南瓜园

 找回密码
 注册
查看: 1598|回复: 5

手工杀毒方法指导

[复制链接]
发表于 2009-5-12 19:43:28 | 显示全部楼层 |阅读模式
一 EXE后缀型病毒文件的手工杀毒的方法教程:   

这类病毒一般是以进程的方式运行,这类病毒一般是比较好被发现的。下边先说下这类病毒,是在哪里启动的。  1/注册表 如果发现计算机有不名的进程和异常情况请在注册表内下列地方进行核实找住可以的程序进行删除  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce   HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \RunServicesOnce   HKEY_CURRENT_USER/Software\Microsoft\Windows\CurrentVersion\Run   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce   HKEY_CURRENT_USER \Software \Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\Run   HKEY_CURRENT_USER\ Software\ Microsoft \Windows\ CurrentVersion   Explorer/ShellFolders Startup="C:/windows/start menu/programs/startup  

2/系统WIN.INI文件内 在win.ini文件中,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动件。也许你会问了我是XP系统啊 怎么没有这个呢?不必担心给你个正确的你参考下就知道有没有可疑程序了。下边就是正常的

WIN.INI(XP) ;

引用:
for 16-bit app support   [fonts]   [extensions]   [mci extensions]   [files]   [Mail]   MAPI=1   CMCDLLNAME32=mapi32.dll   CMCDLLNAME=mapi.dll   CMC=1   MAPIX=1   MAPIXVER=1.0.0.1   OLEMessaging=1   [MCI Extensions.BAK]   aif=MPEGVideo   aifc=MPEGVideo   aiff=MPEGVideo   asf=MPEGVideo2   asx=MPEGVideo2   au=MPEGVideo   m1v=MPEGVideo   m3u=MPEGVideo2   mp2=MPEGVideo   mp2v=MPEGVideo   mp3=MPEGVideo2   mpa=MPEGVideo   mpe=MPEGVideo   mpeg=MPEGVideo   mpg=MPEGVideo   mpv2=MPEGVideo   snd=MPEGVideo   wax=MPEGVideo2   wm=MPEGVideo2   wma=MPEGVideo2   wmv=MPEGVideo2   wmx=MPEGVideo2   wvx=MPEGVideo2   wpl=MPEGVideo   

3/SYSTEM.INI文件中 在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,本文发表于pcpxp.com网站,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。 又会有人问了 我是XP系统怎么又不一样呢?在给你个正常的XP系统的SYSTEM.INI请大家可以参考下 正常的SYSTEM.INI文件 ;

引用:
for 16-bit app support   [drivers]   wave=mmdrv.dll   timer=timer.drv   [mci]   [driver32]   [386enh]   woafont=app936.FON   EGA80WOA.FON=EGA80WOA.FON   EGA40WOA.FON=EGA40WOA.FON   CGA80WOA.FON=CGA80WOA.FON CGA40WOA.FON=CGA40WOA.FON  
  

4/在config.sys内 这类加载方式比较少见 ,但是并不是没有,如果上述方法都找不到的话,请来这里也许会有收获的。  

5/在autuexec.bat内 这类加载方式也是比较少见,建议跟config.sys方法一样。  

4 和5 的加载方式建议大家先必须确定计算机有病毒后在 并且上边的方法都找不到后,最后来这里进行查找。  

总结:这类病毒是比较容易暴露的,建议手动删除时最好进入安全模式下,因为安全模式只运行WINDOWS必备的系统进程,EXE型病毒很容易暴露出来的,下边附上一张WINDOWS安全模式的 必须进程表  smss.exe Session Manager   csrss.exe 子系统服务器进程   winlogon.exe 管理用户登录   services.exe 包含很多系统服务   lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) 产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务) ->netlogon svchost.exe 包含很多系统服务 !!!->eventsystem,(SPOOLSV.EXE 将文件加载到内存中以便迟后打印。)   explorer.exe 资源管理器 (internat.exe 托盘区的拼音图标)   system   System Idle Process 这个进程是不可以从任务管理器中关掉的。这个进程是作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器时间 taskmagr.exe 就是任务管理器了
发表于 2009-10-22 15:22:03 | 显示全部楼层
头大
发表于 2010-3-16 13:36:23 | 显示全部楼层
夸张了
发表于 2010-3-16 16:29:48 | 显示全部楼层
不懂、、、
发表于 2010-4-18 13:22:29 | 显示全部楼层
呵呵
您需要登录后才可以回帖 登录 | 注册

本版积分规则

请大家牢记南瓜园网址 www.nan2008.com

QQ|小黑屋|手机版|Archiver|南瓜园

GMT+8, 2024-11-18 14:28 , Processed in 0.082557 second(s), 18 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表