杀毒武林秘笈之手工杀毒篇
再强的杀毒软件,百密也难免有一疏,所以手动杀毒就成了很多杀毒高手的必杀之技。遇到一些顽劣的病毒,还必须用猛招来应对。今天浏览金山毒霸铁军的blog时候,发现铁军在手工杀毒上就有很多猛招,好东西要分享给大家,现在贴出来大家看看,这么多图很累的,请大家多多捧场,谢谢。今天一个网友QQ上求救,说中招了,毒霸查不到。这哥们对系统对病毒了解都非常少,机器上有大量核心数据文件。论坛上那些方案他全都看不懂,看来只有远程这最后一招。远程过程中截了几张图示意,为避免泄露对方隐私,在本文中只用了几张远程的图。其它都是在我机器上运行的截图。
远程实在是很慢,指导这哥们下载了清理专家2,Sreng,指导他升级毒霸到最新版本。然后又传过去一个AV终结者的4.5(其实呢,我知道他中的那个毒不是AV终结者,呵呵,因到现在他的毒霸还跑的欢呢。为防止下次还来烦我,我会用AV终结者4.5关掉自动播放功能,同时启用保护毒霸,这样他就不会因插入U盘再中毒了)
http://images18.51.com/1002/b/18/bc/fengjingxian011/1188176624_0.02416400.jpg
在用AV终结者扫描的同时,我看了一眼他的毒霸版本,的确是今天刚升级的。特别偏爱清理专家的文件粉碎器,开始下载清理专家2。试过多款诊断系统的工具,还是觉得小青蛙的Sreng日志比较不错。只是这个日志,越来越冗长(该死的病毒越来越复杂,日志不长还真看不到)。Sreng是面向有经验的用户,一般用户使用Sreng的困难很大。一般用户建议还是用清理专家2吧,其中在全面检测中,有个提交加载项的功能。把你所有不清楚的东西提交给程序员分析,这样更适合对系统了解不深的用户。
下面看一下这个日志中的典型可疑加载项。
<AppInit_DLLs><WinFormA5.dll> []
<{D8E0E3BA-D55F-4A08-8EE4-0A59E0284124}><C:\WINDOWS\system32\Agent.dll>
<{28E5A4B2-65E2-49F1-0707-86BE08FF2F46}><C:\WINDOWS\system32\zt.DLL>
<{3495D328-661A-4FB0-BA67-8ACDD1704D1E}><C:\WINDOWS\system32\102.dll>
<{44123FF1-8371-9834-9021-184518451FA4}><C:\WINDOWS\system32\Kvsc31.dll>
<{13BA17C5-1BAB-1F85-237A-27422B722F15}><C:\WINDOWS\system32\wmgj2qso.dll>
<{DE35052A-9E37-4827-A1EC-79BF400D27A4}><C:\Program Files\Internet Explorer\PLUGINS\System64.aaa>
<{00274BC4-F915-4741-A6F6-6EF95C5E17AA}><\\.\C:\DOCUME~1\lenovo\LOCALS~1\Temp\con\zttz.dll> []
注意看一下,这些加载项是没有数字证书、版本信息或签名,通常病毒程序的可能性较大。注意,版本信息或签名也可能被伪造。正确分析Sreng日志,还需要对常用的应用软件加载项有所了解。另外,这些加载项中,可能还有一部分是以前感染过病毒的残留信息,区别的方法是搜索这个加载项,如果没有在内存列表中,可能是残留文件。上面文本框中的以下加载项,使用搜索功能后证实是以前病毒入侵的残留信息。
<{D8E0E3BA-D55F-4A08-8EE4-0A59E0284124}><C:\WINDOWS\system32\Agent.dll>
<{28E5A4B2-65E2-49F1-0707-86BE08FF2F46}><C:\WINDOWS\system32\zt.DLL>
<{3495D328-661A-4FB0-BA67-8ACDD1704D1E}><C:\WINDOWS\system32\102.dll>
<{44123FF1-8371-9834-9021-184518451FA4}><C:\WINDOWS\system32\Kvsc31.dll>
<{13BA17C5-1BAB-1F85-237A-27422B722F15}><C:\WINDOWS\system32\wmgj2qso.dll>
<{DE35052A-9E37-4827-A1EC-79BF400D27A4}><C:\Program Files\Internet Explorer\PLUGINS\System64.aaa>
那如何处理这些加载项呢,从上面诊断日志看,通过<AppInit_DLLs><WinFormA5.dll>加载肯定不能用传统的方法删除,即使你启动到安全模式,普通方法一样无法删除。这时,我们应该想到一个极好的工具——清理专家的文件粉碎器。根据日志提供的程序路径,在清理专家2的百宝箱中,打开文件粉碎器,分别浏览到这几个文件,将添加到删除列表。你也可以使用windows的搜索功能,搜索这几个文件,找到后插入粉碎器的窗口。(注意,有的病毒会采用rootkit技术隐藏,此时windows 搜索全部文件,也不一定能找到,而文件粉碎器内置的抗rootkit机制可以浏览到此文件。)
我有搜集样本的习惯,我会把搜索到相关的文件,复制到桌面的新建文件夹,把样本提交给专业病毒分析员。不然,你一个个看日志,累死了也只能解决有限的几个问题,而杀毒软件升级会让更多的电脑及时得到保护。
完成样本备份后,点击文件粉碎器的彻底删除按钮,这些病毒就化为灰烬了。那我们现在是不是要重启呢,不要着急,我们从日志中看到病毒修改了LSP,如果现在立即重启,就意味着这台机器不能上网。我们可以用清理专家中集成的LSP修复模块,点击恢复到初始状态完成修复。
http://images18.51.com/1001/c/18/bc/fengjingxian011/1188176624_0.01603300.jpg
是不是到这一步就完工了呢?现在病毒程序已经没有了,重启后,系统就将正常工作。但是,我们还有必要把病毒生成的一堆垃圾加载项打扫干净。从安全性易用性考虑,还是使用清理专家2,在全面检测的加载项中右键点击相关的加载项,在弹出的窗口中点击“清除此项”。
http://images18.51.com/1002/b/18/bc/fengjingxian011/1188176624_0.01648300.jpg
在远程的计算机上,因为色彩限制,右键菜单的窗口不能正常显示,只好拿我机器上清理专家来做示例。就是类似这个样子的,点击清除此项,病毒的残留就被打扫干净了。
http://images18.51.com/1001/a/18/bc/fengjingxian011/1188176624_0.00561800.jpg
对于普通用户来说,上传所有未知项,把任务交给专业人员是个不错的选择,你需要稍等几天以便更新这个在线检测库。如果怀疑是病毒的可能性很大,建议创建当前系统的还原点,再尝试手工删除这些加载项,看看是否可以令系统恢复正常。觉得仍然心存疑虑时,还可以在相关加载项点右键,直接使用搜索引擎检索相关信息,以正确处理相关加载项。
总结,本案是个典型的多个工具结合的修复操作,提供了手工解决病毒的思路,没有强调使用杀毒软件。杀毒软件通常可以给我们提供有限的保护,在新病毒威胁时,我们还需要其它的解决方案。此时,清理专家之类的杀毒辅助工具价值得到体现,清理专家无法准确判断病毒和非病毒,但给我们提供了解决问题的参考方法。加载项联机检查的功能,给普通用户以很大帮助,你只需要关注未知的加载项就可以了。建议我们把全部未知项提交,这样杀毒软件就能及时得到样本,升级更新病毒特征,就可以保护更多的用户免糟病毒之苦。
页:
[1]
