论文部分内容阅读
本文可以学到
1 杀软不能运行如何杀毒
2 记事本的另类用法
本文推荐阅读
今年网络病毒木马活动异常频繁,而反病毒、反黑客软件的反应速度却远没有这些木马出现的速度快,通常情况下都是木马已经悄悄地出现许久,安全厂商才会有反应,如果在这段时间你中了木马又该怎样清除呢?如果自己懂得手工查杀木马的方法,就可以应付自如了。
之前CFan一直在为大家提供各种手工查杀病毒的方法和案例,今天为大家提炼一下。
手工查杀病毒木马的重点案例
★2006年上半年手工杀毒完全版:2006年第16期和第17期《将病毒赶尽杀绝!手工肃清2006年上半年十大病毒(上)(下)》。
★铲除恶霸AV终结者:请看2007年15期《以彼之道还施彼身——终结AV终结者》
对付毒瘤熊猫烧香:请看2007年第4期《不用烧香拜佛 自己动手消灭“熊猫烧香”》、2007年第8期《手刃熊猫烧香不留情》。
★搞定全部Autorun.inf类病毒:2006年第23期《解救U盘 Autorun.inf危情》、2007年第7期《妙用Autorun.inf 让“闪存盘”远离自动运行》
★2007年第5期特别话题《一本人人都能看懂的杀毒杂志》你能学到很多针对流行病毒的手工杀法。
独特的手工查杀法
★组策略杀毒:2007年第10期《杀软无奈时 组策略便是最强的“杀毒软件”》
★利用Windows用户权限杀毒:2007年第1期《从源头入手 另类绝招让你无惧病毒》
★2007年第7期《以身试毒 打造自己的病毒实验室研究病毒》我们可以了解到木马潜入系统的全过程以及反过来就可以轻易将它们请出去的方法。
★2007年第15期上《按图索骥查杀顽固病毒》一文为大家设计了一套手工清除病毒木马的通用流程,用图解方式解说,大家很容易理解。
★2006年第15期《用IceSword的火眼金睛识别隐秘木马》大家可以学到IceSword杀木马的基本用法。
面对病毒,在杀毒软件都束手无策的情况下,除了绝望我们还能怎样?不如抄起记事本跟它拼了。不过别误会,这个记事本不是你桌案上那个皮质封面的,而是Windows里再熟悉不过的记事本程序了。而且,用它杀毒的效果居然奇佳呢,试试吧!
实例1:使用记事本替换双进程木马杀毒
现在,越来越多的木马采用双进程守护技术保护自己,就是两个拥有同样功能的代码程序,不断地检测对方是否已经被别人终止,如果发现对方已经被终止了,那么又开始创建对方,这给我们的查杀带来很大的困难。不过,此类木马也有“软肋”,它只通过进程列表进程名称来判断被守护进程是否存在。这样,我们只要用记事本程序来替代木马进程,就可以达到“欺骗”守护进程的目的。
下面以查杀“Falling Star”变种木马为例。中招该木马后,木马的“internet.exe”和“systemtray.exe”两个进程会互相监视。当然,我们中招的时候大多不知道木马具体的监护进程。不过,通过进程名称可以知道,“systemtray.exe”是异常的进程,因为系统正常进程中没有该进程。下面使用替换方法来查杀该木马。
第一步:单击“开始→运行”,输入“Msinfo32”打开系统信息窗口,展开“系统摘要→软件环境→正在运行任务”,这里可以看到“systemtray.exe”路径在“C:\Windows\System32”下(见图1)。
图1
第二步:打开“C:\Windows\System32”,复制记事本程序“notepad.exe”到“D:\” ,同时重命名为“systemtray.exe”。
第三步:打开记事本程序,输入下列代码,保存为“shadu.bat”,放置在桌面(括号为注释,无须输入):
Taskkill /im systemtray.exe /f (使用taskkill命令强行终止“systemtray.exe”进程)
Delete C:\Windows\System32\systemtray.exe (删除病毒文件)
Copy d:\systemtray.exe C:\Windows\System32\(替换病毒文件)
第四步:现在只要在桌面运行“shadu.bat”,系统会将“systemtray.exe”进程终止并删除,同时把改名的记事本程序复制到系统目录。这样,守护进程会“误以为”被守护进程还存在,它会立刻启动一个记事本程序。
第五步:接下来我们只要找出监视进程并删除即可,在命令提示符输入“taskkill /im systemtray.exe /t”,将守护进程再生的“systemtray.exe”终止,可以看到“systemtray.exe”进程是由“PID 1228的进程”创建的,打开任务管理器可以看到“PID 1228的进程”为“internet.exe”,这就是再生进程的“元凶”(见图2)。
第六步:按照第一步方式,打开系统信息窗口可以看到“internet.exe”也位于系统目录,终止“internet.exe”进程并进入系统目录把上述两个文件删除即可。
图2
实例2:用记事本程序“打开”病毒,使病毒失效并删除它
大家知道,文件都是由编码组成的,记事本程序理论上可以打开任意文件(只不过有些会显示为乱码)。我们可以将病毒打开方式关联到记事本,使之启动后变成由记事本打开,失去作恶的功能。比如,一些顽固病毒常常会在注册表的“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”等启动位置生成难以删除的键值,达到恶意启动的目的。下面使用记事本来“废”掉病毒的生命力。
第一步:启动命令提示符,输入“ftype exefile=notepad.exe %1”,把所有EXE程序打开方式关联到记事本程序,重启系统后我们会发现桌面自动启动好几个程序,这里包括系统正常的程序如输入法、音量调整程序等,当然也包括恶意启动的流氓程序,不过现在都被记事本打开了。
第二步:根据记事本窗口标题找到病毒程序,比如上例的systemtray.exe程序,找到这个记事本窗口后,单击“文件→另存为”,我们就可以看到病毒具体路径在“C:\Windows\System32”下。现在关掉记事本窗口,按上述路径提示进入系统目录删除病毒即可(见图3)。
图3
第三步:删除病毒后就可以删除病毒启动键值了,接着重启电脑,按住F8,然后在安全模式菜单选择“带命令提示的安全模式”,进入系统后会自动打开命令提示符。输入“ftype exefile="%1"%*”恢复exe文件打开方式即可。
怎么样?看似平常的记事本还有如此强大的杀毒功效呢,大家在碰到这些顽固病毒的时候不妨试一试使用记事本来杀毒。 [YY23]
小知识
更改exe文件打开方式后,在安全模式下为什么还可以运行命令提示符?这是因为“带命令行的安全模式”加载cmd.exe比加载文件关联方式键值更早,在更改exefile关联方式前就运行cmd.exe了。因此,对于那些以服务形式加载的病毒,上面方法就失效了(因为服务加载更早)。
小提示
一些木马为了保护自己,感染电脑后会把系统内的EXE、COM、SCR、BAT等可以执行的文件类型都屏蔽,即更改这些文件的打开方式关联到病毒,使我们下载专杀工具也无法杀毒。对于这种病毒,网上介绍的将“regedit.exe”改名为“regedit.com”修改注册表方法也无效。此时,可以使用上面方法通过记事本窗口找到关联的病毒程序并删除,接着进入安全模式启动命令提示符,依次输入“ftype exefile="%1"%*”、“ftype comefile="%1"%*”、“ftype batfile="%1"%*”恢复原来打开方式即可。
1 杀软不能运行如何杀毒
2 记事本的另类用法
本文推荐阅读
今年网络病毒木马活动异常频繁,而反病毒、反黑客软件的反应速度却远没有这些木马出现的速度快,通常情况下都是木马已经悄悄地出现许久,安全厂商才会有反应,如果在这段时间你中了木马又该怎样清除呢?如果自己懂得手工查杀木马的方法,就可以应付自如了。
之前CFan一直在为大家提供各种手工查杀病毒的方法和案例,今天为大家提炼一下。
手工查杀病毒木马的重点案例
★2006年上半年手工杀毒完全版:2006年第16期和第17期《将病毒赶尽杀绝!手工肃清2006年上半年十大病毒(上)(下)》。
★铲除恶霸AV终结者:请看2007年15期《以彼之道还施彼身——终结AV终结者》
对付毒瘤熊猫烧香:请看2007年第4期《不用烧香拜佛 自己动手消灭“熊猫烧香”》、2007年第8期《手刃熊猫烧香不留情》。
★搞定全部Autorun.inf类病毒:2006年第23期《解救U盘 Autorun.inf危情》、2007年第7期《妙用Autorun.inf 让“闪存盘”远离自动运行》
★2007年第5期特别话题《一本人人都能看懂的杀毒杂志》你能学到很多针对流行病毒的手工杀法。
独特的手工查杀法
★组策略杀毒:2007年第10期《杀软无奈时 组策略便是最强的“杀毒软件”》
★利用Windows用户权限杀毒:2007年第1期《从源头入手 另类绝招让你无惧病毒》
★2007年第7期《以身试毒 打造自己的病毒实验室研究病毒》我们可以了解到木马潜入系统的全过程以及反过来就可以轻易将它们请出去的方法。
★2007年第15期上《按图索骥查杀顽固病毒》一文为大家设计了一套手工清除病毒木马的通用流程,用图解方式解说,大家很容易理解。
★2006年第15期《用IceSword的火眼金睛识别隐秘木马》大家可以学到IceSword杀木马的基本用法。
面对病毒,在杀毒软件都束手无策的情况下,除了绝望我们还能怎样?不如抄起记事本跟它拼了。不过别误会,这个记事本不是你桌案上那个皮质封面的,而是Windows里再熟悉不过的记事本程序了。而且,用它杀毒的效果居然奇佳呢,试试吧!
实例1:使用记事本替换双进程木马杀毒
现在,越来越多的木马采用双进程守护技术保护自己,就是两个拥有同样功能的代码程序,不断地检测对方是否已经被别人终止,如果发现对方已经被终止了,那么又开始创建对方,这给我们的查杀带来很大的困难。不过,此类木马也有“软肋”,它只通过进程列表进程名称来判断被守护进程是否存在。这样,我们只要用记事本程序来替代木马进程,就可以达到“欺骗”守护进程的目的。
下面以查杀“Falling Star”变种木马为例。中招该木马后,木马的“internet.exe”和“systemtray.exe”两个进程会互相监视。当然,我们中招的时候大多不知道木马具体的监护进程。不过,通过进程名称可以知道,“systemtray.exe”是异常的进程,因为系统正常进程中没有该进程。下面使用替换方法来查杀该木马。
第一步:单击“开始→运行”,输入“Msinfo32”打开系统信息窗口,展开“系统摘要→软件环境→正在运行任务”,这里可以看到“systemtray.exe”路径在“C:\Windows\System32”下(见图1)。
图1
第二步:打开“C:\Windows\System32”,复制记事本程序“notepad.exe”到“D:\” ,同时重命名为“systemtray.exe”。
第三步:打开记事本程序,输入下列代码,保存为“shadu.bat”,放置在桌面(括号为注释,无须输入):
Taskkill /im systemtray.exe /f (使用taskkill命令强行终止“systemtray.exe”进程)
Delete C:\Windows\System32\systemtray.exe (删除病毒文件)
Copy d:\systemtray.exe C:\Windows\System32\(替换病毒文件)
第四步:现在只要在桌面运行“shadu.bat”,系统会将“systemtray.exe”进程终止并删除,同时把改名的记事本程序复制到系统目录。这样,守护进程会“误以为”被守护进程还存在,它会立刻启动一个记事本程序。
第五步:接下来我们只要找出监视进程并删除即可,在命令提示符输入“taskkill /im systemtray.exe /t”,将守护进程再生的“systemtray.exe”终止,可以看到“systemtray.exe”进程是由“PID 1228的进程”创建的,打开任务管理器可以看到“PID 1228的进程”为“internet.exe”,这就是再生进程的“元凶”(见图2)。
第六步:按照第一步方式,打开系统信息窗口可以看到“internet.exe”也位于系统目录,终止“internet.exe”进程并进入系统目录把上述两个文件删除即可。
图2
实例2:用记事本程序“打开”病毒,使病毒失效并删除它
大家知道,文件都是由编码组成的,记事本程序理论上可以打开任意文件(只不过有些会显示为乱码)。我们可以将病毒打开方式关联到记事本,使之启动后变成由记事本打开,失去作恶的功能。比如,一些顽固病毒常常会在注册表的“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”等启动位置生成难以删除的键值,达到恶意启动的目的。下面使用记事本来“废”掉病毒的生命力。
第一步:启动命令提示符,输入“ftype exefile=notepad.exe %1”,把所有EXE程序打开方式关联到记事本程序,重启系统后我们会发现桌面自动启动好几个程序,这里包括系统正常的程序如输入法、音量调整程序等,当然也包括恶意启动的流氓程序,不过现在都被记事本打开了。
第二步:根据记事本窗口标题找到病毒程序,比如上例的systemtray.exe程序,找到这个记事本窗口后,单击“文件→另存为”,我们就可以看到病毒具体路径在“C:\Windows\System32”下。现在关掉记事本窗口,按上述路径提示进入系统目录删除病毒即可(见图3)。
图3
第三步:删除病毒后就可以删除病毒启动键值了,接着重启电脑,按住F8,然后在安全模式菜单选择“带命令提示的安全模式”,进入系统后会自动打开命令提示符。输入“ftype exefile="%1"%*”恢复exe文件打开方式即可。
怎么样?看似平常的记事本还有如此强大的杀毒功效呢,大家在碰到这些顽固病毒的时候不妨试一试使用记事本来杀毒。 [YY23]
小知识
更改exe文件打开方式后,在安全模式下为什么还可以运行命令提示符?这是因为“带命令行的安全模式”加载cmd.exe比加载文件关联方式键值更早,在更改exefile关联方式前就运行cmd.exe了。因此,对于那些以服务形式加载的病毒,上面方法就失效了(因为服务加载更早)。
小提示
一些木马为了保护自己,感染电脑后会把系统内的EXE、COM、SCR、BAT等可以执行的文件类型都屏蔽,即更改这些文件的打开方式关联到病毒,使我们下载专杀工具也无法杀毒。对于这种病毒,网上介绍的将“regedit.exe”改名为“regedit.com”修改注册表方法也无效。此时,可以使用上面方法通过记事本窗口找到关联的病毒程序并删除,接着进入安全模式启动命令提示符,依次输入“ftype exefile="%1"%*”、“ftype comefile="%1"%*”、“ftype batfile="%1"%*”恢复原来打开方式即可。