【文本版|topic】 标题 全文 高级搜索    名人堂 帮助 论坛制度 意见反馈 | 首页 博客 周新贴 专题 求职 读书

	社区导航: 专家门诊   门诊点播 申请专家 意见建议 嘉宾访谈 网络技术   网络管理  >>VPN管理  >>网络流量管理  >>网络设备管理  >>网络解决方案 网管软件 网络工程  >>综合布线  >>系统集成 思科技术 华为技术 网络安全  >>病毒木马  >>流氓软件  >>ISA 存储备份 服务器硬件 操作系统   Windows Linux & Advanced Application Unix & BSD & Solaris 数据库   微软SQL Server专区  >>SQL Server 2008  >>SQL Server数据库管理  >>SQL Server数据库开发  >>微软商务智能 Oracle 10g / 9i MySQL & PostgreSQL & Sybase DB2 程序设计   C/C++ .Net Java Php Web PowerBuilder 系统应用   Web及应用服务器 Mail服务器  >>Exchange 其他常用服务器软件 考试认证   软考论坛  >>网络管理员  >>网络工程师 主流IT厂商认证 ITAA实验室 CIO及信息化   管理软件 信息化咨询 站长交流   建站经验交流 网站运营推广 网页设计美化 IDC技术交流 综合交流   PC应用  >>软件应用  >>硬件应用 英语天地 新闻评论 职场人生 生活日记 体坛奥运 开心灌水 士兵突击 吃喝玩乐 下载基地  技术文档 工具软件 课件试题 方案案例 源代码 影视天地 原创视频 技术白皮书  >>存储管理  >>Cisco  >>Linux  >>Solaris  >>Oracle  >>更多... 51CTO产品服务 活动专区 产品与服务  >>IT技术自测  >>技术黄皮书  >>微软MVP专区  >>商务竞拍  >>特色功能介绍  >>论坛小技巧 站务交流  >>论坛公告  >>斑竹申请  >>意见建议  >>市场合作 斑竹茶馆 【设为首页 | 收藏本站】

51CTO技术论坛» 网络安全 » 病毒木马 » 病毒的手工清除方法       [ 打印]  [ 订阅]  [ 收藏]  [ 推荐给朋友]   [ 本帖文本页]

论坛跳转: →IT综合区←  > 技能交换  > 项目外包  > 产品采购  > 求职招聘 →专家门诊←  > 专家门诊      > 嘉宾访谈  > 原创网络技术视频      > 视频讨论专区  > 微软SQL Server专区 → 网络技术←  > 网络管理      > VPN管理      > 网络流量管理      > 网络设备管理      > 网络解决方案  > 网管软件  > 网络工程      > 综合布线      > 系统集成  > 思科技术  > 华为技术  > 锐捷技术  > 网络安全      > 赛门铁克      > 病毒木马      > 流氓软件      > ISA  > 存储备份  > 服务器硬件 →操作系统←  > Windows  > Linux & Advanced Application  > Solaris & BSD & Unix → 数据库←  > 微软SQL Server专区      > SQL Server 2008      > SQL Server数据库管理      > SQL Server应用开发      > 微软商务智能  > Oracle 10g / 9i  > MySQL & PostgreSQL & Sybase  > DB2 →程序设计←  > C/C++  > .Net  > Java  > Php  > Web开发  > PowerBuilder →系统应用←  > Web及应用服务器  > Mail服务器      > Exchange  > 其他常用服务器软件 →考试认证←  > 软考论坛      > 网络管理员      > 网络工程师  > 北大青鸟  > 主流IT厂商认证 →CIO与信息化←  > 管理软件  > 信息化咨询 →站长交流←  > 建站经验交流  > 网站运营推广  > 网页设计美化  > IDC技术交流 →娱乐休闲←  > PC 应用      > 软件应用      > 硬件维护  > 英语天地  > 新闻评论  > 职场人生  > 体坛奥运  > 升级版生活日记  > 贴图灌水beta版  > 51cto版士兵突击  > 吃喝玩乐FB生活 →下载基地←  > 技术文档  > 工具软件  > 课件试题  > 方案案例  > 源代码  > 影视天地  > 技术白皮书      > Cisco      > Windows      > Linux      > Unix      > Solaris      > BSD      > Oracle      > My SQL      > MS SQL      > MPLS      > Sybex      > Programe      > WEB      > 存储硬件      > 存储管理      > 存储概念 →51CTO产品与服务←  > 活动专区  > 产品与服务      > IT技术自测      > 技术黄皮书      > Most Valuable Professional      > 商务竞拍      > 特色功能介绍      > 论坛小技巧  > 站务交流      > 论坛公告      > 斑竹申请      > 意见建议      > 市场合作 →信息发布←  > 信息发布

标题: [原创] 病毒的手工清除方法  ( 查看:447  回复:3 )    全文标题 本版搜索全坛搜索
xingyi 技术员            帖子 273 精华 0 无忧币 1250 积分 581 阅读权限 30 来自 (保密) 注册日期 2006-5-31 最后登录 2008-9-19 离线 [查看资料]  [发短消息]  [Blog]	发表于:2008-3-3 11:18　 　标题：病毒的手工清除方法 ＜上一帖 | 下一帖＞ 从去年十一月份开始，木马等是疯狂暴发，我根据这段时间的清除心得，写了这份文档，希望能给大家有所启示。 病毒的手工清除方法       这段时间来，木马以及各种恶意插件不断涌现，而且更新速度与其防杀技术愈来愈厉害，导致现在清除也是愈来愈困难，而一个防毒软件不可能能防杀所有病毒，这就要求我们在遇到不能通过防毒软件来清除的时候，就只能求助于自己，那么我们就必须知道怎么去手工清除病毒。       现在一般的病毒都是通过网络、存储介质等方法来传播的，特别是现在很多网页上挂了木马下载器之类的木马，感染之后会自动到某些网络地址上去下载各种木马。这就要求我们一定要安装防毒软件，并保持其病毒特征码为最新，安装操作系统的补丁（例如开启系统的“自动更新”、使用360安全卫士软件的系统补丁安装等方法）、设置用户强密码等方法来加强系统的防护能力。       当前阶段的木马的注入方法很多都是注册到服务、注册到驱动、替换系统文件、插入到正常文件中、添加到注册表项、加载到系统进程、利用盘符根目录的自动运行等方法来进行病毒文件的防护。例如，注册到驱动并设置为开机启动，并且加载到系统进程监视病毒文件是否被清除，当病毒文件被清除后，在很短的时间内又会重新生成病毒文件。       针对以上，我们可以采取以下的措施： 1、          更新防毒软件，将其病毒特征码升级到最新，然后全盘杀毒； 2、          如果使用防病毒软件清除病毒重启进入系统后，又出现病毒文件，则在网上查找对应的专杀工具或清除方法，可能会有惊喜的发现，如未有对应的方法，则手工进行查杀； 3、          使用第三方工具软件进行清除：例如，360安全卫士---补丁的下载安装、木马的清除、IE的修复等；SRENG---可以修复被恶意软件锁定的系统功能、修复文件关联、注册表自动修复、清除WIN32服务应用程序及驱动程序中的病毒注册项等；冰刃---强行删除受保护的文件、强行删除受保护的注册表项等。 根据具体的情况操作步骤可分为以下几个方面进行： 一、  防病毒软件及第三方工具软件可以运行： 1、          升级防病毒软件及第三方软件（如360安全卫士等）后，进行病毒的查杀，绝大部分病毒都能通过这种方式进行清除； 2、          还有一小部分的病毒很多都是进行多方面的保护，所以，使用杀毒软件清除后也可能还会出现，那么，我们就必须清除掉那些保护的措施： ※进入安全模式下，使用防病毒软件、第三方软件（如360安全卫士、SRENG、冰刃等）进行杀毒与系统启动项更改、 以及WIN32服务应用程序、驱动程序的更改（有一部分病毒会注册这两类服务，注意其中有一个SECDRV及TCP的服务不能删，否则系统启动不了或网络故障） ※   删除 TEMP及Temporary Internet Files下的文件、Content.IE5下的文件夹。 ※   设置 显示所有文件后，再查找删除%WINDIR%、%WINDIR%\SYTEM32、%WINDIR%\FONTS、%WINDIR%\SYSTEM32、DRIVERS等目录以及各根目录下的病毒文件及垃圾文件。 设置 显示公司名称，然后查找那些无公司名称的EXE、SYS、DLL类型的文件，如果不能确定是否是病毒文件的，可以在网络上去搜索下是什么文件；一般的病毒文件取名都是那种随机的文件名（例如：a.exe、1.exe之类），删除这些文件，如果不能清除的话，可以使用冰刃进行强行删除。 ※在注册表中搜索病毒文件的键值，然后删除，一般情况下会出现在 、 项下及 下的一些项下，但是要注意：如果误删除了 项下的一些项的话，可能会引起系统故障，所以要特别注意。 二、  防病毒软件及第三方工具软件不可以运行： 这种情况是因为病毒劫持了系统进程，KILL掉了流行的防毒软件及第三方安全软件的原因。 1、          在网络上搜索此类病毒的解决方法，如有，则可按照方法进行清除； 2、          如网络上未有解决方法，则可按照下面的方法来操作： ※   进入安全模式，显示所有文件，查找到病毒文件后删除，如果不能删除的，使用“冰刃”等软件进行强行删除（有些注册表项也会被锁定，使用“冰刃”也可强行删除）； ※如果第三方软件不能启动，可将执行文件更改为一随意文件名后，再执行，一般情况下都可以运行；  有些时候在更改软件名后还是会出现不能执行的情况，一般都是系统重要进程文件被替换，可以在正常系统中拷贝正常文件覆盖、删除病毒文件后，则在重启进入安全模式后一般都可以执行安全软件。 ※   接下来的操作则可以按照“防病毒软件及第三方工具软件可以运行”中的步骤进行。 例如：感染了userinit.exe病毒，会出现常用防毒软件及第三方安全软件无法启动、系统字符出现错误等，则我们可以启动到安全模式下，用正常的userinit.exe文件覆盖此病毒文件，并删除找到的病毒文件（如%WINDIR%、%WINDIR%\SYTEM32、%WINDIR%\FONTS、%WINDIR%\SYSTEM32、DRIVERS等目录以及各根目录下的病毒文件及垃圾文件），重启电脑后再进入安全模式下，则可以使用防病毒软件及第三方软件查杀病毒。       随着技术的不断发展，病毒的攻与防会不断的交锋下去，“道高一尺，魔高一丈”，而防病毒软件不可能能防杀所有的病毒，所以就要求我们工作在第一线的安全工程师要不断学习各种新的防杀技术来充实自己，并且在无法找到助力的时候，多方位去思考，不要固定于某一思维方式，多总结经验，学习别人的经验，才能在病毒的防治中不断的超越自己，打好每一仗。 （以上只是我在病毒的防治过程中总结的一些经验，大家可能会有更好的方法，望能与我交流，谢谢！）                                                                    加安：李政（King）                                                                               2008-1-16 附件(查看下载说明): [病毒的手工清除] 病毒的手工清除方法-King.doc (2008-3-3 11:18,大小:477 K) 该附件被下载 8 次     您下载该主题帖内所有附件同时将被扣掉2点无忧币　 查看分数政策说明 论坛活动：测测你对IT技术大会的了解指数(赠微软礼品、无忧币)
2008-3-3 11:18 1楼	[ 顶部 ]
xingyi 技术员            帖子 273 精华 0 无忧币 1250 积分 581 阅读权限 30 来自 (保密) 注册日期 2006-5-31 最后登录 2008-9-19 离线 [查看资料]  [发短消息]  [Blog]	发表于:2008-3-3 11:24　 我写的原文中有贴图，但贴不上去，所以文档也传了上来~！ 论坛活动：测测你对IT技术大会的了解指数(赠微软礼品、无忧币)
2008-3-3 11:24 2楼	[ 顶部 ]
aan5016 新新人类  帖子 17 精华 0 无忧币 39 积分 29 阅读权限 20 注册日期 2008-2-25 最后登录 2008-3-21 离线 [查看资料]  [发短消息]  [Blog]	发表于:2008-3-4 08:08　 DDDDDDDDD 论坛活动：测测你对IT技术大会的了解指数(赠微软礼品、无忧币)
2008-3-4 08:08 3楼	[ 顶部 ]
lantian001 新新人类  帖子 42 精华 0 无忧币 28 积分 42 阅读权限 20 注册日期 2008-3-1 最后登录 2008-5-10 离线 [查看资料]  [发短消息]  [Blog]	发表于:2008-3-6 14:15　 顶！！！！！！！！！！！！！！！！！ 论坛活动：测测你对IT技术大会的了解指数(赠微软礼品、无忧币)
2008-3-6 14:15 4楼	[ 顶部 ]

论坛跳转: →IT综合区←  > 技能交换  > 项目外包  > 产品采购  > 求职招聘 →专家门诊←  > 专家门诊      > 嘉宾访谈  > 原创网络技术视频      > 视频讨论专区  > 微软SQL Server专区 → 网络技术←  > 网络管理      > VPN管理      > 网络流量管理      > 网络设备管理      > 网络解决方案  > 网管软件  > 网络工程      > 综合布线      > 系统集成  > 思科技术  > 华为技术  > 锐捷技术  > 网络安全      > 赛门铁克      > 病毒木马      > 流氓软件      > ISA  > 存储备份  > 服务器硬件 →操作系统←  > Windows  > Linux & Advanced Application  > Solaris & BSD & Unix → 数据库←  > 微软SQL Server专区      > SQL Server 2008      > SQL Server数据库管理      > SQL Server应用开发      > 微软商务智能  > Oracle 10g / 9i  > MySQL & PostgreSQL & Sybase  > DB2 →程序设计←  > C/C++  > .Net  > Java  > Php  > Web开发  > PowerBuilder →系统应用←  > Web及应用服务器  > Mail服务器      > Exchange  > 其他常用服务器软件 →考试认证←  > 软考论坛      > 网络管理员      > 网络工程师  > 北大青鸟  > 主流IT厂商认证 →CIO与信息化←  > 管理软件  > 信息化咨询 →站长交流←  > 建站经验交流  > 网站运营推广  > 网页设计美化  > IDC技术交流 →娱乐休闲←  > PC 应用      > 软件应用      > 硬件维护  > 英语天地  > 新闻评论  > 职场人生  > 体坛奥运  > 升级版生活日记  > 贴图灌水beta版  > 51cto版士兵突击  > 吃喝玩乐FB生活 →下载基地←  > 技术文档  > 工具软件  > 课件试题  > 方案案例  > 源代码  > 影视天地  > 技术白皮书      > Cisco      > Windows      > Linux      > Unix      > Solaris      > BSD      > Oracle      > My SQL      > MS SQL      > MPLS      > Sybex      > Programe      > WEB      > 存储硬件      > 存储管理      > 存储概念 →51CTO产品与服务←  > 活动专区  > 产品与服务      > IT技术自测      > 技术黄皮书      > Most Valuable Professional      > 商务竞拍      > 特色功能介绍      > 论坛小技巧  > 站务交流      > 论坛公告      > 斑竹申请      > 意见建议      > 市场合作 →信息发布←  > 信息发布

| | |

---

| | |

---

| | |

---

标记已读 · 删除论坛Cookies · 文本版 · WAP

 

| 诚征版主 | 版主堂 | 意见建议 | 大史记 | 论坛地图

Copyright©2005-2008 51CTO.COM  Powered by Discuz!

本论坛言论纯属发布者个人意见，不代表51CTO网站立场！如有疑义，请与管理员联系。

京ICP备05051492号