科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道杀毒基本功【续】

杀毒基本功【续】

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

由许多木马都插入到系统关键进程中,杀毒软件没有权限直接删除木马或病毒,会提示重启后删除。但如果插入的进程在启动时优先于杀毒软件先启动。杀毒软件会再次查到病毒提示重启后删除。

作者:zdnet安全频道 来源:论坛整理 2008年6月18日

关键字: 杀毒软件 杀毒

  • 评论
  • 分享微博
  • 分享邮件

前面我们介绍过一点,这是文章的更新部分!

http://www.newjian.net/Anti-virus/anti_virus_910.html

如何分析360系统报告

不重新写了,点击下面连接浏览

http://bbs.360safe.com//viewthread.php?tid=221900&extra=page%3D1

360报告的分析技巧

主要看下面的未知项
100 - 未知 - Process: xscan_gui.exe [] - C:\TDDOWNLOAD\X-Scan-v3.2\xscan_gui.exe
R0 - 未知 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
O18 - 未知 - Protocol: KuGoo3 - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - D:\KuGoo音乐\KuGoo3\InExtend\KuGoo3DownXControl.ocx
O23 - 未知 - Service: windtins [windtinins] - C:\WINDOWS\windrt - (not running)
=======================================

和系统加载进程项
=======================================
O40 - Explorer.EXE - Fygsoft and Microsoft - C:\PROGRA~1\ftc\FTCCOM~1.DLL - Com组件菜单 - ccdf1edbe51cd961bc31ae7894d73de0
O40 - Explorer.EXE - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\context.dll - Context-Menu (Shell Extension) - 1bb3bd0ef15e385716027bac1eb1b888
O40 - Explorer.EXE - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\shellexecutehook.dll - ewido anti-spyware guard - ba94ae54d7beeaa8a98bb98c81fd02ed
O40 - Explorer.EXE - Adobe Systems, Incorporated - C:\Program Files\Common Files\Adobe\Shell\PSICON.DLL - Icons for Adobe Photoshop - b3425c813804c01c0a7fc732f7ae60cb
=======================================


-略过


及驱动项
O41 - bootdrv - bootdrv - C:\WINDOWS\System32\Drivers\bootdrv.sys - (running) -  -  -
O41 - ewido anti-spyware 4.0 driver - ewido anti-spyware 4.0 driver - C:\Program Files\ewido anti-spyware 4.0\guard.sys - (running) -  -  - 9b6b54865bd0ec9ed2532dad89554969
O41 - NPF - npf - C:\WINDOWS\system32\drivers\npf.sys - (running) - npf - NetGroup - Politecnico di Torino - 05f6be0427ecb1d4f0985217f30f49f2
O41 - QKeyService - KeyCrypt Device Driver - C:\WINDOWS\system32\KeyCrypt.sys - (running) - KeyCrypt Device Driver - Tencent Technology (Shenzhen) Company Limited - 86aadf81964cc6c4c8ce9d27a7a0c533
O41 - RsAntiSpyware - Anti-RootKit Driver - C:\WINDOWS\system32\drivers\RsBoot.sys - (running) - Anti-RootKit Driver - Beijing Rising Technology Co., Ltd. - f9edc97f228c046832a24b5a76017912
O41 - Sentinel - Sentinel - C:\WINDOWS\system32\drivers\SENTINEL.SYS - (running) -  -  - 99c81af18c0bf4d3b2ce0b36941e150f

主要看这三个部份。对于不知道文件名的上百度搜索即可。当然也有一些遇系统重名的文件冒充正常系统文件的不过不可能完全一样。这个要心细些。

如何分析SREng报告

先参看本版版主,崔老师的文章

http://hi.baidu.com/teyqiu/blog/item/9785b2b7eb1a7df431add1a4.html


分析技巧。由于SREng扫描出的报告更为全面。不过加入了许多字符使人看了觉得头晕,所以要借助工具。

上传一个SREng分析助手。

注重
【】内的前后两项内容相同;
所属公司为<N/A>或假冒<Microsoft Corporation>

公司名为空及 ---文件名(不知道是何程序的请到百度搜索)




如何删除杀毒软件无法删除的文件(提示重启删除的文件)

由许多木马都插入到系统关键进程中,杀毒软件没有权限直接删除木马或病毒,会提示重启后删除。

但如果插入的进程在启动时优先于杀毒软件先启动。杀毒软件会再次查到病毒提示重启后删除。

所以就需要手动来删除

由于文件正在常使用所以直接删除无法删除只能借助于一些强制删除工具。

360粉碎工具

http://bbs.360safe.com/attachment.php?aid=21361


使用方法很简单不再介绍

--------------------------------------------



unlocke删除工具  

http://bbs.360safe.com/attachment.php?aid=6827


安装后会在右键增加一个unlocke选项,,要删除那个文件在文件点右键选unlocke解锁删除即可。(有时要多删几次,有时会提示重启后删除,不要重启。在多点几次unlocke删除。有些会被直接删除)

QUOTE:
1、安装unlocker
2、找到你要删除的文件,点右键,在右键菜单中选择unlocker选项。然后会弹出一个unlocker程序的界面。
3、如果你要删除的文件被进程调用,那么在界面中会看到调用的进程,选中这些进程,然后点unlocker键(在右下方的键中,好象是这个名字)。点击后,你会看到进程被杀掉了(即窗口中进程框中没有进程了)。
4、然后点击左下方的下拉选择框,选中delete选项,再点击unlocker键,文件就会被删除。
如何查看系统服务及运行注册表,任务管理器

如何运行注册表

电脑左下角的开始-运行
中输入regedit  即可打开注册表。

如何打开任务管理器

同时按键盘ctrl+alt+del  即可打开。一般用于结束一些进程,及观察电脑是否正常。

如何查看系统服务

电脑左下角的开始-运行
中输入services.msc  即可打开系统服务,主要用于停止一些已不存的木马服务(木马被删除后,开机会提示某文件加载错误)停止相应服务。
如何关闭启动项

方法1.
开始-运行-输入msconfig-启动,取消不必要启动项。(取消前面的对号)
方法2.
打开360安全卫士-高级-启动项(禁用一些未知的启动项)

有一些木马的系统服务项,也会自动加载,删除木马后会在开机时出现加载*.dll文件出错,这些服务文件并不会在启动项中出现,需打开注册表按F3搜索相关文件名删除,或打开服务项禁用该服务

U盘病毒分析查杀及打不开硬盘时打开时清除方法

U盘对病毒的传播要借助autorun.inf文件。有些人会说重装系统也解决不了的病毒一般都是U盘病毒或ARP在捣鬼。

现象多为:

1.双击打不开硬盘。
2.时间会被不停更改。
3.在系统进程中插入木马保护U盘病毒(相互保护)。
4.添加病毒启动项。
5.禁止显示所有文件

以上现象都是为了保护U盘病毒不被一次杀干净。该病毒还在不断更新。

防护方法,360安全卫士已推出U盘免疫功能,将保护打开即可。

查杀办法:使用专杀工具即可。

U盘病毒专杀  点击下载

-------------------------------------------

有时会出现病毒未清除干净时,打开各盘时会出现打开方式窗口。

只需点击浏览,选择C:\widnows\explorer.exe  打开各盘,手工删除一些在各盘根目录下的残留文件。
AV病毒分析查杀

参看以下连接解决。不再细说
http://www.newjian.net/jisuanjibingdu/2007/0921/944.html
怎样分辩自己电脑是否中毒

最简单的方法就是就是打开任务管理器(同时按ctrl+alt+del 有那几个进程占用CPU过高)但要有一定的电脑基础去判断是否中毒。
一般占用CPU较高的有:


QQ.exe                                      QQ相关
system idle process                    系统可用CPU资源(越高越好)
svchost.exe                               系统加载的各项服务(一般4-6个)
AVP                                            卡巴杀毒软件进程
RAVMOND 或者 RAVMOND.exe   瑞星相关进程
iexplore.exe                                 IE的进程一般不会占用太高CPU(如果占用过高可能是中病毒或是在网页中看电脑听歌等)

如果杀毒软件占用过高,而严重影响你正常使用电脑的话,电脑非常慢的话可以关闭下杀软试试是否正常。如果正常那说明你的电脑硬件配置过低。

对于未知的进程,最好就是上百度搜索一下相关文件名占用CPU过高。
开机提示某某文件加载错误

请按下面方法测试。首先要拿起笔。记下提示错误的文件名。

方法1.开始-运行中输入regedit打开注册表。按F3键对错误的文件名(******.dll)进行搜索删除一一删除(查到一个后可以按F3继续搜索直到搜索完毕)

方法2.开始-运行中输入services.msc  打开系统服务。找到相应出现错误的文件名(******.dll),双击改为禁用

方法3.在置顶贴中下载SREng工具。打开后-启动项目-服务(最右边)win32服务-找到相应出错文件名,删除服务


造成这个问题的原因是,插入进程的木马被清除后,相应服务及在运行,但文件不存在
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章