手工杀毒之“三十六计”

network · 发表于 2007-12-29 06:05:14

手工杀毒之“三十六计” 2007-12-26 23:07:07
　标签：病毒杀毒安全　

电脑用户与病毒、木马的斗争不亚于一场战争，而且旷日持久!战争中，杀毒软件或存妇人之仁，不能除恶务尽，或悄无声息地倒下了。伟大的孙子兵法，不仅被应用于人类社会的战争，而且适用于这场战争。在与病毒、木马的赤膊大战中灵活运用孙子兵法，你就会取得最后的胜利。下面看我手工杀毒之“三十六计”...... 　　一、声东击西
　　说明：在平常的操作中，一些病毒因为正被调用而无法删除，我们常常要到DOS环境下查杀。根据病毒、木马运行的机制，我们可以采用忽东忽西，即打即离的战术，制造假象，引诱它们作出错误判断，然后乘机歼灭它们。
　　实例：我遭遇一个无法删除的病毒“C：\Program Files\Common Files\PCSuite\rasdf.exe”，同时也无法复制这个文件，如何清除它?
　　工具：Windows自带的备份程序
　　操作：
　　第一步：单击“开始→所有程序→附件→系统工具→备份”，打开备份或还原向导窗口，备份项目选择“让我选择要备份的内容”，定位到“C:\Program Files\Common Files\PCSuite”。
　　第二步：继续执行备份向导操作，将备份文件保存为“g:\virus.bkf”，备份选项勾选“使用卷阴影复制”，剩余操作按默认设置完成备份。
　　第三步：双击“g:\virus.bak”，打开备份或还原向导，把备份还原到“g:\virus”。接着打开“g:\virus”，使用记事本打开病毒文件“rasdf.exe”，然后随便删除其中几行代码并保存，这样病毒就被我们使用记事本破坏了(它再也无法运行)。
　　第四步：操作同上，重新制作“k:\virus”的备份为“k:\virus1.bkf”。然后启动还原向导，还原位置选择“C：\Program Files\Common Files\PCSuite\”，还原选项选择“替换现有文件”。这样，虽然当前病毒正在运行，但备份组件仍然可以使用坏的病毒文件替换当前病毒(见图1)。还原完成后，系统提示重新启动，重启后病毒就不会启动了(因为它已被记事本破坏)，现把病毒删除即可。
　　

　　图1
　　举一反三：遇到类似的正在运行的，无法删除的病毒、木马都可以采用这种方法。
二、借刀杀人
　　说明：面对病毒，在杀毒软件都束手无策的情况下，我们可以利用系统中的程序进行病毒、木马的清理往效果奇佳。真可谓，敌已明，友未定，引友杀敌，不自出力，以损异己。
　　工具：记事本
　　实例1：双进程木马的查杀
　　描述：现在，越来越多的木马采用双进程守护技术保护自己，就是两个拥有同样功能的代码程序，不断地检测对方是否已经被别人终止，如果发现对方已经被终止了，那么又开始创建对方，这给我们的查杀带来很大的困难。不过，此类木马也有“软肋”，它只通过进程列表进程名称来判断被守护进程是否存在。这样，我们只要用记事本程序来替代木马进程，就可以达到“欺骗”守护进程的目的。
　　操作：下面以查杀“Falling Star”变种木马为例。中招该木马后，木马的“internet.exe”和“systemtray.exe”两个进程会互相监视。当然，我们中招的时候大多不知道木马具体的监护进程。不过，通过进程名称可以知道，“systemtray.exe”是异常的进程，因为系统正常进程中没有该进程。下面使用替换方法来查杀该木马。
　　第一步：单击“开始→运行”，输入“Msinfo32”打开系统信息窗口，展开“系统摘要→软件环境→正在运行任务”，这里可以看到“systemtray.exe”路径在“C:\Windows\System32”下(见图2)。
　　

　　图2
　　第二步：打开“C:\Windows\System32”，复制记事本程序“notepad.exe”到“D:\” ，同时重命名为“systemtray.exe”。
　　第三步：打开记事本程序，输入下列代码，保存为“shadu.bat”，放置在桌面(括号为注释，无须输入)：

@echo off
　　Taskkill /f /im systemtray.exe (使用taskkill命令强行终止“systemtray.exe”进程)
　　Delete C:\Windows\System32\systemtray.exe (删除病毒文件)
　　Copy d:\systemtray.exe C:\Windows\System32\(替换病毒文件)

　　第四步：现在只要在桌面运行“shadu.bat”，系统会将“systemtray.exe”进程终止并删除，同时把改名的记事本程序复制到系统目录。这样，守护进程会“误以为”被守护进程还存在，它会立刻启动一个记事本程序。
　　第五步：接下来我们只要找出监视进程并删除即可，在命令提示符输入:
　　“taskkill /f /im systemtray.exe ”，将守护进程再生的“systemtray.exe”终止，可以看到“systemtray.exe”进程是由“PID 3288的进程”创建的，打开任务管理器可以看到“PID 3288的进程”为“internet.exe”，这就是再生进程的“元凶”(见图3)。
　　

　　图3
　　第六步：按照第一步方式，打开系统信息窗口可以看到“internet.exe”也位于系统目录，终止“internet.exe”进程并进入系统目录把上述两个文件删除即可。
　　实例2：使病毒失效并删除
　　描述：大家知道，文件都是由编码组成的，记事本程序理论上可以打开任意文件(只不过有些会显示为乱码)。我们可以将病毒打开方式关联到记事本，使之启动后变成由记事本打开，失去作恶的功能。比如，一些顽固病毒常常会在注册表的“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”等启动位置生成难以删除的键值，达到恶意启动的目的。下面使用记事本来“废”掉病毒的生命力。
　　操作：
　　第一步：启动命令提示符，输入“ftype exefile=notepad.exe %1”，把所有EXE程序打开方式关联到记事本程序，重启系统后我们会发现桌面自动启动好几个程序，这里包括系统正常的程序如输入法、音量调整程序等，当然也包括恶意启动的流氓程序，不过现在都被记事本打开了。
　　第二步：根据记事本窗口标题找到病毒程序，比如上例的systemtray.exe程序，找到这个记事本窗口后，单击“文件→另存为”，我们就可以看到病毒具体路径在“C:\Windows\System32”下。现在关掉记事本窗口，按上述路径提示进入系统目录删除病毒即可(见图4)。
　　

　　图4
　　第三步：删除病毒后就可以删除病毒启动键值了，接着重启电脑，按住F8，然后在安全模式菜单选择“带命令提示的安全模式”，进入系统后会自动打开命令提示符。输入“ftype exefile="%1"%*”恢复exe文件打开方式即可。
　　举一反三：除了记事本之外，其实系统的很多应用程序都可以借用来杀病毒，另外一些编辑软件都可以。
三、瞒天过海
　　说明：现在病毒都会采用IFO的技术，通俗的讲法是映像劫持，利用的是注册表中的如下键值
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options位置来改变程序调用的，而病毒却利用此处将正常的杀毒软件给偷换成病毒程序。恰恰相反，让我们自己可以利用此处欺瞒病毒木马，让它实效。可谓，瞒天过海，还治其人。
　　实例：屏蔽某未知病毒KAVSVC.EXE
　　操作：
　　第1步先建立以下一文本文件，输入以下内容，另存为1.reg

Windows Registry Editor Version 5.00
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSVC.EXE]
　　"Debugger"="d:\\1.exe"
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSVC.EXE]
　　"Debugger"="d:\\1.exe"
　　(注：第一行代码下有空行。)

　　第2步双击导入该reg文件后，确定。
　　第3步点“开始→运行”后，输入KAVSVC.EXE的结果如图5所示。
　　

　　图5
　　提示：1.exe可以是任意无用的文件，是我们随意创建一个文本文件后将后缀名.txt改为.exe的，
　　举一反三：我们也可以用这种方法对其它的系统组件进行劫持，比如cmd.exe,regedit.exe限制用户使用它们，加固系统安全，网吧或者局域网中可以使用。
四、釜底抽薪
　　说明：“不请自到”、“赖着不走”的IE插件、流氓软件犹如附骨之蛆，往往在我们下载安装软件时就悄无声息偷偷潜入系统，让用户不胜其烦。要想彻底杜绝流氓软件，唯一的办法是刮骨疗伤，将流氓软件这些“毒瘤”从正常的工具软件中剥离出来。而剥离手术也并非像大家想象的那般复杂，借助于UniversalExtractor的帮助，快车就可以将下载和剥离工作一气呵成。
　　实例：分离出软件中的恶意软件，打造纯净的安装文件。
　　工具：
　　1.UniversalExtractorV1.6.0完全汉化绿色版
　　下载地址：[url=http://soft11.greendown.cn/200712/uniextract16.exe]http://soft11.greendown.cn/200712/uniextract16.exe[/url]
　　2.Flashget(网际快车)
　　下载地址：[url=http://down5.flashget.com/fgcn_321.exe]http://down5.flashget.com/fgcn_321.exe[/url]
　　操作：
　　1.准备：
　　第一步:启动Flashget，在程序主界面中单击“工具→选项”命令，打开选项窗口。单击“病毒防护”标签，在其下选择“下载完毕后进行病毒检查”复选框，然后单击“浏览”按钮，在弹出的对话框中选择UE文件夹中的可执行文件“UniExtract.exe”。清空“自动进行病毒检查的文件扩展名”文本框中原有的内容，将需要自动解压的压缩文件的扩展名键入进来，如“.EXE;.ZIP;.RAR;.7Z;.CAB;.GZ;.Z;.TAR;.ARJ;.LZH;.TGZ”，单击“确定”按钮之后将UE加入列表中，然后单击“确定”按钮退出选项窗口。
　　第二步:打开资源管理器，进入到快车安装目录，找到“Language”目录下的“JCCHS.ini”文件，该文件是快车的语言配置文件，通过修改该文件可以更改快车的显示菜单项目。双击用记事本打开该文件，然后单击“编辑→替换”，在打开的对话框中以“病毒检查”为关键字进行搜索替换，将原内容替换为“提取文件”，最后存盘退出。
　　第三步:现在回到快车主界面，在已下载列表框中，在任意一个已下载的软件上单击鼠标右键，这时我们会发现，原本灰色不可用的“病毒检查”已经不见了，取而代之的是激活可用的“提取文件”(见图6)。
　　

　　图6
　　2.抽薪：
　　我们以对下载PC清理王1.58抽薪为例,
　　下载地址:[url=http://down2.tech.sina.com.cn/down/0701/PCCleaner176.exe]http://down2.tech.sina.com.cn/down/0701/PCCleaner176.exe[/url]
　　第一步:将PC清理王的下载地址添加到快车中进行下载，下载完成后，在已下载列表框中选中下载回来的PC清理王，然后右键单击“提取文件”命令，这时会自动启动UE，在UE对话框中直接单击“确定”按钮(见图7)。
　　

　　图7
　　第二步:UE会自动将压缩包解压，然后从压缩包中将InnoSetup、InstallShield、WinodwsInstaller、NSIS等常见的安装程序一一提取出来，同时会显示提取的文件和进度。
　　第三步:提取完毕，打开资源管理器，定位到解包后文件的输出文件夹，在输出文件夹中会有数个子文件夹，通常情况下，正常的程序都位于输出文件夹的根目录下，而流氓软件会位于其他子目录中，但也有例外，例如PC清理王正常的程序和流氓软件全部位于app文件夹中，在该子文件夹中，我们就可以清楚地看到除了PC清理王之外，还有“百度超级搜霸”这个款流氓软件，现在还等什么，将这些流氓全部毙掉，只剩下PC清理王即可。 (见图8)
　　

　　图8
　　举一反三：通过上述方法，我们不但可以将捆绑于正常软件中的流氓软件剥离，而且还可以得到真正的绿色版软件。不过，通过这种方法得到的绿色软件有时可能无法运行，这是因为DLL文件没有正常注册所致，做一个批处理文件利用regsvr32命令进行一下注册即可。
　　总结：“三十六计”博大精深，只要灵活应用就可以在手工杀毒中发挥巨大的威力。笔者上面的实例就算抛砖引玉，希望大家能够挖掘出更好的用法。

network · 发表于 2007-12-29 06:06:03

runauto...病毒手工清理方法 2007-04-22 18:51:33
　标签：web runauto 病毒手工清理手工　

选择“工具－系统进程”，选择lsass.exe，对应的路径应为“C:\WINDOWS\lsass.exe”。终止该lsass.exe进程，然后用WinRAR删除(在资源管理器下打开C盘容易造成二次感染，有时也可以右击盘符，在弹出的菜单中选择打开)以下文件：
C:\WINDOWS\lsass.exe
C:\autorun.inf.tmp
C:\autorun.inf
检查一下其它盘符的根目录，有的话同样删除autorun.inf.tmp，autorun.inf。
接着，清除病毒在注册表创建的两个动作：
HKLM\System\CurrentControlSet\Services\kkdc\\FailureActions
HKLM\System\CurrentControlSet\Services\kkdc\\Start
也就是删除kkdc这项。
以上就是手工清除病毒的过程。

不过，有一点值得注意，那就是不管你是用杀毒软件删除病毒的，还是纯手工清理的。有一个地方还得另外解决，就是每个盘根目录下的runauto..文件夹。在资源管理器下runauto..文件夹是删不掉的。cmd下,输入“rd /s runauto..\”，还是不行，为什么呢？
这里不作探讨，大家可以看一下《U..\ 无法正常访问的真正原因》。

解决的方法其实很简单，在cmd下（点击开始菜单－运行，输入cmd，点“确定”），输入：
cd \
rd /s runauto…\
注意：runauto后有3个“.”，提示输入“y”，按回车就行了。
同理删除其它盘符下的“runauto..”文件夹。DOS进入其它盘符cd X:（X为C，D，E，F等），这应该不用多说吧。
也可以用：
rd /s \\.\C:\runauto..\
其它盘符只要把其中的“C”换成相应的盘符（如D，E，F等）就可以了

network · 发表于 2007-12-29 06:07:39

File: nx.exe
Size: 28160 bytes
Modified: 2007年10月15日, 23:05:30
MD5: 3C35C8AEC2D8DAA9ECDC026C2600141A
SHA1: C230D86618F3D6758E30F4933225A93C3E705DF2
CRC32: C6E542DB
技术细节：
1.病毒运行后，释放如下副本：
%systemroot%\system32\Systom.exe
在每个分区下面生成autorun.inf 和nx.exe

2.调用reg.exe进行如下操作：
添加自身启动项目
ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V crsss /T REG_SZ /D
禁用windows自动更新
add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate /v DisableWindowsUpdateAccess /t REG_dword /d 00000001 /f
禁用任务管理器
add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_dword /d 00000001 /f
破坏显示隐藏文件
将HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 的值设置为0
add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN /v Text /t REG_SZ /d 显示所有文件和文件夹 /f
add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN /v CheckedValue /t REG_dword /d 00000002 /
破坏安全模式
delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /f
delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /f

3.向HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\下面添加如下映像劫持项目指向%systemroot%\system32\Systom.exe（篇幅所限，仅贴图示意）

4.遍历各个分区删除.GHO文件

5.感染各个分区的INDEX.ASP，.HTM，INDEX.PHP，DEFAULT.ASP，DEFAULT.PHP，CONN.ASP文件

6.连接[url=http://www.88baobaomm.bj.cn/tj.asp]http://www.88baobaomm.bj.cn/tj.asp[/url]做感染统计

7.读取[url=http://www.88baobaomm.bj.cn1.txt~http//www.88baobaomm.bj.cn3.txt]http://www.88baobaomm.bj.cn1.txt~[url]http://www.88baobaomm.bj.cn3.txt[/url][/url]中的内容进行下载木马，锁定主页或者根据文本文档中的内容关闭指定窗口等破坏操作。
但所有链接已失效。

8.病毒体内有字样“niux”

清除办法：
一、清除病毒主程序
下载冰刃 [url=http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip]http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip[/url]
sreng [url=http://download.kztechs.com/files/sreng2.zip]http://download.kztechs.com/files/sreng2.zip[/url]

1.解压IceSword122cn.zip把Icesword.exe改名为1.com
运行切换到进程窗口
结束%systemroot%\system32\Systom.exe进程

2.点击左下角文件按钮删除如下文件
%systemroot%\system32\Systom.exe
和每个分区下的nx.exe和autorun.inf

二、修复被病毒破坏的系统

1.打开sreng
启动项目注册表
删除所有红色的IFEO映像劫持项目
并删除[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下的
<crsss><C:\WINDOWS\system32\Systom.exe> []

2.还是sreng中
系统修复-Windows Shell/IE
勾选如下项目
允许在Windows 2000/XP/Server 2003中使用任务管理器
然后点击修复

3.sreng中
系统修复-高级修复
修复安全模式

4.找一台未被感染病毒的与中毒电脑系统相同的电脑导出未中毒电脑的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden整个键的内容
并在中毒电脑中导入
XP系统可以把下列文字拷入记事本然后重命名为1.reg
双击导入注册表即可

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
00
"HelpID"="shell.hlp#51131"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

由于测试样本的下载链接已失效，所以无法分析其下载的木马的查杀

network · 发表于 2007-12-29 06:08:37

近日，客户说机器怎么越来越慢实在是用不了。Symantec和瑞星老是报一个NTdll32.dll是木马病毒就是干不掉。到现场一看，原来是瑞星死缠着这个病毒不放，把CPU和内存都耗尽了，当然动不了了。客户还反应卡巴斯基都干不掉
   下面是从别处找到的资料。然后是我自己的做法。
  病毒类型：W32.Fujacks!html Win32.troj.agent.s.412671
  加载方法：利用驱动，临架于所有应用程序之上（包括COM）
windows\system32\Ntdll32.dll感染Win32.troj.agent.s.412671病毒，却无法删除；就算在安全模式下进入注册表想删除相关项也不行。该木马病毒运行后，向系统添加一个名为Internet Connection Manager（管理Internet网络连接）的自启动系统服务（用于实现远程监控），源文件为windows\system32\internet.exe，并向ie浏览器添加了一个名为IEHELPER.DLL的插件，以上就是这个程序的最终目的。到此为止，这都只是个很普通的木马程序做的事情，剩下的就是它为了保证这两项能在系统中常驻所花的心思了，而它厉害的地方也在于此。
程序运行时，在windows\system32\driver文件夹下添加一个名为mspcidrv.sys的系统驱动，向HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls下添加NTDLL32.DLL项（注意，这个大有用处）
同时也向HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects下添加了该项（启动浏览器时自动激活NTDLL32.DLL）向HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加了两处启动项，分别都指向windows\system32.internet.exe，驱动mspcidrv.sys加载后会改写三个系统服务描述表项，分别为NtDeleteKey、NtDeleteValueKey、NtSetValueKey，并HOOK，使得针对那两个最终目的的注册表项的删除注册表项、删除注册表键值、更改注册表键值这三个操作就失去作用了，这是为了保护Internet Connection Manager系统服务和IEHELPER.DLL插件的注册表项不会被清除。而HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls下的这个NTDLL32.DLL项，这就是实现内存恢复的关键。实际上这个是一个插入系统进程的DLL文件，在程序启动时，它就作为一个系统线程插入explorer进程，并对注册表项进行监视，它分别检测上述两个最终目的的两处注册表项，发现它们被删除就立刻重写, 这一招的作用是，在驱动还在的情况下，如果注册表项被删除（通过某些工具软件如：Rootkit Unhooker），就立刻重写，保证两个最终功能的完整是因为这个线程自己本身也是要靠驱动保护的，所以在驱动失效，而它自己的注册表项又已被清除的情况下，它也只能维持在驱动被清除之前的那一次进程插入，以保证下次开机时两个最终目的启动项的完整。
清除方法：先下载Rootkit Unhooker并安装，在本文下面有下载，进入Windows任务管理器（同时按ctrl+alt+del）结束explorer进程，然后同样在任务管理器 “文件\新建任务”选中并运行你安装的Rootkit Unhooker程序，在“SSDT Hooks Detector/Restorer”标签找到mspcidrv.sys所挂钩的服务解锁移出，之后在任务管理器 “文件\新建任务”选中运行注册表编辑器regedit，分别搜索并删除（现在可以删了）与internet.exe 、mspcidrv.sys、Ntdll32.dll及IEHELPER.DLL相关的所有项目。重启机器后到安全模式，进入 windows\system32\ 和windows\system32\drivers 删除病毒残留internet.exe 、mspcidrv.sys、Ntdll32.dll和IEHELPER.DLL文件。
需要一个工具来清除Rootkit Unhooker
此工具下载地址：
点击下载rku3.20.130.388_88307.rar
主要有以下病毒文件:
%systemroot%\system32\NTDLL32.DLL

%systemroot%\system32\IEhelper.dll
%systemroot%\system32\IEShell32.dll
%systemroot%\system32\internet.exe
%systemroot%\system32\drivers\mspcidrv.sys

用任务管理器将Rootkit Unhooker 打开后
然后就在“SSDT Hooks Detector/Restorer”（服务钩子探测器）标签下右侧发现了最后写着mspcidrv.sys的项一个一个都给unhook了。（注意这个不能在安全模式下做好像总出出错信息。它找不到driver）
在标签“Hidden Processes Detector"（隐藏进程探测器）干掉相关进程
按F8进入安全模式
在注册表中搜索相关的病毒文件项删除,
分别搜索并删除（现在可以删了）与internet.exe 、mspcidrv.sys、Ntdll32.dll及IEHELPER.DLL相关的所有项目。
进入Windows任务管理器（同时按ctrl+alt+del）结束explorer进程，
然后同样在任务管理器 “文件\新建任务”选中并运行你安装的Rootkit Unhooker程序，
将mspcidrv.sys所挂钩的服务移出，之后在任务管理器 “文件\新建任务”选中运行注册表编辑器regedit，
分别搜索并删除（现在可以删了）与internet.exe 、mspcidrv.sys、Ntdll32.dll及IEHELPER.DLL相关的所有项目。
重启机器后就OK了，当然你还进入windows\system32\删除病毒残留internet.exe 、mspcidrv.sys、Ntdll32.dll和IEHELPER.DLL文件。

network · 发表于 2007-12-31 12:32:18

杀毒技巧系列--详细了解查杀病毒的技巧有人认为杀毒是一件简单的事情，不就是点击杀毒软件的“杀毒”按钮就行了吗？

　　不错，杀毒的确要借助杀毒软件，但是不是说一点击杀毒就万事大吉的。这就是为什么有的人一次性就将病毒杀尽，有的人机子内的病毒永远也杀不完的原因了。杀毒也要讲技巧！

　　对于杀毒的设置本文就不做介绍了。

　　杀毒要讲环境。其实说真的，杀毒最好的环境就是用干净引导盘启动的DOS。但是如果每次出现病毒都到DOS下杀是不科学的！即费时间，有减少DOS杀毒盘的寿命。那么，该怎么判断该在什么环境下杀毒呢？

　　一、被激活的非系统文件内的病毒

　　杀这种病毒很简单，只需要在一般的Windows环境下杀就行了。一般都能将其歼灭。

　　二、已经被激活或发作的非系统文件内的病毒

　　如果在一般Windows环境下杀毒，效果可能会大打折扣。虽然，现在的反病毒软件都能查杀内存病毒，但是此技术毕竟还未成熟，不一定能歼灭病毒。

　　因此，杀此类病毒应在Windows安全模式下进行。在Windows安全模式下，这些病毒都不会在启动时被激活。因此，我们就能放心的杀毒了。

　　三、系统文件内病毒

　　这类病毒比较难缠，所以在操作前请先备份。杀此类病毒一定要在干净的DOS环境下进行。有时候还要反复查杀才能彻底清除。

　　四、网络病毒（特别是通过局域网传播的病毒）

　　此类病毒必须在断网的情况下才能清除，而且清除后很容易重新被感染！要根除此类病毒必需靠网络管理员的努力了！

　　五、感染杀毒厂家有提供专用杀毒工具的病毒

　　杀灭此类病毒好办，只需下载免费的专用杀毒工具就行了。专用杀毒工具杀毒精确性相对较高，因此我推荐在条件许可的情况下使用专用杀毒工具。

杀毒很讲究技巧，所以，选择适合自己的反病毒软件和时刻开启监控很重要，还有千万别忘了升级哦！

杀毒技巧系列－－手工清除隐藏的病毒和木马
检查注册表

　　注册表一直都是很多木马和病毒“青睐”的寄生场所，注意在检查注册表之前要先给注册表备份。

　　1、检查注册表中HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runserveice，查看键值中有没有自己不熟悉的自动启动文件，扩展名一般为EXE，然后记住木马程序的文件名，再在整个注册表中搜索，凡是看到了一样的文件名的键值就要删除，接着到电脑中找到木马文件的藏身地将其彻底删除。

　　2、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的几项(如Local Page)，如果发现键值被修改了，只要根据你的判断改回去就行了。恶意代码(如“万花谷”)就经常修改这几项。

　　3、检查HKEY_CLASSES_ROOT\inifile\shell\open\command和HKEY_CLASSES_ROOT\txtfile\shell\open\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来，很多病毒就是通过修改.txt、.ini等的默认打开程序而清除不了的。

　　检查你的系统配置文件

　　其实检查系统配置文件最好的方法是打开Windows“系统配置实用程序”(从开始菜单运行msconfig.exe)，在里面你可以配置Config.sys、Autoexec.bat、system.ini和win.ini，并且可以选择启动系统的时间。

　　1、检查win.ini文件(在C:\windows\下)，打开后，在?WINDOWS?下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。在一般情况下，在它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。比如攻击QQ的“GOP木马”就会在这里留下痕迹。

　　2、检查system.ini文件(在C:\windows\下)，在BOOT下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，然后你就要在硬盘找到这个程序并将其删除了。



杀毒技巧系列－－坚决把 “邮件病毒” 消灭
邮件病毒”其实和普通的电脑病毒一样，只不过由于它们的传播途径主要是通过电子邮件，所以才被称为“邮件病毒”，它们一般是通过邮件中“附件”夹带的方法进行扩散。现在就告诉大家把“邮件病毒”消灭在邮箱之中应用八招。
　　1、选择一款正版的防毒软件。借杀毒软件中的邮件监视功能，在邮件接收过程中对其进行病毒扫描过滤
　　2、及时升级病毒库。病毒软件厂商天天都会更新病毒库，提供的升级服务是非常周到，如果用户不及时升级，就很难对新病毒进行查杀。
3、打开实时监控防火墙。防火墙最重要的功能就是邮件监视功能。
4、不要轻易打开陌生人的邮件附件，如果发现邮件中无内容，无附件，邮件自身的大小又有几十K或者更大，那么此邮件中极有可能包含有病毒；如果附件为可执行文件（.exe、.com）或word文档时，要选择用杀毒软件的扫描查毒察看；如果发现收到的邮件对方地址非常陌生，域名对极不像正常的国内邮箱，那就很有可能是收到病毒了；如果是双后缀那么极有可能是病毒，因为邮件病毒会选择隐藏在附件中，直接册除即可。
5、尽量不在“地址薄”中设置联系名单。因为一但被病毒感染，病毒会通过邮件“地址薄”中的联系人来传播。
6、少使用信纸模块。信纸模块都是一些脚本文件，如果模块感染了脚本病毒例如VBS/KJ、欢乐时光等，那用户使用信纸发出去的邮件都带有病毒了。
7、设置邮箱自动过滤功能。这样不仅能够防止垃圾邮件，还可以过滤掉一些带病毒邮件。
8、不使用邮件软件邮箱中的HTML预览功能。当今，一些传播与破坏力比较大的病毒，往往都是通过邮件预览时进行感染，并不需要打开邮件。


恶意网页病毒十三种症状分析及
恶意网页病毒十三种症状分析及简单修复方法

一、对IE浏览器产生破坏的网页病毒：
　　
　　（一）.默认主页被修改
　　
　　1.破坏特性：默认主页被自动改为某网站的网址。
　　
　　2.表现形式：浏览器的默认主页被自动设为如********.COM的网址。
　　
　　3.清除方法：采用手动修改注册表法，开始菜单－>;运行－>;regedit->;确定，打开注册表编辑工具，按顺序依次打开：HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main　分支，找到Default_Page_URL键值名(用来设置默认主页)，在右窗口点击右键进行修改即可。按F5键刷新生效。
　　
　　危害程度：一般
　　
　　（二）.默认首页被修改
　　
　　1.破坏特性：默认首页被自动改为某网站的网址。
　　
　　2.表现形式：浏览器的默认主页被自动设为如********.COM的网址。
　　
　　3.清除方法：采用手动修改注册表法，开始菜单－>;运行－>;regedit->;确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main分支，找到StartPage键值名(用来设置默认首页)，在右窗口点击右键进行修改即可。按F5键刷新生效。
　　
　　危害程度：一般
　　
　　（三）.默认的微软主页被修改
　　
　　1.破坏特性：默认微软主页被自动改为某网站的网址。
　　
　　2.表现形式：默认微软主页被篡改。
　　
　　3.清除方法：
　　
　　(1)手动修改注册表法：开始菜单－>;运行－>;regedit->;确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main　分支，找到Default_Page_URL键值名(用来设置默认微软主页)，在右窗口点击右键，将键值修改为 http://www.microsoft.com/windows/ie_intl/cn/start/ 即可。按F5键刷新生效。
　　
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。
　　
　　REGEDIT4
　　
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
　　"default_page_url"="http://www.microsoft.com/windows/ie_intl/cn/start/"
　　
　　危害程度：一般
　　
　　（四）.主页设置被屏蔽锁定，且设置选项无效不可更改
　　
　　1.破坏特性：主页设置被禁用。
　　
　　2.表现形式：主页地址栏变灰色被屏蔽。
　
　　3.清除方法：(1)手动修改注册表法：开始菜单－>;运行－>;regedit->;确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\分支，新建“ControlPanel”主键，然后在此主键下新建键值名为“HomePage”的DWORD值，值为“00000000”，按F5键刷新生效。
　　
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。
　　
　　REGEDIT4
　　
　　[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
　　"HomePage"=dword:00000000
　　
　　危害程度：轻度
　　
　　（五）.默认的IE搜索引擎被修改
　　
　　1.破坏特性：将IE的默认微软搜索引擎更改。
　　
　　2.表现形式：搜索引擎被篡改。
　　
　　3.清除方法：(1)手动修改注册表法：开始菜单－>;运行－>;regedit->;确定，打开注册表编辑工具，第一，按如下顺序依次打开：HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search分支，找到“SearchAssistant”键值名，在右面窗口点击“修改”，即可对其键值进行输入为： http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm ，然后再找到“CustomizeSearch”键值名，将其键值修改为： http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm ，按F5键刷新生效。
　　
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。
　　
　　REGEDIT4
　　
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search]
　　"SearchAssistant"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"
　　"CustomizeSearch"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"
　　
　　危害程度：一般
　　
　　（六）.IE标题栏被添加非法信息
　　1.破坏特性：通过修改注册表，使IE标题栏被强行添加宣传网站的广告信息。
　　
　　2.表现形式：在IE顶端蓝色标题栏上多出了一些不知名网站信息。
　　
　　3.清除方法：(1)手动修改注册表法：开始菜单－>;运行－>;regedit->;确定，打开注册表编辑工具，第一，按如下顺序依次打开：HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main分支，找到“Window Title”键值名，输入键值为Microsoft Internet Explorer，按F5刷新。
　　
　　第二，按如下顺序依次打开：HKEY_CURRENT_MACHINE\Software\Microsoft\InternetExplorer\Main分支，找到“Window Title”键值名，输入键值为Microsoft Internet Explorer，按F5刷新生效。
　　
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。
　　
　　REGEDIT4
　　
　　[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
　　"Window Title"="Microsoft Internet Explorer"
　　
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
　　"Window Title"="Microsoft Internet Explorer"
　　
　　危害程度：一般
　　
　　（七）.OE标题栏被添加非法信息破坏特性：
　　
　　破坏特性：通过修改注册表，在微软的集成电子邮件程序Microsoft Outlook顶端标题栏添加宣传网站的广告信息br]
　　表现形式：在顶端的Outlook Express蓝色标题栏添加非法信息。
　　
　　清除方法：(1)手动修改注册表法：开始菜单－>;运行－>;regedit->;确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_USER\Software\Microsoft\Outlook Express分支，找到WindowTitle以及Store Root键值名，将其键值均设为空。按F5键刷新生效。
　　
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。
　　
　　REGEDIT4
　　
　　[HKEY_CURRENT_USER\Software\Microsoft\Outlook Express]
　　"WindowTitle"=""
　　"Store Root"=""
　　
　　危害程度：一般
　　
　　（八）.鼠标右键菜单被添加非法网站链接：
　　
　　1.破坏特性：通过修改注册表，在鼠标右键弹出菜单里被添加非法站点的链接。
　　
　　2.表现形式：添加“网址之家”等诸如此类的链接信息。
　　
　　3.清除方法：(1)手动修改注册表法：开始菜单－>;运行－>;regedit->;确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\MenuExt分支，在左边窗口凡是属于非法链接的主键一律删除，按F5键刷新生效。
　　
　　4.危害程度：一般
　　
　　（九）.鼠标右键弹出菜单功能被禁用失常：
　　
　　1.破坏特性：通过修改注册表，鼠标右键弹出菜单功能在IE浏览器中被完全禁止。
　　
　　2.表现形式：在IE中点击右键毫无反应。
　　
　　3.清除方法：(1)手动修改注册表法：开始菜单－>;运行－>;regedit->;确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions分支，找到“NoBrowserContextMenu”键值名，将其键值设为“00000000”，按F5键刷新生效。
　　
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。
　　
　　REGEDIT4
　　
　　[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]
　　"NoBrowserContextMenu"=dword:00000000
　　
　　危害程度：轻度
　　
　　（十）.IE收藏夹被强行添加非法网站的地址链接
　　
　　破坏特性：通过修改注册表，强行在IE收藏夹内自动添加非法网站的链接信息。
　　
　　表现形式：躲藏在收藏夹下。
　　
　　清除方法：请用手动直接清除，用鼠标右键移动至该非法网站信息上，点击右键弹出菜单，选择删除即可。
　　
　　危害程度：一般
　　
　　（十一）.在IE工具栏非法添加按钮
　　
　　破坏特性：工具栏处添加非法按钮。
　　
　　表现形式：有按钮图标。
　　
　　清除方法：直接点击鼠标右键弹出菜单，选择“删除”即可。
　　
　　危害程度：一般
　　
　　（十二）.锁定地址栏的下拉菜单及其添加文字信息
　　
　　破坏特性：通过修改注册表，将地址栏的下拉菜单锁定变为灰色。
　　
　　表现形式：不仅使下拉菜单消失，而且在其上覆盖非法文字信息。
　　
　　清除方法：(1)手动修改注册表法：开始菜单－>;运行－>;regedit->;确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Toolbar分支，在右边窗口找到“LinksFolderName”键值名，将其键值设为“链接”，多余的字符一律去掉，按F5键刷新生效。
　　
　　危害程度：轻度
　　
　　（十三）.IE菜单“查看”下的“源文件”项被禁用
　　
　　破坏特性：通过修改注册表，将IE菜单“查看”下的“源文件”项锁定变为灰色。
　　
　　表现形式：“源文件”项不可用。
　　
　　清除方法：(1)手动修改注册表法：开始菜单－>;运行－>;regedit->;确定，打开注册表编辑工具，第一，按如下顺序依次打开：HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions分支，找到"NoViewSource"键值名，将其键值设为“00000000”，按F5键刷新生效。
　　
　　按如下顺序依次打开：HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions分支，找到"NoViewSource"键值名，将其键值设为“00000000”，按F5键刷新生效。
　　
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。
　　
　　REGEDIT4
　　
　　[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]
　　"NoViewSource"=dword:00000000
　　
　　[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions]
　　"NoViewSource"=dword:00000000
　　
　　危害程度：轻度

账号		自动登录	找回密码
密码			注册