教你如何手工检测电脑病毒

手工检测未知病毒 J*'#! xIa  
yBxWBW*e  
近期，病毒作者耐不住寂寞，纷纷发表新的病毒，年底的“熊猫烧香”，去年的“威金”等等大型蠕虫病毒，给我带来的很多麻烦，我们应该如何对付这些病毒呢?我们要增强我们自己的防病毒意识。虽然现在杀毒软件做的非常不错，但对某些病毒的更新速度还需要改善，这就需要我们来自己动手检测未知病毒。 &o*f*(C2  
R4g% $}  
说到检测未知病毒，对于新手来说，可能很困难，经过这个文章可以让你完整了解病毒的检测和删除过程，加上自己努力学习和实践，就可以实现自己手工杀毒。好了废话就说这么多，我们来看看如何检测未知病毒。 >c 5V VA8  
q6 Rr?  
第一、全面检测计算机 =L?(mNHT  
 D^JuL6U  
对于新手，手动全面检测计算机是非常困难的，因为需要打开注册表，一项一项去检查，那我们就使用简单的方法——运用SRE这个软件，SRE全名System Repair Engineer。打开软件后，点击软件左边的智能扫描，再点击“扫描”，就可以对计算机进行较为全面的扫描了。 aY
@st]p  
i\u m;\  
对于不想自己分析的新手，请把日志贴到论坛上，会有人帮你解决。 =WP`i29j9}  
+oMe\wYR$r  
第二、分析扫描日志 #i~2C@]  
SPK% '
s  
这个是最关键的一步，对于很多新手，选择来论坛发布日志，让有经验的高手来分析，这样省时省力，但是如果大家学会分析日志，那么就可以有更多的人帮助新来的人，减少版主和论坛高人的劳动。分析日志学习起来很难，因为需要不断积累经验，在这里只介绍简单的方法(若有更好的方法，希望论坛或者邮件进行讨论)。 C'jE'B5b  
nd1%txIsr  
1、了解日志 a8!/
V@a  
Yv[j5\:x  
SRE日志分别扫描了注册表启动项、启动文件夹、服务、驱动、浏览器加载项、进程、文件关联、Winsock 提供者、autorun.inf、HOSTS文件、API HOOK。我会重点介绍一些检测时常用的项目 ^qlfdf  
%o9;jX  
2、看进程 Yhkn(k2  
,k5b,}tN  
看进程，看什么呢?看的就是，是否有除系统基本进程和软件产生进程外的其他进程，尤其注意进程路径是c:\windows\和C:\windows\system32\下的文件，可能有些新手不知道那些是系统基本进程，那些是软件安装的进程，这就是需要经验积累的地方。 c|^#v8x^/  
$f^ \fa[  
对于系统进程加载的DLL，这个需要具体分析，很多盗号木马运用了这个方式，那就要经过下面三步去完善。 `^7ARr/  
vg/:q>o  
3、看启动项(包括注册表启动项、启动文件夹、服务、驱动) /_MEb42&  
R@)L@M)u;  
看了进程以后，对那些是可疑文件有了一定了解后，就可以来看启动项目。SRE这个日志非常适合新手使用，因为它已经在服务和驱动这两个地方把微软签名的启动项隐藏，对于服务，驱动需要经验才能动，下面我一项一项的介绍。 <rs"$JJV  
BVpRkUC"  
4、对比 ;^j2>Azn  
r6*~WM|Sq7  
对比所有可疑启动项目和所有可疑进程，是否可以一一对应，如果不可以，那么就要看是哪里出现的问题，就对那里进行进一步的研究。看看是否是因为病毒的运行方式或者保护方式问题，或者有其他病毒的存在。当然，原因不只这一些，还是需要大家积累经验。实践是根本。 0au\X$)Q  
H7"m/Bia  
5、看其余项目 =5sUpPV(  
WhHnF*I  
第一个要看的就是autorun.inf这个项目，如果某个盘有此文件，或者每个盘都有，那么就说明你的计算机中了病毒，处理方法很多，这里介绍几种。当然处理的时候，要保证系统中没有病毒运行了。 'YcoF;&[C  
aZMMcd  
第一种：利用WinRAR。具体方法：打开所感染的硬盘，删除对应文件。说明不会感染计算机，方便实用。 ,
TAzJ  
AK*F,H9  
第二种：利用资源管理器。具体方法：在打开显示隐藏文件和系统文件的前提下，利用资源管理器，在资源管理器左面选择感染的盘符，右面删除对应文件。说明对于某些病毒又感染的危险。 O1_dA%m  
i; 3^vhbQ  
第三种：利用命令提示符。具体方法利用了DOS命令，具体命令如下： aN5w  
5-ju5z?=  
Attrib –s –h –r –a X:\autorun.inf elBmF#,j7  
,mE*k79L6  
Attrib –s –h –r –a X:\对应启动文件(EXE或者PIF) T]%:+_,  
mzl %h[9iI  
Del X:\autorun.inf aT %A<'O!  
l}$Pv?T,2  
Del X:\ 对应启动文件(EXE或者PIF) `E),G;I  
clZjb  
其中X代表感染的盘符。 C?3?<FDL  

XY;cz  
说明可以删除彻底，需要懂一些DOS命令和CMD的使用方法。 Y4 Y;xK"  
-nQ:RHnd  
第四种：利用冰刃。具体方法打开冰刃后，点击下面的文件，后面的处理如同资源管理器。说明删除彻底，建议新手使用。 iS{8cN3R  
j'V# =vH  
第二个要看的就是HOSTS文件，这里的看法是按照行，日志前面写的是网址对应的DNS解析的IP地址，如果所有IP地址都是同一个，或者和其他计算机解析的IP地址不同，那么就有问题，最主要的还是同一个或者同为127.0.0.1。处理方法很简单，利用记事本打开Host这个文件，路经在C:\WINDOWS\system32\drivers\etc，这个处理最好是在病毒删除以后。 t6u01r{~`  
;@$B{/Q  
第三、处理所有可疑文件(清除病毒文件) gt
1W_C\  
)PU?`yLTr  
这个是最关键的一步，这一步就要删除病毒了，看到论坛以前有人光用SRE这类日志扫描程序删除，就非常气愤，因为这个程序无法完全解决问题。现在先来说明一下原因，第一，若病毒运行，病毒会不时的自动检测启动项是否被修改，你用SRE删除以后，病毒会立刻检测到，自动添加，当重新启动的时候就会重新回来，解决方法倒是有一个，这个可以在安全模式下进行，但是有部分病毒在安全模式下照样会运行，下一点就说明了这个。第二，有很多病毒选择了Winlogon启动或者初始化动态链接库启动再或者驱动启动，这三类启动有一个共同特点，就是病毒在安全模式下也会运行，那么SRE对其根本没有效果。那我们怎么进行处理呢，最可靠的方法还是使用冰刃(IceSword)。
p-=+i   
dX0"h5v1  
当然也有一点冰刃不是全能的，现在有病毒以进程来结束冰刃，以后会怎么样，《黑客防线》曾经有一篇文章就是专门介绍冰刃的漏洞，利用这个漏洞，病毒可以结束掉冰刃。 wh\J)pA1  
3UIR^Rh+  
废话就说以上这么多，看看具体处理方法吧。冰刃在杀毒的时候需要做一个预处理，点击上方文件下的设置，选中禁止线程创建。然后就可以做下面的处理了 ]KS|r+  
(\ze T5  
删除方法： 0"~`U.k~M  
Dwq}O  
第一种情况，有确实的EXE进程。打开冰刃后，点击进程，结束此可疑进程，这样此进程不会创建，按照上面对比后的结果，如果是注册表中的，在冰刃下面可以看到注册表，直接进行修改，注意一点就是<>项目需要双击打开编辑框清空，其它的直接找到对应键值删除即可;如果是服务启动，在冰刃下进入服务，找到启动服务，点右键，改为已禁用即可;如果是驱动启动，可以打开注册表进入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services找到对应的删除即可，也可以使用SRE进行删除。最后运用冰刃强制删除文件后杀毒结束。 R~$W  
z#8d\X/  
第二种情况，无确定的EXE进程，现在很多木马喜欢用DLL潜入方式，比如江湖木马，征途木马，这些木马对应的启动项目是一个EXE文件，而最终起作用的是一个潜入进程的DLL，找此DLL的方法也是有经验的。此病毒删除方法就是先处理EXE文件，打开冰刃，进入对应启动项，按照第一种情况所说方法先删除启动项。然后强制删除对应文件，最后强制删除DLL文件重新启动后即可完成杀毒，如果找不到对应的DLL，不删除也可以，此DLL会成为系统垃圾，放在它该存在的位置，而不在产生作用。 d5zF9;[  
|d* K'+  
第三种情况，也是最难处理的一种情况，现象就是杀毒软件报告病毒，但是无法从日志中找到任何病毒踪迹，这里要先启动冰刃，在进程、内核程序、启动组和服务中进行一次彻底查找(后面对次问题有解释)，如果还是没有，就属于这种情况。此情况删除及其复杂。可以用冰刃强制删除对应文件(若杀毒软件以成功删除就不用做这一步)，并且打开我的电脑，找到对应位置，建立一个同名的文件夹(包括扩展名)，这样病毒将不会再产生，然后运用Filemon这个文件监控软件，进行监控，在监控过程中，逐一运行软件，看看那个软件要创建前面用冰刃或者杀毒软件删除的文件，找到后，删除此软件里面的所有文件重新安装，即可。 c8cV{}7Kb  
(1r.AG`g  
注册表启动项 tkFGGc}w\  
k:Iz>3O3]  
在SRE里面，这册表启动项包括了Winlogon启动，普通注册表启动等等多个项目。这个只能看下我在虚拟机下面刚安装一版SP2的Windows XP的日志了，当然因为每一种系统(盗版方式不同或者正版等等)不同，可能扫描出来的不仅相同，剩下的需要大家经验积累。 wj fk >  
2[W1EQI  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] $ePBw~yu  
3%<Uq%pJ  
[(Verified)Microsoft Corporation](启动输入法)
X
i]WDH \  
cC_L4  
超级兔子、MSN Messenger等通过此项目启动 tH_e?6]  
@?A39G{  
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] p:9)}y  
!vU$^>zo~  
<> [N/A] Nj2f?',;U  
f&w8o5=|I  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] (Yzy
;"iAu  
Y~qv 0O6K  
<"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [(Verified)Microsoft Corporation](微软输入法启动项) zW`$T88~  
*RQkL'tRf  
[(Verified)Microsoft Corporation] (微软输入法启动项) ps#+i  
gHLBtl/  
[(Verified)Microsoft Corporation] (微软输入法启动项) :>U2yI  
YlW~  
暴风影音、NVIDIA显卡、声卡、超级解霸、瑞星杀毒软件、瑞星个人防火墙、卡卡上网助手、金山毒霸、江民杀毒软件、Emule、金山词霸、Nero、Real系列、酷狗等通过此项目启动 0W|}5(C  
E$-u:Z<-  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] bqwQi>^Cw  
(o/HLmr@Y  
[(Verified)Microsoft Corporation] "5]Fl8c?  
/YbyMj*  
[(Verified)Microsoft Corporation](Winlogon启动项，逗号后面若有东西90%是病毒) q
W57h8M  
;- D1n  
[(Verified)Microsoft Corporation] +?[,y  
ffuV158a&  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] 7Vf2Qx1_  
ceakTAB[  
<> [N/A](初始化动态链接库，若这里面有东西90%是病毒) -9XB.)\#  
Lw 7,[?,Z  
以上只进行了概述 i<N[sO  
`mro2A  
启动文件夹 m>
C}T  
SbNs#  
这个最好看，只有部分软件修改这里，典型的比如QQ的启动项、OFFICE的工具栏启动项。这个利用的病毒也很少，早期的“比肩社区”(在桌面呈现比肩社区介绍)就利用。需要耐心检查。 V6.xp{[  
:"+/M{qz  
服务 7tOOruiC  
8Wn;U!qT  
这个比较好看，第一看服务名称后面的状态，SRE日志扫描后的格式为(最新版本)[服务名称][当前运行状态/启动状态]，其中当前运行状态是表示扫描的时候计算机是否运行了此服务，Running表示运行、Stopped表示没有运行;启动状态，表示此服务是如何启动，Auto Start表示自动，Disabled表示已禁用，Manual Start表示手动启动。其中重点看Running和Auto Start的项目，如果此项目和你安装的软件和驱动程序无关，那就可能是病毒。 ^goa$uxU  
.z/M (  
驱动 '-sAi  
EP.nVvuL  
我经过5年的杀毒经验，也不敢轻易动这个项目，只能介绍一条经验，就是如果一个驱动全部为数字，可能为病毒文件。因为现在各种品牌的驱动都不一样，所以其他的就记不住了。 =yv_i]9AN  
~$1Zw
&X  
鉴于启动项确定比较困难，希望新手在安装计算机后，做一次扫描备份，可以通过对比的方法，来看是否增加了启动项，如果此期间没有安装任何驱动和软件，那么就可能不是正常文件，就要小心的进行检查了。