廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 9310 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
linjeff15 手機
數位造型
個人文章 個人相簿 個人日記 個人地圖
路人甲
級別: 路人甲 該用戶目前不上站
推文 x0 鮮花 x2
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[心得分享] [原創]手動移除病毒和惡意程式教學
前言:最近病毒越來越多,防毒軟體趨近於功能完整,但是遇到一些特別新的病毒時,防毒軟體偵測到卻沒辦法移除時候,這時候就要手動殺毒!還有一些不是病毒,是惡意的廣告後門程式,會常駐載妳的系統中,讓妳的系統會拖越慢,但是防毒軟體會忽略他們,因為他們只會拖慢系統,因此有時候會忽略他們,現在網路越來越快,防毒軟體沒有辦法的時候,就是你自立自強的時候了!



狀況說明:為何沒有辦法移除病毒?很多防毒軟體當偵測到病毒的時候,通常第一步就是直接移除檔案,但是只要病毒已經再執行時(常駐記憶體),就會出現類似"無法立刻移除病毒"的訊息,真是氣死人,沒辦法移除是怎樣。沒關係,以下就為各位說明如何手動移除病毒或是惡意程式。


使用工具清單:
Windows工作管理員     基本察看記憶體程式的地方
msconfig               系統組態編輯程式
Process Explorer         抓出記憶體程式並關閉(放在附件中)
regedit                 登陸檔編輯程式



教學:

第一步:認清你的病毒

在防毒軟體出現病毒警訊時,先記錄下病毒名稱,接著按[Ctrl]+[Alt]+[DEL]叫出windows 工作管理員,在[處理程序]標籤頁中,可以看到目前記憶體所有的exe執行檔,看一下是否病毒有在裡面,如果有,就手動關閉處理程序吧!



這邊工作管理員只能顯示出exe檔案而已,一些比較狡詐的病毒會偽裝成 dll 或是 其他類型檔案,讓妳無法在這邊找到,沒關係,看下去!



第二步:使用Process Explorer關閉執行中非exe的惡意程式和病毒
一些病毒其實很多時候並不是以exe執行檔為原貌,而是以dll 動態連接檔方式並且寄生的其他系統的程式裡面(Ex: explorer.exe),所以這時候M$的工作管理員就沒輒了。現在介紹一套我自己常常用的進階版記憶體觀看程式:Process Explorer
啟動之後,可能會出現一個警告訊息,別理他按確定就可以出現程式主畫面,這一套程式會以樹狀關係來排列成是與成是之間的關係。先別被眼前混亂的程式嚇到,我們利用find指令來收尋病毒所在位置,我以asp.dll當例子,輸入asp.dll收尋(注意:我只是舉例,asp.dll本身不是病毒喔)

注意:find指令有兩種,一種是find handle ,另一種是find dll ,前者為搜尋以執行檔的處理程序,後者為dll動態連接檔,建議採用前者,因為前者也可以搜尋dll檔案

嘿嘿==+發現你的藏身位置了喔,點一下收尋的結果就可以跳到主視窗並且選取該檔案,這裡注意一下,
當妳找到以dll檔案時,應該會看到dll的父程序,像asp.dll的父程序就是dllhost.exe,妳應該要知道的,是asp.dll是病毒檔,他卻是依附在系統內建的程式dllhost.exe之下,本身無病毒的dllhost.exe被有病毒的asp.dll附身,這就是寄生。看到敵人,先別急著關掉,妳要記錄的是病毒檔案所在路徑,例如這邊所在路徑就是C:\WINDOWS\system32\inetsrv\asp.dll ,接著利用右鍵選單按下[close handle],又會出現一個警告視窗,按確定即可!這樣就可以關閉在執行中的dll或是exe檔案了!

第三步:斬草除根

到這裡我們已經關掉病毒程序,不管是exe或是藏在系統程序底下的dll都可以一一把他揪出來,關閉的動作是為了讓我們能夠執行[刪除]的動作,之前有提到,防毒軟體找到病毒卻無法移除的原因是因為他常駐在記憶體裡面所以要執行刪除卻是無法執行。

好了,最後一步就是斬草除根了!找出剛剛抄下病毒所在位置直接去資料夾裡面,先點一下選檔案(不要點到兩下喔~不然要是exe檔案前面功夫又白作了),小心翼翼按下[Shift]+[Delete]組合鍵來移除病毒,這組合鍵和只按[Delete]最大不同是徹底移除而不是丟資源回收桶喔!

接著,病毒一開機都會常駐,顯然他寫入了啟動程序,這裡我使用系統組態編輯程式,[開始]>[執行]>輸入[msconfig]>[確定],開啟之後,選到[啟動]標籤,這裡放置開機啟動資訊,找到你中毒的檔案把前面得打勾取消即可!



再看看[服務]標籤,把隱藏所有Microsoft的服務打勾,看看有沒有病毒,有的話就可以取消開機執行。




最後一步,使用登陸編輯程式把相關機碼移除。[開始]>[執行]>輸入[regedit],啟動登陸編輯程式,接著圖片找出相關登陸機碼


找到之後右鍵選單刪除機碼,再按[找下一個]直到全部登陸檔收尋完畢!

接著重開機看看,應該就不會出現病毒訊息了!大功告成!恭喜你,手動病毒移除成功了!



以上是小弟對付病毒的經驗談。預防中毒的方法,還是要靠使用者定期做好防毒軟體定義檔更新,並且定期全系統掃瞄,才有實質效果喔!希望大家看完之後回個文吧!小弟感激不盡阿


本帖包含附件
zip kill_dll_exe.rar   (2022-06-09 14:01 / 166 KB)  
說明: Process Explorer
下載次數:166


[ 此文章被linjeff15在2006-04-22 06:51重新編輯 ]



戀戀Hebe~~
獻花 x0 回到頂端 [樓 主] From:台灣台灣固網 | Posted:2006-04-22 06:34 |
pkkbkraa 會員卡
個人頭像
個人文章 個人相簿 個人日記 個人地圖
終身成就獎
知名人士
級別: 知名人士 該用戶目前不上站
推文 x6 鮮花 x1760
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

少說了幾點

若是在系統碟內(假設一般為C槽)
或是在C:\PROGRAM FILES底下
或是C:\WINDOWS\SYSTEM32底下
有發現不明程式*.exe

大多也是毒病執行檔
因為
絕大多數的執行檔並不會放在下列目錄下
C:\
C:\PROGRAM FILES\
C:\WINDOWS\SYSTEM32\


獻花 x0 回到頂端 [1 樓] From:未知地址 | Posted:2006-05-05 17:21 |
cole
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x42
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

下面是引用pkkbkraa於2006-05-5 17:21發表的 :
少說了幾點

若是在系統碟內(假設一般為C槽)
或是在C:\PROGRAM FILES底下
或是C:\WINDOWS\SYSTEM32底下
有發現不明程式*.exe

大多也是毒病執行檔
因為
絕大多數的執行檔並不會放在下列目錄下
C:\
C:\PROGRAM FILES\
C:\WINDOWS\SYSTEM32\
.......



在C:\WINDOWS\SYSTEM32 下有很多非病毒且正常的*.exe


獻花 x1 回到頂端 [2 樓] From:台灣中華電信 | Posted:2006-05-07 18:02 |
FelixWang
數位造型
個人文章 個人相簿 個人日記 個人地圖
路人甲
級別: 路人甲 該用戶目前不上站
推文 x0 鮮花 x0
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

Process Explorer 看起來蠻好用的
感謝大大的說明


獻花 x0 回到頂端 [3 樓] From:台灣中華電信 | Posted:2006-05-25 19:39 |
spec
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x6
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

真的是寫的超好的收下了感謝喔!!!
介紹的軟體寫的不錯喔


獻花 x0 回到頂端 [4 樓] From:台灣中華電信 | Posted:2006-07-21 15:26 |
victor5566
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x6
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

真的是寫的超好的收下了感謝喔


獻花 x0 回到頂端 [5 樓] From:浙江 | Posted:2007-11-24 09:53 |
licu
數位造型
個人文章 個人相簿 個人日記 個人地圖
路人甲
級別: 路人甲 該用戶目前不上站
推文 x0 鮮花 x1
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

感謝大大的無私分享..正在找相關資料.....有您的分享真好!


licu
獻花 x0 回到頂端 [6 樓] From:APNIC | Posted:2008-07-13 12:55 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.083340 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言