手动查杀病毒的第一课

      今天看了下Windows下手动查杀病毒的教程。将心得写下来，以便后面复习使用。

首先，手动查杀病毒的步骤如下：

 1，查内存，排查可疑进程。目的是为了将病毒从内存中干掉；

 2，查启动项，删除病毒启动项。

 3，通过病毒启动项判断病毒所在位置，从根本上删除病毒。

 4，修复系统。常见的病毒会对系统部分损坏。

    

         当我们的计算机感染病毒，或许我们无法启动任务管理器或者杀毒工具。一旦他们住入内存，被病毒监控到他们进驻内存，则会被立即赶出内存。我们可以通过使用命令行模式来获取踩点信息。

 查内存，杀进程的步骤如下： 

        1，按键：win+r或者启动“运行”，输入：cmd,回车，打开命令行模式窗口。

 

       2，输入命令：tasklist， 可以常看到当前系统进程：

      或者可以是用这样的命令：tasklist /svc查看更详细的进程有没有加载其他的什么服务：

   (可能小伙伴从上面的图片中发现了什么， 对吧)

    这里，就要考验到对一些常见的程序加载的进程名称熟不熟悉了，平时大家可以积累下使用软件的安装路径，进程名和程序使用的对应的服务名。有了这样的积累，便能很快识别进程列表中哪些是病毒进程了。

     这里，我是用的是熊猫烧香。结合进程列表，发现进程名为：spoclsv.exe为病毒使用的进程。

     3，既然发现了病毒进程，那我们就可以使用命令：taskkill /f /im PID 杀死病毒进程。命令解释，这里的 "f“是force 的缩写，意味强制，"im"是Image file，镜像文件。PID。

      那么，我这里使用的命令是：taskkill /f /im 1264。命令使用结果如下：

   这里提示，成功将病毒进程从内存中干掉。若能成功打开任务管理器，则标识杀毒成功：

查启动项，删除病毒启动项

      1，打开运行对话框，输入msconfig命令，回车，在弹出的对话框中找到”启动“，很快就能找到熊猫烧香的启动项是被勾选了，：

   2，取消勾选，确定。重启系统，系统就不会自启动熊猫烧香了，这里，还能找到关于病毒文件所在路径和注册表所在位置：

  3， 还可以通过直接修改注册表的值来禁止启动该病毒，这种方法比较靠谱。方法，在运行对话框中输入，regedit，回车，打开注册表窗口。

   依次找到下面的选项：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，  这里也能法发现系统自启动选项中包括了病毒的注册表信息：

    直接删除病毒注册表项的值即可。

  4，接着检查：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run是否也有病毒的相关的注册表项，有，直接删除！

  5，查找 HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\winlogon，查看”shell"的值是否发生变化。

   6，接着我们就可以大胆的将病毒文件删除了：删除的命令是：del /f 病毒名。

    提示：养成良好的习惯，当我们打开磁盘驱动器的时候，不要双击打开驱动器，

    推荐做法是鼠标右键选中待打开的驱动器，查看弹出的菜单中是否出现异常。 贸然打开驱动器可能会再次激活病毒。

     7，重启计算机后，继续在命令行下查看各个驱动器下是否存在隐藏文件。先切换值根目录，接着使用命令 dir /ah：

做根分区修复（系统修复）

     发现根分区存在异常。

    这里挨着修复每个驱动器的问题。我这里只是列举了一个磁盘的修复方法：

  1, 通过命令：attrib命令调整文件或文件夹属性。

  命令：attrib -r -h -s 文件名或文件夹名。

  参数说明： -r 只读， -h 是隐藏 ， -s 系统属性。

如图：

    2，调整好属性后，就可以将文件删除了。

    通过dir命令可以查看到，文件属性调整成功。病毒文件成功显示了：

       删除病毒文件：del /f autorun.inf 和  del /f setup.exe 。这时，目录中就不存在病毒文件了。

   

   3， 这时发现驱动器右键菜单还是存在异常。但是其已经失效了，我们已经将病毒文件删除了。注销或重启系统可以得到解决。

   注销命令是：logoff。

   注销或者重启后，再次打开驱动器，可见，异常消失：

         驱动器的修复就结束了。

处理被感染的exe文件；

       处理被感染的 exe文件了。建议大家做好驱动器重要数据备份，最好加密，比如，归档压缩。

       解决被感染的 exe文件通常的方法是将其删除。

关于杀毒软件的修复

        建议重新安装。病毒修改了杀毒软件的注册表项，重新安装即可解决。

修复显示隐藏文件：

        打开注册表，命令：regedit，依次找到下面的键值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue 

 这里被感染，值为0，将其修改为 1。

 

       这样就能在文件夹下查看隐藏文件了.

-------------------------------附---------------------------------------

附上熊猫烧香中毒后的特征：

1. 拷贝自身到所有驱动器根目录，命名为Setup.exe，并生成一个autorun.inf使得用户打开该盘运行病毒，并将这两个文件属性设

             置为隐藏、只读、系统。

　　      2. 无法手工修改“文件夹选项”将隐藏文件显示出来。

　　      3. 在每个感染后的文件夹中可见Desktop_ini的隐藏文件，内容为感染日期 如：2007-4-1

　　      4. 电脑上的所有脚本文件中加入一段代码：<iframe src=xxx width=”0” height=”0”></iframe>

　　      5. 中毒后的机器上常见的反病毒软件及防火墙无法正常开启及运行。

　　      6. 不能正常使用任务管理器及注册表。

　　      7. 无故的向外发包，连接局域网中其他机器。

          8. 感染其他应用程序的.exe文件，并改变图标颜色，但不会感染微软操作系统自身的文件。

          9. 删除GHOST文件(.gho后缀)，网吧、学校和单位机房深受其害。

         10. 禁用常见杀毒工具。

    病毒特征：

病毒特征： 1. 关闭众多杀毒软件和安全工具。

           2. 循环遍历磁盘目录，感染文件，对关键系统文件跳过。

           3. 感染所有EXE、SCR、PIF、COM文件,并更改图标为烧香熊猫。
 
           4. 感染所有.htm/.html/.asp/.php/.jsp/.aspx文件，添加木马恶意代码。
           
           5. 自动删除*.gho文件。

     病毒发作症状：

1:拷贝文件

病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe

2:添加注册表自启动

病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\svcshare -> C:\WINDOWS\System32

\Drivers\spoclsv.exe

3:病毒行为

a:每隔1秒
寻找桌面窗口,并关闭窗口标题中含有以下字符的程序

QQKav
QQAV
防火墙
进程
VirusScan
网镖
杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马克星
木马清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
esteem proces
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
msctls_statusbar32
pjf(ustc)
IceSword
并使用的键盘映射的方法关闭安全软件IceSword


并中止系统中以下的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe

b:每隔18秒

点击病毒作者指定的网页,并用命令行检查系统中是否存在共享，存在的话就运行net share命令关闭admin$共享。

c:每隔10秒

下载病毒作者指定的文件,并用命令行检查系统中是否存在共享共存在的话就运行net share命令关闭admin$共享。

d:每隔6秒

删除安全软件在注册表中的键值。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
YLive.exe
yassistse

并修改以下值不显示隐藏文件

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue -> 0x00

删除以下服务:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc

e:感染文件

病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一

旦打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
WINDOW
Winnt
System Volume Information
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone