清除病毒木马的基本操作
这几天我一直在病毒吧闲逛,碰到好多同志发帖曰:日志在哪里?进程列表是什么?呵呵~汗,好了
,有许多的感想就不多说了,进入主题,针对菜鸟介绍一下碰到问题后的基本操作(以xp为例),大虾走
开啊~
一、系统状态了解及操作方法
在发现系统有异常情况后,首先要寻找原因,最简单的办法是查看进程列表和启动项,查看进程列表
的操作方法是同时按下ctrl alt del,在弹出的任务管理器中选“进程”选单,其列表就是进程列表;启
动项的查看是,在开始→运行→输入msconfig→选择启动就是了。
系统的进程列表只有映像名称,用户名等等条目,没有对应的进程路径,有些伪装很强的程式拥有和
系统相同的进程名,在系统的这个进程列表我们就分辨不出了,所以建议大家参考本吧顶置的帖子“☆★
求助必看(日志及工具下载地址)★☆”中的关于系统日志获取的方法
下面的一份典型的HijackThis_zww汉化版获得的系统日志:
------------------------------------------------------------------
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 9:19:52, 日期 2006-8-9
操作系统: Windows XP SP2 (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 SP2 (6.00.2900.2180)
当前运行的进程:
C:WINDOWSSystem32smss.exe---系统关键进程
C:WINDOWSsystem32csrss.exe---系统关键进程
C:WINDOWSSYSTEM32winlogon.exe---系统关键进程
C:WINDOWSsystem32services.exe---系统关键进程
C:WINDOWSsystem32lsass.exe---系统关键进程
C:WINDOWSsvchost.exe---病毒进程,看看和下面的程式的区别,他们的路径不同
C:WINDOWSsystem32svchost.exe---系统进程
C:WINDOWSsystem32svchost.exe ---系统进程
C:WINDOWSsystem32svchost.exe ---系统进程
C:WINDOWSExplorer.EXE ---系统进程
C:WINDOWSsystem32Rundll32.exe ---这里一般是病毒启动的,虽然是系统的程式
C:Documents and SettingsAdministrator桌面HijackThis1991【teyqiu】.exe---这个东西没见过,
怀疑是病毒
……
O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:WINDOWSsystem32
xunleibho_v13.dll
……这里不多说了
O3 - IE工具栏增项: Kuaiso Toolsbar - {6D53ADB7-6AD5-4A59-BFE4-7B57D2F4AA89} - C:Program
FilesKuaiso
……
O4 - 启动项HKLM/Run: [SiS KHooker] C:WINDOWSsystem32khooker.exe
---这个不知道什么东西,应该是病毒
O4 - 启动项HKLM/Run: [BigDogPath] C:WINDOWSVM_STI.EXE USB PC Camera 301P
---从名称能够看出是摄像头的驱动
O4 - 启动项HKLM/Run: [StormCodec_Helper] "C:Program FilesRingz StudioStorm
CodecStormSet.exe" /S /opti
---这是瑞星杀毒软件的启动项
O4 - 启动项HKLM/Run: [RavTask] "C:Program FilesRisingRavRavTask.exe" -system
---这是瑞星杀毒软件的启动项
O4 - 启动项HKLM/Run: [HPDJ Taskbar Utility] ; C:WINDOWSsystem32spooldriversw32x863
hpztsb07.exe
---这个不知道什么东西,应该是病毒
O4 - 启动项HKLM/Run: [CnsMin] Rundll32.exe C:WINDOWSDOWNLO~1CnsMin.dll,Rundll32
---这个不知道什么东西,应该是病毒
O4 - 启动项HKLM/Run: [helper.dll] C:WINDOWSsystem32rundll32.exe C:PROGRA~13721
helper.dll,Rundll32
---这是3721上网助手,我很讨厌这东西的
O4 - 启动项HKLM/Run: [bgoomain.exe] C:PROGRA~1baigoobgoomain.exe
---这是百狗搜索
O4 - 启动项HKLM/RunOnce: [RavStub] "C:Program FilesRisingRavravstub.exe" /RUNONCE
---这是瑞星杀毒软件的启动项
作者: bpboy 2006-8-9 15:03 回复此发言
--------------------------------------------------------------------------------
2 [原创]清除病毒木马的基本操作[补充]
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
---输入法相关的进程
O4 - HKCU..Run: [bgswitch] C:WINDOWSsvchost.exe
---这个是病毒的伪装
O4 - HKCU..Run: [MsnMsgr] ; "C:Program FilesMSN MessengerMsnMsgr.Exe" /background
---这个是msn进程
O4 - HKCU..Run: [Yahoo! Pager] "E:yahooMESSEN~1YAHOOM~1.EXE" -quiet
---雅虎
O4 - HKCU..Run: [eMuleAutoStart] E:电骡eMuleemule.exe -AutoStart
---电骡自启动项(就是说开机自动启动电骡)
O4 - Startup: 腾讯QQ.lnk = C:Program FilesTencentQQQQ.exe
---QQ自启动项
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft
OfficeOfficeOSA9.EXE
---Office软件相关的东西
……
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - C:Program FilesThunder
NetworkThundergeturl.htm
……
--------------------------------------------------------------------------------------
以上我主要介绍了进程和04启动项,我们通过查看自己的进程列表或系统日志,基本上就能够找出不正
常的进程了
当然我们在对付病毒木马程式时,要记住以上的系统进程的和一些常用的进程
比如:
QQ.exe 是QQ的进程
taskmgr.exe是任务管理器的进程
iexplore.exe是ie的进程
system.exe系统进程
更有就是我刚才说的,一些流氓软件和系统的程式相同的名字,比如svchost.exe,假如您不查看路径,
您就会认为这是系统进程
查看了路径后就是知道他不是系统的进程了,很可能就是病毒为了伪装自己而配置的
当然更有些程式是隐藏了的,也就是说在进程列表查不出的,在这里我只介绍基本的方法,就不深入了,
那样的话就需要其他软件来查看,如冰韧等。
二、病毒的查找
以上介绍了病毒木马程式的查找方法,下面介绍怎样去寻找病毒之所在。
这几天我一直在病毒吧闲逛,碰到好多同志发帖曰:日志在哪里?进程列表是什么?呵呵~汗,好了
,有许多的感想就不多说了,进入主题,针对菜鸟介绍一下碰到问题后的基本操作(以xp为例),大虾走
开啊~
一、系统状态了解及操作方法
在发现系统有异常情况后,首先要寻找原因,最简单的办法是查看进程列表和启动项,查看进程列表
的操作方法是同时按下ctrl alt del,在弹出的任务管理器中选“进程”选单,其列表就是进程列表;启
动项的查看是,在开始→运行→输入msconfig→选择启动就是了。
系统的进程列表只有映像名称,用户名等等条目,没有对应的进程路径,有些伪装很强的程式拥有和
系统相同的进程名,在系统的这个进程列表我们就分辨不出了,所以建议大家参考本吧顶置的帖子“☆★
求助必看(日志及工具下载地址)★☆”中的关于系统日志获取的方法
下面的一份典型的HijackThis_zww汉化版获得的系统日志:
------------------------------------------------------------------
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 9:19:52, 日期 2006-8-9
操作系统: Windows XP SP2 (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 SP2 (6.00.2900.2180)
当前运行的进程:
C:WINDOWSSystem32smss.exe---系统关键进程
C:WINDOWSsystem32csrss.exe---系统关键进程
C:WINDOWSSYSTEM32winlogon.exe---系统关键进程
C:WINDOWSsystem32services.exe---系统关键进程
C:WINDOWSsystem32lsass.exe---系统关键进程
C:WINDOWSsvchost.exe---病毒进程,看看和下面的程式的区别,他们的路径不同
C:WINDOWSsystem32svchost.exe---系统进程
C:WINDOWSsystem32svchost.exe ---系统进程
C:WINDOWSsystem32svchost.exe ---系统进程
C:WINDOWSExplorer.EXE ---系统进程
C:WINDOWSsystem32Rundll32.exe ---这里一般是病毒启动的,虽然是系统的程式
C:Documents and SettingsAdministrator桌面HijackThis1991【teyqiu】.exe---这个东西没见过,
怀疑是病毒
……
O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:WINDOWSsystem32
xunleibho_v13.dll
……这里不多说了
O3 - IE工具栏增项: Kuaiso Toolsbar - {6D53ADB7-6AD5-4A59-BFE4-7B57D2F4AA89} - C:Program
FilesKuaiso
……
O4 - 启动项HKLM/Run: [SiS KHooker] C:WINDOWSsystem32khooker.exe
---这个不知道什么东西,应该是病毒
O4 - 启动项HKLM/Run: [BigDogPath] C:WINDOWSVM_STI.EXE USB PC Camera 301P
---从名称能够看出是摄像头的驱动
O4 - 启动项HKLM/Run: [StormCodec_Helper] "C:Program FilesRingz StudioStorm
CodecStormSet.exe" /S /opti
---这是瑞星杀毒软件的启动项
O4 - 启动项HKLM/Run: [RavTask] "C:Program FilesRisingRavRavTask.exe" -system
---这是瑞星杀毒软件的启动项
O4 - 启动项HKLM/Run: [HPDJ Taskbar Utility] ; C:WINDOWSsystem32spooldriversw32x863
hpztsb07.exe
---这个不知道什么东西,应该是病毒
O4 - 启动项HKLM/Run: [CnsMin] Rundll32.exe C:WINDOWSDOWNLO~1CnsMin.dll,Rundll32
---这个不知道什么东西,应该是病毒
O4 - 启动项HKLM/Run: [helper.dll] C:WINDOWSsystem32rundll32.exe C:PROGRA~13721
helper.dll,Rundll32
---这是3721上网助手,我很讨厌这东西的
O4 - 启动项HKLM/Run: [bgoomain.exe] C:PROGRA~1baigoobgoomain.exe
---这是百狗搜索
O4 - 启动项HKLM/RunOnce: [RavStub] "C:Program FilesRisingRavravstub.exe" /RUNONCE
---这是瑞星杀毒软件的启动项
作者: bpboy 2006-8-9 15:03 回复此发言
--------------------------------------------------------------------------------
2 [原创]清除病毒木马的基本操作[补充]
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
---输入法相关的进程
O4 - HKCU..Run: [bgswitch] C:WINDOWSsvchost.exe
---这个是病毒的伪装
O4 - HKCU..Run: [MsnMsgr] ; "C:Program FilesMSN MessengerMsnMsgr.Exe" /background
---这个是msn进程
O4 - HKCU..Run: [Yahoo! Pager] "E:yahooMESSEN~1YAHOOM~1.EXE" -quiet
---雅虎
O4 - HKCU..Run: [eMuleAutoStart] E:电骡eMuleemule.exe -AutoStart
---电骡自启动项(就是说开机自动启动电骡)
O4 - Startup: 腾讯QQ.lnk = C:Program FilesTencentQQQQ.exe
---QQ自启动项
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft
OfficeOfficeOSA9.EXE
---Office软件相关的东西
……
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - C:Program FilesThunder
NetworkThundergeturl.htm
……
--------------------------------------------------------------------------------------
以上我主要介绍了进程和04启动项,我们通过查看自己的进程列表或系统日志,基本上就能够找出不正
常的进程了
当然我们在对付病毒木马程式时,要记住以上的系统进程的和一些常用的进程
比如:
QQ.exe 是QQ的进程
taskmgr.exe是任务管理器的进程
iexplore.exe是ie的进程
system.exe系统进程
更有就是我刚才说的,一些流氓软件和系统的程式相同的名字,比如svchost.exe,假如您不查看路径,
您就会认为这是系统进程
查看了路径后就是知道他不是系统的进程了,很可能就是病毒为了伪装自己而配置的
当然更有些程式是隐藏了的,也就是说在进程列表查不出的,在这里我只介绍基本的方法,就不深入了,
那样的话就需要其他软件来查看,如冰韧等。
二、病毒的查找
以上介绍了病毒木马程式的查找方法,下面介绍怎样去寻找病毒之所在。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
