我的机器从不装杀毒软件,杀毒软件对我其实没什么作用,影响系统速度,查一次硬盘耗时数小时,又杀不了新出的病毒,有时杀的系统不干不净,所以有问题都是google一下,然后自己动手清除,平时用Processor Explorer和Autoruns例行检查预防,备忘总结如下:
病毒分析:
Explorer Browser Helper Objects型病毒
出现迹象:Autoruns报告出现在HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects标签下的项目.
编程技术:使用Windows Browser Helper Objects技术,为DLL形式,随Explorer和Internet Explorer启动而发作,表象是随开机进入桌面而启动.
删除手法:使用Process Explorer杀掉Explorer.exe和所有Internet Explorer进程,使用Explorer.exe的Run,浏览文件功能找到并删除相关DLL文件,再使用Autoruns删除注册表项.
一般项目:标签下只该有google的产品,其他一律删除.
病毒举例:易趣,3721, System32\googlebar.dll(冒充)
Internet Explorer Toolbar型病毒
出现迹象:Autoruns报告出现在HKLM\Software\Microsoft\Internet Explorer\Toolbar标签下的项目.
编程技术:使用Internet Explorer Toolbar Extension技术,为DLL形式,随Internet Explorer启动而发作,表象是打开IE浏览器而启动.
删除手法:使用Process Explorer杀掉Explorer.exe和所有Internet Explorer进程,使用Explorer.exe的Run,浏览功能删除文件,使用Autoruns删除注册表项.
一般项目:标签下只该有google的产品,其他一律删除.
病毒举例:雅虎助手等
CurrentControlSet Services型病毒
出现迹象:Autoruns报告出现在HKLM\System\CurrentControlSet\Services标签下的项目.
编程技术:Exe形式,注册为Service.
删除手法:使用Process Explorer杀掉该进程,删除该Exe文件,用Autoruns删除注册表项.
一般项目:微软自身的产品
病毒举例:
CurrentControlSet Drivers型病毒
出现迹象:Autoruns报告出现在HKLM\System\CurrentControlSet\Services标签下的项目.
编程技术:sys形式,注册为系统驱动程序,随系统启动.
删除手法:确定是病毒文件后,用IceSword强行删除文件和注册表项.
一般项目:微软自身的产品
病毒举例:Adware.Roogoo, sysmgr的NWUPSPX.SYS,iebar的fsprot.sys和moprot.sys
Windows CurrentVersion Run型病毒
出现迹象:Autoruns报告出现在HKCU\Software\Microsoft\Windows\CurrentVersion\Run标签下的项目.
编程技术:Exe形式,注册为Run下自动启动.
删除手法:使用Process Explorer杀掉该进程,删除该Exe文件,用Autoruns删除注册表项.
一般项目:
Winsock Providers型病毒
出现迹象:Autoruns报告出现在Winsock Providers标签下的项目.
编程技术:Dll形式,技术上要比IE BHO插件木马之类的高,删除后会导致TCP/IP协议栈损毁,导致上网失败,无法查找杀毒资料.
删除手法:进入Windows安全模式,使用Autoruns删除注册表项,如果出现删除失败提示,使用RegEdit设置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters的权限->高级->所有者为Administrators,然后再删,然后再用软件WinsockXPFix恢复Winsock协议栈后解决.
病毒举例:xboxcenter.dll,quartz32.dll
非一般启动手法:
1.使用Windows任务计划程序调度启动,位于Autoruns Task Scheduler栏下,例子:iebb.exe
禽兽之变诈几何哉,只增笑尔?
References:
http://360safe.com/