平民程序 - linghuye's blog

天下风云出我辈,一入江湖岁月催。皇图霸业谈笑中,不胜人生一场醉。提剑跨骑挥鬼雨,白骨如山鸟惊飞。尘事如潮人如水,只笑江湖几人回。

随笔 - 221, 文章 - 0, 评论 - 680, 引用 - 0
数据加载中……

木马病毒处理备忘

我的机器从不装杀毒软件,杀毒软件对我其实没什么作用,影响系统速度,查一次硬盘耗时数小时,又杀不了新出的病毒,有时杀的系统不干不净,所以有问题都是google一下,然后自己动手清除,平时用Processor Explorer和Autoruns例行检查预防,备忘总结如下:

病毒分析:

Explorer Browser Helper Objects型病毒
出现迹象:Autoruns报告出现在HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects标签下的项目.
编程技术:使用Windows Browser Helper Objects技术,为DLL形式,随Explorer和Internet Explorer启动而发作,表象是随开机进入桌面而启动.
删除手法:使用Process Explorer杀掉Explorer.exe和所有Internet Explorer进程,使用Explorer.exe的Run,浏览文件功能找到并删除相关DLL文件,再使用Autoruns删除注册表项.
一般项目:标签下只该有google的产品,其他一律删除.
病毒举例:易趣,3721, System32\googlebar.dll(冒充)

Internet Explorer Toolbar型病毒
出现迹象:Autoruns报告出现在HKLM\Software\Microsoft\Internet Explorer\Toolbar标签下的项目.
编程技术:使用Internet Explorer Toolbar Extension技术,为DLL形式,随Internet Explorer启动而发作,表象是打开IE浏览器而启动.
删除手法:使用Process Explorer杀掉Explorer.exe和所有Internet Explorer进程,使用Explorer.exe的Run,浏览功能删除文件,使用Autoruns删除注册表项.
一般项目:标签下只该有google的产品,其他一律删除.
病毒举例:雅虎助手等

CurrentControlSet Services型病毒
出现迹象:Autoruns报告出现在HKLM\System\CurrentControlSet\Services标签下的项目.
编程技术:Exe形式,注册为Service.
删除手法:使用Process Explorer杀掉该进程,删除该Exe文件,用Autoruns删除注册表项.
一般项目:微软自身的产品
病毒举例:

CurrentControlSet Drivers型病毒 
出现迹象:Autoruns报告出现在HKLM\System\CurrentControlSet\Services标签下的项目.
编程技术:sys形式,注册为系统驱动程序,随系统启动.
删除手法:确定是病毒文件后,用IceSword强行删除文件和注册表项.
一般项目:微软自身的产品
病毒举例:Adware.Roogoo, sysmgr的NWUPSPX.SYS,iebar的fsprot.sys和moprot.sys

Windows CurrentVersion Run型病毒   
出现迹象:Autoruns报告出现在HKCU\Software\Microsoft\Windows\CurrentVersion\Run标签下的项目.
编程技术:Exe形式,注册为Run下自动启动.
删除手法:使用Process Explorer杀掉该进程,删除该Exe文件,用Autoruns删除注册表项.
一般项目:

Winsock Providers型病毒
出现迹象:Autoruns报告出现在Winsock Providers标签下的项目.
编程技术:Dll形式,技术上要比IE BHO插件木马之类的高,删除后会导致TCP/IP协议栈损毁,导致上网失败,无法查找杀毒资料.
删除手法:进入Windows安全模式,使用Autoruns删除注册表项,如果出现删除失败提示,使用RegEdit设置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters的权限->高级->所有者为Administrators,然后再删,然后再用软件WinsockXPFix恢复Winsock协议栈后解决.
病毒举例:xboxcenter.dll,quartz32.dll

非一般启动手法:
1.使用Windows任务计划程序调度启动,位于Autoruns Task Scheduler栏下,例子:iebb.exe


禽兽之变诈几何哉,只增笑尔?

References:
http://360safe.com/

posted on 2006-08-12 21:07 linghuye 阅读(2030) 评论(7)  编辑 收藏 引用 所属分类: 编程札记目前研究项恶意软件破解研究

评论

# re: 木马病毒处理备忘  回复  更多评论   

程序员要低调.该文太过炫耀了-_-
2006-08-30 15:43 | suggestion

# re: 木马病毒处理备忘  回复  更多评论   

然也
2006-09-01 23:14 | 平民程序

# re: 木马病毒处理备忘  回复  更多评论   

作游戏软件的吧
2006-10-19 10:43 | 坏男孩

# re: 木马病毒处理备忘  回复  更多评论   

呵呵~~大牛~木马已经悄悄盗走你的密码~
2007-01-08 11:04 | dds

# re: 木马病毒处理备忘  回复  更多评论   

呵呵~~大牛~木马已经悄悄盗走你的密码~
2007-01-08 11:04 | dds

# re: 木马病毒处理备忘  回复  更多评论   

不装杀毒软件的最大问题不是担心杀不了毒,而是不知道何时中毒,等知道时密码早就被盗了吧,呵呵
2007-01-10 00:30 | test

# re: 木马病毒处理备忘  回复  更多评论   

@test
同意啊,比如现在很多网页里面都带毒,稍不留意就中招了。
这个时候还是需要杀毒软件的,它会帮你扫描网页里面是否有病毒,以及是否往磁盘上写了exe文件。
2007-05-15 18:12 | ycg1213@21cn.com
只有注册用户登录后才能发表评论。