广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 9322 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
linjeff15 手机
数位造型
个人文章 个人相簿 个人日记 个人地图
路人甲
级别: 路人甲 该用户目前不上站
推文 x0 鲜花 x2
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[心得分享] [原创]手动移除病毒和恶意程式教学
前言:最近病毒越来越多,防毒软体趋近于功能完整,但是遇到一些特别新的病毒时,防毒软体侦测到却没办法移除时候,这时候就要手动杀毒!还有一些不是病毒,是恶意的广告后门程式,会常驻载你的系统中,让你的系统会拖越慢,但是防毒软体会忽略他们,因为他们只会拖慢系统,因此有时候会忽略他们,现在网路越来越快,防毒软体没有办法的时候,就是你自立自强的时候了!



状况说明:为何没有办法移除病毒?很多防毒软体当侦测到病毒的时候,通常第一步就是直接移除档案,但是只要病毒已经再执行时(常驻记忆体),就会出现类似"无法立刻移除病毒"的讯息,真是气死人,没办法移除是怎样。没关系,以下就为各位说明如何手动移除病毒或是恶意程式。


使用工具清单:
Windows工作管理员     基本察看记忆体程式的地方
msconfig               系统组态编辑程式
Process Explorer         抓出记忆体程式并关闭(放在附件中)
regedit                 登陆档编辑程式



教学:

第一步:认清你的病毒

在防毒软体出现病毒警讯时,先记录下病毒名称,接着按[Ctrl]+[Alt]+[DEL]叫出windows 工作管理员,在[处理程序]标签页中,可以看到目前记忆体所有的exe执行档,看一下是否病毒有在里面,如果有,就手动关闭处理程序吧!



这边工作管理员只能显示出exe档案而已,一些比较狡诈的病毒会伪装成 dll 或是 其他类型档案,让你无法在这边找到,没关系,看下去!



第二步:使用Process Explorer关闭执行中非exe的恶意程式和病毒
一些病毒其实很多时候并不是以exe执行档为原貌,而是以dll 动态连接档方式并且寄生的其他系统的程式里面(Ex: explorer.exe),所以这时候M$的工作管理员就没辄了。现在介绍一套我自己常常用的进阶版记忆体观看程式:Process Explorer
启动之后,可能会出现一个警告讯息,别理他按确定就可以出现程式主画面,这一套程式会以树状关系来排列成是与成是之间的关系。先别被眼前混乱的程式吓到,我们利用find指令来收寻病毒所在位置,我以asp.dll当例子,输入asp.dll收寻(注意:我只是举例,asp.dll本身不是病毒喔)

注意:find指令有两种,一种是find handle ,另一种是find dll ,前者为搜寻以执行档的处理程序,后者为dll动态连接档,建议采用前者,因为前者也可以搜寻dll档案

嘿嘿==+发现你的藏身位置了喔,点一下收寻的结果就可以跳到主视窗并且选取该档案,这里注意一下,
当你找到以dll档案时,应该会看到dll的父程序,像asp.dll的父程序就是dllhost.exe,你应该要知道的,是asp.dll是病毒档,他却是依附在系统内建的程式dllhost.exe之下,本身无病毒的dllhost.exe被有病毒的asp.dll附身,这就是寄生。看到敌人,先别急着关掉,你要记录的是病毒档案所在路径,例如这边所在路径就是C:\WINDOWS\system32\inetsrv\asp.dll ,接着利用右键选单按下[close handle],又会出现一个警告视窗,按确定即可!这样就可以关闭在执行中的dll或是exe档案了!

第三步:斩草除根

到这里我们已经关掉病毒程序,不管是exe或是藏在系统程序底下的dll都可以一一把他揪出来,关闭的动作是为了让我们能够执行[删除]的动作,之前有提到,防毒软体找到病毒却无法移除的原因是因为他常驻在记忆体里面所以要执行删除却是无法执行。

好了,最后一步就是斩草除根了!找出刚刚抄下病毒所在位置直接去资料夹里面,先点一下选档案(不要点到两下喔~不然要是exe档案前面功夫又白作了),小心翼翼按下[Shift]+[Delete]组合键来移除病毒,这组合键和只按[Delete]最大不同是彻底移除而不是丢资源回收桶喔!

接着,病毒一开机都会常驻,显然他写入了启动程序,这里我使用系统组态编辑程式,[开始]>[执行]>输入[msconfig]>[确定],开启之后,选到[启动]标签,这里放置开机启动资讯,找到你中毒的档案把前面得打勾取消即可!



再看看[服务]标签,把隐藏所有Microsoft的服务打勾,看看有没有病毒,有的话就可以取消开机执行。




最后一步,使用登陆编辑程式把相关机码移除。[开始]>[执行]>输入[regedit],启动登陆编辑程式,接着图片找出相关登陆机码


找到之后右键选单删除机码,再按[找下一个]直到全部登陆档收寻完毕!

接着重开机看看,应该就不会出现病毒讯息了!大功告成!恭喜你,手动病毒移除成功了!



以上是小弟对付病毒的经验谈。预防中毒的方法,还是要靠使用者定期做好防毒软体定义档更新,并且定期全系统扫瞄,才有实质效果喔!希望大家看完之后回个文吧!小弟感激不尽阿


本帖包含附件
zip kill_dll_exe.rar   (2022-06-09 14:01 / 166 KB)  
说明: Process Explorer
下载次数:166


[ 此文章被linjeff15在2006-04-22 06:51重新编辑 ]



恋恋Hebe~~
献花 x0 回到顶端 [楼 主] From:台湾台湾固网 | Posted:2006-04-22 06:34 |
pkkbkraa 会员卡
个人头像
个人文章 个人相簿 个人日记 个人地图
终身成就奖
知名人士
级别: 知名人士 该用户目前不上站
推文 x6 鲜花 x1760
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

少说了几点

若是在系统碟内(假设一般为C槽)
或是在C:\PROGRAM FILES底下
或是C:\WINDOWS\SYSTEM32底下
有发现不明程式*.exe

大多也是毒病执行档
因为
绝大多数的执行档并不会放在下列目录下
C:\
C:\PROGRAM FILES\
C:\WINDOWS\SYSTEM32\


献花 x0 回到顶端 [1 楼] From:未知地址 | Posted:2006-05-05 17:21 |
cole
数位造型
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x42
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

下面是引用pkkbkraa于2006-05-5 17:21发表的 :
少说了几点

若是在系统碟内(假设一般为C槽)
或是在C:\PROGRAM FILES底下
或是C:\WINDOWS\SYSTEM32底下
有发现不明程式*.exe

大多也是毒病执行档
因为
绝大多数的执行档并不会放在下列目录下
C:\
C:\PROGRAM FILES\
C:\WINDOWS\SYSTEM32\
.......



在C:\WINDOWS\SYSTEM32 下有很多非病毒且正常的*.exe


献花 x1 回到顶端 [2 楼] From:台湾中华电信 | Posted:2006-05-07 18:02 |
FelixWang
数位造型
个人文章 个人相簿 个人日记 个人地图
路人甲
级别: 路人甲 该用户目前不上站
推文 x0 鲜花 x0
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

Process Explorer 看起来蛮好用的
感谢大大的说明


献花 x0 回到顶端 [3 楼] From:台湾中华电信 | Posted:2006-05-25 19:39 |
spec
数位造型
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x6
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

真的是写的超好的收下了感谢喔!!!
介绍的软体写的不错喔


献花 x0 回到顶端 [4 楼] From:台湾中华电信 | Posted:2006-07-21 15:26 |
victor5566
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x6
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

真的是写的超好的收下了感谢喔


献花 x0 回到顶端 [5 楼] From:浙江 | Posted:2007-11-24 09:53 |
licu
数位造型
个人文章 个人相簿 个人日记 个人地图
路人甲
级别: 路人甲 该用户目前不上站
推文 x0 鲜花 x1
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

感谢大大的无私分享..正在找相关资料.....有您的分享真好!


licu
献花 x0 回到顶端 [6 楼] From:APNIC | Posted:2008-07-13 12:55 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.015454 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言