編者按:當大家看到這個題目的時候一定會覺得手工殺毒真的很簡單嗎?筆者寫這個文章的目的就是讓所有菜鳥在面對病毒的時候能輕而易舉的狙殺掉它,而不是重裝系統,或者在重裝N次系統以後無奈的選擇格式化,結果卻依然無法將討厭的病毒驅逐出你可憐的電腦。
今天我們以今年氾濫比較嚴重的病毒之一的“AV終結者”的手工清理方法來像大家講述如何手工清理這類非感染exe文件類型的病毒(本次講述的辦法在清理完病毒源頭以後藉助專殺工具依然可以適用於清理感染exe類病毒)。
今天我們以今年氾濫比較嚴重的病毒之一的“AV終結者”的手工清理方法來像大家講述如何手工清理這類非感染exe文件類型的病毒(本次講述的辦法在清理完病毒源頭以後藉助專殺工具依然可以適用於清理感染exe類病毒)。
第一步:知己知彼,百戰百勝
要戰勝AV終結者,我們先要了解自己的處境和它的特性還有弱點。首先我們來了解下AV終結者的執行以後的特徵:
1.在多個文件夾內生成隨機文件名的文件
舊版本的AV終結者在任務管理器裏可以查看2個隨機名的進程,新的變種文件名格式發生變化,目前我遇到過2種。
一種是隨機8個字母+數字.exe和隨機8個字母+數字.dll;另一種是6個隨機字母組成的exe文件和inf文件。不管變種多少它們保存的路徑大概都是如下幾個:
C:\windows
C:\windows\help
C:\Windows\Temp
C:\windows\system32
C:\Windows\System32\drivers
C:\Program Files\
C:\Program Files\Common Files\microsoft shared\
C:\Program Files\Common Files\microsoft shared\MSInfo
C:\Program Files\Internet Explorer
以及IE緩存等
一種是隨機8個字母+數字.exe和隨機8個字母+數字.dll;另一種是6個隨機字母組成的exe文件和inf文件。不管變種多少它們保存的路徑大概都是如下幾個:
C:\windows
C:\windows\help
C:\Windows\Temp
C:\windows\system32
C:\Windows\System32\drivers
C:\Program Files\
C:\Program Files\Common Files\microsoft shared\
C:\Program Files\Common Files\microsoft shared\MSInfo
C:\Program Files\Internet Explorer
以及IE緩存等
這個是我個人總結出來的,隨着病毒的變種。獲取還有其他的。我這裏只提供參考。
2.感染磁盤及U盤
當你的系統中了AV終結者,你會發現你的磁盤右鍵打開時將出現一個”Auto”也就是自動運行的意思,此時你的電腦已經中毒了,而且如果你這個時候企圖插入移動硬盤、U盤,或者刻錄光盤以保存重要資料,都將被感染。這也就爲什麼許多用戶重裝完系統甚至格式化磁盤以後病毒依然的原因。
當你重裝完系統,必定會有雙擊打開硬盤尋找軟件或者驅動的時候,這個時候寄生在你磁盤根目錄內的Autorun.inf文件就起到讓病毒起死回生的功能了。這絕對不是聳人聽聞哦!
3.破壞註冊表導致無法顯示隱藏文件
我們一起來看看磁盤裏的Autorun.inf,因爲此時你的系統已經無法顯示隱藏文件了。這個也是AV終結者的一個特徵,所以我們這裏用到幾條簡單的dos命令。
開始菜單-運行-輸入“cmd”來到cmd界面,輸入“D:” 跳轉到D盤根目錄,因爲AV是不感染C盤根目錄的,再輸入“dir /a”顯示D盤根目錄內的所有文件及文件夾。“/a”這個參數就是顯示所有文件,包含隱藏文件。如圖:
我們看到D盤內多出了Autorun.inf以及隨機生成的病毒文件017a4901.exe。我們一起看看Autorun.inf的內容,輸入”type autorun.inf”,Autorun.inf裏的代碼的意思就是當你雙擊打開、右鍵打開、資源管理器打開。都會自動運行目錄裏的017A4901.exe這個文件。所以對於普通用戶來說,即使你聽過別人勸告,通過右鍵打開企圖避免運行病毒也是徒勞的。因爲“上有政策下有對策”,病毒也是在不斷的變種升級的!當然它並不是無敵的,下文中我們就會講述如何清理它。
4. 在註冊表中寫入啓動項,已達到自動啓動
HKEY_CLASSES_ROOT\CLSID\"隨機CLSID"\\InprocServer32 "病毒文件全路徑"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"隨機CLSID" "病毒文件全路徑"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks "生成的隨機CLSID" ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "隨機字符串" "病毒文件全路徑"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start dword:00000004
其他病毒及變種寫入註冊表的位置不同,下文的實戰部分我們將詳細說明
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"隨機CLSID" "病毒文件全路徑"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks "生成的隨機CLSID" ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "隨機字符串" "病毒文件全路徑"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start dword:00000004
其他病毒及變種寫入註冊表的位置不同,下文的實戰部分我們將詳細說明
5.映像劫持技術
通過修改註冊表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options的內容達到劫持幾乎所有主流殺毒軟件,甚至360安全衛士這樣的工具的目的,被劫持後的現象是,殺毒軟件無法自動運行,實時監控也無法啓動,雙擊運行閃出一個黑色dos窗口後立刻消失。其實這個時候就是利用劫持技術轉向運行了病毒本身。這個時候殺毒軟件就徹底倒下了。關鍵時刻我們果然還是要靠自己手工清理啊!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options的內容達到劫持幾乎所有主流殺毒軟件,甚至360安全衛士這樣的工具的目的,被劫持後的現象是,殺毒軟件無法自動運行,實時監控也無法啓動,雙擊運行閃出一個黑色dos窗口後立刻消失。其實這個時候就是利用劫持技術轉向運行了病毒本身。這個時候殺毒軟件就徹底倒下了。關鍵時刻我們果然還是要靠自己手工清理啊!
6.修改以下服務的啓動類型來禁止Windows的自更新和系統自帶的防火牆
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess Start dword:00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv Start dword:00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv Start dword:00000004
7.刪除以下註冊表項,使用戶無法進入安全模式
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_CURRENT_USER\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_CURRENT_USER\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
8.連接網絡下載更多的遊戲***、廣告軟件以爲病毒作何謀取經濟利益。
9.強制關閉包含和病毒或者清理病毒或者殺毒軟件有關的信息的頁面。
10.注入Explorer.exe和TIMPlatform.exe反彈連接,以逃過防火牆的內牆的審覈。
11.新的變種中加入雙進程保護,當你結束一個進程,另一個進程自動重新啓動它並關閉你的任務管理器。
12.跟隨系統唯一可以使用的安全模式“控制目錄恢復模式”啓動,並防止企圖清理註冊表裏的啓動項以清除病毒的行爲,讓你清除註冊表的下秒,它又自動建立了!
第二步:實戰清理病毒
通過上面的內容相信你已經基本瞭解病毒的運作方式,現在殺毒軟件已經“下崗”了,那麼現在我們就靠自己的雙手將它驅逐出去,還您一片藍色的天空吧!
通過上面的內容相信你已經基本瞭解病毒的運作方式,現在殺毒軟件已經“下崗”了,那麼現在我們就靠自己的雙手將它驅逐出去,還您一片藍色的天空吧!
首先介紹今天的主角:WinPe 老毛桃修改版
這是一個類似windows98的操作系統。它體積很小隻有幾十M,現在很多系統安裝版裏都集成了這個軟件,或者你也可以上網下載一個iso文件。用虛擬光驅運行,會有安裝到系統的功能,所以沒有刻錄機的朋友一樣可以使用它,當然它還有U盤版。我今天使用的是光盤版,或許你會問“爲什麼要用這個操作系統?他和xp有什麼區別呢?難道用他就不會開機運行病毒了?”
是的!說的沒錯!因爲WinPe是光盤或本地安裝出來的一個虛擬磁盤的操作系統,他和系統本身是沒有掛鉤的,所以不會啓動windows註冊表裏的啓動項。這個的帶來的優勢就是我們可以在病毒啓動之前就把他刪除掉!設想,一個病毒雖然在註冊表裏配置的啓動項,但是他的原始病毒文件已經不存在了。和談啓動運行?這就是我們今天的重點思路!在病毒啓動以前將病毒文件全部刪除,讓他有心無力!
下面是winpe下操作的截圖:
是不是和98或者2003很像?Winpe的另一個好處就是,我們前面提到的磁盤感染Autorun.inf對它也是無效的。右鍵是沒有”Auto”這個選項的,所以我們在winpe下可以放心的雙擊盤符而不會運行病毒!
我們首先來清理掉最容易找到的病毒文件——磁盤根目錄下的感染文件
除了C盤以外的每個盤根目錄下都有,一定要記得全部刪除!
刪除的文件包括Autorun.inf和那個隱藏的exe文件,有的病毒隱藏文件是.pif或cmd或別的什麼,因爲c盤根目錄沒這些感染文件。所以我可以告訴大家一個訣竅:
刪除除C盤以外,所以盤目錄下的隱藏文件(不包括文件夾)就可以了。
好接下來看看我們前面提到的其他文件夾:
C:\windows
C:\windows\help
C:\Windows\Temp
C:\windows\system32
C:\Windows\System32\drivers
C:\Program Files\
C:\Program Files\Common Files\microsoft shared\
C:\Program Files\Common Files\microsoft shared\MSInfo
C:\Program Files\Internet Explorer
在windows文件夾下我們發現了017A4901.hlp和我們上面說的一樣
C:\windows\help
C:\Windows\Temp
C:\windows\system32
C:\Windows\System32\drivers
C:\Program Files\
C:\Program Files\Common Files\microsoft shared\
C:\Program Files\Common Files\microsoft shared\MSInfo
C:\Program Files\Internet Explorer
在windows文件夾下我們發現了017A4901.hlp和我們上面說的一樣
同樣在C:\Program Files\Common Files\microsoft shared\MSInfo發現名爲017A4901.dll的文件
所以我們利用winpe的文件搜索功能搜索” 017A4901”將其他病毒文件都挖出來
當我們把上面找到的這些文件全部清理完畢以後再搜索看看。是不是已經沒有了?
那麼現在AV終結者也“下崗”了。註冊表裏的所謂映像劫持、自動啓動、雙進程保護都已經形同虛設了!
這個時候你會發現你可以上殺毒軟件的網站了
這個時候你會發現你可以上殺毒軟件的網站了
自此我們已經幫助可憐的殺毒軟件重新“上崗再就業”了。
現在我們來徹底將病毒的啓動請出我們的電腦吧(注意:這個時候建議先不要運行殺毒軟件,避免還有殘留的我們沒發現的病毒殘留文件通過映像劫持再度重生!)
開始菜單-運行-輸入“regedit”打開註冊表
開始菜單-運行-輸入“regedit”打開註冊表
使用模糊查詢搜索我們剛纔的病毒文件。不要包括擴展名,因爲有的地方是以名字做註冊表項的,我們同時勾選 項、值、以及數據。確保不放過一個敵人!
我們找到一個CLSID 爲{A490017A-017A-4901-7A49-17A9017A4901}的項裏面保存着病毒名稱和路徑:
我們刪除這個項,然後按下F3繼續搜索下一個,找到就把它刪除。這裏要注意一個問題。如果你搜索出來的註冊表項裏面有很多個值,千萬不要盲目刪除項。只要刪除包含病毒文件名稱和路徑的部分就可以了!避免系統崩潰!接下來刪除映像劫持部分的註冊表內容搜索Image File Execution Options既可來到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options這個位置。你會發現裏面幾乎包含了所有你知道的殺毒軟件的進程名,病毒就是通過識別這些進程名來進行劫持的。所以有的時候你可以通過修改程序的名稱。比如把360safe.com改爲xxx.exx就可以運行了。當然不是絕對。例如對AV終結者就是無效的,因爲他識別的是窗體標題。所以你可以發現的殺毒軟件他們推出的專殺工具一般都是.com的擴展名,而且運行時候是沒有標題的。這個就是爲了防止被感染或者被強制關閉。
二話不說。刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options這個項。它所包含的子項也將一起被刪除。這樣就不會被劫持了。現在重新啓動系統吧!你的電腦又是一片藍天了!
第三步:收拾戰場,修復系統
首先我們重新啓動重新上崗就業的殺毒軟件。這裏我使用360安全衛士,因爲針對非感染exe類型的病毒,360足夠應付了,而且速度快很多。
首先我們重新啓動重新上崗就業的殺毒軟件。這裏我使用360安全衛士,因爲針對非感染exe類型的病毒,360足夠應付了,而且速度快很多。
選擇查殺流行***。好的,檢測結果。已經沒有***病毒了。下一步我們重啓啓動被病毒關閉的防火牆以及系統自動更新的服務,我的電腦-右鍵-管理-服務和應用程序-服務,找到windows firewall開頭的服務右鍵屬性,啓動類型改爲自動,再找到Automatic Updates這個服務,同樣將啓動類型改爲自動。
下面修復安全模式:將如下代碼保存爲1.reg 然後運行導入既可
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
@="DiskDrive"
將如下代碼保存爲2.reg運行導入後文件夾選項裏重新出現“隱藏受系統保護的操作系統文件,以及“隱藏文件和文件夾”選項,選擇顯示後即可和一樣一樣,正常情況下不需要去設置,隱藏的病毒文件已經被我們刪除了,需要的人可以自行選擇
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
@=""
重新啓動後。您的電腦又是一片藍色的天空。
自此,菜鳥們再也不用爲中毒煩惱了,重裝系統和格式化,不再是噩夢!建議重啓後用殺毒軟件徹底查殺整個硬盤避免存在感染exe型病毒哦!偷懶的人跳過前面的介紹直接看操作實戰,是不是覺得非常容易?以後你也可以輕易的告訴MM電腦中毒?找我就行!重裝既浪費時間,又不能徹底解決問題哦!希望大家看完我的文章能夠學會舉一反三,輕鬆應對各種各樣病毒哦!