|
| 手工查杀木马病毒(wsyscheck、Autoruns等的详细使用教程) | |||||||||||||||||||||||||||||||||||||||||
| 作者 depressedboy 查看 841 发表时间 2008/7/21 21:22 【论坛浏览】 | |||||||||||||||||||||||||||||||||||||||||
|
jbfjqjahpg 本文相关软件下载地址:jbfjqjahpg Wsyscheck(相关软件下载)jbfjqjahpg jbfjqjahpg jbfjqjahpg jbfjqjahpg 下载这些绿色软件,如下界面jbfjqjahpg
jbfjqjahpg 下面,我们将按照一般顺序,展开对病毒的查杀。因为是面对初学者写的,所有表格中的内容(绿色字)可以不看,他是对某一功能或某一原理的详细介绍。jbfjqjahpg jbfjqjahpg 这里所谓的顺序,并不是绝对的,只是个一般过程,根据个人习惯或实际情况,完全可以更改。jbfjqjahpg jbfjqjahpg 首先,运行Wsyscheck,全面绞杀木马病毒。在这中间,可以使用任务管理器软件,查看进程的属性,例如映像、服务、安全、TCP/IP、线程,堆栈等等。然后运行 启动项目查看软件,清理木马病毒的开机启动项目,最后使用 SREngPS ,对系统进行基本的简单的修复。jbfjqjahpg jbfjqjahpg ㈠、Wsyscheckjbfjqjahpg jbfjqjahpg现在,运行 Wsyscheck ,由于新浪博客里上传图片显示起来并不方便,所以本文教程将尽可能的少用图片。jbfjqjahpg jbfjqjahpg Wsyscheck是一款功能强大且丰富的手动清除木马病毒的工具。强烈推荐大家在杀毒和远程杀毒时使用。此软件只有一个文件:Wsyscheck.exe。Wsyscheck的窗口本身已采取随机字符,如果仍然被木马禁用,请将Wsyscheck改名后运行。jbfjqjahpg 说明:jbfjqjahpg 如果你下载的软件包含DOS删除功能,那么就还有一个附加WdosDel.dat文件。WdosDel.dat不是Wsyscheck运行所必须的,删除后将不再显示Dos删除功能。一般情况下“重启删除”已经可以删除大多数的木马文件,所以如携带不便也可以删除WdosDel.dat。jbfjqjahpg jbfjqjahpg 进程页中查看模块与服务页中查看服务描述可以使用键盘的上下键控制,这一点在远程使用时比较方便。jbfjqjahpg 说明:jbfjqjahpg 关于Wsyscheck启动后状态栏的提示“警告!程序驱动未加载成功,一些功能无法完成。”jbfjqjahpg 多数情况下是安全软件阻止了Wsyscheck加载所需的驱动,这种情况下Wsyscheck的功能有一定减弱,但它仍能用不需要驱动的方法来完成对系统的修复。jbfjqjahpg 驱动加载成功的情况下,对于木马文件可以直接使用Wsyscheck中各页中的删除文件功能(即先用强删除功能消灭木马文件),执行完后重启系统,,再清除它的启动项,注册表项等加载途径。jbfjqjahpg jbfjqjahpg 一、菜单-软件设置: (清除病毒的前期准备工作要做好)jbfjqjahpg jbfjqjahpg 模块、服务简洁显示:(默认打开),简洁显示会过滤掉微软文件不显示,方便查找病毒进程、文件和模块。jbfjqjahpg jbfjqjahpg 校验微软文件签名:(默认关闭),在使用了“校验微软文件签名”功能后,通不过的微软签名验证文件也会显示出来。jbfjqjahpg 在使用“软件设置”-“校验微软文件签名”后,紫红色显示未通过微软签名的文件。同时,在各显示栏的"微软文件校验"会显示Pass(已经通过签名验证)与nopass(不能通过签名验证)。(可以据此参考微软文件是否被修改或被替换,注意的是如果紫红色显示过多,可能是你的系统是网上常见的Ghost美化版,这些版本为了美化而大量修改了系统文件。对于受系统保护的文件的任何修改,都将使该文件无法通过签名验证。还有极个别的系统文件,由于与缺少安全编录而无法通过签名验证,多见于SP3下。以上所说的情况同时也会发生在本文提到的其他相关软件上,需要特别注意!)jbfjqjahpg jbfjqjahpg 禁止进程与文件创建:jbfjqjahpg 针对木马的反复启动,反复创建文件,反复写注册表启动项进行监视或阻止,使用本功能后能更清松地删除木马文件及注册表启动项。jbfjqjahpg jbfjqjahpg 开启禁止“禁止进程与文件创建”后会自动添加“监控日志”页,取消后该页消失。可以观察一下日志情况以便从所阻止的动作中找到比较隐藏的木马文件。注意的是,如果木马插入系统进程,则反映的日志是阻止系统进程的动作,你需要自我分辨该动作是否有害并分析该进程的模块文件。如果在日志页观察到反复写创建文件,反复写注册表,反复创建的进程。当此进程是非系统进程时可以直接关闭并删除它。如果是系统进程,需要手动分析一下该进程的模块(配合查看一下活动页的加载项有助于快速找到木马插入系统进程的模块)。清理文件注册表完成后不要退出“禁止进程与文件创建”,而应直接使用工具下的“重启计算机”,以确保我们的清理成功。jbfjqjahpg jbfjqjahpg 要保留日志请在取消前Ctrl+A全选后复制。注意,为防止日志过多,满1000条后自动删除前400条日志。jbfjqjahpg jbfjqjahpg 二、菜单-工具:jbfjqjahpg jbfjqjahpg 清除临时文件:删除%TEMP%,%windir%\Temp及%windir%\DownloadedProgram Files下的所有文件。jbfjqjahpg jbfjqjahpg 清除Autorun.inf:程序分析各盘根目录下的Autorun.inf指向的文件,删除各盘的Autorun.inf及其指向的文件。清除以Autorun.inf方式启动的木马,(可配合“禁止进程与文件创建”使用以取得最好的效果)。如果手动清理,操作中尽量使用Wsyscheck内置的文件管理操作以防双击盘符再次激活木马。在手动删除Autorun.inf文件前用Wsyscheck的文件管理中打开这个文件查看木马启动的具体位置有利于您快速找到木马文件。清理时完后检查一下各盘根目录以保证完全清理了Autorun.inf文件。jbfjqjahpg jbfjqjahpg 修复隐藏文件显示及禁用硬盘自动播放:菜单栏太长写不完,本功能还包括磁盘无法双击打开故障。注意,某些故障修复后可能需要注销或重启才能生效。jbfjqjahpg jbfjqjahpg 修复安全模式:某些木马会破坏安全模式的键值导致无法进入安全模式,本功能先备份当前安全模式键值再恢复默认的安全模式键值。jbfjqjahpg jbfjqjahpg 构建安全环境:还原SSDT(某些杀软还原SSDT会引起死机,本功能仅测试在Kv系列,Kav6.0下使用没有问题,其它版本请自行测试。如不确定,使用本功能前最好退出杀软进程。),只保留系统必须的几个进程,然后执行上述三个子菜单功能。(在下面的实际操作中,将详细介绍关于SSDT。)jbfjqjahpg jbfjqjahpg 重启计算机:开启禁止“禁止进程与文件创建”后,清理病毒文件,修复注册表完毕,在wsyscheck的监控下重启电脑。jbfjqjahpg jbfjqjahpg jbfjqjahpg jbfjqjahpg 三、进程管理:清除病毒木马的第一步jbfjqjahpg jbfjqjahpg 红色表示非微软进程,紫红色表示虽然进程是微软进程,但其模块中有非微软的模块文件。jbfjqjahpg jbfjqjahpg 定位文件:使用wsyscheck的文件管理器,锁定目标进程文件。可以快速查看文件的位置和基本信息,可以锁定一切存在的文件。注意,定位没有隐藏属性的文件时,不要选wsyscheck的文件管理器的“仅显示隐藏文件”选项。jbfjqjahpg jbfjqjahpg 拷贝文件路径:拷贝文件的完整路径,配合其他删除工具使用。如菜刀(费尔)、XDELBOX等。jbfjqjahpg jbfjqjahpg 结束这个进程:可以直接结束单个进程。jbfjqjahpg jbfjqjahpg 结束选择的进程:在要结束进程的前面复选,然后同时批量结束所选进程。jbfjqjahpg jbfjqjahpg 禁止这个程序运行:这个功能就是流行的IFEO劫持功能,我们可以使用它来阻止病毒进程的重新加载。此操作的结果参看安全检查-常规检查页的“禁用程序管理”,如果结束木马进程后反复发现木马启动,可以尝试使用“结束进程并删除文件”或“禁止这个程序运行”,让其不再启动后删除。 还可以配合使用“禁止进程与文件创建”让其不再创建新进程、创建文件无效而清理它。jbfjqjahpg jbfjqjahpg 关于进程文件下半部的窗口,显示的是相关进程所加载的模块列表。这里特别注意查看explorer.exe和iexplore.exe两个进程所注入的非系统模块,木马病毒模块一般不会放过这两个关键进程。右键点击模块列表中的相应文件,可以进行相关的卸载、删除、改名等操作。jbfjqjahpg jbfjqjahpg 特别说明1:在“文件厂商”中显示MicrosoftCorporation,则一般表明该文件为微软文件,通常为系统文件。jbfjqjahpg jbfjqjahpg 特别说明2:关于模块卸载jbfjqjahpg 对HOOK了系统关键进程的模块卸载可能导致系统重启,所以卸载不了的模块不要强求卸载,可以先删除该模块的启动项或文件。jbfjqjahpg 一般顺序是,先选择“卸载模块并删除文件”(该功能需要特别注意,必须先确认文件非系统文件)或“卸载模块”,如不成功,则检查其他进程下是否也加载了该模块,如果加载,则使用“全局卸载模块”。在卸载完成以后,到文件所在目录下找到并删除。如不能正常执行“全局卸载模块”,则应先完成后面的检查,再回头处理。jbfjqjahpg jbfjqjahpg jbfjqjahpg jbfjqjahpg 四、内核检查jbfjqjahpg jbfjqjahpg SSDT检查:这里显示杀软和木马病毒的内核驱动保护。jbfjqjahpg jbfjqjahpg 如果SSDT管理中有木马模块在工作,请先恢复SSDT,再在服务管理页清理木马的服务及文件。否则会失败。jbfjqjahpg SSDT右键“全部显示”是默认动作,当取消这个选项后,则仅显示SSDT表中已更改的项目。jbfjqjahpg 红色表示内核被HOOK的函数。查看第三方模块,可以点击两次标签“映像路径”排序,则第三方HOOK的模块会排在一起列在最前面。也可以取消“全部显示”,则仅显示入口改变了的函数。jbfjqjahpg SSDT页的“代码异常”栏如显示“YES”,表明该函数被InlineHook(被改写,或叫挂钩)。如果一个函数同时存在代码HOOK与地址HOOK,则对应的模块路径显示的是InlineHook的路径,而使用“恢复当前函数代码”功能只恢复InlineHook,路径将显示为地址HOOK的模块路径,再使用“恢复当前函数地址”功能就恢复到默认的函数了。jbfjqjahpg 使用“恢复所有函数”功能则同时恢复上述两种HOOK。jbfjqjahpg 说明:jbfjqjahpg 如果在SSDT表中有杀软挂钩,则尽量不要更改杀软的函数代码和地址,以免需要重装杀软。jbfjqjahpg jbfjqjahpg jbfjqjahpg
什么,你的机器不是被Inline-HOOK Nt*?而是Inline-HOOKCm*啦,换 狙剑软件!不会用?那就直接“自启动项管理”。用狙剑的自启动项管理对自启动项进行操作,则无须手动检查与恢复HOOK,狙剑在扫描与清除自启动项时,会自动恢复相关的HOOK(有些HOOK有防恢复机制,也很难用手工来恢复,所以也就没必要非手工恢复它,交给狙剑工具去做就可以了)。jbfjqjahpg jbfjqjahpg jbfjqjahpg FSD检查:这里显示木马病毒的文件保护。jbfjqjahpg jbfjqjahpg
jbfjqjahpg jbfjqjahpg jbfjqjahpg 五、服务管理:jbfjqjahpg jbfjqjahpg 红色表示该服务不是微软服务,且该服务非.sys驱动。(最常见的是.exe与.dll的服务,木马大多使用这种方式)。jbfjqjahpg 有些木马利用服务启动,请注意一下并判断一下服务页中的红色显示程序。如果状态是“已停止”,而类型是“自动”,则它已运行过一次,所以有可能启动了别的木马程序。jbfjqjahpg jbfjqjahpg 查看第三方服务可以点击标题条“文件厂商”排序,结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。jbfjqjahpg 检查键值保护:使用后,蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护,也有可能是木马的键值保护。jbfjqjahpg jbfjqjahpg 对于检测出的启动项,如果不是十分肯定,可以右键“设为禁用”,让其下次不启动再观察系统是否正常以判断它是否是一个木马程序。不要直接删除服务或文件,删错了很麻烦的。jbfjqjahpg jbfjqjahpg 删除选中的服务与文件:在删除文件的同时删除注册表加载项。jbfjqjahpg jbfjqjahpg jbfjqjahpg jbfjqjahpg 六、安全检查-常规检查:jbfjqjahpg jbfjqjahpg host查看:检查hosts文件是否被恶意修改,一些病毒通过修改hosts文件,来阻止中毒者打开相关的杀毒网站和病毒升级服务器,还屏蔽一些常见的求助网站。jbfjqjahpg jbfjqjahpg jbfjqjahpg
jbfjqjahpg 说明:360等一些软件也会通过修改host来防挂进行保护。千万别把他们灭了哦jbfjqjahpg jbfjqjahpg “禁用程序管理”:目前利用IFEO禁用杀软、启动木马程序是比较流行的。在木马使用IFEO劫持一些杀软后,可以在“禁用程序管理”中恢复被劫持的程序。这个功能就是流行的IFEO劫持功能,当然,我们可以使用它来阻止病毒进程的重新加载。jbfjqjahpg jbfjqjahpg 注册表键值改动检测:检查和修复文件关联。jbfjqjahpg jbfjqjahpg jbfjqjahpg jbfjqjahpg 七、安全检查-活动文件:jbfjqjahpg jbfjqjahpg 红色显示的常规启动项的内容。即开机加载项。病毒木马一般在这里藏匿。jbfjqjahpg 黑色部分内容大多是右键菜单或浏览器等窗口菜单调用的项目,多是一些插件之类的东东。也是病毒木马的藏身之处,要仔细认真的一个一个鉴别。jbfjqjahpg 对于检测出的启动项,如果不是十分肯定,可以定位注册表项,将这个启动程序的路径前加上“;”等字符让其下次不启动再观察系统是否正常以判断它是否是一个木马程序。jbfjqjahpg 注意:这里的修复所选项-这个操作是删除当前选定的启动或加载项。安全检查中各个选项卡里若有此功能,均是此含义。jbfjqjahpg 这个页面没有直接删除选定的文件功能,不是很方便。可以使用“定位文件”,然后改名或删除。jbfjqjahpg jbfjqjahpg jbfjqjahpg 八、安全检查-IE 安全:jbfjqjahpg 这里是ie浏览器里加载的一些插件。怀疑的就删除(即右键的修复所选项),不会影响系统运行。jbfjqjahpg jbfjqjahpg jbfjqjahpg 九、安全检查-重启删除文件:jbfjqjahpg 驱动加载的情况下,大多数文件都可以立即删除,加载的DLL文件删除后虽然文件仍然可见,但事实上已删除,重启可观察到文件已消失。jbfjqjahpg jbfjqjahpg “重启删除”仅作为驱动无法加载情况下使用的一种辅助手段,“重启删除”与“Dos删除”可以同时使用。其列表都可以手动编辑,一行一个文件路径即可。关闭程序时如果上述两者之一存在删除列表,会问询是否执行。jbfjqjahpg 如果需要对删除的文件备份,先启用软件设置下的“删除文件前备份文件”,它将在删除前将文件备份到%systemDrive%\VirusBackup目录中,且将文件名添加.vir后缀以免误执行。jbfjqjahpg jbfjqjahpg jbfjqjahpg 说明:dos删除功能jbfjqjahpg 对于用以上功能仍删除不了的文件,可以使用Wsyscheck的或“dos删除功能”,使用“dos删除”功能后会在启动菜单中添加一项“删除顽固文件”,执行后自动清理文件并去掉它所添加的启动项。本功能需要将辅件Wdosdel.dat与Wsyscheck放在一起才会显示相关页面。“dos删除”在多系统情况下可能存在一些问题,请慎用。建议在万不得已必须使用dos删除功能之前,备份重要资料。jbfjqjahpg jbfjqjahpg jbfjqjahpg jbfjqjahpg 十、文件管理:jbfjqjahpg 文件管理页的“删除”操作是删除文件到回收站,支持畸形目录下的文件删除。jbfjqjahpg 应注意的是如果文件本身在回收站内,请使“用直接删除文件”功能。或者使用剪切功能将它复制到另一个地方。否则你可能看到回收站内的文件删除了这个又添加了那个(因为右键“删除”是删除到回收站)。jbfjqjahpg 文件搜索中利用“限制时间”条件来搜索近期产生的文件可能有助于您的清理工作。jbfjqjahpg 选上文件列表下面的“仅显示隐藏文件”,可以更快速的锁定system32等目录下的隐藏了的病毒文件。jbfjqjahpg jbfjqjahpg jbfjqjahpg
jbfjqjahpg jbfjqjahpg 十一、注册表管理:jbfjqjahpg wsyscheck的强大之处在于,这个注册表管理功能一般的时候根本用不到。jbfjqjahpg 但还是简单介绍一下。这个注册表管理功能,比系统自带的regedit要强大,可以看到regedit看不到的隐藏键,可以删除regedit删除不掉的键。类似于冰刃的注册表管理功能。jbfjqjahpg jbfjqjahpg [ 本帖最后由 depressedboy 于 2008-7-21 21:58 编辑 ]jbfjqjahpg jbfjqjahpg 任务管理器 (相关软件下载)jbfjqjahpg jbfjqjahpg jbfjqjahpg ㈡、任务管理器 jbfjqjahpg 在这个软件上,可以看到不同进程上所加载的模块及服务、所开的TCP/IP、线程和堆栈。这个软件的正式名称叫做ProcessExplorer(进程管理器)。上面提供的是 Process Explorer v10.06汉化版本下载地址,也可以到网上搜索更新的版本。jbfjqjahpgProcess Explorer 11.20 汉化版jbfjqjahpg 1。来自华军滴:http://www.onlinedown.net/soft/31805.htmjbfjqjahpg 2。来自霏凡滴:http://www.crsky.com/soft/1074.htmljbfjqjahpg 3。来自太平洋滴:http://dl.pconline.com.cn/html_2/1/59/id=6395&pn=0.htmljbfjqjahpg jbfjqjahpg 下图为该软件的运行界面:jbfjqjahpg
jbfjqjahpg 对于系统进程,大家往往都感到陌生,而且不敢轻举妄动。事实上,只要我们对系统进程有所了解,那么你就不会再有这种恐惧感了,这里为大家介绍一个系统进程管理的好帮手——ProcessExplorer。jbfjqjahpg jbfjqjahpg Process Explorer 是 Sysinternals 公司出品的一款出色进程监视工具。Process Explorer是一款免费的增强型任务管理器,是最好的进程管理器。使用它不但能非常方便地查看各种系统进程,而且还能查看到通常我们看不到的在后台执行的处理程序,其最大的特色就是可以终止任何进程,甚至包括系统的关键进程!如此优秀的软件,相信它一定能够帮助我们更好的管理好程序进程。下面我们就来体验一下其强大的进程管理功能和其他特性。jbfjqjahpg jbfjqjahpg 一、菜单jbfjqjahpg jbfjqjahpg ㈠、文件jbfjqjahpg 1,运行:jbfjqjahpg 2,运行为:jbfjqjahpg 3,作为限制用户:jbfjqjahpg 4,保存:jbfjqjahpg 5,另存为:jbfjqjahpg 6,关机:jbfjqjahpg 7,退出:jbfjqjahpg jbfjqjahpg ㈡、选项jbfjqjahpg 1,总在最前面:jbfjqjahpg 2,替换任务管理器:jbfjqjahpg 3,最小化时隐藏:jbfjqjahpg 4,仅允许一个实例:jbfjqjahpg 5,确认终止:jbfjqjahpg 6,CPU 使用记录在托盘图标:jbfjqjahpg 7,验证映像签名:jbfjqjahpg 8,搜索引擎:jbfjqjahpg 9,配置符号:jbfjqjahpg 10,配置高亮:jbfjqjahpg 11,差异高亮持续时间:jbfjqjahpg 12,字体:jbfjqjahpg jbfjqjahpg ㈢、查看jbfjqjahpg 1,系统信息:jbfjqjahpg 2,显示进程树:jbfjqjahpg 3,显示来自所有用户的进程:jbfjqjahpg 4,显示部分 CPU:jbfjqjahpg 5,显示新的进程:jbfjqjahpg 6,显示未命名的句柄和映射:jbfjqjahpg 7,不透明:jbfjqjahpg 8,显示下级窗格:jbfjqjahpg 9,下级窗格视图:jbfjqjahpg 10,立即刷新:jbfjqjahpg 11,更新速度:jbfjqjahpg 12,整理列设置:jbfjqjahpg 13,保存列设置:jbfjqjahpg 14,载入列设置:jbfjqjahpg 15,选择列:jbfjqjahpg jbfjqjahpg ㈣、进程jbfjqjahpg 1,窗口:jbfjqjahpg 2,设置优先级:jbfjqjahpg 3,终止进程:jbfjqjahpg 4,终止进程树:jbfjqjahpg 5,重启:jbfjqjahpg 6,暂停:jbfjqjahpg 7,调试:jbfjqjahpg 8,属性:jbfjqjahpg 9,Google:jbfjqjahpg jbfjqjahpg ㈤、查找jbfjqjahpg 查找句柄或DLL:jbfjqjahpg jbfjqjahpg ㈥、句柄jbfjqjahpg 1,关闭句柄:jbfjqjahpg 2,属性:jbfjqjahpg jbfjqjahpg ㈦、用户jbfjqjahpg 1,断开:jbfjqjahpg 2,注销:jbfjqjahpg 3,发送消息:jbfjqjahpg 4,属性:jbfjqjahpg jbfjqjahpg ㈧、帮助jbfjqjahpg 1,内容:jbfjqjahpg 2,关于:jbfjqjahpg jbfjqjahpg jbfjqjahpg jbfjqjahpg jbfjqjahpg jbfjqjahpg jbfjqjahpg ㈣、SREngjbfjqjahpg jbfjqjahpgjbfjqjahpg SREng 2.5.16.900 版本 jbfjqjahpg jbfjqjahpg jbfjqjahpg 未完。。。jbfjqjahpgjbfjqjahpg 手工查杀木马病毒③—1jbfjqjahpg 启动项目查看 (相关软件下载)jbfjqjahpg jbfjqjahpg 二、启动项查看jbfjqjahpg jbfjqjahpg这个软件的正式名称叫做AutoRuns,上面提供的下载地址为v8.51汉化版,最新版本为v9.30英文版。jbfjqjahpg jbfjqjahpg 下载页面:http://www.onlinedown.net/soft/21271.htmjbfjqjahpg jbfjqjahpg 软件运行后的界面:jbfjqjahpg jbfjqjahpg
jbfjqjahpg 在v9.30英文版本中,里面会有4个文件jbfjqjahpg autoruns.chm 帮助文件jbfjqjahpg autoruns.exe 在Windows下运行的界面程序(本文讲解得重点)jbfjqjahpg autorunsc.exe 在Dos模式下可运行的控制端程序(非本文讲解重点)jbfjqjahpg Eula.txt 用户许可协议jbfjqjahpg jbfjqjahpg 因为Autoruns是一款国外的软件,所以当你第一次进入Autoruns英文版本主界面后会感觉他的字显示的比较小,因此我们在正式使用软件前首先需要设置Autoruns的字体。每一次打开软件或刷新“文件列表”时,Autoruns都会先对系统进行一番扫描,这时是无法设置字体的。见软件的左下角有文字提示“扫描中……(Escapeto cancelScanning…)”,按键盘左上角的ESC键取消扫描)。按下键盘右上角“ESC”键后,软件将会停止扫描。扫描结束后软件左下角的提示文字为“就绪(Ready)”。汉化新世纪提供的汉化版不存在这个问题。jbfjqjahpg jbfjqjahpg 一、菜单-操作(Entry)(实际上也是右键菜单)jbfjqjahpg 删除(Delete):直接删除被选中的启动项。(说明:如果不能确认,请先将启动前的勾取消。)jbfjqjahpg jbfjqjahpg 复制(Copy):复制选中的内容。jbfjqjahpg jbfjqjahpg 校验(Verify):对被选中的启动项程序进行签名校验。如果通过,则在发行商中显示“(已校验)”。不能通过,则显示“(未校验)”。jbfjqjahpg 注册表(Jumpto):直接打开注册表编辑器(Regedit.exe)程序,并定位在该启动项所在注册表的位置。jbfjqjahpg jbfjqjahpg google查找(Searchonline):在google中搜索内容jbfjqjahpg jbfjqjahpg 进程管理器(ProcessExplorer):需要安装有第2节(即上一节)中提到的任务管理器。jbfjqjahpg jbfjqjahpg 属性(Properties):直接显示该启动项程序的文件属性。通过对文件的版本时间等信息做进一步的判断。jbfjqjahpg jbfjqjahpg jbfjqjahpg 二、菜单-选项(Options)软件设置jbfjqjahpg jbfjqjahpg 包含空白启动位置(Include EmptyLocations):(默认关闭,)为了方便查找,该选项不图鉴勾选。jbfjqjahpg jbfjqjahpg 校验码签名(Verify Code Signatures):在使用“选项”-“校验码签名”后,刷新或重新打开autoruns,都会对每个启动项程序校验其签名。如果通过,则在发行商中显示“(已校验)”。不能通过,则显示“(未校验)”。(可以据此参考微软文件是否被修改或被替换,注意的是如果“(未校验)”显示过多,可能是你的系统是网上常见的Ghost美化版,这些版本为了美化而大量修改了系统文件。对于受系统保护的文件的任何修改,都将使该文件无法通过签名验证。还有极个别的系统文件,由于缺少安全编录而无法通过签名验证,多见于SP3下。以上所说的情况同时也会发生在本文提到的其他相关软件上,需要特别注意!)jbfjqjahpg jbfjqjahpg 隐藏系统进程(Hide MicrosoftEntries):(默认关闭),简洁显示会过滤掉微软文件不显示,方便查找病毒进程、文件和模块。jbfjqjahpg jbfjqjahpg 字体(Font):设置显示字体jbfjqjahpg jbfjqjahpg 搜索引擎:在 google 和MSN 里查找jbfjqjahpg jbfjqjahpg jbfjqjahpg jbfjqjahpg 三、启动项选项卡jbfjqjahpg jbfjqjahpg ㈠、全部启动项(Everything):jbfjqjahpg 包含以下各选项卡所有启动项内容。这里就不多说了,看下面jbfjqjahpg jbfjqjahpg ㈡、登陆(Logon):jbfjqjahpg 这里显示的是常规的启动项位置,即运行Msconfig.exe后,在“启动”中看到的。但在Msconfig里隐藏了三个系统关键启动项,rdpclip(RDPClip Monitor MicrosoftCorporation)C:\windows\system32\rdpclip.exe ,userinit(UserinitLogon Application MicrosoftCorporation)C:\windows\system32\userinit.exe ,Explorer(WindowsExplorer MicrosoftCorporation)C:\windows\explorer.exe 。如无特殊情况,请不要对这3个启动项进行任何修改!jbfjqjahpg jbfjqjahpg
jbfjqjahpg ㈢、外壳程序(Explorer):jbfjqjahpg 里显示的是加载在 Explorer 外壳程序上的所有dll模块文件。jbfjqjahpg jbfjqjahpg jbfjqjahpg
jbfjqjahpg ㈣、IE 浏览器(Internet Explorer):jbfjqjahpg 这里显示的是 Internet Explorer上加载的第三方dll模块。jbfjqjahpg jbfjqjahpg jbfjqjahpg
jbfjqjahpg ㈤、计划任务(Scheduled Tasks):jbfjqjahpg 计划任务,就是系统中的任务计划。该程序依赖于服务TaskScheduler。jbfjqjahpg 任务计划概述:利用“任务计划”,可以将任何脚本、程序或文档安排在某个最方便的时间运行。“任务计划”在每次启动 WindowsXP 的时候启动并在后台运行。jbfjqjahpg 使用“任务计划”可以完成以下任务:jbfjqjahpg
jbfjqjahpg ㈥、服务(Services):jbfjqjahpg jbfjqjahpg 服务概述:jbfjqjahpg jbfjqjahpg 服务是一种在后台运行的应用程序类型,它与 UNIX后台应用程序类似。服务应用程序通常可以在本地和通过网络为用户提供一些功能,例如客户端/服务器应用程序、Web服务器、数据库服务器以及其他基于服务器的应用程序。jbfjqjahpg jbfjqjahpg 使用服务可以:jbfjqjahpg 1,启动、停止、暂停、恢复或禁用远程和本地计算机上的服务。要启动、停止、暂停、重新启动或禁用服务,必须拥有适当的权限。jbfjqjahpg 2,管理本地和远程计算机(只在运行 Windows XP、Windows 2000 或 Windows NT 4.0的远程计算机)上的服务。jbfjqjahpg 3,设置服务失败时的故障恢复操作,例如,重新自动启动服务或重新启动计算机(仅在运行 Windows XP 或 Windows 2000的计算机上)。jbfjqjahpg 4,为特定的硬件配置文件启用或禁用服务。jbfjqjahpg 5,查看每个服务的状态和描述。jbfjqjahpg jbfjqjahpg 有关系统的服务默认设置情况,请运行 Services,依次选择“帮助”-“帮助主题”-“服务”-“概念”-“服务的默认设置”。jbfjqjahpg jbfjqjahpg
jbfjqjahpg jbfjqjahpg jbfjqjahpg ㈦、驱动(Driers):jbfjqjahpg jbfjqjahpg 设备驱动程序(devicedriver),简称驱动程序(driver),是一个允许电脑软件(computersoftware)与硬件(hardware)互动的程序,这种程序建立了一个硬件与硬件,或硬件与软件沟通的接口,经由主板上的总线(bus)或其它沟通子系统(subsystem)与硬件形成连接的机制,这样的机制使得硬件装置(device)上的资料交换成为可能。jbfjqjahpg 依据不同的电脑架构与操作系统差异平台,驱动程序可以是8位元(8-bit)、16位元(16-bit)、32位元(32-bit),甚至是最新的64位元(64-bit),这是为了调和操作系统与驱动程序之间的依存关系,例如在Windows3.11的16位元操作系统时代,大部份的驱动程序都是16位元,到了32位元的Windows XP则大部份是使用32位元驱动程序(微软提供了Windows DriverModel可视作driver),至于64位元的Linux或是WindowsVista平台上,就必须使用64位元的驱动程序(WDM与WDF皆可视作64位元驱动程序)。jbfjqjahpg jbfjqjahpg jbfjqjahpg
jbfjqjahpg [ 本帖最后由 depressedboy 于 2008-7-21 22:04 编辑 ]jbfjqjahpg jbfjqjahpg 手工查杀木马病毒③—2jbfjqjahpg ㈧、导入并执行(BootExecute):jbfjqjahpg 这里显示的是自动检查程序 autochk及其相关的启动。jbfjqjahpg jbfjqjahpg 附:关于 Windows 中增强型 Chkdsk、Autochk和 Chkntfs 工具的说明jbfjqjahpg jbfjqjahpg 概要:jbfjqjahpg 在 Windows 2000及其以后的系统中,Chkdsk.exe、Autochk.exe 和 Chkntfs.exe工具的功能得到了增强,管理员可以更精确地控制何时对卷执行文件系统检查。jbfjqjahpg jbfjqjahpg 请注意,卷被定义为包含文件系统的分区,该分区可以用驱动器号/卷装入点或全局唯一标识符 (GUID)进行寻址。 jbfjqjahpg jbfjqjahpg Autochk.exe先确定卷检查任务是手动安排的,还是由于文件系统发现卷处于“脏”状态而自动安排的,然后将相应的消息写入应用程序事件日志中。jbfjqjahpg jbfjqjahpg 下面是包含的增强功能列表,但没有列出每种工具可使用的全部开关。jbfjqjahpg jbfjqjahpg Chkdsk /F:如果 Chkdsk在执行该命令时不能锁定卷,就会显示下面的对话框,然后提示您安排在系统下次重新启动时执行该命令:jbfjqjahpg jbfjqjahpg 由于该卷正在被另一个进程使用,Chkdsk不能运行。如果先卸下该卷,Chkdsk也许可以运行。该卷所有已打开的句柄将会无效。要强制卸下该卷吗?(Y/N)jbfjqjahpg 如果管理员安排该命令在系统下次重新启动时运行,则为了在系统下次启动时对卷进行检查,Chkdsk将不为正在使用的卷设置“脏位”。相反,它会设置一个注册表条目,通知 Autochk运行以检查该卷。只有在文件系统本身检测到问题时才会设置“脏位”。jbfjqjahpg jbfjqjahpg Chkdsk /X:这是一个新命令参数,它运行 Chkdsk/F,并强制卸下卷从而关闭非系统卷上的打开文件句柄,以便立即对卷进行检查。这样,不必重启动系统就能执行 Chkdsk并修复卷。jbfjqjahpg jbfjqjahpg Chkntfs volume:显示文件系统类型,文件系统脏位的状态,以及是否已手动安排系统在启动时运行 Chkdsk来检查卷等信息。jbfjqjahpg jbfjqjahpg Chkntfs /C:安排在系统启动时检查卷(如果先前没有运行 chkntfs /x检查该卷,就会执行该操作)。只有在发现卷处于“脏”状态时,Chkdsk 才会运行。jbfjqjahpg jbfjqjahpg Chkntfs /D:将计算机还原为默认设置,并删除 Chkdsk /F 或 Chkntfs /X调用的注册表设置。这意味着,在系统启动时检查所有驱动器,对于那些发现处于“脏”状态的驱动器,还将运行 Chkdsk进行检查。jbfjqjahpg jbfjqjahpg Chkntfs /T:time:将 Autochk超时值更改为指定的时间(以秒为单位)。如果未指定时间,则显示当前设置。(虽然可以用此命令将 Autochk.exe开始的倒计时时间设为零,但这样做将无法取消潜在时间消耗的自动文件检查。 )jbfjqjahpg jbfjqjahpg Chkntfs /X: 计算机启动时不检查指定卷,即使该卷标记为需要chkdsk。本命令不是累积性的,该命令会覆盖以前建立的任何驱动器排除项。jbfjqjahpg jbfjqjahpg
jbfjqjahpg Autochk:查看每个卷上的脏位,并查找Chkdsk /F 和 Chkntfs /X 或 /C 所设置的注册表设置,以确定是检查卷还是跳过卷。jbfjqjahpg jbfjqjahpg 注意:Chkdsk /F 或 Chkntfs /C(安排 Chkdsk 对某个卷进行检查)和 Chkntfs/X(将某个卷从要检查的卷中排除)命令相互重写。这使管理员可以完全控制在系统启动过程中是无条件还是有条件地运行 Chkdsk对给定的卷进行检查,或者根本不检查。所发出的最后一条命令将对相应的注册表条目进行设置/重设。jbfjqjahpg jbfjqjahpg 如果您安排 Chkdsk 在系统启动时运行以检查某个卷,但在实际启动时您决定按任意键跳过 Autochk,则 Autochk将不会检查该卷并删除相应的注册表条目,以后 Autochk 也不会再检查该卷。jbfjqjahpg jbfjqjahpg 当 Autochk 在系统启动时运行以检查某个卷时,它将其输出记录到一个名为 Bootex.log的文件中,该文件位于被检查的卷的根目录中。然后,Winlogon 服务将各个 Bootex.log文件的内容移到应用程序事件日志中。每个被检查的卷的事件日志消息按以下方式记录:jbfjqjahpg jbfjqjahpg 事件 ID: 1001jbfjqjahpg 源:Winlogonjbfjqjahpg 说明:它包括文件系统类型、驱动器号或 GUID 及卷名称或序列号,可以帮助确定 Chkdsk 检查的是哪个卷。jbfjqjahpg 此外还包括,Chkdsk 是因为用户的安排而运行的呢,还是因为已设置了脏字位而运行的等信息。jbfjqjahpg Autochk使用以下注册表条目确定在系统启动时将检查哪些卷:jbfjqjahpg Hkey_local_machine\System\CurrentControlSet\Control\SessionManager\ BootExecute:REG_MULTI_SZ:autocheck autochk *jbfjqjahpg jbfjqjahpg 注意:这是 Autochk的默认设置,也是使用 Chkntfs /d 安排系统启动时检查所有卷所得到的结果。jbfjqjahpg jbfjqjahpg 在 BootExecute 中还可以找到其他条目:jbfjqjahpg jbfjqjahpg
jbfjqjahpg
jbfjqjahpg jbfjqjahpg jbfjqjahpg 由于可通过设置或重设注册表设置来控制 Autochk,因此可以使用 Regini脚本以编程方式安排卷的修复时间。jbfjqjahpg jbfjqjahpg 注意:对于在运行群集服务的服务器群集节点之间共享的卷,不允许在系统启动时运行 Autochk.exe来访问卷。当这些卷联机,或从一个节点移到另一节点时,群集服务会检查卷是否处于“脏”状态。如果是,则在卷联机前,就要运行 Chkdsk来检查卷。但不会检查 BootExecute 注册表值,所以不会考虑这些值。jbfjqjahpg jbfjqjahpg jbfjqjahpg
jbfjqjahpg jbfjqjahpg [ 本帖最后由 depressedboy 于 2008-7-21 22:06 编辑 ]jbfjqjahpg jbfjqjahpg 手工查杀木马病毒③—3jbfjqjahpg ㈨、映像劫持(Image Hijacks):jbfjqjahpg 这里显示的是 NTSD及映像劫持相关的启动。jbfjqjahpg jbfjqjahpg jbfjqjahpg http://blog.sina.com.cn/s/blog_51a4af870100ad99.htmljbfjqjahpg jbfjqjahpg jbfjqjahpg [ 本帖最后由 depressedboy 于 2008-7-21 22:03 编辑 ]jbfjqjahpg jbfjqjahpg 手工查杀木马病毒③—4jbfjqjahpg windows映像劫持技术(IFEO),所谓的IFEO就是Image File ExecutionOptions。jbfjqjahpg jbfjqjahpg 在是位于注册表的jbfjqjahpg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Optionsjbfjqjahpg jbfjqjahpg 由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和localsystem有权读写修改。jbfjqjahpg jbfjqjahpg 手工劫持的方法:jbfjqjahpg 开始-运行-regedit,展开到:jbfjqjahpg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Optionsjbfjqjahpg 然后选上Image File ExecutionOptions,新建个项,然后,把这个项(默认在最后面)然后改成123.exe(千万别乱写程序名哦。。。)。选上123.exe这个项,然后默认右边是空白的,我们点右键,新建个“字串符”,然后改名为“Debugger”。这一步要做好,然后回车,就可以。。。再双击该键,修改数据数值(其实就是路径)。把它改为C:\windows\system32\CMD.exe 。然后我们运行 cmd看看。。。jbfjqjahpg jbfjqjahpg 解除劫持的方法:jbfjqjahpg 把该键删除了!jbfjqjahpg jbfjqjahpg 我们来看一个被劫持了的……jbfjqjahpg jbfjqjahpg
现在明白被劫持的后果了吧……jbfjqjahpg jbfjqjahpg jbfjqjahpg jbfjqjahpg 包含的启动路径:jbfjqjahpg HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Image File ExecutionOptions jbfjqjahpg HKLM\Software\Microsoft\CommandProcessor\Autorun jbfjqjahpg HKCU\Software\Microsoft\CommandProcessor\Autorun jbfjqjahpg HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default) jbfjqjahpg jbfjqjahpg jbfjqjahpg 手工查杀木马病毒③—5jbfjqjahpg ㈩、AppInit:jbfjqjahpg jbfjqjahpg jbfjqjahpg
jbfjqjahpg (十一)、已知 DLLs(Known DLLs):jbfjqjahpg jbfjqjahpg jbfjqjahpg
jbfjqjahpg (十二)、系统登陆(Winlogon):jbfjqjahpg jbfjqjahpg jbfjqjahpg
jbfjqjahpg (十三)、Winsock 提供方(WinsockProviders):jbfjqjahpg jbfjqjahpg Winsock,即 Windows 套接字。为 Windows 下的软件提供TCP/IP 接口的应用程序编程接口 (API) 标准。jbfjqjahpg jbfjqjahpg WinSock是在90年代初,为了方便网络编程而由Microsoft联合几家公司共同制定的一套WINDOWS下的网络编程接口,即WindowsSockets规范,它不是一种网络协议,而是一套开放的、支持多种协议的Windows下的网络编程接口。Socket实际在计算机中提供了一个通信端口,可以通过这个端口与任何一个具有Socket接口的计算机通信。应用程序在网络上传输,接收的信息都通过这个Socket接口来实现。Socket也称为“套接字”。jbfjqjahpg jbfjqjahpg Winsock 2是一个接口,而不是协议,所以它可以用于发现和使用任意数量的底层传输协议所提供的通信能力。起初的Winsock是围绕着TCP/IP协议运行的,但是在Winsock2中却增加了对更多传输协议的支持。Winsock 2不仅提供了一个供应用程序访问网络服务的Windowssocket应用程序编程接口(API),还包含了由传输服务提供者和名字解析服务提供者实现的Winsock服务提供者接口(SPI)和ws2_32.dll。本文仅讨论传输服务提供者及其应用,暂不对名字解析服务提供者进行分析。jbfjqjahpg Winsock2的传输服务提供者是以动态链接库的形式(DLL)存在的,它是通过WSPStartup函数为上层函数提供接口,而其他的传输服务提供者函数则是通过分配表的方式来访问WS2_32.DLL。传输服务提供者的动态链接库只有在应用程序需要时才由Ws2_32.dll来装入内存中的,在不需要时则会被自动卸载。jbfjqjahpg jbfjqjahpg jbfjqjahpg
jbfjqjahpg
jbfjqjahpg (十四)、打印监控器(Print Monitors):jbfjqjahpg jbfjqjahpg jbfjqjahpg
jbfjqjahpg (十五)、LSA 提供方(LSA Providers):jbfjqjahpg jbfjqjahpg jbfjqjahpg
jbfjqjahpg (十六)、Network 提供方(NetworkProviders):jbfjqjahpg jbfjqjahpg jbfjqjahpg
jbfjqjahpg 特别说明:本选项卡为v9.30中的内容,v8.51汉化版中没有。jbfjqjahpg jbfjqjahpg [ 本帖最后由 depressedboy 于 2008-7-21 21:59 编辑 ] |
| 序号 | 评论者 | 共有评论 0 【论坛浏览】 【发表评论】 | 评论时间 |
| 当前无任何评论,或评论已被禁止显示 | |||
共有评论数 0 每页显示 10
|
|||
 |
紧急求救!!!!! |
| |
[图文] 反病毒木马辅助工具... |
 |
[求助] 无法进入系统 |
| |
[讨论] 为什么系统的时间老... |
| |
[求助]系统核心服务程序6和... |
| |
[求助] 开机后瑞星杀毒软件... |
| |
[已解决] [求助]跪求如何清... |
| |
每次开机都弹出三个网页对... |
| |
[求助] 帮看下扫描 |
| |
反病毒可能需要用到的方法... |
/k:E *