国际米兰

标题: 中毒之个人愚见 [打印本页]

作者: 115960452 时间: 2008-2-26 15:46:09 标题: 中毒之个人愚见

在网上看到很多中毒求助的帖子。

一般人对于病毒木马的防范只是靠杀毒软件防范，现在杀毒软件越来越"垃圾"对于木马的清除出现了一些真空的现象。

在些把我自己的日常杀毒方法给大家介绍下，希望有所帮助吧。

一般的病毒木马，用不着进安全模式就可以解决。
但正常的病毒木马都必须进安全模式才能清除掉。（怎样进安全模式--在开机后一直按F8就会出现一队菜单，菜单中就有安全模式，现在有的机子可能不是F8，有F2，F11的。）
我水平不高，只能依靠工具，手工杀毒还是不大习惯。
用到的工具如下：
sreng2（用来清除启动项，观察HOSTS文件，浏览器加载项，服务项等。）这是最主要的工具。
IceSword（这主要用来删除文件，里面很多项我没掌握怎样用。）
下载地址：
http://iask.sina.com.cn/h/user.php?uid=1463023651

步骤如下：一.打开sreng2，先看启动项

这几项不删除外，其他启动项均可以删除。这样病毒木马就不能开机启动了。
然后再看启动文件夹，这里面的可以全部删除。
继续看服务，服务里有两个一个是应用程序，一个是驱动程序（至今我仍然不能通过驱动程序来检查，里面的东西太多。）点击应用程序，查看有哪些服务启动了的，在右下角可以勾选隐藏已认证的服务，那样更加清楚的看到哪些服务启动了，通过上网查，能发现病毒木马的服务，把他删除掉。
二。利用软件带的系统修复，修复一下电脑。
至此一般的病毒木马启动项，服务均被删除掉了。
然后用杀软或者清除木马的工具杀之。在这推荐（windows清理助手www.arwsp.com）

这是我的方法，技术不到家只能靠工具的帮忙。

可以参考红色代码(www.54master.com网站站长)写的这篇文章
处理病毒的基本思想、彻底剖析经常中毒的原因、为什么格盘重装还是有病毒？

中毒？当然是因为你做人不厚道，难道还有其他原因？？

开个玩笑哈，表介意。下面又是一篇需要边看边思考的唠叨文章，没有足够的时间就先别看了。

一、处理病毒的基本思想是什么？

从对知识的苛求，对病毒的清晰认识这方面出发，当我们遇到一个病毒时，首先要做的事是杀毒吗？不是！首先是要知道这是个什么病毒，通过在搜索引擎查你的不正常现象就能知道（比如你发现你的图标变成了熊猫，自然会查出是熊猫烧香）。

然后要做的，是通过搜索引擎查病毒名，尽可能多的掌握这个病毒的基本特点，包括：
·它会生成哪些文件，每个文件在什么目录下，是什么属性……
·它会造成哪些破坏，比如会不会删除你的数据，会不会感染你的可执行文件……
·它会通过哪些方式来在开机时启动自己，在使用过程中再次激活自己……
·它是否会修改注册表、HOSTS文件……
·是否有手工清除的完善方案

当你了解到以上信息时，无论你的技术水平如何，我认为你都应该首选以手工方式来杀毒，杀毒软件是下一步的选择。对照上面你找到的信息，我们来看一下如何手工处理。

·它会生成哪些文件，每个文件在什么目录下，是什么属性……删除每一个文件！可执行文件如果不让删，就结束掉其进程再删；dll文件如果不让删，就注销掉（regsvr32 /u dll文件名）这个dll然后再删除，注销不掉的到安全模式下去删；sys文件如果删不掉，到安全模式下去删。
·它会造成哪些破坏，比如会不会删除你的数据，会不会感染你的可执行文件……如果删除了数据，如果没有备份则可以尝试使用finaldata等数据恢复工具恢复，如果数据被修改就只有用备份恢复了。如果感染了可执行文件，那么这些被感染的可执行文件当然不能再执行它们，要么用备份或剥离工具来恢复，要么全部删除，在杀毒后再重新安装它们。
·它会通过哪些方式来在开机时启动自己，在使用过程中再次激活自己……修改注册表、修改autoexec.bat、修改%userprofile%\程序\启动、增加类型为“自动”的服务……都是病毒常见的伎俩，利用这些修改来使自己在开机时获得启动机会，你要做的自然是删除它们！在每个盘跟目录下增加autorun.inf、修改文件关联，则成为最常见的在使用电脑过程中再次激活病毒的方式，删除和修复也是必需的！
·它是否会修改注册表、HOSTS文件……几乎所有的病毒都会修改注册表，RUN项是最常光顾的地方，所以你必须要很熟悉这个地方！当然还有其他一些莫名其妙的地方（不常见的）也会被病毒修改来达到自己的目的。修改HOST的目的通常是想让你在访问正常网站（比如baidu）时跳到含有病毒的页面上，或者让你在访问瑞星等杀毒软件站点的页面时也跳到含有病毒的页面上。你只需要打开HOSTS文件看看其中的内容就知道了，正常情况下除了localhost 127.0.0.1这句外，其他的都可能是病毒修改的，删除它们！
·是否有手工清除的完善方案……实际上以上这些就是完善的解决方案了，当然如果在你查到的资料里直接有12345一样的步骤告诉你怎么做更好。

PS：一般来说，虽然你感染病毒，但操作系统是不会有太大的损坏的，否则连操作系统都不能正常操作甚至不能启动了，病毒还有意义吗？所以从这个角度讲，格C盘几乎是完全没有必要的！格C盘无非是想创造一个干净的操作系统，但实际上操作系统往往就是干净的，只是在操作系统的目录中混进了一些病毒文件，它们利用操作系统的技术特点在起着危害。所以我们只需要找到并删除它们，操作系统自然就干净了。通常这个过程只需要20分钟。而重装系统、驱动、软件的时间至少在2个小时。当然你用干净的GHOST备份去恢复也是不错的选择——干净的GHOST。

接下来要做的，当然是根据上面的分析，手工处理来干掉这个病毒！可能在头几次，你每进行一步操作自己都会怀疑这么做是不是对的，是不是有效……但反过来想，既然都有重做系统的打算，为什么不在这个系统上练手呢？或许自己真的成功了，以后就知道怎么做了。这里要说的是，在操作的每一步里有很多细节东西要学，你心里的任何疑问都不要成为日后的问题，应该立刻去问搜索引擎。

当这些都进行完，你应该重新启动一下，然后看看杀毒前的不正常现象是否还存在，那些被你删除的文件是否又出现。如果没有出现异常情况和病毒文件，恭喜你，你成功了！如果还有，一定是什么环节出了问题，根据步骤再检查一遍。

如果还不确定，你的杀毒软件/专杀工具该出场了！用它来扫描一遍硬盘，如果你的病毒库够新的话，结果应该是可信的。

PS：为什么杀毒软件在最后出场？一方面可能是偶的个人原因，杀毒软件一向只作为防御产品，病毒都是手工解决。个人认为技术的成长就是通过一次又一次手工处理病毒的过程中积累起来的，使用杀毒软件却不需要任何技术，回点鼠标就可以了。另一方面是杀毒软件都很笨，它们没有大脑去思考。它们根据特征码等元素去判断文件是不是病毒，这个出发点本身就是不完美的。同时它们只能清除/删除掉病毒，却不能删除病毒生成的垃圾文件，不能修复各种破坏，甚至有时候连注册表的重要项都不会修复——杀毒软件只是就事论事，从不完美解决问题，也不会告诉你如何预防下一次病毒的袭击，不会教你改密码、打补丁……所以我们应该首先相信自己，其次才是依赖杀毒软件。

二、为什么你老中毒？

实际上问题很简单：你从来没有追究过帖子标题里写到的原因，你从来只是遇到问题解决问题，不去关心问题背后隐藏的事实真相。通俗一点，当你遇到一个病毒时你心里所想的只有一件事：赶紧把它清除掉。至于这个病毒怎么进入你电脑的，以后还会不会来，会不会有其他病毒来……这些事情你根本不关心，或者只是当时关心几秒钟，马上就忘干净了。

老中毒，换句话说就是经常有病毒会莫名其妙的进入你的电脑，要搞清楚这个问题，就需要知道这些病毒都是从什么地方通过什么途径进来的，通俗点讲，这个该死的病毒文件是如何出现在你的硬盘上的？当然不会是你自己COPY过去的吧？

好，让我们来分析一下各种常见的感染病毒的途径，这些途径分为主动和被动两种类型。主动是说病毒主动攻击你的电脑，自己把自己COPY到你的硬盘上去；被动是说因为你的一些不当操作，导致病毒文件被感染进硬盘。以下为这些常见感染途径：
·杀毒不彻底留下祸根——病毒感染后，所有的文件必须一次清理干净，只要有一个文件给病毒机会，一切都会死灰复燃。通常这种问题是手工杀毒中遇到的，比如你只删除了system32中的病毒文件，却没有发觉埋伏在其他盘根目录下的autorun.inf，后果就可想而知了。
·为图省事，系统未设密码或设置了极其简单甚至白痴的密码——病毒会主动攻击到你的系统里，各种别有用心的人会轻而易举的从你的硬盘上拿走任何他想要的东西，说严重点，知道了你的密码，就等于坐在你的电脑前了。对病毒来说也是这样的。如何修改密码
·没有安全意识，装完系统后从不打补丁或者在很久以前打过补丁——微软的Windows就像一个筛子，打全所有的补丁后你发现漏洞文件的大小甚至比操作系统本身还大（汗一个先），所以你必须确保系统打过所有的补丁（至少是重要补丁），这样才不能让病毒通过系统漏洞攻进来。而几乎每次一个重大漏洞被公布后，在一个月内绝对会出现针对太漏洞的蠕虫，而且无一例外会席卷全球，造成重大破坏，冲击波、震荡波等病毒都是如此。原因就是全世界有几十亿人在上网，却只有几十万人安全意识满足安全的要求。
·系统或安全相关程序未进行过安全相关设置——远程注册表关闭了吗？默认共享删除了吗？单机的server服务关闭了吗？自动更新打开了吗？杀毒软件自动更新和监控随机启动正常吗？防火墙经过配置了吗？……实际上要做的事还很多，并不是操作系统或应用程序的过错，实在是网络太脆弱，病毒太猖獗，不良用心的人太多。
·好奇心强，经常浏览各种乱七八糟网站、下载来历不明的东西也不检查——当你发现你的msconfig的启动项里打满了勾，当你发现IE被装满了工具条，当你发现桌面上什么助手什么秘书等图标出现了一堆，莫名其妙的自己弹出广告图片或页面，当你发现一开机就有40多个进程……晚了！通过这些途径不但能感染病毒，更多的是各种流氓软件，它们能让你痛不欲生。所以放弃你的一切好奇心，一切来自网络的文件都不是100%可信的，瑞星的专杀工具曾经都被病毒感染过，还有什么可信呢？只有自己的技术和安全意识是可信的，即使还不够好。

三、为什么格C盘重装后还是会很快感染？

这个问题问的好！很久没有遇到像这样容易回答的简单问题了。总结一下，原因如下：
·没有做到上面第二个问题说过的那些事，你的电脑根本没有安全性可言，中了毒很正常，不中毒才值得研究。特别是当你的电脑处于一个局域网中，而这个局域网中所有的电脑几乎都这样，而你还插着网线跟这些电脑相连接……天，几乎可以肯定，你这个没有密码没有安全设置的新装好的系统只要敢开机连网，在5分钟内一定会被病毒再次光顾，你一两个小时的工作算白干了。
·除了C盘，其他盘还有病毒。最常见的是在其他盘根目录下隐藏了autorun.inf和对应的exe文件。这样当你辛辛苦苦格完后装完了系统，按照习惯双击打开一个其他盘时，发现不但没有打开，反而马上中了毒！还有比如病毒感染了所有的可执行文件，然后你就不小心（或者是根本意识不到）的运行了D盘的一个可执行文件，恭喜了，马上死灰复燃。
·你感染了引导区病毒，格式化C盘和杀毒没有任何关系，因为病毒不在C盘。当然在21世纪这样的概率太小了，如果你不小心中了，请马上去买彩票。

作者: InterShine 时间: 2008-2-26 15:58:08

感谢分享自己的杀毒经验，我也觉得养成一个好的上网习惯很重要：
1.首先选择一款安全性高的浏览器（我推荐OPERA或者FIREFOX）；
2.安装防病毒软件（要更安全最好再装上防火墙，不过我就用XP自带的）；
3.下载文件（包括QQ上别人传给你的文件）要小心（下好之后最好先查毒再打开）；
4.安装插件要小心（推荐使用超级兔子查杀流氓软件）；
5.记住常见系统进程和服务（一旦发现进程里有莫名其妙的程序，你就要小心了）

剩下的其他兄弟们补充吧！！！

作者: 流水落花 时间: 2008-2-26 18:18:48

為什麽我老不中毒？也許我還沒遇上真正的高手，也許我上網習慣太好了

作者: 国米地韩国饭 时间: 2008-2-26 18:28:47

电脑中毒是必经的`不中才奇怪`就像人感冒一样`

现在上网一般也就是木马`IE`之类的`一般的也能应付``

看情况视之```

作者: 流水落花 时间: 2008-2-26 18:30:49

是啊，中多了就知道對策了，百毒不侵了

作者: 蓝黑我的生命 时间: 2008-2-26 18:56:51

[ecms9] 我经常出现打印机那个病毒，怎么解决啊，spoolss.exe

作者: 流水落花 时间: 2008-2-26 18:58:06

原帖由 蓝黑我的生命 于 2008-2-26 18:56 发表
[ecms9] 我经常出现打印机那个病毒，怎么解决啊，spoolss.exe

百度下看看，我不用打印機的

作者: 115960452 时间: 2008-2-27 08:27:56

spoolss - spoolss.exe - 进程信息

进程文件: spoolss or spoolss.exe
进程名称: Printer Spooler Subsystem
描述: Windows打印机控制子程序用以调用需要打印的内容从磁盘到打印机。
常见错误: N/A
是否为系统进程: 否

作者: 115960452 时间: 2008-2-27 08:29:31

原帖由 蓝黑我的生命 于 2008-2-26 18:56 发表
[ecms9] 我经常出现打印机那个病毒，怎么解决啊，spoolss.exe

确定这进程是病毒?

网上查了下没有把这进程定义成病毒木马的.

作者: 115960452 时间: 2008-2-27 08:31:23

原帖由 InterShine 于 2008-2-26 15:58 发表
感谢分享自己的杀毒经验，我也觉得养成一个好的上网习惯很重要：
1.首先选择一款安全性高的浏览器（我推荐OPERA或者FIREFOX）；
2.安装防病毒软件（要更安全最好再装上防火墙，不过我就用XP自带的）；
3.下载文件 ...

对电脑不熟悉的人养成习惯是不那么容易的.

经常接触病毒的人,如果病毒一出现自己就有感觉,偶现在没用杀软,防火墙,一样OK!

下载文件一般可以采用下载完成后杀毒,迅雷上提供!

作者: 2两 时间: 2008-2-28 12:01:01

打印机那个病毒我见过，很烦人，cpu很吃力
顺便看看签名

作者: 115960452 时间: 2008-2-28 14:53:56

http://bbs.bitscn.com/96348
http://zhidao.baidu.com/question/13136546.html?si=1

暂时还没有遇见过这病毒.只能在网上查资料来帮了...

应该也不是很麻烦...(至少没机器狗麻烦)

作者: 流水落花 时间: 2008-2-28 15:39:21

[ecms3] AV终结者很麻烦,刚出来那阵,我们班电脑完蛋了4台~~~

现在专杀做的比较成熟了,还好

作者: sjz风之子 时间: 2008-2-28 16:54:33

昨天晚上看球CN貌似有病毒

作者: 龙追日 时间: 2008-2-28 22:20:13

不乱下东西很少中毒………………………………

作者: 雷科吧2008 时间: 2008-2-28 23:54:40

前几天看广告，现在有一种反病毒硬件~~也不知道是什么~

作者: 流水落花 时间: 2008-2-29 10:53:44

很多主板就有~~~~~~~~`

作者: 115960452 时间: 2008-2-29 10:59:45

反病毒的软件和硬件肯定比不上病毒的发展快。
[ecms4]

作者: 流水落花 时间: 2008-2-29 12:09:41

那是，他們先自己開發病毒，然後再慢慢出殺軟

作者: zxwind 时间: 2008-2-29 12:44:08

嗯，我和楼主的方法差不多
找到不正常的开机加载项，然后kill
杀毒软件基本没什么用.....

作者: hyj830905 时间: 2008-2-29 13:08:42

c:\windows

c:\MY docset \local setting

c:\temp

c:\program file

c:\windows\system

c:\windows\system32

个人认为：把这些文件夹设好权限，就不容易中招了

作者: 流水落花 时间: 2008-3-1 12:51:23

AMD AM2 Athlon 64 X2 4200+(65nm)采用65nm制程，核心代号为Brisbane，主频为2.2GHz，外频为200MHz，倍频为11，二级缓存为512K*2。核心工作电压为1.25V，TDP功耗为65W，产品支持MMX、3DNOW!+、SSE、SSE2、SSE3、NX-bit(防毒)以及X86-64指令集。

這就是所謂硬件防毒么[ecms3]

欢迎光临国际米兰 (http://bbs.inter.net.cn/)