识别,杀掉进程中的病毒文件,
病毒是我们最亲近的敌人,俗话说:"人在网上飘,谁不中两刀".希望我的一些心得能给新手一些帮助.(仅代表本人看法,俺也是江湖一菜鸟也)
病毒分析:(大型病毒专业杀毒厂家都没罩,俺也只能杀些小毒).
1.病毒的感染,大部分是从你进入一些病毒网站,不小心下载或
接收了些病毒软件开始的.网页和程序语言都有专门往
注册表写入东西的命令.当你做了以上的事,注册表首先被
病毒改写.
2.病毒的潜伏期.一般在刚中之时,主要三个内容:
1.往注册表写东西,对系统各 个部件,文件进行限制或改写
操作.如.修改.EXE文件关联, 锁定注册表等等.
2.往系统中写入些文件,而为了达到隐蔽 的效果,常常病毒
文件在系统盘\WINDONS,\WINDOWS\ SYSTEM32下,而文件
名与正常的系统命令往往只有一子之 差,甚至把图标改为
系统文件的图标.
3.执行一些WINDOWS命令.如果病毒程序随便执行一个命令
都可能对系统造成重大型伤害,比如DEL,FORMAT.如果用
命令打开一些端口,启动一些服务,偷偷建立一些帐户,危
险性更大.
3.病毒发作期.
病毒在注册表中写入的破坏, 一般在电脑重启后开始全
面发作. 造成各种损坏.
二. 杀毒过程:
1.病毒要想发作,必定要先使 自己启动.
2.病毒启动后,会监视注册表,当我们发现中毒后,
最常做的就是就是杀毒,或进入注册表查看那些 RUN等
启动项中有哪些非法执行文件,强行杀掉.而那些病毒程
序往往在你刚改完它又重新往注册表里写东西.使自己
能在重启时启动,或者重新写入破坏的命令.
这就是杀完毒,或在注册表里全面禁止运行后病毒重新
发作的原因.
3.这时我们应该先关闭这些病毒程序.然后找到这些病毒
文件删除.如果没法子关闭病毒程序,往往是找到病毒文
件却无法删除.
4.这时再启动杀毒软件,或手动禁止文件再自动启动.
三.病毒防杀的方法:(只说我知道的,以后补充).
1.病毒文件常常不只一个,两个,如果只关闭这两个,它可以
通过其他病毒程序重新打开.
2.通过修改关联的方法使自己重新启动.比如修改.EXE文件
的关联为病毒程序,这样子当你关闭病毒程序后,只要你
运行任何一程序,病毒又一次打开.当然关联其他文件也
挺好.
3.比较强的病毒会把自己改为服务的名字,但我们试图杀
它们的时候,系统处于保护系统的目的,不允许关闭他们
如下图中的两个csrss.exe,一个是正常的系统文件.另一
个是病毒,但在任务管理器中你一关闭进程就提示错误,
无法关闭.
下面我把自己杀毒的经过说说,希望对大家有用.
1.必须关闭病毒进程.方法如下:任务管理器的进程表示我们目前电脑正在运行的程序。那这些程序哪些是合法的,哪些是系统必须的,不能关闭;哪些可能是病毒程序呢?下面以图简单谈谈识别的技巧。
1。用任何管理器。看图:
a. 系统文件:进程中用户名标为system,network service,local service
一般是系统进程,不可关闭,关闭会出现提示禁止关闭。
就算能关闭也可能造成系统不稳定,或一些服务无法使用。
b.合法软件:进程中用户名为用户名字的,图中的liu就是本人的用户名,
那么那些进程就不是系统进程,那是你启动的一些软件的名字
c.可能的病毒木马:如果用户名为LIU的,除去你自己打开的软件,剩下的
就可能有问题。特别是病毒喜欢把自己的名字弄的与系统文件
一样。但用户名中却一目了然。
注:很多人说到打开任务管理器没有显示打开的用户名,是因为服务被关闭。打开方法:开始菜单-控制面板-管理工具-服务,在打开的服务窗口中找到Terminal Services,启用它就可以看到用户名了。但这个命令关系远程控制的,建议还是关闭为好。
当然系统自带的任务管理器太烂,网上有很多进程软件,希望大
家推荐几个.我这里介绍PrcMgr.他能辨认大部分系统进程,只要是系统
进程,在右边的窗口中会介绍这个进程的作用.如果不是系统文件,会
用红色的字显示程序不认识.当然你也可以把自己常用的软件加进程
序的资料库,下次程序就能认出是合法进程.而那些病毒非法侵入,当然
程序不认识,我们也可以一眼判断出来.
3.上面讲得是如何查看进程。下面说说如何禁止病毒进程。
一般直接在任务管理器或进程管理软件中点击,关闭即可。
上面图1共有6个病毒进程,分别是lsas32.exe,winmgr.exe,inte.exe,
syslog.exe,csrss32.exe ,csrss.exe,剩下的以LIU为用户名的进程都是我打开的软件。
用任务管理器能杀死前5个,但CSRSS.EXE关闭时却提示
“系统重要进程,无法关闭”,如上面图2所示,就因为它与真正的系统进程CSRSS.EXE同名。可能有很多进程软件可以强制查杀,我用的是
脱壳软件PEiD的任务管理器,强制查杀。如图1:
二。修正注册表。
主要是以下方面:
1.删除病毒的自启动。
a.运行--MSCONFIG,如图2。不仅“启动”页要查,SYSTEM.INI,
WIN.INI,BOOT.INI页要逐项认真查看,特别注意LOAD=,RUN=
的值,最重要的还有服务那一页。看图中解说。
B.运行--REGEDIT,启动注册表。查找所有启动的项目。主要
有以下键值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
(以上各项,可以进注册表查找所有“RUN"项,删除右边窗口键值)
所有RUNservicesOnce键
所有RUNservices键。
查找所有RUNONCE键.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的两个
重要键值,很隐秘:
SHELL=EXPLORER.EXE(后面可以跟上其他程序,会自启动。格式:EXPLORER.EXE *.EXE
userinit=userinit.exe(格式:userinit=userinit.exe,*.exe,*.exe 可以跟很多程序,以逗号隔开)
(这两个如果值变成其他程序,或者EXEPLORER.EXE后跟其他程序。那么系统一开机病毒在任何 程序启动前就会启动,甚至可能比杀毒程序更早,危险)
LOAD键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows右边的load,一般值为空的,加上其他程序可以自启动。
所有用户的启动项:开始菜单\程序\启动
这些启动项的启动顺序
runservicesonce ------runservices---用户登陆-winlogo下的userinit和shell两个键盘--hkey_local_machine下的runonce键--LOAD键---RUNONCE\SETUP键-两个CurrentVersion\Run键-开始菜单启动
[不一定注册表中这些键都有值,大部分是空的,在全部都有的情况下
启动顺序是上面。runservicesonce ------runservices是用来注册启动系统服务的,这两个键能在用户登陆前启动,相当危险。
C.注意文件关联的键值。许多病毒进程刚关闭,没一会儿 又 会 自动出现。不要奇怪,这是病毒改写了一些文件 的 关联。如HKEY_CLASSES_ROOT\exefile\shell\open\command 的值正常为"%1" %*,如果值被改为病毒程序。那么病毒就 可以在任何程序运行时跟着又启动了。 所以大家要认真看看病毒程序在运行哪一类文件后 出现, 找找那个文件的关联,改为默认值。
关联文件的知识,改法可以参考:文件关联的破坏和修复
三。删除病毒文件。
找到可疑进程,然后查看可疑进程的位置,进入该文件夹,直接删除就可以了。注意点:
1。病毒程序常会隐藏。可以在文件夹选项中进行调节显示。如图三项要调节。还有一种即使你把三项都调了,但重新打开发现,刚才的调节没有效果,就是仍然不显示隐藏文件和文件夹。就是注册表中被改动。
方法:运行-REGEDIT,依次打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
把CheckedValue的值改为1就可以了。附录中的双击执行就可以破隐藏了。
2。病毒程序往往不只一个。他们会互相照应,杀掉一个,但其他只要还在,往往又会重新写入文件。3721等流氓软件也有这样的特点。一定要把注册表中所有的自启动项,看清楚,找到路径,删掉文件。
附录4中的软件KILLBOX可以杀死任何顽固的文件,甚至正在运行的文件,关键是要选择删除文件前关闭进程。
![SiS001! Board - [第一会所 关闭注册]](images/green001/logo.png){kind=logo}
