许多人通常中毒喜欢下杀毒
软件杀毒,可是有毒是一些杀毒杀不出来的.那可以手动杀了.
相信很多人都懂得用msconfig..这个开机启动项设置,可是现在很多毒或木马或流氓
软件都是禁不掉的..
就拿CNNIC发行的流氓
软件就禁不掉.
这时候我们就应该可以手动查杀.
1、首先打开任务管理器,发现有异常进程,先打开msconfig看看里面有没有多出可疑启动项,也可以打开
注册表regedit查看。
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
HKEY_CURRENT_USER/SoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/ShellFolders
一般注册表启动就这几项。如有发现就可删除,也可以打开键值找到相应的文件路径,将其文件删除,当然不要忘了删除注册表那个选项,否则开机会提示找不到XXXX文件。
2、用Netstat查看是否有可疑连接,可输入netstat /?查看它的所有命令,我们通常就使用
-a:显示所有主机建立连接的端口
-n:显示端口进程的PID
如发现可疑的连接,可以去任务管理器找到该PID将其结束。
3、现在很多木马会隐藏,修改文件名跟系统进程相近,如:expl0rer.exe其实中间那个是数字0不是英文字母o,这样的文件通常躲过很多人的眼睛。不过只要注意看就很容易发现。还有一些毒假装系统文件隐藏起来。通过“工具选项”——“查看”——“隐藏受保护的操作系统文件(推荐)”查看。以前我中过熊猫烧香(还没变种以前)就是用这种方法杀掉的。。虽然系统重了几次,但是有经验了,以后就不会再犯了。
4、以上通常是普通查法,还有一些毒是通过系统进程载入,如win.ini,SYSTEM.INI。
在win.ini中通常以“run=”和“load=”是载入木马的。以下是正常的XP的win.ini文件(本人的系统,刚装的,不过是GHOST版的):
; for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1
[MCI Extensions.BAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideo
asf=MPEGVideo
asx=MPEGVideo
au=MPEGVideo
m1v=MPEGVideo
m3u=MPEGVideo
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo
mpa=MPEGVideo
mpe=MPEG謎deo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo
wm=MPEGVideo
wma=MPEGVideo
wmv=MPEGVideo
wmx=MPEGVideo
wpl=MPEGVideo
wvx=MPEGVideo
[MCI Extensions.BAK]以下都不要管他。。是视音频文件。
而SYSTEM.INI经常会以“shell=文件名”加载木马。以下我正常的文件。
; for 16-bit app support
[drivers]
wave=mmdrv.dll
timer=timer.drv
[mci]
[driver32]
[386enh]
woafont=app936.FON
EGA80WOA.FON=EGA80WOA.FON
EGA40WOA.FON=EGA40WOA.FON
CGA80WOA.FON=CGA80WOA.FON
CGA40WOA.FON=CGA40WOA.FON
如果以上系统文件被木马感染,可把加载项删除。
5、DLL
病毒查杀,也是最难杀的一种。它以常会加载到系统进程的子进程里,一些杀毒
软件会误认为系统进程是病毒将其杀掉,造成系统崩溃(本人就有一次经历)。
通常DLL病毒会加载到Rundll32.exe和Svchost.exe这两个系统文件子进程下。用户不可乱禁这两个文件。因为系统中SVCHOST。EXE进程结束就要倒计时关机。
Svchost.exe所在的注册表的键值是在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrent
我们可以通过运行“tasklist /svc”最好在CMD下运行,要不一下就没了。只会找到一个C:WindowsSystem32目录下的Svchost.exe多出来的就是毒。(这招刚学的,不过很管用,
大家最好要试一下。)
还有毒就是加载到它的子进程里。。大家可以用完美卸载或优化大师自带的进程查看器查看Svchost.exe的子进程下运行的DLL文件,如有发现可疑的DLL文件。记下文件名,可通过注册表删除。
以上只是本人经常使用的查杀方法。。
如还有其他方法,大家补充
忘了说一下。。如果进程里一些进程结束不掉可用ntsd命令结束进程,如:ntsd -c q -p 355
即杀掉PID为355的进程。。如果不知道PID可以由 进程选项卡-查看-选择列,里面调出来
