搜索
由繁至简的炒股秘籍股票配资送值得信赖我出资你炒股赚大钱自己操盘配资财源滚滚
查看: 3034|回复: 5

菜鸟提升 — 手动查毒

[复制链接]

签到天数: 12 天

发表于 2007-12-18 17:18 | 显示全部楼层

菜鸟提升 — 手动查毒

来自:MACD论坛(bbs.macd.cn) 作者:xinitoto 浏览:3034 回复:5

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
1.  了解病毒
木马
流氓软件

很多人都会把三者归为一谈,在他认为只要是杀软查出来的统称为病毒。虽然他们都可以称作病毒,但他们的意义不一样,破坏方式不一样的。大家只要记住病毒包括木马,但木马不包括病毒。
病毒:病毒具有强烈的破坏性质,一般用来进行无止尽的破坏。
木马:简单的说木马带有强烈的利益性质,一般用于谋取利益。说个比较流行的,如灰鸽子就是木马类的,不过灰鸽子如果用在正途上它是一款很好的远程控制软件。

再说说06年的毒王熊猫烧香吧,它是蠕虫类病毒,蠕虫类病毒,中了它它会进行不断传播,感染文件,在局域网内大势传播。

2.  怎样看出自己中毒以及查毒


进程判断法:

其实
有些病毒在进程内就可以看出来,这些文件会伪装系统文件,如果心细的人很快就会看出破绽。如果把字母L I之类的写成1 ,字母O写成0

IEXPLOR 它会写成IEXPL0R 当然还有很多种
这些就算了。。。还有的居然大小些混合用。你看过系统进程大小写混合写的吗???哈哈
(这类病毒一般都在c:\windows
进入目录删除
清理注册表就OK了)

小知识:有些病毒会将DLL文件插入到系统的进程,如果真的遇到有掩护的病毒进程可以藏试结束EXPLOREREXE 来解决病毒,因为很多病毒都是靠插入系统进程来保护自己的,只有这样他们才会死而复生。经常被插入的进程有:SVCHOSTEXE CSRSSEXE等,像这些进程如果直接结束会导致系统崩溃的危险,建议对这些插入关键系统进程和创建N个进程互相掩护的可查杀病毒,用杀毒软件自带的DOS杀毒工具在DOS下查杀最好。有些朋友不了解系统进程我们建议你使用PRCMGR (到绿软下)来认识每一个系统进程


自启动判断法:

现在的病毒大部分都有个特点就是会在自启动内,开始-运行-MSCONFIG 建议这里只留 CTFMON和你的杀毒软件,以免以后可以确认病毒,也可以在运行里面输入regedit(注册表),HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersionRunOnce,还有RunServicesRun,还有另外一个HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersionRunOnce,以及RunServicesRun的可疑的启动文件都删就好。


有很多病毒都会通过网页来让自己重生
如果启动项里有出现HTM HML VBS后缀的最好将它去掉

如果启动项出现类似键值的(一个SYSTEM32键值是 “regedit –s c:\windows”)这时要注意,REGEDIT S是主册表的一个后门参数,是用来导入注册表的并可以在C\windows目录产生VBS后最的文件来对主册表进行修复,所以这个一定要去。

注:现在流行病毒启动后留下自动修复后门,杀毒软件把它清理后,还会恢复到被修改的状态,他们是在下面的主册表项进行修复的:

Hkcusoftware\microsoft\windows\currentversinon\runonce

Hkcusoftware\microsoft\windows\currentversinon\runservices

Hkcusoftware\microsoft\windows\currentversinon\run-

病毒最喜欢在这里,所以要清理这里面的非正常键值。

文件分辨法:

首先显示所有隐藏文件

然后具选项”——“查看”——“隐藏受保护的操作系统文件(推荐)的勾去掉

病毒主要藏身于以下几个地方:C:表示系统盘

C\如果你平时都进C
而在中毒后发现C盘多了文件
那就删吧。

C\windows 内,怎样查呢?
右键排列
按修改时间,然后看他们的创建时间和修改时间来判断。

C\windows\system

上面几个可能叫你判断很难,在这里我教你一个很笨蛋的方法
就是你每天到这些文件夹内看熟悉里面到底有什么

C:\windows\system32(这方法可以根据C\WINDOWS内查找方法)

C:\ Program Files/Internet Explorer



C:\ windows/Temporary Internet Files/Temporary Internet Files

C:\ temp 还有C:/winows/temp TEMP是临时存放文件的地方)不过还有个TEMP是最重要的就是C:\Documents and Settings\用户名\Local Settings\Temp 建议把这里全删掉(安全模式)

c:/Documents and Settings/Administrator/Templates
c:/Documents and Settings/Administrator/Local Settings/Temporary Internet Files



3.  软件查杀


有很多人一直认为有杀毒软件就OK了,后续提前几年这个想法应该是正确的,而在这个木马会飞,流氓乱窜的年代,杀软已经不是最主要的了。


有人中了流氓软件居然也用杀毒软件去杀,我晕死了,在这里建议大家用360安全卫士和WINDOWS清理助手来查杀

360安全卫士:


地址到绿软下

WINDOWS清理助手


可能有人会问为什么要用两款?
因为每个软件收集的并不是一样,用这两位可以进行互补,而且本人感觉winodws清理助手比360好使,不过360有系统补丁等功能比较好。

病毒查杀:这个嘛。我们要先判断自己中的是什么?不要盲目的用杀毒软件去杀,如熊猫烧香,你用杀毒软件杀那些程序不是全杀掉了保存不了了?那你用熊猫专杀不但可以帮你杀毒,还可以保留程序。
不过熊猫烧香专杀太多,我用过很多
只发现了一款有用。可以查杀熊猫的任何变种。论坛有下就不说了。所以判断出来是蠕虫病毒,如橙色八月

有专杀的尽量用专杀。哈哈

至于杀毒软件的选取请看XUQS写的
理解杀毒软件的真正意义
全面思考杀毒软件的误报
木马查杀:这个我建议大家用国内没名气,但杀毒软件超过国内任何一款的费尔来查,当然它是收费的了,至于怎么让它免费,我们芈不准我写。。。不然被他P

要想彻底看窜病毒,我们最好学会扫描系统报告,看懂系统报告,论坛有这方面教程自己分析吧。
参与人数 1奖励 +18 时间 理由
guyou888 + 18 2007-12-18 19:44 帖子很棒,加分鼓励,期待您更多优秀帖 ...

查看全部评分

金币:
奖励:
热心:
注册时间:
2006-8-25

回复 使用道具 举报

签到天数: 42 天

发表于 2007-12-18 18:31 | 显示全部楼层
老文章~呵呵~
金币:
奖励:
热心:
注册时间:
2006-2-25

回复 使用道具 举报

签到天数: 1709 天

发表于 2007-12-18 19:45 | 显示全部楼层
谢谢老孙光临本区参与交流。
金币:
奖励:
热心:
注册时间:
2004-1-24

回复 使用道具 举报

发表于 2007-12-18 20:18 | 显示全部楼层
谢谢提供!:*19*:
金币:
奖励:
热心:
注册时间:
2007-12-15

回复 使用道具 举报

签到天数: 2200 天

无影无棕学术交流家园大盘不是我家开的市场翘望股市捉妖记金融群英会

发表于 2007-12-18 21:04 | 显示全部楼层
感谢楼主提供资料
金币:
奖励:
热心:
注册时间:
2004-9-16

回复 使用道具 举报

发表于 2007-12-19 20:58 | 显示全部楼层
谢谢提供!:*22*:
金币:
奖励:
热心:
注册时间:
2004-12-16

回复 使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

本站声明:1、本站所有广告均与MACD无关;2、MACD仅提供交流平台,网友发布信息非MACD观点与意思表达,因网友发布的信息造成任何后果,均与MACD无关。
MACD俱乐部(1997-2019)官方域名:macd.cn   MACD网校(2006-2019)官方域名:macdwx.com
值班热线[9:00—17:30]:18292674919   24小时网站应急电话:18292674919
找回密码、投诉QQ:89918815 友情链接QQ:95008905 广告商务联系QQ:17017506 电话:18292674919
增值电信业务经营许可证: 陕ICP19026207号—2  陕ICP备20004035号

举报|意见反馈|Archiver|手机版|小黑屋|MACD俱乐部 ( 陕ICP备20004035号 )

GMT+8, 2024-3-29 01:13 , Processed in 0.068238 second(s), 8 queries , Redis On.

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表