它名字记下来去百度找找，应该可以找到答案。特别要注意的是你在用热启动的时候，最好不要开任何文件和软件，这样比较好辨认。

启动法：现在的病毒和木马都会自己随系统而启动，那么我们就可以根据这个把它找到。开始——运行——输入msconfig在启动选项就可以看到启动的项目和命令还有位置，把你觉得十分可疑的前面的沟去掉就可以了。记下那些可疑的启动项命令的地址，将来杀的时候能够用到。这样可就看到病毒了，也可以在运行里面输入regedit（注册表），HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion的RunOnce，还有RunServices和Run，还有另外一个HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion的RunOnce，以及RunServices和Run的可疑的启动文件都删就好。

文件法：这个比较难麻烦，一步步来就好。我们先打开“我的电脑”工具栏里面的“工具选项”——“查看”——“隐藏受保护的操作系统文件（推荐）”的勾去掉，选择显示所有文件和文件夹，去以下的文件夹看看有没有可疑的文件。

（系统盘用X：/表示）
X：/
X：/WINOWS
X：/WINDOWS/SYSTEM32
X：/WINDOWS/SYSTEM
X：/Program Files/Internet Explorer
X：/windows/Temporary Internet Files/Temporary Internet Files
X:/temp 还有X:/winows/temp
X:/Documents and Settings/Administrator/Templates
x:/Documents and Settings/Administrator/Local Settings/Temporary Internet Files
X:/Documents and Settings/Administrator/Local Settings/Temp

还有各个分区的这些文件夹里面都是病毒常常光顾的地方。有的文件很多，象SYSTEM32就有几百个，怎么找呢？建议使用右键排列图标——修改时间，这样就快很多了。

系统编辑器法：运行——sysedit看有没有可疑的文件，可是这个最好不要乱修改（比较危险），不确定的话还是去搜索下比较好。

2.杀毒

前面说了几种的找毒的方法，根据上面的话，我们就可以知道病毒的名称和地址。那么还不开工，杀毒最好是在断网和在安全模式的时候，为什么呢？据说是在DOS下杀毒的时候最好，可是对于杀毒新手的话，我还是认为先从安全模式下杀比较好，有GUI（图形系统）比那黑白DOS强多了。开机——按F8进入安全模式，使用文件法的前几步使隐藏文件显示，进去我的电脑按F3搜索界面，接着是搜索删文件。记得，在更多搜索选项要全选。删掉了之后还要记得在各个盘的回收站里面的东西全删去，每个盘的回收站都是叫Recycled的。

可是有的病毒是很狡猾的啊，那么我们就要用到工具。介绍几个我常用来辅助杀毒的工具：一个是Tcpview，查看端口是否存在问题，如果有木马可是一看就能发现的。还有就是IceSword和windows优化大师的WinProcess，我个人比较喜欢的是WinProcess，因为它查看进程的时候可以在网上搜索到跟进程相似的东西，省去自己上网输入进程名字的步骤，方法是进程描述中的更多相关信息。

2月28日更新内容
新手识别木马的几点误区------以下内容转载自"小熊"

一、软件被杀毒软件报警的问题
     关于这个问题,因为多数发布的木马是没有经过免杀处理的,所以会被杀毒软件报警,即便是做过免杀处理,发布出来一段时间后也会被杀毒软件查杀而引起报警,因为它本身就是生成木马的工具,杀毒软件不会视而不见的,所以把它当作病毒
     需要澄清的问题是:
     什么是木马,什么是木马生成器
     1、生成木马的工具杀毒软件只要见到了都会当作木马来处理,或是加上木马工具来标志它
     2、被报警的软件未必是恶意软件,我们用的大多数黑客工具都会被报警,因为它除了黑客用途,没有其他用途,所以是杀毒软件的对立面,会被查杀
     3、遇到黑客工具被报警这种情况我们怎么分辨到底是黑客工具捆绑了木马被报警还是它本身被报警?这个问题不好办,只能运行了查看系统进程是否增加,注册表选项是否增加,文件关联是否更改,服务项目是否增加,是否出现autorun文件等,根据自己的黑客知识来识别
所以,大家需要明确,被杀毒软件报警的未必是有害软件,不被报警的也未必没问题,不要过分依赖杀毒软件,尤其不能根据杀毒软件来乱说别人捆绑木马之类的

二、存在多个可执行文件头或捆绑数据的问题
   1、多文件头问题
   关于这个问题,不知道你们看没有看啊拉1209脱壳全过程动画,在里面有个问题,啊拉QQ大盗,本身文件一个,里面可以生成4个木马,分别是无图标,文本,游戏,图片4个格式,所以文件头为5个,如果不是5个,那么这个软件需要经过加密或压缩处理
这只是一个例子,可以这么说,凡是可以生成木马的东西都要至少2个文件头,不然那个木马从哪儿生成？所以大家检测到文件头有什么用？不明白为什么用这样LJ的检测工具
如果要消除多文件头,只需要找个一般的加壳软件加壳就可以了,既便不加壳,我们用木马彩衣就可以消除PE文件头标志,那LJ检测工具就够戗能检测到了（我没测试，理论推测）
如果发布的这个文件里面包括UPX压缩,木马本身,键盘插件等,5个文件头太正常了,我已经发布了检测捆绑数据工具,大家不要再用那个LJ检测文件头的工具,因为那种LJ检测工具....误报率高达80%以上
   2、捆绑数据问题
   文件脱壳后再修复,里面存在的大量由于加壳生成的花指令引起的LJ代码,我们虽然把壳脱去了,但是大部分没有减肥去除里面的花指令,所以检测时检测到多余数据是很正常的，我们不能根据检测到多余数据就断定某一个软件有问题

最后一句话,奉劝大家不要用这种LJ工具来检测,发现可疑问题直接报告版主,不要误导其他人,让大家误认为某人可能捆绑木马,众口铄金,积毁销骨、人言可畏啊,正如某菜鸟说了句阿拉QQ大盗有后门,收不到小于6位的QQ号,众菜鸟就群起响应,认为收不到,飞机的发明者莱特兄弟接受采访时说：鸟类中只有鹦鹉会说话,然而鹦鹉是飞不高的,希望大家多学技术,少做鹦鹉
还有那些朋友有跟好的方法的。麻烦跟帖上来，我好收集起来。

类别：工作 | 添加到搜藏 | 浏览(116) | 评论 (0)  上一篇：建立你的3389肉鸡（菜鸟篇)    下一篇：老是提示安装MSXML 4.0 SP2 安全...