返回列表 发帖

手工清除病毒经过

手工清除病毒经过

首先声明,本人不是电脑高手,写出来只是希望对有遇上同样问题的朋友能够有所帮助


昨天上午在八通网上删除几个广告贴时发现有几个网站宣传的,一不小心误点网页,网页马上打开
虽然很快的点了关闭按扭,但还是弹出来几个广告网页

中招了

因为自己的电脑从来不装杀毒软件,不是因为别的,是机器配置太次,实在是舍不得庞大的
杀毒软件占了内存占硬盘,一直是用手工凑合着杀毒

病毒成功进入电脑后,立刻开始进入发作状态

表现为:
定时弹出绑定的广告网站,黄色网站,强行访问绑定网站,修改IE首页

当然了,手工改回首页是徒劳的,病毒会自已改回去

删除Cookies ,删除文件,清除历史记录,没用

查看系统进程
发现有一文件为"Realplayer.exe"的可疑文件,这个文件看起来象是播放电影的“RealPlayer.exe”,
还有两个"rundll32.exe"直觉告诉我,这两个“rundll32.exe”很有可能是病毒,因为以前自己
写恶作剧程序时也伪装成这个系统文件,报应了,奶奶的

查看程式的路径,居然发现"RealPlayer.exe"在"c\windows\system32"目录下,太明显了,播放软件啥时候能
装这个目录下啊,基本确定这是一个病毒文件,找到另外的"rundll32.exe"

"rundll32.exe" 这个病毒很简单,直接删除就没了,可是这个"RealPlayer.exe" 就没那么容易了
首先,这家伙删不掉,在进程强行中断后,仍然删除不掉,有一手,一定是在勾在哪儿了。

即然这样,就不费劲了,马上下载了解密的瑞星下载版,然后找了今天的升级包,安装完毕后,开始杀毒。
杀毒软件虽然查到并杀了两个我没有发现的"rundll32.exe" ,但对于"RealPlayer.exe"没有任何反映,
即不认为是病毒,更别说杀它了。

没指望了,杀毒软件技止此尔!

纯手工吧

马上运行MSCONFIG,果不其然,在启动组里发现了这家伙的身影,一启动就会自动运行,是很多病毒的特点

运行REGEDIT,在注册表的
“[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]”
“[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]”

都发现已经堂而皇之的安家了,直接删除大多是没有用的
删除后一刷新,马上就出来了,很嚣张啊,删除不掉

马上明白了,病毒一定是和系统的"Explorer.exe"勾上了,否则,不会恢复得这么快
找到键值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT\Windows\CurrentVersion\Winlogon]
赫然发现有一个名称为Shell的键值后边是:"Explorer.exe C:\WINDOWS\\system32\Realplayer.exe"

够狠,真是这样
怪不得删除不掉

一是利用系统调用Realplayer.exe ,让你删除不了,然后利用Explorer.exe ,让你不管有什么动作
他都能借尸还魂,恢复他在注册表启动组位置

说了这么多废话,其实,这是一个很普通的病毒,只不过是杀毒软件处理不了,普通删除也没用
但跟当年著名的CIH比起来,连狗屎都不如

即然文件说是被占用,删除不了,那好,我不让你占用不就行了嘛

重启系统,进入带命令行的安全模式

用命令进入windows\system32目录下,DIR,马上发现 Realplayer.exe ,哈,看你还能干什么
运行 del Realplayer.exe
ok
处理掉了

重新启动,进入系统

再进入windows\system32 ,哈,这混蛋没了
再进入注册表,删除掉""C:\WINDOWS\system32\Realplayer.exe""
刷新
没反映
哈,删除了

至此,手工清除病毒成功

总结:
一,不要过份相信杀毒软件,任何杀毒软件都是被动的,总会有很多的病毒是即发现不了,也杀不掉的

二,很多病毒用手工完全是可以清除的,现在的病毒都是以木马为主,进了电脑后,马上找个亲戚,
拉着不放手,一般很少能忍耐多久的,大多是进来后就发作,跟几年前的病毒比起来涵养少了许多,
但要命的是他不只是给你捣个乱什么的就成了,这可真偷东西啊,偷你QQ密码,MSN密码,网上银行的密码
开个后门,偷个文件,反正能偷的都偷,指不定干什么,但是,大多数只要发现病毒文件,删除后就可以了
有少数删除不掉的,手工清一下也就可以了

三,如果装杀毒软件,要打开注册表监视器和内存监视器,因为有异常时会报警
        一定要定期升级,一周至少一次,因为很多时候还是有用的

写于2007-10-01
原发在SOHU博客,后发现被关掉
宁做真小人,不做伪君子

返回列表