教你如何手工检测电脑病毒

手工检测未知病毒 3Qfj=; 4  
]4yWcnf  
近期，病毒作者耐不住寂寞，纷纷发表新的病毒，年底的“熊猫烧香”，去年的“威金”等等大型蠕虫病毒，给我带来的很多麻烦，我们应该如何对付这些病毒呢?我们要增强我们自己的防病毒意识。虽然现在杀毒软件做的非常不错，但对某些病毒的更新速度还需要改善，这就需要我们来自己动手检测未知病毒。 -S OP8G  
xf?*fm?m  
说到检测未知病毒，对于新手来说，可能很困难，经过这个文章可以让你完整了解病毒的检测和删除过程，加上自己努力学习和实践，就可以实现自己手工杀毒。好了废话就说这么多，我们来看看如何检测未知病毒。 sM
E3s-  
lh&Q{t(+8  
第一、全面检测计算机 &%}6&PWi  
>Q#_<IcI  
对于新手，手动全面检测计算机是非常困难的，因为需要打开注册表，一项一项去检查，那我们就使用简单的方法——运用SRE这个软件，SRE全名System Repair Engineer。打开软件后，点击软件左边的智能扫描，再点击“扫描”，就可以对计算机进行较为全面的扫描了。 5vxJ|Hse@  
1j "/}0fx  
对于不想自己分析的新手，请把日志贴到论坛上，会有人帮你解决。 kcVEE)zb  
1RZhy_$\.  
第二、分析扫描日志 m@R!
o  
{A2(a7vV  
这个是最关键的一步，对于很多新手，选择来论坛发布日志，让有经验的高手来分析，这样省时省力，但是如果大家学会分析日志，那么就可以有更多的人帮助新来的人，减少版主和论坛高人的劳动。分析日志学习起来很难，因为需要不断积累经验，在这里只介绍简单的方法(若有更好的方法，希望论坛或者邮件进行讨论)。 &aqF||v%)  
7/w)^&8  
1、了解日志 MJd!J]E6  
Lf{9=;  
SRE日志分别扫描了注册表启动项、启动文件夹、服务、驱动、浏览器加载项、进程、文件关联、Winsock 提供者、autorun.inf、HOSTS文件、API HOOK。我会重点介绍一些检测时常用的项目 h.E8G^}@  
KyK%2:  
2、看进程 Lqb9gUJ:U  
)"q$g&  
看进程，看什么呢?看的就是，是否有除系统基本进程和软件产生进程外的其他进程，尤其注意进程路径是c:\windows\和C:\windows\system32\下的文件，可能有些新手不知道那些是系统基本进程，那些是软件安装的进程，这就是需要经验积累的地方。 ,&rlt+wE  
(;;%B=  
对于系统进程加载的DLL，这个需要具体分析，很多盗号木马运用了这个方式，那就要经过下面三步去完善。 R$IxR=hMx  
Ds? @LE|  
3、看启动项(包括注册表启动项、启动文件夹、服务、驱动) %{WS7(si  
~oy=2Q<Z  
看了进程以后，对那些是可疑文件有了一定了解后，就可以来看启动项目。SRE这个日志非常适合新手使用，因为它已经在服务和驱动这两个地方把微软签名的启动项隐藏，对于服务，驱动需要经验才能动，下面我一项一项的介绍。 $014/IB  
-/Pg[Lx7Pb  
4、对比 _SC{nZ[  
oOlqlv  
对比所有可疑启动项目和所有可疑进程，是否可以一一对应，如果不可以，那么就要看是哪里出现的问题，就对那里进行进一步的研究。看看是否是因为病毒的运行方式或者保护方式问题，或者有其他病毒的存在。当然，原因不只这一些，还是需要大家积累经验。实践是根本。 ABw:SQ6=Q  
@9lV~,,U  
5、看其余项目 '/%]B@!  
d _)5Ks}  
第一个要看的就是autorun.inf这个项目，如果某个盘有此文件，或者每个盘都有，那么就说明你的计算机中了病毒，处理方法很多，这里介绍几种。当然处理的时候，要保证系统中没有病毒运行了。 dE~]%fUFy-  
w{l}(:xPp  
第一种：利用WinRAR。具体方法：打开所感染的硬盘，删除对应文件。说明不会感染计算机，方便实用。 gQMcQV]C$  
>M=_:52.+  
第二种：利用资源管理器。具体方法：在打开显示隐藏文件和系统文件的前提下，利用资源管理器，在资源管理器左面选择感染的盘符，右面删除对应文件。说明对于某些病毒又感染的危险。 Jw3VWc ]]  
ZxLdh8v.  
第三种：利用命令提示符。具体方法利用了DOS命令，具体命令如下： ce@1#}*  
$5N%!  
Attrib –s –h –r –a X:\autorun.inf lKWe=xY\B  
r#rL~Rsd}  
Attrib –s –h –r –a X:\对应启动文件(EXE或者PIF) .\XFhOsa  
f]%:.N~1w  
Del X:\autorun.inf 
9.u}<m  
*:S_v.Y3"  
Del X:\ 对应启动文件(EXE或者PIF) =?]H`T:  
LH/lnrN  
其中X代表感染的盘符。 ovm109fTx  
0M=A,`qk  
说明可以删除彻底，需要懂一些DOS命令和CMD的使用方法。 D1hy:KkAv]  
P/i{_r
 
第四种：利用冰刃。具体方法打开冰刃后，点击下面的文件，后面的处理如同资源管理器。说明删除彻底，建议新手使用。 ]Fi_v?42x  
+~xY}  
第二个要看的就是HOSTS文件，这里的看法是按照行，日志前面写的是网址对应的DNS解析的IP地址，如果所有IP地址都是同一个，或者和其他计算机解析的IP地址不同，那么就有问题，最主要的还是同一个或者同为127.0.0.1。处理方法很简单，利用记事本打开Host这个文件，路经在C:\WINDOWS\system32\drivers\etc，这个处理最好是在病毒删除以后。 IAy
yRl\  
6S K;1Bp-{  
第三、处理所有可疑文件(清除病毒文件) #uTNf78X  
4z<nJOEh[  
这个是最关键的一步，这一步就要删除病毒了，看到论坛以前有人光用SRE这类日志扫描程序删除，就非常气愤，因为这个程序无法完全解决问题。现在先来说明一下原因，第一，若病毒运行，病毒会不时的自动检测启动项是否被修改，你用SRE删除以后，病毒会立刻检测到，自动添加，当重新启动的时候就会重新回来，解决方法倒是有一个，这个可以在安全模式下进行，但是有部分病毒在安全模式下照样会运行，下一点就说明了这个。第二，有很多病毒选择了Winlogon启动或者初始化动态链接库启动再或者驱动启动，这三类启动有一个共同特点，就是病毒在安全模式下也会运行，那么SRE对其根本没有效果。那我们怎么进行处理呢，最可靠的方法还是使用冰刃(IceSword)。 %8Eu{3  
#gW"k;7P  
当然也有一点冰刃不是全能的，现在有病毒以进程来结束冰刃，以后会怎么样，《黑客防线》曾经有一篇文章就是专门介绍冰刃的漏洞，利用这个漏洞，病毒可以结束掉冰刃。 XhEZTg;  
vH1IVF"DS  
废话就说以上这么多，看看具体处理方法吧。冰刃在杀毒的时候需要做一个预处理，点击上方文件下的设置，选中禁止线程创建。然后就可以做下面的处理了 5j'7V1:2  
\f~m6j$D_  
删除方法： >b\{y}[  
zF: :?L~  
第一种情况，有确实的EXE进程。打开冰刃后，点击进程，结束此可疑进程，这样此进程不会创建，按照上面对比后的结果，如果是注册表中的，在冰刃下面可以看到注册表，直接进行修改，注意一点就是<>项目需要双击打开编辑框清空，其它的直接找到对应键值删除即可;如果是服务启动，在冰刃下进入服务，找到启动服务，点右键，改为已禁用即可;如果是驱动启动，可以打开注册表进入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services找到对应的删除即可，也可以使用SRE进行删除。最后运用冰刃强制删除文件后杀毒结束。 de7 \~$  
Qa`+-Wu8  
第二种情况，无确定的EXE进程，现在很多木马喜欢用DLL潜入方式，比如江湖木马，征途木马，这些木马对应的启动项目是一个EXE文件，而最终起作用的是一个潜入进程的DLL，找此DLL的方法也是有经验的。此病毒删除方法就是先处理EXE文件，打开冰刃，进入对应启动项，按照第一种情况所说方法先删除启动项。然后强制删除对应文件，最后强制删除DLL文件重新启动后即可完成杀毒，如果找不到对应的DLL，不删除也可以，此DLL会成为系统垃圾，放在它该存在的位置，而不在产生作用。 0zQ~'x  
xER-TT#S  
第三种情况，也是最难处理的一种情况，现象就是杀毒软件报告病毒，但是无法从日志中找到任何病毒踪迹，这里要先启动冰刃，在进程、内核程序、启动组和服务中进行一次彻底查找(后面对次问题有解释)，如果还是没有，就属于这种情况。此情况删除及其复杂。可以用冰刃强制删除对应文件(若杀毒软件以成功删除就不用做这一步)，并且打开我的电脑，找到对应位置，建立一个同名的文件夹(包括扩展名)，这样病毒将不会再产生，然后运用Filemon这个文件监控软件，进行监控，在监控过程中，逐一运行软件，看看那个软件要创建前面用冰刃或者杀毒软件删除的文件，找到后，删除此软件里面的所有文件重新安装，即可。 Q1kZ+b&  
DVJuX~'|!  
注册表启动项 TAL,(&[s  
2|`7_*\  
在SRE里面，这册表启动项包括了Winlogon启动，普通注册表启动等等多个项目。这个只能看下我在虚拟机下面刚安装一版SP2的Windows XP的日志了，当然因为每一种系统(盗版方式不同或者正版等等)不同，可能扫描出来的不仅相同，剩下的需要大家经验积累。 mVXwU](N  
3Z0ez?p+5  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] v9k\[E?  
mD5Vsy{Pb  
[(Verified)Microsoft Corporation](启动输入法) ]@Z[/z%~04  
;Mw<{X
-  
超级兔子、MSN Messenger等通过此项目启动 "L4ZE4|)  
edai2O  
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] i.Rxx, *?  
K<wg-JgA  
<> [N/A] %-?k [DL6  
"2 \},o9  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] #,[z}fq  
%Ev)Hk  
<"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [(Verified)Microsoft Corporation](微软输入法启动项) 2CMWJi  
CwjKz*
'[g  
[(Verified)Microsoft Corporation] (微软输入法启动项) V36u%zdX5n  
HIGTo\]Z  
[(Verified)Microsoft Corporation] (微软输入法启动项) ]ZR}Pm/CA  
B_DyH C\<  
暴风影音、NVIDIA显卡、声卡、超级解霸、瑞星杀毒软件、瑞星个人防火墙、卡卡上网助手、金山毒霸、江民杀毒软件、Emule、金山词霸、Nero、Real系列、酷狗等通过此项目启动 .R^R32ln  
lvOM1I  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] D`'h8:\  
OYyF*F&S[  
[(Verified)Microsoft Corporation] [L>mrHqG  
73j\!x  
[(Verified)Microsoft Corporation](Winlogon启动项，逗号后面若有东西90%是病毒) 1y3)ogL  
8q]_> X  
[(Verified)Microsoft Corporation] + L[a  
cb=ixn  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] $bU.6  
_U|rTil  
<> [N/A](初始化动态链接库，若这里面有东西90%是病毒) @Os0A  
XqLR2d  
以上只进行了概述 lLur.f  
L,yq'>*5s  
启动文件夹 Aflf]G1  
M1z ?E@kz  
这个最好看，只有部分软件修改这里，典型的比如QQ的启动项、OFFICE的工具栏启动项。这个利用的病毒也很少，早期的“比肩社区”(在桌面呈现比肩社区介绍)就利用。需要耐心检查。 zYxA#TZL  
(%j V[Q  
服务 B.A;1VE5  
x.9[c m-!  
这个比较好看，第一看服务名称后面的状态，SRE日志扫描后的格式为(最新版本)[服务名称][当前运行状态/启动状态]，其中当前运行状态是表示扫描的时候计算机是否运行了此服务，Running表示运行、Stopped表示没有运行;启动状态，表示此服务是如何启动，Auto Start表示自动，Disabled表示已禁用，Manual Start表示手动启动。其中重点看Running和Auto Start的项目，如果此项目和你安装的软件和驱动程序无关，那就可能是病毒。 |Ed?s  
FM=XoMP q  
驱动 C>Q|"Vf2  
V~_6t{L  
我经过5年的杀毒经验，也不敢轻易动这个项目，只能介绍一条经验，就是如果一个驱动全部为数字，可能为病毒文件。因为现在各种品牌的驱动都不一样，所以其他的就记不住了。 CZ!gu Y=  
.unlr_eA  
鉴于启动项确定比较困难，希望新手在安装计算机后，做一次扫描备份，可以通过对比的方法，来看是否增加了启动项，如果此期间没有安装任何驱动和软件，那么就可能不是正常文件，就要小心的进行检查了。