[分享] 小弟我常用的手工排除木马/病毒的方法
日期:2014-05-17 浏览次数:20901 次
[分享] 我常用的手工排除木马/病毒的方法
这个标题又是骗人的,其实我是来求助的。
下文以亲身经历描述了我手工排除木马/病毒的方法,不过很遗憾,结果问题没有完全解决掉。
很抱歉这差不多是一片流水账,尽可能让顶者都有分可拿。
首先说明我的系统环境为:Win2003 SP1 R2 + IE 7
发现这个问题当然是因为启动的时候系统提示有至少一个服务错误请查看日志什么什么的。可是当我打开事件查看器,却发现事件查看器无法查看“应用程序”项了
点击“应用程序”项就弹出个“MMC ……”对话框,有三个选项,我后来选择了第三个选项,就不再出现这个对话框了,但是事件列表却显示空白,并没有显示“此视图中没有可显示的项目”,但是头上确有显示:应用程序 xxxx 个事件。
在“应用程序”项右击属性后再选择“筛选器”选项卡出现错误:“Microsoft Management Console”遇到问题需要关闭……”,提示发送错误报告,不发送自动关闭。
居然还可以正常操作“应用程序”项的“清除所有事件”、“另存日至文件”。
其他“安全性”、“系统”项都可以正常查看。
曾怀疑是 %SYSTEM ROOT%\system32\config\AppEvent.Evt 文件被损坏。按网上说明停止“Event Log”服务后,删除 AppEvent.Evt 文件;然后重启系统,重启“Event Log”服务,发现可以正常打开“应用程序”项了,当然新建的 AppEvent.Evt 列举的事件是空的,右边显示“此视图中没有可显示的项目”。似乎一切正常了,可是再重新启动问题依旧。
将“应用程序”项另存日志文件在其他计算机可以打开,并发现一个错误信息:
事件 ID ( 1000 )的描述(在资源( Microsoft Management Console )中)无法找到。本地计算机可能没有必要的注册信息或消息 DLL 文件来从远程计算机显示消息。……下列信息是事件的一部分: mmc.exe, 5.2.3790.2560, kernel32.dll 5.23790.2756, 0001628f.
怀疑系统文件被替换,例如eventvwr.exe/mmc.exe等,尝试 sfc /scannow 甚至手工替换后无果,问题依旧。
现在我来回忆一下问题发生始末,或许可以提供一些线索。
几天前,一、突然发现IE打开网址后自动打开其他网页;二、发现 %SYSTEM ROOT% 和 %SYSTEM ROOT%\System32 有近两天创建的 exe 文件 运行之(这可能是操作错误根源所在)无反应,遂删除。以上两步先后顺序忘记了,抱歉。
我很惊讶我的系统居然让人给盯上了,然后开始手工清除(下面有个日期是 07-01-03 事实上这个日期可能是 070-01-20或者更后):
查注册表:
没有找到与 自动打开网页 网址相关的项。禁用IE可疑加载项,无果。
删 文 件:
首先删除系统文件夹下 07-01-03 后创建的与 Microsoft 无关的 exe 文件。问题依旧,并且重启出现“至少有一个服务错误”提示。
然后又尝试运行了一个属性显示为 Microsoft 的 setup0001.exe 文件,无反应。问题更甚:系统目录多了几个 exe 文件,setup0001.exe 自行删除了,IE 首页都被撰改了,而且灰显不能更改。
再删文件:
这次把 07-01-03 后创建的所有 exe 文件删除。由于发现了 soudmax.dll 文件,网络搜索之后确定为病毒还是木马忘记了,遂把所有 07-01-03 后创建的所有 dll 文件删除。有些文件是安全模式下删除的。
这里又有一步忘记了,不知道是再删文件之前还是之后重置了 IE 7,以为 IE 任何问题都可以解决。结果 默认首页被重置为系统默认网页,默认首页依旧不能修改,并且 Internet 安全级别 只有最高级别,不可以调整。以前的 IE 7被我重置为 安全等级中了。
查注册表:
查找注册表相关选项,配合策略管理器,终于把IE恢复正常。然后发现启动系统时候那个提示信息不简单,事件查看器的“应用程序”项都查看不了了。
------解决方案--------------------
你在打没有准备的仗:然后又尝试运行了一个属性显示为 Microsoft 的 setup0001.exe 文件。不过,我也经常会干这样的事。
还是建议先准备两套杀毒软件各杀一遍。
再用上一些工具,检查隐藏服务之类。
------解决方案--------------------
使用360安全卫士检查一下相关插件.使用黄山IE修复专家来修复IE浏览器.如果不行.请使用sreng2扫描,结束可疑启动项.删除可疑服务和驱动.对于可疑文件.使用killbox删除.可结合icesword来使用.
------解决方案--------------------
现在的病毒/木马越来越厉害了,没有工具简直很难查杀,icesword是个好工具
基本上autoruns + process explorer + icesword可以干掉绝大部分的木马
至于感染文件的病毒,就交给mcafee sdat
icesword都无能为力的木马文件,就交给ntfs dos,绝杀!
------解决方案--------------------
现在的木马不比2年前了,以前讲究的是隐蔽,相互关照,一个马相关的东西不超过10个
现在的根本就不求隐蔽,求的是效果,于是,一个马进来了,同时带入一大群马,有几百几千个文件都不奇怪,手动杀会死人的
再者,一但不小心漏了一个,哗啦,又都全回来了
------解决方案--------------------
鼓励手工杀毒的精神,有时候这种方法可以起到意想不到的效果,不过如果对系统不熟悉的话,最好是配合工具一起检测,这样不但提高了技术又不容易损坏系统。
友情提示一下,杀毒顺序很重要,一个错误的顺序很容易让病毒再生。楼主势必应该先看看任务管理器,然后配合注册表里HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的键值来判断当前运行的进程中有没有可疑进程。有则先结束进程,然后去控制面板-管理工具-服务 下重点查看没有描述项的服务名,看看有没有名字起的特别怪异的服务,比如:23983473 这样的纯数字名,绝对是病毒,将其服务禁止,然后双击该服务名,查看该服务加载的具体文件在哪个路径,记下该文件名。然后去安全模式下删除,并且在注册表里全局搜索该文件名,清除相关所有键值。最后配合杀毒工具进行完整性检查。推荐一个工具也许对你有帮助
这个标题又是骗人的,其实我是来求助的。
下文以亲身经历描述了我手工排除木马/病毒的方法,不过很遗憾,结果问题没有完全解决掉。
很抱歉这差不多是一片流水账,尽可能让顶者都有分可拿。
首先说明我的系统环境为:Win2003 SP1 R2 + IE 7
发现这个问题当然是因为启动的时候系统提示有至少一个服务错误请查看日志什么什么的。可是当我打开事件查看器,却发现事件查看器无法查看“应用程序”项了
点击“应用程序”项就弹出个“MMC ……”对话框,有三个选项,我后来选择了第三个选项,就不再出现这个对话框了,但是事件列表却显示空白,并没有显示“此视图中没有可显示的项目”,但是头上确有显示:应用程序 xxxx 个事件。
在“应用程序”项右击属性后再选择“筛选器”选项卡出现错误:“Microsoft Management Console”遇到问题需要关闭……”,提示发送错误报告,不发送自动关闭。
居然还可以正常操作“应用程序”项的“清除所有事件”、“另存日至文件”。
其他“安全性”、“系统”项都可以正常查看。
曾怀疑是 %SYSTEM ROOT%\system32\config\AppEvent.Evt 文件被损坏。按网上说明停止“Event Log”服务后,删除 AppEvent.Evt 文件;然后重启系统,重启“Event Log”服务,发现可以正常打开“应用程序”项了,当然新建的 AppEvent.Evt 列举的事件是空的,右边显示“此视图中没有可显示的项目”。似乎一切正常了,可是再重新启动问题依旧。
将“应用程序”项另存日志文件在其他计算机可以打开,并发现一个错误信息:
事件 ID ( 1000 )的描述(在资源( Microsoft Management Console )中)无法找到。本地计算机可能没有必要的注册信息或消息 DLL 文件来从远程计算机显示消息。……下列信息是事件的一部分: mmc.exe, 5.2.3790.2560, kernel32.dll 5.23790.2756, 0001628f.
怀疑系统文件被替换,例如eventvwr.exe/mmc.exe等,尝试 sfc /scannow 甚至手工替换后无果,问题依旧。
现在我来回忆一下问题发生始末,或许可以提供一些线索。
几天前,一、突然发现IE打开网址后自动打开其他网页;二、发现 %SYSTEM ROOT% 和 %SYSTEM ROOT%\System32 有近两天创建的 exe 文件 运行之(这可能是操作错误根源所在)无反应,遂删除。以上两步先后顺序忘记了,抱歉。
我很惊讶我的系统居然让人给盯上了,然后开始手工清除(下面有个日期是 07-01-03 事实上这个日期可能是 070-01-20或者更后):
查注册表:
没有找到与 自动打开网页 网址相关的项。禁用IE可疑加载项,无果。
删 文 件:
首先删除系统文件夹下 07-01-03 后创建的与 Microsoft 无关的 exe 文件。问题依旧,并且重启出现“至少有一个服务错误”提示。
然后又尝试运行了一个属性显示为 Microsoft 的 setup0001.exe 文件,无反应。问题更甚:系统目录多了几个 exe 文件,setup0001.exe 自行删除了,IE 首页都被撰改了,而且灰显不能更改。
再删文件:
这次把 07-01-03 后创建的所有 exe 文件删除。由于发现了 soudmax.dll 文件,网络搜索之后确定为病毒还是木马忘记了,遂把所有 07-01-03 后创建的所有 dll 文件删除。有些文件是安全模式下删除的。
这里又有一步忘记了,不知道是再删文件之前还是之后重置了 IE 7,以为 IE 任何问题都可以解决。结果 默认首页被重置为系统默认网页,默认首页依旧不能修改,并且 Internet 安全级别 只有最高级别,不可以调整。以前的 IE 7被我重置为 安全等级中了。
查注册表:
查找注册表相关选项,配合策略管理器,终于把IE恢复正常。然后发现启动系统时候那个提示信息不简单,事件查看器的“应用程序”项都查看不了了。
------解决方案--------------------
你在打没有准备的仗:然后又尝试运行了一个属性显示为 Microsoft 的 setup0001.exe 文件。不过,我也经常会干这样的事。
还是建议先准备两套杀毒软件各杀一遍。
再用上一些工具,检查隐藏服务之类。
------解决方案--------------------
使用360安全卫士检查一下相关插件.使用黄山IE修复专家来修复IE浏览器.如果不行.请使用sreng2扫描,结束可疑启动项.删除可疑服务和驱动.对于可疑文件.使用killbox删除.可结合icesword来使用.
------解决方案--------------------
现在的病毒/木马越来越厉害了,没有工具简直很难查杀,icesword是个好工具
基本上autoruns + process explorer + icesword可以干掉绝大部分的木马
至于感染文件的病毒,就交给mcafee sdat
icesword都无能为力的木马文件,就交给ntfs dos,绝杀!
------解决方案--------------------
现在的木马不比2年前了,以前讲究的是隐蔽,相互关照,一个马相关的东西不超过10个
现在的根本就不求隐蔽,求的是效果,于是,一个马进来了,同时带入一大群马,有几百几千个文件都不奇怪,手动杀会死人的
再者,一但不小心漏了一个,哗啦,又都全回来了
------解决方案--------------------
鼓励手工杀毒的精神,有时候这种方法可以起到意想不到的效果,不过如果对系统不熟悉的话,最好是配合工具一起检测,这样不但提高了技术又不容易损坏系统。
友情提示一下,杀毒顺序很重要,一个错误的顺序很容易让病毒再生。楼主势必应该先看看任务管理器,然后配合注册表里HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的键值来判断当前运行的进程中有没有可疑进程。有则先结束进程,然后去控制面板-管理工具-服务 下重点查看没有描述项的服务名,看看有没有名字起的特别怪异的服务,比如:23983473 这样的纯数字名,绝对是病毒,将其服务禁止,然后双击该服务名,查看该服务加载的具体文件在哪个路径,记下该文件名。然后去安全模式下删除,并且在注册表里全局搜索该文件名,清除相关所有键值。最后配合杀毒工具进行完整性检查。推荐一个工具也许对你有帮助
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
