|
| 手动杀毒 |
| 作者 qjk111 查看 268 发表时间 2008/7/18 09:44 【论坛浏览】 |
|
pjumd pjumd 先把病毒和木马分开,病毒是有破坏性的,木马是不破坏,但它做的往往更可怕,比如偷密码、隐私的、利用感染的电脑做一些恶心的事。对于病毒,如果已经发作,那您不管用什么方法应该先去拯救,不用看了,本文不讨论这个。本文只讨论怎么删除那些明目张胆但又难以删除的木马、未发作的病毒。pjumd pjumd pjumd 很多人见到删除不了的文件就满地找专杀软件、删除工具啊,其实再怎么难删除的程序,完全不用装任何第三方软件也可以干掉的。就比如说 Rootkit 型病毒吧,遇到这样的病毒,泥巴娃知道,进程管理器、MoveFileEx + MOVEFILE_DELAY_UNTIL_REBOOT、注册表编辑器,都是没用的。一个 Rootkit 型病毒如果设计得好,它可以拦截 MoveFileEx、Reg* 等 API,即使往注册表的 HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\Session Manager 下的 PendingFileRenameOperations 写入删除操作,木马也是可以把它删除的,总之这要是泥巴娃设计的,这些在 Windows 下常规杀毒的办法都是可以禁止的。所以遇到这种病毒,泥巴娃才不浪费时间去找什么软件来杀它,直接必杀绝招用下去。其实这个绝招是没有什么技术含量的。让泥巴娃先卖个关子吧。pjumd pjumd pjumd 有些人会装 DOS,然后到 DOS 去 del,不过 DOS 无法访问 NTFS 格式的磁盘,于是他们装个支持 NTFS 的 DOS,不过却发现有这个 DOS 的存在,让电脑变得很没安全性!pjumd pjumd pjumd 所以上面两个都不是泥巴娃的必杀绝招,泥巴娃的必杀绝招是恢复控制台,这是系统盘上带的,用的时候可以装也可以不装,不装的话就是放光盘,泥巴娃是比较喜欢装到硬盘用的。放系统盘,运行 X:\I386\WINNT32.EXE /cmdcons,这里的 X 是放系统盘的光驱盘符,才 7M 左右吧。装完后,系统的启动菜单里会多一个“Microsoft Windows Recovery Console”,进入是需要管理员密码的,比 DOS 安全多了!pjumd pjumd pjumd 举例说明怎么杀毒吧:最近有个 Rootkit 型病毒叫 RootKit.Adprot.h,小吴的电脑中了,泥巴娃去看,瑞星在线查毒找出 3 个文件:IEShell32.dll(Trojan.Agent.kk)、msprotect.sys(RootKit.Adprot.h)、 NTService32.dll(Trojan.Agent.zmk),不过泥巴娃一看就知道 CharSet.dll、 CreateDomTree.dll、WebPageParser.dll 和他们是一伙的。后来百度了一下,发现这 6 个文件果然是一伙的,网络上有很多人在说它们无法删除,有高手出来讲解过,不过可能是病毒升级了,一些人照做了,还是删除不了。pjumd pjumd pjumd 泥巴娃试了一下,果然 MoveFileEx + MOVEFILE_DELAY_UNTIL_REBOOT 的删除方式是无效的,注册表的服务键 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 下的 msprotect、 mspath 和 Windows NT Service32 都是被保护的,这 6 和文件也是被保护,根据推理 msprotect.sys 是用 DDK 写的驱动,实现了这些保护,进安全模式 msprotect.sys 也一样被加载。IEShell32.dll 一看就知道是 ATL 写的,竟然还导出了 DllUnregisterServer!这 3 个病毒,泥巴娃看是 IEShell32.dll 最厚道!pjumd pjumd pjumd 开始杀了,泥巴娃先把它们备份起来,大家可以不用备份^_^先运行一下:regsvr32 /u IEShell32.dll,然后重启,进 “Microsoft Windows Recovery Console”,输入您的管理员密码,忘记的应该在重启前重设一个!pjumd pjumd pjumd 删除 msprotect.sys,输入:attrib -r msprotect.sys,回车,del msprotect.sys,回车;其他文件类似。 |
| 序号 | 评论者 | 共有评论 1 【论坛浏览】 【发表评论】 | 评论时间 |
| 1 | depressedboy | 这个 发错板块了  不过文章不错 只不过应该是转载的(并且有些年代了 ) |
2008/7/18 18:48 |
共有评论数 1 每页显示 10
|
|||
 |
紧急求救!!!!! |
| |
[图文] 反病毒木马辅助工具... |
 |
[求助] 无法进入系统 |
| |
[讨论] 为什么系统的时间老... |
| |
[求助]系统核心服务程序6和... |
| |
[求助] 开机后瑞星杀毒软件... |
| |
[已解决] [求助]跪求如何清... |
| |
每次开机都弹出三个网页对... |
| |
[求助] 帮看下扫描 |
| |
反病毒可能需要用到的方法... |
