返回
手工清理病毒原来可以如此简单.doc

手工清理病毒原来可以如此简单.doc

ID:27208391

大小:447.00 KB

页数:12页

时间:2018-12-01

手工清理病毒原来可以如此简单.doc_第1页
手工清理病毒原来可以如此简单.doc_第2页
手工清理病毒原来可以如此简单.doc_第3页
手工清理病毒原来可以如此简单.doc_第4页
手工清理病毒原来可以如此简单.doc_第5页
资源描述:

《手工清理病毒原来可以如此简单.doc》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、手工清理病毒原来可以如此简单2007-12-14 来源:   进入论坛编者按:当大家看到这个题目的时候一定会觉得手工杀毒真的很简单吗?笔者写这个文章的目的就是让所有菜鸟在面对病毒的时候能轻而易举的狙杀掉它,而不是重装系统,或者在重装N次系统以后无奈的选择格式化,结果却依然无法将讨厌的病毒驱逐出你可怜的电脑。  今天我们以今年泛滥比较严重的病毒之一的“AV终结者”的手工清理方法来像大家讲述如何手工清理这类非感染exe文件类型的病毒(本次讲述的办法在清理完病毒源头以后借助专杀工具依然可以适用于清理感

2、染exe类病毒)。  第一步:知己知彼,百战百胜  要战胜AV终结者,我们先要了解自己的处境和它的特性还有弱点。首先我们来了解下AV终结者的执行以后的特征:  1.在多个文件夹内生成随机文件名的文件  旧版本的AV终结者在任务管理器里可以查看2个随机名的进程,新的变种文件名格式发生变化,目前我遇到过2种。一种是随机8个字母+数字.exe和随机8个字母+数字.dll;另一种是6个随机字母组成的exe文件和inf文件。不管变种多少它们保存的路径大概都是如下几个:  C:windows  C:wi

3、ndowshelp  C:WindowsTemp  C:windowssystem32  C:WindowsSystem32drivers  C:ProgramFiles  C:ProgramFilesCommonFilesmicrosoftshared  C:ProgramFilesCommonFilesmicrosoftsharedMSInfo  C:ProgramFilesInternetExplorer  以及IE缓存等  这个是我个人总结出来的,

4、随着病毒的变种。获取还有其他的。我这里只提供参考。  2.感染磁盘及U盘  当你的系统中了AV终结者,你会发现你的磁盘右键打开时将出现一个”Auto”也就是自动运行的意思,此时你的电脑已经中毒了,而且如果你这个时候企图插入移动硬盘、U盘,或者刻录光盘以保存重要资料,都将被感染。这也就为什么许多用户重装完系统甚至格式化磁盘以后病毒依然的原因。  当你重装完系统,必定会有双击打开硬盘寻找软件或者驱动的时候,这个时候寄生在你磁盘根目录内的Autorun.inf文件就起到让病毒起死回生的功能了。这绝对不

5、是耸人听闻哦!  3.破坏注册表导致无法显示隐藏文件  我们一起来看看磁盘里的Autorun.inf,因为此时你的系统已经无法显示隐藏文件了。这个也是AV终结者的一个特征,所以我们这里用到几条简单的dos命令。  开始菜单-运行-输入“cmd”来到cmd界面,输入“D:”跳转到D盘根目录,因为AV是不感染C盘根目录的,再输入“dir/a”显示D盘根目录内的所有文件及文件夹。“/a”这个参数就是显示所有文件,包含隐藏文件。如图:  我们看到D盘内多出了Autorun.inf以及随机生成的病毒文件0

6、17a4901.exe。我们一起看看Autorun.inf的内容,输入”typeautorun.inf”,Autorun.inf里的代码的意思就是当你双击打开、右键打开、资源管理器打开。都会自动运行目录里的017A4901.exe这个文件。所以对于普通用户来说,即使你听过别人劝告,通过右键打开企图避免运行病毒也是徒劳的。因为“上有政策下有对策”,病毒也是在不断的变种升级的!当然它并不是无敌的,下文中我们就会讲述如何清理它。  4.在注册表中写入启动项,已达到自动启动  HKEY_CLASSES_

7、ROOTCLSID"随机CLSID"[url=file://inprocserver32/]\InprocServer32[/url]"病毒文件全路径"    HKEY_LOCAL_MACHINESOFTWAREClassesCLSID"随机CLSID""病毒文件全路径"    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks"生成的随机CLSID"""  

8、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"随机字符串""病毒文件全路径"  HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscsvcStartdword:00000004  其他病毒及变种写入注册表的位置不同,下文的实战部分我们将详细说明  5.映像劫持技术  通过修改注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoft

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。