【转载】卡卡论坛UFO&不幸外人的《【原创】手工检测病毒（2月19日更新表格）【新手发帖必读】》

下面是我把UFO&不幸外人在卡卡论坛的一个帖子的内容整理，放到了一起，一方便自己学习和供朋友们参考，

希望能给各位朋友带了一点快乐！

 

文章我认为可能会有问题，希望高手多多指教，我会在春节前把文章更新好，并且会发布完整版。届时将有我整理的一些进程、服务等等，需要经验来说明的东西，目的都是为了新手和想学习的人，希望这些经验可以帮助大家，可以在论坛里面和我交流也可以发邮件。总之谢谢大家。

不会SRE使用的请看我14日写的教程：http://forum.ikaka.com/topic.asp?board=28&artid=8270267

   也可以看这里的教程：http://blog.csdn.net/zhbchn/archive/2007/03/10/1525811.aspx

在对新手说一句，不管什么病毒，请先贴日志，让大家了解你计算机后，才能对症下药。解决你的问题

手工检测未知病毒 作者：UFO&不幸外人（转载请注明）
近期，可能是因为春节的来临，也可能是因为病毒作者耐不住寂寞，纷纷发表新的病毒，年底的“熊猫烧香”，去年的“威金”等等大型蠕虫病毒，给我带来的很多麻烦，我们应该如何对付这些病毒呢？我们要增强我们自己的防病毒意识。虽然现在杀毒软件做的非常不错，但对某些病毒的更新速度还需要改善，这就需要我们来自己动手检测未知病毒。

说到检测未知病毒，对于新手来说，可能很困难，经过这个文章可以让你完整了解病毒的检测和删除过程，加上自己努力学习和实践，就可以实现自己手工杀毒。好了废话就说这么多，我们来看看如何检测未知病毒。

第一， 全面检测计算机。
对于新手，手动全面检测计算机是非常困难的，因为需要打开注册表，一项一项去检查，那我们就使用简单的方法——运用SRE这个软件，SRE全名System Repair Engineer，下载地址：http://www4.skycn.com/soft/23312.html。打开软件后，点击软件左边的智能扫描，再点击“扫描”，就可以对计算机进行较为全面的扫描了。

对于不想自己分析的新手，请把日志贴到论坛上，会有人帮你解决。

SREng（System Repair Engineer）的使用方法http://forum.ikaka.com/topic.asp?board=28&artid=8270267
也可以看这里的教程：http://blog.csdn.net/zhbchn/archive/2007/03/10/1525811.aspx

第二， 分析扫描日志
这个是最关键的一步，对于很多新手，选择来论坛发布日志，让有经验的高手来分析，这样省时省力，但是如果大家学会分析日志，那么就可以有更多的人帮助新来的人，减少版主和论坛高人的劳动。分析日志学习起来很难，因为需要不断积累经验，在这里只介绍简单的方法（若有更好的方法，希望论坛或者邮件进行讨论）。

1、 了解日志
SRE日志分别扫描了注册表启动项、启动文件夹、服务、驱动、浏览器加载项、进程、文件关联、Winsock 提供者、autorun.inf、HOSTS文件、API HOOK。我会重点介绍一些检测时常用的项目

2、 看进程
看进程，看什么呢？看的就是，是否有除系统基本进程和软件产生进程外的其他进程，尤其注意进程路径是c:/windows/和C:/windows/system32/下的文件，可能有些新手不知道那些是系统基本进程，那些是软件安装的进程，这就是需要经验积累的地方，为了方便新手了解进程，我做了一个表一。
对于系统进程加载的DLL，这个需要具体分析，很多盗号木马运用了这个方式，那就要经过下面三步去完善。

3、 看启动项（包括注册表启动项、启动文件夹、服务、驱动）
看了进程以后，对那些是可疑文件有了一定了解后，就可以来看启动项目。SRE这个日志非常适合新手使用，因为它已经在服务和驱动这两个地方把微软签名的启动项隐藏，对于服务，驱动需要经验才能动，下面我一项一项的介绍。
 

注册表启动项
在SRE里面，这册表启动项包括了Winlogon启动，普通注册表启动等等多个项目。这个只能看下我在虚拟机下面刚安装一版SP2的Windows XP的日志了，当然因为每一种系统（盗版方式不同或者正版等等）不同，可能扫描出来的不仅相同，剩下的需要大家经验积累。
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]
<ctfmon.exe><C:/WINDOWS/system32/ctfmon.exe> [(Verified)Microsoft Corporation]（启动输入法）
超级兔子、MSN Messenger等通过此项目启动
[HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows]
<load><> [N/A]
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run]
<IMJPMIG8.1><"C:/WINDOWS/IME/imjp8_1/IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [(Verified)Microsoft Corporation]（微软输入法启动项）
<PHIME2002ASync><C:/WINDOWS/system32/IME/TINTLGNT/TINTSETP.EXE /SYNC> [(Verified)Microsoft Corporation] （微软输入法启动项）
<PHIME2002A><C:/WINDOWS/system32/IME/TINTLGNT/TINTSETP.EXE /IMEName> [(Verified)Microsoft Corporation] （微软输入法启动项）
暴风影音、NVIDIA显卡、声卡、超级解霸、瑞星杀毒软件、瑞星个人防火墙、卡卡上网助手、金山毒霸、江民杀毒软件、Emule、金山词霸、Nero、Real系列、酷狗等通过此项目启动
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
<shell><Explorer.exe> [(Verified)Microsoft Corporation]
<Userinit><C:/WINDOWS/system32/userinit.exe,> [(Verified)Microsoft Corporation]（Winlogon启动项，逗号后面若有东西90%是病毒）
<UIHost><logonui.exe> [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows]
<AppInit_DLLs><> [N/A]（初始化动态链接库，若这里面有东西90%是病毒）
以上只进行了概述，具体请看下面回复的表二

启动文件夹
这个最好看，只有部分软件修改这里，典型的比如QQ的启动项、OFFICE的工具栏启动项。这个利用的病毒也很少，早期的“比肩社区”（在桌面呈现比肩社区介绍）就利用。需要耐心检查。

服务
这个比较好看，第一看服务名称后面的状态，SRE日志扫描后的格式为（最新版本）[服务名称][当前运行状态/启动状态]，其中当前运行状态是表示扫描的时候计算机是否运行了此服务，Running表示运行、Stopped表示没有运行；启动状态，表示此服务是如何启动，Auto Start表示自动，Disabled表示已禁用，Manual Start表示手动启动。其中重点看Running和Auto Start的项目，如果此项目和你安装的软件和驱动程序无关，那就可能是病毒。
这里请看下面回复的表三

驱动
我经过5年的杀毒经验，也不敢轻易动这个项目，只能介绍一条经验，就是如果一个驱动全部为数字，可能为病毒文件。因为现在各种品牌的驱动都不一样，所以其他的就记不住了。
请看表四

鉴于启动项确定比较困难，希望新手在安装计算机后，做一次扫描备份，可以通过对比的方法，来看是否增加了启动项，如果此期间没有安装任何驱动和软件，那么就可能不是正常文件，就要小心的进行检查了。

4、 对比
对比所有可疑启动项目和所有可疑进程，是否可以一一对应，如果不可以，那么就要看是哪里出现的问题，就对那里进行进一步的研究。看看是否是因为病毒的运行方式或者保护方式问题，或者有其他病毒的存在。当然，原因不只这一些，还是需要大家积累经验。实践是根本。

5、 看其余项目
第一个要看的就是autorun.inf这个项目，如果某个盘有此文件，或者每个盘都有，那么就说明你的计算机中了病毒，处理方法很多，这里介绍几种。当然处理的时候，要保证系统中没有病毒运行了。

第一种：利用WinRAR。具体方法：打开所感染的硬盘，删除对应文件。说明不会感染计算机，方便实用。

第二种：利用资源管理器。具体方法：在打开显示隐藏文件和系统文件的前提下，利用资源管理器，在资源管理器左面选择感染的盘符，右面删除对应文件。说明对于某些病毒又感染的危险。

第三种：利用命令提示符。具体方法利用了DOS命令，具体命令如下：
Attrib –s –h –r –a X:/autorun.inf
Attrib –s –h –r –a X:/对应启动文件（EXE或者PIF）
Del X:/autorun.inf
Del X:/ 对应启动文件（EXE或者PIF）
其中X代表感染的盘符。
说明可以删除彻底，需要懂一些DOS命令和CMD的使用方法。

第四种：利用冰刃。具体方法打开冰刃后，点击下面的文件，后面的处理如同资源管理器。说明删除彻底，建议新手使用。

第二个要看的就是HOSTS文件，这里的看法是按照行，日志前面写的是网址对应的DNS解析的IP地址，如果所有IP地址都是同一个，或者和其他计算机解析的IP地址不同，那么就有问题，最主要的还是同一个或者同为127.0.0.1。处理方法很简单，利用记事本打开Host这个文件，路经在C:/WINDOWS/system32/drivers/etc，这个处理最好是在病毒删除以后。

第三， 处理所有可疑文件（清除病毒文件）

这个是最关键的一步，这一步就要删除病毒了，看到论坛以前有人光用SRE这类日志扫描程序删除，就非常气愤，因为这个程序无法完全解决问题。现在先来说明一下原因，第一，若病毒运行，病毒会不时的自动检测启动项是否被修改，你用SRE删除以后，病毒会立刻检测到，自动添加，当重新启动的时候就会重新回来，解决方法倒是有一个，这个可以在安全模式下进行，但是有部分病毒在安全模式下照样会运行，下一点就说明了这个。第二，有很多病毒选择了Winlogon启动或者初始化动态链接库启动再或者驱动启动，这三类启动有一个共同特点，就是病毒在安全模式下也会运行，那么SRE对其根本没有效果。那我们怎么进行处理呢，最可靠的方法还是使用冰刃（IceSword）。

当然也有一点冰刃不是全能的，现在有病毒以进程来结束冰刃，以后会怎么样，《黑客防线》曾经有一篇文章就是专门介绍冰刃的漏洞，利用这个漏洞，病毒可以结束掉冰刃。
废话就说以上这么多，看看具体处理方法吧。冰刃在杀毒的时候需要做一个预处理，点击上方文件下的设置，选中禁止线程创建。然后就可以做下面的处理了

删除方法：
第一种情况，有确实的EXE进程。打开冰刃后，点击进程，结束此可疑进程，这样此进程不会创建，按照上面对比后的结果，如果是注册表中的，在冰刃下面可以看到注册表，直接进行修改，注意一点就是<AppInit_DLLs><>项目需要双击打开编辑框清空，其它的直接找到对应键值删除即可；如果是服务启动，在冰刃下进入服务，找到启动服务，点右键，改为已禁用即可；如果是驱动启动，可以打开注册表进入HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services找到对应的删除即可，也可以使用SRE进行删除。最后运用冰刃强制删除文件后杀毒结束。

第二种情况，无确定的EXE进程，现在很多木马喜欢用DLL潜入方式，比如江湖木马，征途木马，这些木马对应的启动项目是一个EXE文件，而最终起作用的是一个潜入进程的DLL，找此DLL的方法也是有经验的。此病毒删除方法就是先处理EXE文件，打开冰刃，进入对应启动项，按照第一种情况所说方法先删除启动项。然后强制删除对应文件，最后强制删除DLL文件重新启动后即可完成杀毒，如果找不到对应的DLL，不删除也可以，此DLL会成为系统垃圾，放在它该存在的位置，而不在产生作用。

第三种情况，也是最难处理的一种情况，现象就是杀毒软件报告病毒，但是无法从日志中找到任何病毒踪迹，这里要先启动冰刃，在进程、内核程序、启动组和服务中进行一次彻底查找（后面对次问题有解释），如果还是没有，就属于这种情况。此情况删除及其复杂。可以用冰刃强制删除对应文件（若杀毒软件以成功删除就不用做这一步），并且打开我的电脑，找到对应位置，建立一个同名的文件夹（包括扩展名），这样病毒将不会再产生，然后运用Filemon这个文件监控软件，进行监控，在监控过程中，逐一运行软件，看看那个软件要创建前面用冰刃或者杀毒软件删除的文件，找到后，删除此软件里面的所有文件重新安装，即可。

请继续看贴http://forum.ikaka.com/topic.asp?board=28&artid=8267923&page=1
下面的更新都在此贴进行。更新结束后，我会完善（修改）文章，并且对问题进行回复。然后再一次发布完整帖子。希望对大家有所帮助


进程列表（表一）（只是简略说明，详细说明请自己查找，你会学习得更多）
进程名 svchost.exe 路径 c:/windows/system32/ 说明 服务启动辅助文件，若其他地方出现，或者出现相似，则90%为病毒

进程名 svchost.exe 路径 c:/windows/system32/ 说明 服务启动辅助文件，若其他地方出现，或者出现相似，则90%为病毒

进程名 ctfmon.exe 路径 c:/windows/system32/ 说明 输入法辅助文件。

进程名 winlogon.exe 路径 c:/windows/system32/ 说明 系统基础文件之一

进程名 csrss.exe 路径 c:/windows/system32/ 说明 系统基础文件之一

进程名 services.exe 路径 c:/windows/system32/ 说明 系统基础文件之一

进程名 smss.exe 路径 c:/windows/system32/ 说明 系统基础文件之一

进程名 lsass.exe 路径 c:/windows/system32/ 说明 系统基础文件之一

进程名 alg.exe 路径 c:/windows/system32/ 说明 系统基础文件之一

进程名 spoolsv.exe 路径 c:/windows/system32/ 说明 系统基础文件之一

进程名 explorer.exe 路径 c:/windows/ 说明 系统桌面文件，大部分DLL病毒会集中在这里

说明，以上是部分系统基本进程，一个完整的SP2按照后是18个进程左右（不同版本进程数量不同）。注意路径，若路径有问题，90%

是病毒

进程名 ccenter.exe 路径 瑞星所安装的文件夹 说明 瑞星

进程名 ravmon.exe 路径 瑞星所安装的文件夹 说明 瑞星，会被病毒利用

进程名 ravmond.exe 路径 瑞星所安装的文件夹 说明 瑞星

进程名 ravstub.exe 路径 瑞星所安装的文件夹 说明 瑞星

进程名 ravtask.exe 路径 瑞星所安装的文件夹 说明 瑞星


软件启动项列表（表二）（希望有人可以提供，我只知道有启动项，但是我这里不知道具体内容，我会尽量在卡卡里面寻找）
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run下面的软件

超级兔子
<Super Rabbit IEPro><C:/Program Files/Super Rabbit/MagicSet/SRIECLI.EXE /LOAD> [Super Rabbit Soft]

MSN Messenger
<MSMSGS><"C:/Program Files/Messenger/msmsgs.exe" /background> [(Verified)Microsoft Corporation]（安装系统后的基本设置）

Google工具栏

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run下面的软件

微软拼音
<IMJPMIG8.1><"C:/WINDOWS/IME/imjp8_1/IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [(Verified)Microsoft Corporation]
<PHIME2002ASync><C:/WINDOWS/system32/IME/TINTLGNT/TINTSETP.EXE /SYNC> [(Verified)Microsoft Corporation]
<PHIME2002A><C:/WINDOWS/system32/IME/TINTLGNT/TINTSETP.EXE /IMEName> [(Verified)Microsoft Corporation]

暴风影音
<StormCodec_Helper><"C:/Program Files/Ringz Studio/Storm Codec/StormSet.exe" /S /opti>

NVIDIA显卡
<NvCplDaemon><RUNDLL32.EXE C:/WINDOWS/system32/NvCpl.dll,NvStartup> [(Verified)NVIDIA Corporation]

声卡


摄像头（不同品牌的不同）
<BigDog305><C:/WINDOWS/VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)>

超级解霸


瑞星杀毒软件
<RavTask><"C:/Program Files/Rising/Rav/RavTask.exe" -system> [Beijing Rising Technology Co., Ltd.]

瑞星个人防火墙
<RfwMain><"F:/Rising/Rfw/rfwmain.exe" -Startup> [Beijing Rising Technology Co., Ltd.]

卡卡上网助手
<runeip><C:/Program Files/Rising/KakaToolBar/runiep.exe> [Beijing Rising Technology Co., Ltd.]

金山毒霸


江民杀毒软件


Emule


金山词霸


Nero
<NeroFilterCheck><C:/Program Files/Common Files/Ahead/Lib/NeroCheck.exe> [Ahead Software Gmbh]


Real系列
<TkBellExe><"C:/Program Files/Common Files/Real/Update_OB/realsched.exe" -osboot> [(Verified)RealNetworks, Inc.]

酷狗
<KuGoo3><E:/Program Files/KuGoo3/KuGoo.exe> [N/A]

腾讯搜搜
<stup.exe><C:/PROGRA~1/TENCENT/Adplus/stup.exe> [Tencent]

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks下面的软件

瑞星杀毒软件
<{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:/WINDOWS/system32/RavExt.dll> [Beijing Rising Technology Co., Ltd.]


服务列表（表三）（只说明除微软以外的，希望有人帮我补充）

正常
不明，但是正常
[Human Interface Device Access / HidServ][Stopped/Disabled]
<C:/WINDOWS/System32/svchost.exe -k netsvcs-->%SystemRoot%/System32/hidserv.dll><N/A>

NVIDIA显卡
[NVIDIA Display Driver Service / NVSvc][Running/Auto Start]
<C:/WINDOWS/system32/nvsvc32.exe><NVIDIA Corporation>

瑞星杀毒软件
[Rising Process Communication Center / RsCCenter][Running/Auto Start]
<"C:/Program Files/Rising/Rav/CCenter.exe"><Beijing Rising Technology Co., Ltd.>
[Rising RealTime Monitor / RsRavMon][Running/Auto Start]
<"C:/Program Files/Rising/Rav/Ravmond.exe"><Beijing Rising Technology Co., Ltd.>

VMware虚拟机
[VMware Authorization Service / VMAuthdService][Running/Auto Start]
<C:/Program Files/VMware/VMware Workstation/vmware-authd.exe><VMware, Inc.>
[VMware DHCP Service / VMnetDHCP][Running/Auto Start]
<C:/WINDOWS/system32/vmnetdhcp.exe><VMware, Inc.>
[VMware Virtual Mount Manager Extended / vmount2][Running/Auto Start]
<"C:/Program Files/Common Files/VMware/VMware Virtual Image Editing/vmount2.exe"><VMware, Inc.>
[VMware NAT Service / VMware NAT Service][Running/Auto Start]
<C:/WINDOWS/system32/vmnat.exe><VMware, Inc.>

金山毒霸


江民杀毒软件


病毒服务

服务对应路径：C:/WINDOWS/system32/rundll32.exe windhcp.ocx,start
其中病毒文件在C:/WINDOWS/system32/windhcp.ocx

服务对应路径：C:/WINDOWS/system32//rundll32.exe windds32.dll,input
其中病毒文件在C:/WINDOWS/system32/windds32.dll

SRE扫描结果：
[Win32 DHCP Service / Win32DHCPsvc][Stopped/Auto Start]
<C:/WINDOWS/system32/rundll32.exe windhcp.dll,start><Microsoft Corporation>
服务对应路径：C:/WINDOWS/system32/rundll32.exe windhcp.dll,start
其中病毒文件在C:/WINDOWS/system32/windhcp.dll

SRE扫描结果：
[ZT Massacre / ZTmassacre][Running/Auto Start]
<C:/WINDOWS/help/ZTpass.exe><N/A>
服务对应路径：C:/WINDOWS/help/ZTpass.exe
其中病毒文件在C:/WINDOWS/help/ZTpass.exe

SRE扫描结果：
[WinXP DHCP Service / WinXPDHCPsvc][Stopped/Auto Start]
<C:/WINDOWS/system32//rundll32.exe xpdhcp.dll,input><Microsoft Corporation>
服务对应路径：C:/WINDOWS/system32//rundll32.exe xpdhcp.dll,input
其中病毒文件在C:/WINDOWS/system32/xpdhcp.dll



驱动列表（表四）（我对驱动也不是非常了解，只介绍某些非正常的，我会不断更新）

Trojan.Agent.bav释放的Trojan.PSW.LMir.jsk
病毒驱动对应路径：C:/WINDOWS/system32/drivers/npf.sys

Trojan.Agent.dex
病毒驱动对应路径：C:/WINDOWS/system32/drivers/KSDT1983.sys

UFO&不幸外人的文章就是这些。