教你如何手工检测电脑病毒

手工检测未知病毒 R1}IeeZO?&  
huz86CO  
近期，病毒作者耐不住寂寞，纷纷发表新的病毒，年底的“熊猫烧香”，去年的“威金”等等大型蠕虫病毒，给我带来的很多麻烦，我们应该如何对付这些病毒呢?我们要增强我们自己的防病毒意识。虽然现在杀毒软件做的非常不错，但对某些病毒的更新速度还需要改善，这就需要我们来自己动手检测未知病毒。 @7-=zt+f  
$,TGP+vH  
说到检测未知病毒，对于新手来说，可能很困难，经过这个文章可以让你完整了解病毒的检测和删除过程，加上自己努力学习和实践，就可以实现自己手工杀毒。好了废话就说这么多，我们来看看如何检测未知病毒。 [FGgkd}  
?cJY B)  
第一、全面检测计算机 Q:mZ" i5  
1!!\+ c2*  
对于新手，手动全面检测计算机是非常困难的，因为需要打开注册表，一项一项去检查，那我们就使用简单的方法——运用SRE这个软件，SRE全名System Repair Engineer。打开软件后，点击软件左边的智能扫描，再点击“扫描”，就可以对计算机进行较为全面的扫描了。 e#.\^   
<"?*zx&  
对于不想自己分析的新手，请把日志贴到论坛上，会有人帮你解决。 i^WIr h3a  
rJDnuR  
第二、分析扫描日志 /|?F)%v\  
Rp0|zP,5  
这个是最关键的一步，对于很多新手，选择来论坛发布日志，让有经验的高手来分析，这样省时省力，但是如果大家学会分析日志，那么就可以有更多的人帮助新来的人，减少版主和论坛高人的劳动。分析日志学习起来很难，因为需要不断积累经验，在这里只介绍简单的方法(若有更好的方法，希望论坛或者邮件进行讨论)。 yO=p3PV d  
Pey//U  
1、了解日志 Km,*)X.-5  
&pM'$}T*  
SRE日志分别扫描了注册表启动项、启动文件夹、服务、驱动、浏览器加载项、进程、文件关联、Winsock 提供者、autorun.inf、HOSTS文件、API HOOK。我会重点介绍一些检测时常用的项目 I:i<>kG  
nTs/Q V  
2、看进程 P.cO6+jGR  
=+<d1W`>0  
看进程，看什么呢?看的就是，是否有除系统基本进程和软件产生进程外的其他进程，尤其注意进程路径是c:\windows\和C:\windows\system32\下的文件，可能有些新手不知道那些是系统基本进程，那些是软件安装的进程，这就是需要经验积累的地方。 [ByQ;s5tY  
[(|^O>k8c  
对于系统进程加载的DLL，这个需要具体分析，很多盗号木马运用了这个方式，那就要经过下面三步去完善。 3[r";Wt#  
Hd*}k6  
3、看启动项(包括注册表启动项、启动文件夹、服务、驱动) ltoqtB\s  
9x?B5Ap[  
看了进程以后，对那些是可疑文件有了一定了解后，就可以来看启动项目。SRE这个日志非常适合新手使用，因为它已经在服务和驱动这两个地方把微软签名的启动项隐藏，对于服务，驱动需要经验才能动，下面我一项一项的介绍。 [![ G7H%f  
a
VwH  
4、对比 zie=2  
jq(qo4~;  
对比所有可疑启动项目和所有可疑进程，是否可以一一对应，如果不可以，那么就要看是哪里出现的问题，就对那里进行进一步的研究。看看是否是因为病毒的运行方式或者保护方式问题，或者有其他病毒的存在。当然，原因不只这一些，还是需要大家积累经验。实践是根本。 DR@1z9 a  
^;r+W-MQ  
5、看其余项目 W5.
Va.  
dv, C6t2  
第一个要看的就是autorun.inf这个项目，如果某个盘有此文件，或者每个盘都有，那么就说明你的计算机中了病毒，处理方法很多，这里介绍几种。当然处理的时候，要保证系统中没有病毒运行了。 e0 u,zg+m  
\, 8p1$G  
第一种：利用WinRAR。具体方法：打开所感染的硬盘，删除对应文件。说明不会感染计算机，方便实用。 Ql &0O27  
@uM EXP  
第二种：利用资源管理器。具体方法：在打开显示隐藏文件和系统文件的前提下，利用资源管理器，在资源管理器左面选择感染的盘符，右面删除对应文件。说明对于某些病毒又感染的危险。 JB^Q\;$  
E"#Xc@  
第三种：利用命令提示符。具体方法利用了DOS命令，具体命令如下： v0#*X5C1'  
^,TTwLy-t  
Attrib –s –h –r –a X:\autorun.inf
^ S  
#f*g]p{  
Attrib –s –h –r –a X:\对应启动文件(EXE或者PIF) WDkuB  
*P!s{i  
Del X:\autorun.inf ong""K4H  
',{7%G9  
Del X:\ 对应启动文件(EXE或者PIF) GX?*1  
\~#WY5  
其中X代表感染的盘符。 &Jy)U  
FRZs[\I|iT  
说明可以删除彻底，需要懂一些DOS命令和CMD的使用方法。 02\JzBU  
_dU8'H  
第四种：利用冰刃。具体方法打开冰刃后，点击下面的文件，后面的处理如同资源管理器。说明删除彻底，建议新手使用。 d"ZU y!a  
3F+Jdr'  
第二个要看的就是HOSTS文件，这里的看法是按照行，日志前面写的是网址对应的DNS解析的IP地址，如果所有IP地址都是同一个，或者和其他计算机解析的IP地址不同，那么就有问题，最主要的还是同一个或者同为127.0.0.1。处理方法很简单，利用记事本打开Host这个文件，路经在C:\WINDOWS\system32\drivers\etc，这个处理最好是在病毒删除以后。 u1Ek y/e-  
so+4B1$)q  
第三、处理所有可疑文件(清除病毒文件) XV>&F{  
P=`1rjPE  
这个是最关键的一步，这一步就要删除病毒了，看到论坛以前有人光用SRE这类日志扫描程序删除，就非常气愤，因为这个程序无法完全解决问题。现在先来说明一下原因，第一，若病毒运行，病毒会不时的自动检测启动项是否被修改，你用SRE删除以后，病毒会立刻检测到，自动添加，当重新启动的时候就会重新回来，解决方法倒是有一个，这个可以在安全模式下进行，但是有部分病毒在安全模式下照样会运行，下一点就说明了这个。第二，有很多病毒选择了Winlogon启动或者初始化动态链接库启动再或者驱动启动，这三类启动有一个共同特点，就是病毒在安全模式下也会运行，那么SRE对其根本没有效果。那我们怎么进行处理呢，最可靠的方法还是使用冰刃(IceSword)。 O'$K],=BS  
c*;7yh&%  
当然也有一点冰刃不是全能的，现在有病毒以进程来结束冰刃，以后会怎么样，《黑客防线》曾经有一篇文章就是专门介绍冰刃的漏洞，利用这个漏洞，病毒可以结束掉冰刃。 0q,pi qjO  
"NzD1k6.L  
废话就说以上这么多，看看具体处理方法吧。冰刃在杀毒的时候需要做一个预处理，点击上方文件下的设置，选中禁止线程创建。然后就可以做下面的处理了 Kesy2mE  
C5@V/vA  
删除方法： aY)2eY  
h2w}wsb0l  
第一种情况，有确实的EXE进程。打开冰刃后，点击进程，结束此可疑进程，这样此进程不会创建，按照上面对比后的结果，如果是注册表中的，在冰刃下面可以看到注册表，直接进行修改，注意一点就是<>项目需要双击打开编辑框清空，其它的直接找到对应键值删除即可;如果是服务启动，在冰刃下进入服务，找到启动服务，点右键，改为已禁用即可;如果是驱动启动，可以打开注册表进入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services找到对应的删除即可，也可以使用SRE进行删除。最后运用冰刃强制删除文件后杀毒结束。 {v` 2sB  
hoQ7).>  
第二种情况，无确定的EXE进程，现在很多木马喜欢用DLL潜入方式，比如江湖木马，征途木马，这些木马对应的启动项目是一个EXE文件，而最终起作用的是一个潜入进程的DLL，找此DLL的方法也是有经验的。此病毒删除方法就是先处理EXE文件，打开冰刃，进入对应启动项，按照第一种情况所说方法先删除启动项。然后强制删除对应文件，最后强制删除DLL文件重新启动后即可完成杀毒，如果找不到对应的DLL，不删除也可以，此DLL会成为系统垃圾，放在它该存在的位置，而不在产生作用。 S1J<9xqSQ8  
B$vr'U   
第三种情况，也是最难处理的一种情况，现象就是杀毒软件报告病毒，但是无法从日志中找到任何病毒踪迹，这里要先启动冰刃，在进程、内核程序、启动组和服务中进行一次彻底查找(后面对次问题有解释)，如果还是没有，就属于这种情况。此情况删除及其复杂。可以用冰刃强制删除对应文件(若杀毒软件以成功删除就不用做这一步)，并且打开我的电脑，找到对应位置，建立一个同名的文件夹(包括扩展名)，这样病毒将不会再产生，然后运用Filemon这个文件监控软件，进行监控，在监控过程中，逐一运行软件，看看那个软件要创建前面用冰刃或者杀毒软件删除的文件，找到后，删除此软件里面的所有文件重新安装，即可。 4woO;
Gm  
lA^+Flh  
注册表启动项 1J}8sG2`  
`f9gC3Hk  
在SRE里面，这册表启动项包括了Winlogon启动，普通注册表启动等等多个项目。这个只能看下我在虚拟机下面刚安装一版SP2的Windows XP的日志了，当然因为每一种系统(盗版方式不同或者正版等等)不同，可能扫描出来的不仅相同，剩下的需要大家经验积累。 2p!"p`b~  
~AZWds(,N  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] *5VXyt2  
/nZ;v4  
[(Verified)Microsoft Corporation](启动输入法) G7@O`N8'  
0F:1\9f5  
超级兔子、MSN Messenger等通过此项目启动 xW_yLbE  
7N=-Y>$X  
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]  Paj vb-f  
ZA(T  
<> [N/A] %ow^dzW  
"TS  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] '+Xlw  
a9U_ug58  
<"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [(Verified)Microsoft Corporation](微软输入法启动项) 'ZP)cI:+X  
;V5yXNQ  
[(Verified)Microsoft Corporation] (微软输入法启动项) v [njdP  
][;G=oCT  
[(Verified)Microsoft Corporation] (微软输入法启动项) RA O`i>
@  
9z>z3,ftN  
暴风影音、NVIDIA显卡、声卡、超级解霸、瑞星杀毒软件、瑞星个人防火墙、卡卡上网助手、金山毒霸、江民杀毒软件、Emule、金山词霸、Nero、Real系列、酷狗等通过此项目启动 nFRsc'VT  
o0It82?RN  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] mQ~:Y
  
NbRn*nb/T  
[(Verified)Microsoft Corporation] nBItO~l  
 n_nl{  
[(Verified)Microsoft Corporation](Winlogon启动项，逗号后面若有东西90%是病毒) sOU_j:A80;  
&M/>tEZ)  
[(Verified)Microsoft Corporation] @b#^ -  
gI]GUD-  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] >vbY<HGt  
PVOx`<ng  
<> [N/A](初始化动态链接库，若这里面有东西90%是病毒) qk/:A+  
Li
QgR 6j  
以上只进行了概述 v(]]_h  
eqAW+Ptx  
启动文件夹 _-TA{21)  
2&!bfq![  
这个最好看，只有部分软件修改这里，典型的比如QQ的启动项、OFFICE的工具栏启动项。这个利用的病毒也很少，早期的“比肩社区”(在桌面呈现比肩社区介绍)就利用。需要耐心检查。 :4gLjzL  
,XkGe  
服务 % ps$qB'  
]D2udeg  
这个比较好看，第一看服务名称后面的状态，SRE日志扫描后的格式为(最新版本)[服务名称][当前运行状态/启动状态]，其中当前运行状态是表示扫描的时候计算机是否运行了此服务，Running表示运行、Stopped表示没有运行;启动状态，表示此服务是如何启动，Auto Start表示自动，Disabled表示已禁用，Manual Start表示手动启动。其中重点看Running和Auto Start的项目，如果此项目和你安装的软件和驱动程序无关，那就可能是病毒。 _aWl]I){5  
n(seNp%_  
驱动 ^' M>r(t  
SQ*k =4*r  
我经过5年的杀毒经验，也不敢轻易动这个项目，只能介绍一条经验，就是如果一个驱动全部为数字，可能为病毒文件。因为现在各种品牌的驱动都不一样，所以其他的就记不住了。 Q
]/Uq~m C  
[U@;\V$  
鉴于启动项确定比较困难，希望新手在安装计算机后，做一次扫描备份，可以通过对比的方法，来看是否增加了启动项，如果此期间没有安装任何驱动和软件，那么就可能不是正常文件，就要小心的进行检查了。