热门关键字:   网站安全  黑客攻防  安全漏洞  系统安全  网络安全

分享一次手工杀毒的经历

发布时间:2009-08-27 11:58文章来源:51CTO文章作者:秩名 点击次数:
摘要:对于感染了病毒的操作系统,一般是采取两种方式,一种是重装系统;另外一种就是彻底清除病毒。对于前者如果在系统安装完毕后系统做了备份,那么也可以采取还原系统的方法,而后者相对难度大一些,还有一些安全风险。笔者因为老婆要换手机,到迪信通手机专卖...

对于感染了病毒的操作系统,一般是采取两种方式,一种是重装系统;另外一种就是彻底清除病毒。对于前者如果在系统安装完毕后系统做了备份,那么也可以采取还原系统的方法,而后者相对难度大一些,还有一些安全风险。笔者因为老婆要换手机,到迪信通手机专卖店买了一部新的手机,手机买后送了一张手机存储卡,想从店里面的电脑中复制一些铃声,存储卡插入电脑后,电脑反映其慢无比,我一看估计是存在病毒,万一一不小心在手机中安装一个远程控制软件或者手机病毒之类的东西,那不暴露隐私了!职业习惯直接操刀上阵,三下五除二,很快就搞定。店长一看我操作熟练,就要了我的手机号码,后面也就有了这次手工清除病毒。现将整个病毒清除过程写出来跟大家一起探讨。

一、故障现象

还不到8点就被手机吵醒了,正在做美梦呢,心里还是有点烦,既然有人这么早打电话,肯定有急事!接听后才知道昌平迪信通手机专卖店业务专用计算机罢工了,其具体表现为,计算机启动后,速度其慢无比,打开任何一个程序都需要三四分钟;根本无法登陆业务系统,该计算机跟总部ERP系统相连,同时打印发票等都由该计算机负责,计算机通过CDMA上网卡连接互联网,店长非常着急,因此想到我了(呵呵,看看平时的积累很重要哦,有客户自动就会找上门来,哈哈)。我猜测是因为上次给迪信通的一台工作计算机安全加固和病毒清理效果较好,所以遇到问题后就想到我了,呵呵,有安全问题,哈哈,俺喜欢,这等好事还不快点!

二、初步诊断

到现场后,首先对计算机进行一个初步的诊断,并了解计算机出现问题的详细情况,通过询问工作人员,可以做出如下判断:

(1)计算机绝对是感染了病毒;

(2)计算机从来未做过安全加固,哪怕是简单的安全加固都没有;

(3)操作系统未做备份,重要业务系统均在系统盘;

(4)病毒可能是通过U盘和网络进行感染和传播的。

由于该系统未做任何备份,因此重装系统显然不可行,虽然重装系统是最为安全和便捷的方法,由于很多业务系统都是公司直接配发,重装系统后恢复业务系统比较困难,考虑到实际情况,只能进行手工杀毒。
 

 

 

三、魔高一丈,道高一尺,艰难的杀毒过程

(一)清除部分病毒

1.制作干净病毒检测和清除工具盘

本次说是手工清除病毒,还是借助了一些工具,虽然手工清除也是可以的,不过既然有一些好用的工具软件,为什么还要舍近求远呢!首先准备一个可设置可读和可写的优盘,如果没有这种优盘,可以将工具软件刻录到光盘中。在本次病毒清理中,迪信通工作计算机是由公司统一配送,在配送时就拆除了计算机上面的光驱,且在店面中无多余光驱,因此只能使用优盘,在优盘中我准备以下几个软件:

(1)Autoruns:用来清理和查看注册表、自启动、服务等

(2)CurrPorts.exe:查看网络连接情况

(3)360安全卫士安装程序:清理恶意插件

(4)小红伞杀毒软件:查杀病毒

(5)冰刀IceSword:对疑难杂症进行治理

(6)ProcessExplorer:查看和终止进程

(7)一键Ghost:备份和还原操作系统

2.解决CMD不能运行问题

病毒已经修改了文件关联,可执行程序无法打开,CMD打开后马上就关闭,直接在“运行”中输入“command”,打开古老的DOS窗口,然后将U盘中的文件复制到D盘中,在复制过程中U盘病毒老是不停的读写U盘,由于U盘已经设置为只读,因此老是出现一个读写磁盘错误,通过任务管理器查看进程,发现其中有很多的可疑进程,选中可疑进程并结束该进程,出现无法结束或者结束后马上又启动了。看来病毒采取了一些保护措施,先不管这个,到工具目录直接运行autoruns程序。

说明:

(1)很多时候病毒会修改注册表,修改文件关联,在打开文件时老是出现一个选择打开文件的对话框,即使选择正确的可执行文件也无法执行,例如选择记事本程序打开txt文件,也会出错。出现这种情况一种办法就是恢复注册表,另外一种方法就是通过command命令来加载可执行程序进行清理,包括执行一些Dos命令。

(2)病毒一般会禁用CMD、注册表等可执行程序,这个时候就需要运行command命令来恢复系统中的注册表等。

3.使用 autoruns清理病毒

 

(1)清除Scheduled Tasks中的木马加载项

如图1所示,在autoruns主窗口中单击“Scheduled Tasks”,在其中可以看到有一个At1.job选项,它的描述显示的是“Microsoft Corporation”,其可执行文件路径为“C:\WINDOWS\system32\winhelp.exe”。一看就知道该加载选项是病毒,选中并直接删除该选项。

 

 

图1 使用autoruns清除Scheduled Tasks中的木马加载项

说明:

(1)如果了解系统可执行文件的朋友知道winhelp文件主要存在“C:\WINDOWS”和“C:\WINDOWS\system32\dllcache”目录下,C:\WINDOWS\system32目录下绝对不会有winhelp.exe文件,如图2所示,在正常系统中查找winhelp.exe的结果。

标签分类: 反病毒

上一篇:讲述病毒入侵常用的伎俩
下一篇:任务管理器被病毒禁用解决方法