手工清理病毒原來(lái)可以如此簡(jiǎn)單

第一步：知己知彼，百戰(zhàn)百勝

要戰(zhàn)勝AV終結(jié)者，我們先要了解自己的處境和它的特性還有弱點(diǎn)。首先我們來(lái)了解下AV終結(jié)者的執(zhí)行以后的特征：

1.在多個(gè)文件夾內(nèi)生成隨機(jī)文件名的文件

舊版本的AV終結(jié)者在任務(wù)管理器里可以查看2個(gè)隨機(jī)名的進(jìn)程，新的變種文件名格式發(fā)生變化，目前我遇到過(guò)2種。
一種是隨機(jī)8個(gè)字母+數(shù)字.exe和隨機(jī)8個(gè)字母+數(shù)字.dll；另一種是6個(gè)隨機(jī)字母組成的exe文件和inf文件。不管變種多少它們保存的路徑大概都是如下幾個(gè)：
C:\windows
C:\windows\help
C:\Windows\Temp
C:\windows\system32
C:\Windows\System32\drivers
C:\Program Files\
C:\Program Files\Common Files\microsoft shared\
C:\Program Files\Common Files\microsoft shared\MSInfo
C:\Program Files\Internet Explorer
以及IE緩存等

這個(gè)是我個(gè)人總結(jié)出來(lái)的，隨著病毒的變種。獲取還有其他的。我這里只提供參考。

2.感染磁盤(pán)及U盤(pán)

當(dāng)你的系統(tǒng)中了AV終結(jié)者，你會(huì)發(fā)現(xiàn)你的磁盤(pán)右鍵打開(kāi)時(shí)將出現(xiàn)一個(gè)”Auto”也就是自動(dòng)運(yùn)行的意思，此時(shí)你的電腦已經(jīng)中毒了，而且如果你這個(gè)時(shí)候企圖插入移動(dòng)硬盤(pán)、U盤(pán)，或者刻錄光盤(pán)以保存重要資料，都將被感染。這也就為什么許多用戶(hù)重裝完系統(tǒng)甚至格式化磁盤(pán)以后病毒依然的原因。

當(dāng)你重裝完系統(tǒng)，必定會(huì)有雙擊打開(kāi)硬盤(pán)尋找軟件或者驅(qū)動(dòng)的時(shí)候，這個(gè)時(shí)候寄生在你磁盤(pán)根目錄內(nèi)的Autorun.inf文件就起到讓病毒起死回生的功能了。這絕對(duì)不是聳人聽(tīng)聞哦！

3.破壞注冊(cè)表導(dǎo)致無(wú)法顯示隱藏文件

我們一起來(lái)看看磁盤(pán)里的Autorun.inf，因?yàn)榇藭r(shí)你的系統(tǒng)已經(jīng)無(wú)法顯示隱藏文件了。這個(gè)也是AV終結(jié)者的一個(gè)特征，所以我們這里用到幾條簡(jiǎn)單的dos命令。

開(kāi)始菜單-運(yùn)行-輸入“cmd”來(lái)到cmd界面，輸入“D:” 跳轉(zhuǎn)到D盤(pán)根目錄，因?yàn)锳V是不感染C盤(pán)根目錄的，再輸入“dir /a”顯示D盤(pán)根目錄內(nèi)的所有文件及文件夾。“/a”這個(gè)參數(shù)就是顯示所有文件，包含隱藏文件。如圖：

我們看到D盤(pán)內(nèi)多出了Autorun.inf以及隨機(jī)生成的病毒文件017a4901.exe。我們一起看看Autorun.inf的內(nèi)容，輸入”type autorun.inf”，Autorun.inf里的代碼的意思就是當(dāng)你雙擊打開(kāi)、右鍵打開(kāi)、資源管理器打開(kāi)。都會(huì)自動(dòng)運(yùn)行目錄里的 017A4901.exe這個(gè)文件。所以對(duì)于普通用戶(hù)來(lái)說(shuō)，即使你聽(tīng)過(guò)別人勸告，通過(guò)右鍵打開(kāi)企圖避免運(yùn)行病毒也是徒勞的。因?yàn)?ldquo;上有政策下有對(duì)策”，病毒也是在不斷的變種升級(jí)的！當(dāng)然它并不是無(wú)敵的，下文中我們就會(huì)講述如何清理它。

4. 在注冊(cè)表中寫(xiě)入啟動(dòng)項(xiàng)，已達(dá)到自動(dòng)啟動(dòng)

HKEY_CLASSES_ROOT\CLSID\"隨機(jī)CLSID"\\InprocServer32 "病毒文件全路徑"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"隨機(jī)CLSID" "病毒文件全路徑"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks "生成的隨機(jī)CLSID" ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "隨機(jī)字符串" "病毒文件全路徑"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start dword:00000004
其他病毒及變種寫(xiě)入注冊(cè)表的位置不同，下文的實(shí)戰(zhàn)部分我們將詳細(xì)說(shuō)明
 

5.映像劫持技術(shù)

通過(guò)修改注冊(cè)表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options的內(nèi)容達(dá)到劫持幾乎所有主流殺毒軟件，甚至360安全衛(wèi)士這樣的工具的目的，被劫持后的現(xiàn)象是，殺毒軟件無(wú)法自動(dòng)運(yùn)行，實(shí)時(shí)監(jiān)控也無(wú)法啟動(dòng)，雙擊運(yùn)行閃出一個(gè)黑色dos窗口后立刻消失。其實(shí)這個(gè)時(shí)候就是利用劫持技術(shù)轉(zhuǎn)向運(yùn)行了病毒本身。這個(gè)時(shí)候殺毒軟件就徹底倒下了。關(guān)鍵時(shí)刻我們果然還是要靠自己手工清理?。?/p>

6.修改以下服務(wù)的啟動(dòng)類(lèi)型來(lái)禁止Windows的自更新和系統(tǒng)自帶的防火墻

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess Start dword:00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv Start dword:00000004

7.刪除以下注冊(cè)表項(xiàng)，使用戶(hù)無(wú)法進(jìn)入安全模式

HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_CURRENT_USER\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

8.連接網(wǎng)絡(luò)下載更多的游戲木馬、廣告軟件以為病毒作何謀取經(jīng)濟(jì)利益。

9.強(qiáng)制關(guān)閉包含和病毒或者清理病毒或者殺毒軟件有關(guān)的信息的頁(yè)面。

10.注入Explorer.exe和TIMPlatform.exe反彈連接，以逃過(guò)防火墻的內(nèi)墻的審核。

11.新的變種中加入雙進(jìn)程保護(hù)，當(dāng)你結(jié)束一個(gè)進(jìn)程，另一個(gè)進(jìn)程自動(dòng)重新啟動(dòng)它并關(guān)閉你的任務(wù)管理器

第二步：實(shí)戰(zhàn)清理病毒

通過(guò)上面的內(nèi)容相信你已經(jīng)基本了解病毒的運(yùn)作方式，現(xiàn)在殺毒軟件已經(jīng)“下崗”了，那么現(xiàn)在我們就靠自己的雙手將它驅(qū)逐出去，還您一片藍(lán)色的天空吧！

首先介紹今天的主角：WinPe 老毛桃修改版

這是一個(gè)類(lèi)似windows98的操作系統(tǒng)。它體積很小只有幾十M，現(xiàn)在很多系統(tǒng)安裝版里都集成了這個(gè)軟件，或者你也可以上網(wǎng)下載一個(gè)iso文件。用虛擬光驅(qū)運(yùn)行，會(huì)有安裝到系統(tǒng)的功能，所以沒(méi)有刻錄機(jī)的朋友一樣可以使用它，當(dāng)然它還有U盤(pán)版。我今天使用的是光盤(pán)版，或許你會(huì)問(wèn)“為什么要用這個(gè)操作系統(tǒng)？他和xp有什么區(qū)別呢？難道用他就不會(huì)開(kāi)機(jī)運(yùn)行病毒了？”

是的！說(shuō)的沒(méi)錯(cuò)！因?yàn)閃inPe是光盤(pán)或本地安裝出來(lái)的一個(gè)虛擬磁盤(pán)的操作系統(tǒng)，他和系統(tǒng)本身是沒(méi)有掛鉤的，所以不會(huì)啟動(dòng)windows注冊(cè)表里的啟動(dòng)項(xiàng)。這個(gè)的帶來(lái)的優(yōu)勢(shì)就是我們可以在病毒啟動(dòng)之前就把他刪除掉！設(shè)想，一個(gè)病毒雖然在注冊(cè)表里配置的啟動(dòng)項(xiàng)，但是他的原始病毒文件已經(jīng)不存在了。和談啟動(dòng)運(yùn)行？這就是我們今天的重點(diǎn)思路！在病毒啟動(dòng)以前將病毒文件全部刪除，讓他有心無(wú)力！

下面是winpe下操作的截圖：

是不是和98或者2003很像？Winpe的另一個(gè)好處就是，我們前面提到的磁盤(pán)感染Autorun.inf對(duì)它也是無(wú)效的。右鍵是沒(méi)有”Auto”這個(gè)選項(xiàng)的，所以我們?cè)趙inpe下可以放心的雙擊盤(pán)符而不會(huì)運(yùn)行病毒！

我們首先來(lái)清理掉最容易找到的病毒文件——磁盤(pán)根目錄下的感染文件

除了C盤(pán)以外的每個(gè)盤(pán)根目錄下都有，一定要記得全部刪除！

刪除的文件包括Autorun.inf和那個(gè)隱藏的exe文件，有的病毒隱藏文件是.pif或cmd或別的什么，因?yàn)閏盤(pán)根目錄沒(méi)這些感染文件。所以我可以告訴大家一個(gè)訣竅：

刪除除C盤(pán)以外，所以盤(pán)目錄下的隱藏文件（不包括文件夾）就可以了。

好接下來(lái)看看我們前面提到的其他文件夾：

C:\windows
C:\windows\help
C:\Windows\Temp
C:\windows\system32
C:\Windows\System32\drivers
C:\Program Files\
C:\Program Files\Common Files\microsoft shared\
C:\Program Files\Common Files\microsoft shared\MSInfo
C:\Program Files\Internet Explorer
在windows文件夾下我們發(fā)現(xiàn)了017A4901.hlp和我們上面說(shuō)的一樣

所以我們利用winpe的文件搜索功能搜索” 017A4901”將其他病毒文件都挖出來(lái)

當(dāng)我們把上面找到的這些文件全部清理完畢以后再搜索看看。是不是已經(jīng)沒(méi)有了？

那么現(xiàn)在A(yíng)V終結(jié)者也“下崗”了。注冊(cè)表里的所謂映像劫持、自動(dòng)啟動(dòng)、雙進(jìn)程保護(hù)都已經(jīng)形同虛設(shè)了！
這個(gè)時(shí)候你會(huì)發(fā)現(xiàn)你可以上殺毒軟件的網(wǎng)站了

    現(xiàn)在我們來(lái)徹底將病毒的啟動(dòng)請(qǐng)出我們的電腦吧（注意：這個(gè)時(shí)候建議先不要運(yùn)行殺毒軟件，避免還有殘留的我們沒(méi)發(fā)現(xiàn)的病毒殘留文件通過(guò)映像劫持再度重生?。?/p>

    開(kāi)始菜單-運(yùn)行-輸入“regedit”打開(kāi)注冊(cè)表

 
    使用模糊查詢(xún)搜索我們剛才的病毒文件。不要包括擴(kuò)展名，因?yàn)橛械牡胤绞且悦肿鲎?cè)表項(xiàng)的，我們同時(shí)勾選 項(xiàng)、值、以及數(shù)據(jù)。確保不放過(guò)一個(gè)敵人！

    我們找到一個(gè)CLSID 為{A490017A-017A-4901-7A49-17A9017A4901}的項(xiàng)里面保存著病毒名稱(chēng)和路徑：

    我們刪除這個(gè)項(xiàng)，然后按下F3繼續(xù)搜索下一個(gè)，找到就把它刪除。這里要注意一個(gè)問(wèn)題。如果你搜索出來(lái)的注冊(cè)表項(xiàng)里面有很多個(gè)值，千萬(wàn)不要盲目刪除項(xiàng)。只要?jiǎng)h除包含病毒文件名稱(chēng)和路徑的部分就可以了！避免系統(tǒng)崩潰！接下來(lái)刪除映像劫持部分的注冊(cè)表內(nèi)容搜索Image File Execution Options既可來(lái)到

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options這個(gè)位置。你會(huì)發(fā)現(xiàn)里面幾乎包含了所有你知道的殺毒軟件的進(jìn)程名，病毒就是通過(guò)識(shí)別這些進(jìn)程名來(lái)進(jìn)行劫持的。所以有的時(shí)候你可以通過(guò)修改程序的名稱(chēng)。比如把360safe.com改為xxx.exx就可以運(yùn)行了。當(dāng)然不是絕對(duì)。例如對(duì)AV終結(jié)者就是無(wú)效的，因?yàn)樗R(shí)別的是窗體標(biāo)題。所以你可以發(fā)現(xiàn)的殺毒軟件他們推出的專(zhuān)殺工具一般都是.com的擴(kuò)展名，而且運(yùn)行時(shí)候是沒(méi)有標(biāo)題的。這個(gè)就是為了防止被感染或者被強(qiáng)制關(guān)閉。

    第三步：收拾戰(zhàn)場(chǎng)，修復(fù)系統(tǒng)

    首先我們重新啟動(dòng)重新上崗就業(yè)的殺毒軟件。這里我使用360安全衛(wèi)士，因?yàn)獒槍?duì)非感染exe類(lèi)型的病毒，360足夠應(yīng)付了，而且速度快很多。

 
    選擇查殺流行木馬。好的，檢測(cè)結(jié)果。已經(jīng)沒(méi)有木馬病毒了。下一步我們重啟啟動(dòng)被病毒關(guān)閉的防火墻以及系統(tǒng)自動(dòng)更新的服務(wù)，我的電腦-右鍵-管理-服務(wù)和應(yīng)用程序-服務(wù)，找到windows firewall開(kāi)頭的服務(wù)右鍵屬性，啟動(dòng)類(lèi)型改為自動(dòng)，再找到Automatic Updates這個(gè)服務(wù)，同樣將啟動(dòng)類(lèi)型改為自動(dòng)

下面修復(fù)安全模式：將如下代碼保存為1.reg 然后運(yùn)行導(dǎo)入既可

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

    將如下代碼保存為2.reg運(yùn)行導(dǎo)入后文件夾選項(xiàng)里重新出現(xiàn)“隱藏受系統(tǒng)保護(hù)的操作系統(tǒng)文件，以及“隱藏文件和文件夾”選項(xiàng)，選擇顯示后即可和一樣一樣，正常情況下不需要去設(shè)置，隱藏的病毒文件已經(jīng)被我們刪除了，需要的人可以自行選擇

    Windows Registry Editor Version 5.00 
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN] 
    "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" 
    "Text"="@shell32.dll,-30501" 
    "Type"="radio" 
    "CheckedValue"=dword:00000002 
    "ValueName"="Hidden" 
    "DefaultValue"=dword:00000002 
    "HKeyRoot"=dword:80000001 
    "HelpID"="shell.hlp#51104"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] 
    "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" 
    "Text"="@shell32.dll,-30500" 
    "Type"="radio" 
    "CheckedValue"=dword:00000001 
    "ValueName"="Hidden" 
    "DefaultValue"=dword:00000002 
    "HKeyRoot"=dword:80000001 
    "HelpID"="shell.hlp#51105"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden] 
    "Type"="checkbox" 
    "Text"="@shell32.dll,-30508" 
    "WarningIfNotDefault"="@shell32.dll,-28964" 
    "HKeyRoot"=dword:80000001 
    "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" 
    "ValueName"="ShowSuperHidden" 
    "CheckedValue"=dword:00000000 
    "UncheckedValue"=dword:00000001 
    "DefaultValue"=dword:00000000 
    "HelpID"="shell.hlp#51103"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

    重新啟動(dòng)后。您的電腦又是一片藍(lán)色的天空。

    自此，菜鳥(niǎo)們?cè)僖膊挥脼橹卸緹懒耍匮b系統(tǒng)和格式化，不再是噩夢(mèng)！建議重啟后用殺毒軟件徹底查殺整個(gè)硬盤(pán)避免存在感染exe型病毒哦！偷懶的人跳過(guò)前面的介紹直接看操作實(shí)戰(zhàn)，是不是覺(jué)得非常容易？以后你也可以輕易的告訴MM電腦中毒？找我就行！重裝既浪費(fèi)時(shí)間，又不能徹底解決問(wèn)題哦！希望大家看完我的文章能夠?qū)W會(huì)舉一反三，輕松應(yīng)對(duì)各種各樣病毒哦！