Board logo

标题: 当杀软查杀不到新毒 我们应该怎么办? [打印本页]
作者: 点饭的百度空间     时间: 2008-1-26 18:18    标题: 当杀软查杀不到新毒 我们应该怎么办?




当杀毒软件们查杀不到木马病毒 我们应该怎么办?
难道等电脑中毒了再让我们去找出病毒手动查杀 保护自己的电脑?  困惑!不知所措!这种状况又叫我们怎么相信那些所谓专业的杀毒软件?


当杀毒软件查杀不到木马病毒时,我们应该怎么办?:(


(转帖) 今天我去百度查资料时,中了个木马.杀毒软件杀不出.下面是我解决的一些心得,大家可以借鉴下!(给点耐心看完,你的电脑水平回有提高的).我的卡巴提示已经拦截病毒,是不是真的没毒了呢?

一:怀疑自己中毒了,首先是打开"任务管理器",我看了下,没有发现可疑的进程启动.

二:开始--运行--输入:MSCONFIG,没有发现有可疑病毒加载到RUN项目.

三:打开C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOTS文件,发现已经被非法篡改,我试着把文件写回127.0.0.1 localhost ,但是提示文件在使用中,不能更改!

四:360安全卫士对这主页被篡改有很好的恢复功能,我马上打开360安全卫士,谁知道,一点,360安全卫士消失了,并马上帮我关机!!!
360安全卫士下载地址:http://www.rsdown.cn/downinfo/224.html

五:重新开机,打开恶意软件清除助手,看看是不是有恶意软件,升级了最新版,查杀一次,没发现恶意软件
恶意软件清除助手下载地址:http://www.rsdown.cn/downinfo/266.html

六:想起,好象优化大师的清恶意软件能力也不错,马上打开优化大师,谁知道,一点,马上消失,并帮我关机!~~
优化大师最新绿色版本下载:http://www.rsdown.cn/downinfo/80.html

七:重起电脑,由于没有可疑进程,我怀疑是木马插进了我的EXPLORER.EXE进程(PS:很多木马就是直接加载到该进程),我打开冰刃软件(查木马一流!),点到EXPLORER.EXE进程,选"模块信息",发现该进程加载了一个1.1的文件,位置在SYSTEM32文件夹下面,于是,我马上打开C:\WINDOWS\SYSTEM32文件夹,发现了该文件,名字就叫1.1,是隐藏的,没有任何后缀,旁边还多出了个3.1文件,也是没后缀的!初步理解是:该两个文件是木马文件,试着删除,发现有进程在调用,无法删除.在仔细看下EXPLORER.EXE的模块信息,发现调用了有个叫PWDXXX.DLL的文件,PWD是密码的缩写,这个可能也是木马文件.利用冰刃的卸除加载功能,强行把1.1和PWDXXX.DLL从EXPLORER.EXE进程卸除,然后到C:\WINDOWS\SYSTEM32文件夹把1.1和PWDXXX.DLL文件删除.OK!本来以为已经清毒完毕,但是重起电脑,打开优化大师,马上自动删除并关机!~终于理解,木马还没清楚干净!
冰刃下载地址:http://www.rsdown.cn/downinfo/1331.html

八:打开C:\WINDOWS\SYSTEM32文件夹,发现1.1和PWDXXX.DLL又出来了!看来这个木马比较恨~~于是我打开百度:输入:优化大师运行就关机(百度搜索也是一门艺术,关键词写得好,可以很快找到解决问题的方法),发现木蚂蚁论坛有位朋友描述的他中毒情况和我差不多,木蚂蚁论坛很多热心的朋友帮忙解决问题.于是,我就想在木蚂蚁发个帖子问问解决情况~我把我中毒的情况描述好,发了帖子.一位朋友叫我使用SREng.EXE软件,扫描一份报告贴上论坛,于是,我下载了该软件,但是,一运行,马上消失并关机了!~~
我的木蚂蚁求助帖:http://bbs.mumayi.net/thread-870177-2-1.html
SREng软件下载地址:http://9exe.com/downinfo/2489.html

九:重起电脑,重新解压一份SREng,把名字改成AAA.COM,运行,一样,消失关机!这个时候我已经绝望了~于是决定用GHOST恢复我的干净系统!~~

十:恢复好系统,看了下SYSTEM32文件夹,发现3个木马文件没有了,高兴!~开个QQ,再打开优化大师,消失关机!晕~~重起后,发现那三个木马文件又来了!~~难道是我的全部EXE都感染了么?

十一:这时,我想起,有个软件叫:GMER,是很强的查木马软件,拿出来,查看EXPLORER进程,果然,1.1又插进该进程了,用该软件的扫描启动项功能,发现1.1用注册表加载,于是打开注册表管理器,奇怪,根据路径,找不到该木马启动信息.在注册表中搜索了下:1.1,没任何发现!~于是决定利用GMER的安全模式功能(该功能是重起电脑后,只加载4个进程,比进安全模式还安全),进到了该安全模式,发现,1.1木马文件无法删除,有进程调用!~~
GMER软件下载地址:http://9exe.com/downinfo/3728.html

十二:想了下,去电脑自己的安全模式看看能不能删除,于是重起,按F8,选安全模式,谁知道,1点就重起,反复几次都一样!看来木马已经修改了注册表,使安全模式不能使用!~

十三:已经很绝望,百度查不到任何该木马资料,杀毒软件杀不到,杀木马软件打不开!~于是,我四处找大论坛发帖求助,如:电脑爱好者,电脑报等,等了几个钟头,没有任何人帮我解决得该木马,看来是比较新的木马!~~

十四:看了下任务管理器,发现多了两个IEXPLORER进程,肯定是木马调用的,于是我拿冰刃出来,看了下该进程的模块信息,发现加载了1.1木马文件和QQ文件夹的Q.DLL文件?我奇怪了,为什么IE进程会加载QQ的DLL?于是我又用冰刃查看了下QQ.EXE进程,发现该进程也加载了1.1和Q.DLL文件,再用冰刃查看下我使用上网的THE WORLD.EXE进程,也是加载了该两个木马文件,难道是木马注册成服务了?只要一开任何EXE,就马上插入木马文件到新进程中??

十五:打开服务查看器(右键点:我的电脑--管理--服务),看了下启动的服务,没有发现任何可以的服务启动!~~

十六:中了木马,头脑一定不能乱,手动查杀木马是见智见勇的行为,只要冷静,就有可能杀到木马.我重新整理了下思路,突然想起,为什么IEXPLORER进程会加载QQ文件夹的Q.DLL进程?于是打开QQ文件夹,发现该文件是隐藏的,终于!~~~终于我知道该病毒的传播原理了!~~~删除了Q.DLL,然后删除1.1,3.1文件,再打开优化大师,终于可以打开了,也就是说.,木马已经被彻底干掉了!~~挖哈哈!~~

整理了下思路,发现该未知木马的传播原理:
一:搜索硬盘上QQ文件夹,并复制Q.DLL到该文件夹
二:当QQ.EXE被运行,马上释放1.1,3.1和PWDXXX.DLL文件到C:\WINDOWS\SYSTEM32文件夹~并把3个注入到EXPLORER进程,在注册表某隐藏位置随机启动.
三:每秒扫描一次所有进程,发现出现杀木马软件和优化软件运行.马上删除该软件,然后强行关机!并破坏安全模式!~~

这个死病毒,害我搞了一天!~:lol:不过,我从手动杀毒中,学到了很多知识,所以马上写了这篇手动杀毒心得出来与大家分享,希望当大家遇到:杀毒软件杀不了的木马病毒时,可以手动查杀.保护自己的电脑!~~

上面文件比较长,不过看了肯定有收获,希望大家能仔细看看,提高自己的电脑水平!~

[ Last edited by 点饭的百度空间 on 2008-2-25 at 12:39 ]
作者: yuanbinxh     时间: 2008-1-27 11:54
楼主的查杀思维模式很值得大家学习,其实手工查杀的过程同时也是提高自己的一个过程
同时,这也提醒了我们,平常在下载软件的时候,最好还是谨慎一点

[ Last edited by yuanbinxh on 2008-1-27 at 11:56 ]
作者: 小小刀     时间: 2008-1-28 10:22
呵呵,享受手杀的乐趣,与病毒斗智斗勇,很不错的文章
作者: xfdb138     时间: 2008-1-28 20:50
好文章,不错,学习了
作者: hccccc     时间: 2008-2-4 18:51


  Quote:
我重新整理了下思路,突然想起,为什么IEXPLORER进程会加载QQ文件夹的Q.DLL进程?于是打开QQ文件夹,发现该文件是隐藏的,终于!~~~终于我知道该病毒的传播原理了!~~~

请问,发现该文件是隐藏的,您怎么就知道病毒的传播原理了?我没看懂哦!
请指点!

:D
作者: sjzwang     时间: 2008-2-24 15:25
对于菜鸟来说,楼主的简直是说天书,看不懂。
作者: 点饭的百度空间     时间: 2008-2-25 12:35
看不懂那就对了正常 原文已修改
作者: eaglesage     时间: 2008-2-26 12:38
呵呵  楼主很强  很暴力啊



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn