[原创]手动删除顽固病毒总结

最近帮同学干掉了一个很厉害的病毒,因此写些经验供中毒之人参考。

工具:首先就是unlock工具,几乎没有删不了的文件;然后是进程查看工具,用来分析病毒行为和路径,推荐IceSword或Process Explorer;接着是autorun工具,分析各种启动项用,也是必备;最后,可能的话,找个专杀,这样可以节省很多事情,恩~~。

分析与查杀:觉得电脑运行变慢或者其他什么问题都要找找原因,特别是看看磁盘根目录下有没有autorun.ini文件,有的话十之八九是中毒了。发现异样就打开进程管理的工具看看都多出了哪些没见过的进程,然后结束它,一般情况下结束了病毒进程它又会恢复运行。通过进程查看软件找到进程所在目录,有些病毒会阻止你访问病毒所在目录,这样就需要一些技巧躲开病毒的探测,一般可以通过任务管理器的新建任务中的浏览按钮找到病毒文件,然后删除它,删除利用unlock就可以了。接着用autorun工具去除病毒的自启动项和有关服务项(如果有的话~~)。最后重启搞定。

技巧总结:首先,在杀毒过程中切记不要双击任何盘,通过资源管理器的左边的树目录来切换。这样可以避免病毒的重新运行。

病毒新招破解:

第一,病毒多个进程互锁,互保护技术。这些技术用来保护病毒文件不被轻易删除,因为在删除其中一个的时候,另一个进程会恢复它,所以必须多个同时删除才行,这样借助unlock可以实现,只要对所有病毒文件进行完删除操作后再重启就可以了。

第二,映像劫持技术。通过这个技术病毒可以使很多程序运行不了,包括所有对它有威胁的软件。因为映像被劫持后,点击运行的不是所点击的程序,而是被修改的映像路径。不过这个技术可以通过修改程序文件名来破解。

第三,无法查看隐藏文件。由于注册表被修改导致无法显示隐藏文件,以达到隐藏病毒的目的。

以下是修复隐藏文件的注册表:

Windows Registry Editor Version 5.00

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
        "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
        "Text"="@shell32.dll,-30501"
        "Type"="radio"
        "CheckedValue"=dword:00000002
        "ValueName"="Hidden"
        "DefaultValue"=dword:00000002
        "HKeyRoot"=dword:80000001
        "HelpID"="shell.hlp#51104"

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
        "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
        "Text"="@shell32.dll,-30500"
        "Type"="radio"
        "CheckedValue"=dword:00000001
        "ValueName"="Hidden"
        "DefaultValue"=dword:00000002
        "HKeyRoot"=dword:80000001
        "HelpID"="shell.hlp#51105"

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
        "Type"="checkbox"
        "Text"="@shell32.dll,-30508"
        "WarningIfNotDefault"="@shell32.dll,-28964"
        "HKeyRoot"=dword:80000001
        "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
        "ValueName"="ShowSuperHidden"
        "CheckedValue"=dword:00000000
        "UncheckedValue"=dword:00000001
        "DefaultValue"=dword:00000000
        "HelpID"="shell.hlp#51103"

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
        @=""

目前就这些了,以后发现新的会再添加的。

希望能有所帮助。

posted on 2007-10-04 20:58  absolute  阅读(258)  评论(0编辑  收藏  举报

导航