手动杀毒~无非就是删除病毒文件而已~~
只要删除了基本就搞定了~~对于像熊猫烧香之类的是感染型~也就是再手动删除病毒之后~多了一步修复感染文件而已~~
所以说手动杀毒很简单~~~很简单~~
对于删除文件~可能你就要问~你怎么就知道删除那些文件呢??
下面我就说说我的一点点体会~~
1、当你运行你的杀毒软件时~它没反应~首先肯定是中毒的~哪么它就有可能是映像劫持杀毒软件了~~
这个时候不要急~再运行冰刃~如果也是没有反应~哪么可以肯定就是映像劫持了~~因为映像劫持一般劫持的不只是杀毒软件~还有一些工具~如wsyscheck,狙剑等等。
碰到映像劫持怎么办???
不用怕,映像劫持是劫持的文件名,如果文件名改变了,它就劫持失效了~~
哪么就可以将冰刃~wsyscheck,狙剑等软件改为,agag.bat,也就是格式改为bat,名字随便自己起。再运行这些工具就好了~~
对于映像劫持可以用专门映像劫持工具修复~
2、运行了这些工具后怎么办??
这些工具是帮助我们判断那些文件是病毒的。
对于分析这些文件,我更喜欢用wsyscheck+冰刃+sreng+arswp+july
july判断进程,它的进程图很清楚,注入的dll模块也很清晰
wsyscheck很直接可以判断进程,注入的dll模块,和异常驱动,服务,并且这个工具删除文件功能没有冰刃强大,但是比冰刃方便,它的右键菜单,有卸载模块并删除文件,和卸载服务并删除文件,都是很实在的功能。当然还有很多其他的功能。比如非系统模块注入进程显示粉色和红色,文件定位等等,实在太好用了。。。。
sreng主要看启动项,用它查看启动项很方便,
冰刃用其最简单的功能,删除功能,冰刃很强大,但是右键菜单有时候不是很方便,所以病毒分析时我个人更喜欢wsyscheck。。。
对于arswp,除了能杀一些木马,流氓软件什么的~~它还可以扫描出部分被病毒替换的文件~~这个对于中像机器狗之类的病毒时,很有用~扫描一下就知道病毒把系统那个文件给替换了。。。
3、知道用这些工具了又怎样???
判断一个文件是否是正常的文件首先,看这个文件属性,是否有正确的信息,正常的文件是有数字签名,版本信息,公司名称等等的
而异常文件却只有常规一项~~这个就可以断定这个文件是异常的~~
还有对于驱动,服务什么的,病毒常用tmp格式文件冒充服务或者驱动(sys格式文件),只要发现服务中对应的文件是tmp格式的哪么这个一定是病毒,,,
当你发现某个进程是病毒的进程,但是删除后,还会再出现,哪么直接删除这个进程和文件是没有用的,需要删除这个病毒对应的服务驱动等等,最后再删除这个病毒进程和文件。。
4、对于注册表中,AppInit_DLLs,这项正常的值是空的~~如果出现某个dll文件那这个文件是病毒(也有个别例外的比如卡卡的iereport),~如果要修改这项值为空,单纯的从sreng中修改是不行的,修改之后还会被改回的,先删除这些dll文件才能修改~~
哪么可以根据sreng扫描的注册表路径,从路径中定位到文件而删除这些dll文件。
5、对于感染型病毒,我相信当一个感染型病毒流行时,网上关于修复这个病毒感染后的工具多的很~~~
6、安全模式下是无法运行冰刃的,wsyscheck可以运行
微博帐号登录