昨晚杀的几个盗号木马_给新人的手工杀毒抛砖引玉贴.docVIP

这篇贴子主要告诉大家如何去找病毒。找到病毒后如何去清理。因时间有限，只写一些比较主要的部分。如有不明之处，请跟贴询问。运行木马后，木马进程常驻内存，进程列表中可以看到。因为我已经修改了我的boot.ini，也不知道他有没有隐藏进程。这其实并不重要。探测隐藏进程的工具很多。比如冰刃，GMER。本论坛都可以下载。我更关注的是进程模块。下面看一个图：  HYPERLINK /attachment.php?aid=3706k=15333a5fad89ab347b315d5de5ac52fet=1290393643nothumb=yes \o 1.JPG \t _blank 下载 (53.55 KB) 2008-3-19 00:52 近视眼和老花眼的可以点击放大再看。这些进程模块是注入到 explorer.exe（桌面）进程里的。已经去除了系统模块。其实不难发现，除了e:\soft\windowblinds 这个模块，其它的全是病毒。cmdbcs.dll这个大家再熟悉不过了吧。而且这些病毒不只注入explorer.exe进程，凡是它可以注入的，全给你注入，而且时时监控有无新进程产生，如果有马上试图注入。上面的图来源于我和天明大哥一直在开发的进程分析器。因为我个人原因，耽误了很多时间，所以现在还不能和大家见面。到时候会发布到论坛的。先看下截图吧：  HYPERLINK /attachment.php?aid=3707k=ff7d56fbeb2533d645922338cdf52e0bt=1290393643nothumb=yes \o 55.JPG \t _blank 下载 (127.33 KB) 2008-3-19 00:52 得和大家说声对不起，大家提供了这么多进程信息，辛苦你们了。我会尽快调整一下，完成这个工程。请大家原谅。我还要感谢 济南论坛、青州论坛、第四界论坛、计算机反病毒论坛一直支持鼓励我的兄弟姐妹们。现实生活空虚迷茫，但在网络上我还能找回点自信。全靠你们。继续。。。。那么这些进程模块我们如何去处理呢？删除是不可能了。也许有人会想到结束进程后再去删文件。但这也是不可能的。上面已经说过了，病毒不只注入explorer.exe。难道winlogon.exe你也打算结束吗？喜欢蓝色的可以结束试试。 其实这个问题我在别的贴子里说过多次了。有3种方法：1、找到文件直接重命名。不要告诉我不能重命名。试过才知道。至少上面这些，全部可以。2、用文件免疫工具将文件免疫。能重命名就能免疫，呵呵。还可以抵制病毒文件再生。至于文件要不要去删除。管它呢。根本不用。你想想，一个文件名叫??123_321，就算你双击都打不开，他自身怎么会智能到运行呢？？死马一个而已。3、想暴力删除的话工具也有很多，辅助工具版块里找下。超级巡警文件暴力删除工具。当然还有大名鼎鼎的unlocker。个人推荐用第二种方法。doit里自带文件免疫工具，而且还支持文件右键菜单快速免疫。方便。这个进程分析器里也带文件免疫工具。嘿嘿。貌似在做广告似的。嗯。把你上图中看到的这些病毒文件全部免疫上。注意最好看下别的进程的模块是否有非法的模块。首先检查无出品公司的模块（见上图），但不要以为没有出品公司就一定是病毒。这个不大好说清楚，以后多看看求助版块有扫描报告的贴子以及解决方案，时间长了基本也可以判断个差不多了。常在河边走，一定会湿鞋。关于进程里，还有就是我们可以先把那些非法的进程关闭。这里仍以 DoIt 进程管理器为例。DoIt 进程管理器有个特点，进程列表中是按进程出现的先后顺序排列的。比如最后一次运行的程序是doit，那么进程列表中doit以下的进程，有可能就是木马了。当然这只适合于特意运行木马进行研究分析时用的。如果对某进程拿不准怎么办？百度一下，你就知道。进程处理方面就说到上面了。开始找启动项，任何一个病毒要启动一定要有启动条件。常用的启动条件：注册表、服务、驱动。目前的木马越来越多地使用驱动来启动木马。先说注册表吧。常见的就那几个项。RUN LOAD SHELL，启动文件夹。doit里都给你集成了。点个按钮就找到了。当然你还可以用更专业的软件去查找，比如 autoruns，相当地全面呐。不过新手不宜使用。有可能导致系统出问题。360安全卫士也有。这个比较适合新手使用。下面看一下我用doit扫描的启动项：  HYPERLINK /attachment.php?aid=3708k=21cbc3a1e01f31b9ea8e6208fbd7d73at=1290393643nothumb=yes \o 2.JPG \t _blank 下载 (57.31