肝胆相照论坛

 

 

肝胆相照论坛 论坛 电脑技术 存档 1 [公告]电脑有病毒木马(或其他)问题的请跟这个帖子*^_^ ...
查看: 850|回复: 2

[公告]电脑有病毒木马(或其他)问题的请跟这个帖子*^_^* [复制链接]

Rank: 3Rank: 3

现金
229 元 
精华
帖子
8 
注册时间
2006-10-1 
最后登录
2007-6-15 
1
发表于 2007-5-11 02:52

第一次在这里发帖,就算是战友间互相帮忙吧。

有什么问题都re这个帖,我会尽量帮忙解决的。一定要把具体的问题说清楚。

下面是从水木病毒版转过来的,一些常用的杀毒小工具和修复方法。有不懂的可以问。

发信人: sihecun (如果有来生), 信区: Virus
标  题: 常用工具 SREng Hijackthis 等
发信站: 水木社区 (Fri Mar 10 21:42:41 2006), 站内

这个帖子包括了 软件简介及修复方法等 如果只下载工具软件 直接按“end”键

1、SREng (病毒问题用这个发log)    版本:2.4.12.806 2007-3-8
2、HijackThis                       版本:1.99.1     2005-2-16
3、KillBox 和 Unlocker(删除工具)
4、IceSword                         版本:1.20       2006-10-22
5、msinfo32
6、Winsock XP Fix 和 LSPFix(Winsock 修复工具)
7、RootkitRevealer
8、FileMon 和 RegMon


1、SREng
版本:v2.4.12.806 2007-03-08
简介:作者Smallfrogs,System Repair Engineer(SREng) 是一款全新的、强有力的、可扩
充的用于调整和修复你系统的免费工具,在这个工具的帮助下,你可以察觉你的系统故障并
能够很容易的修复他们。

使用方法:
[如何发log]
附件 下载解压后运行 SREng,选择 "智能扫描","扫描","保存报告",然后把扫描后的
SREng.log这个文件以附件发上来或者把其中的内容 复制 粘贴上来。
注意:扫描log前关闭打开的应用程序,包括qq等,方便看log

[如何修复]
简单概括:结束进程、修复、手动删除文件,具体如下,把(1)~(9)看懂再操作,
如果正常模式操作不成功进安全模式下操作
按下列方法操作,修复后手动删除文件(不能删除的可以使用删除工具KillBox或者
Unlocker)。

(1)注册表
先在任务管理器里结束要修复的对应“注册表”项的进程(注意有的"注册表"项没有运行的
进程,有的进程有同名的系统文件,如svchost.exe、lsass.exe等,结束这样的进程可以用
icesword等软件,可以看到路径)。

在SREng中 "启动项目" "注册表" 鼠标左键在对应要修复的项上单击,然后点击"删除"

注意如果以下3项需要修复,恢复如下的默认值
(在SREng中 "启动项目" "注册表" 鼠标左键在对应要修复的项上单击,然后点击"编辑" 修
改对应"值" 如下即可)
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  <shell><Explorer.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  <Userinit><C:\WINDOWS\system32\Userinit.exe,>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  <AppInit_DLLs><>

(2)启动文件夹
在SREng中 "启动项目" "注册表" 鼠标左键在对应要修复的项上单击,然后点击"删除"。

(3)服务 & 驱动程序
在SREng中 "启动项目" "服务" "win32 服务应用程序"(或者"驱动程序") 先勾选右下角
的 "隐藏已认证的微软项目" 鼠标左键在对应要修复的项上单击,然后选择右下角的"删除
服务",点击"设置",在弹出的窗口中点"否"。

(4)浏览器加载项
在SREng中 "系统修复" "浏览器加载项" 鼠标左键在对应要修复的项上单击,然后点击"删
除所选内容"。

(5)正在运行的进程
对于要删除的文件,可以到安全模式删除,或者用killbox等工具软件。

(6)文件关联
在SREng中 "系统修复" "文件关联" 鼠标左键在对应要修复的项前勾选,然后点击"修复"。

(7)Winsock 提供者
用log 中 提示的文件搜索,确认是恶意添加的
可以使用 lspfix 删除对应文件
最后再用 winsock xp fix 修复一下

(8)Autorun.inf
按照SREng  log中 删除对应分区下的autorun.inf 及相关exe文件
如果要删除的文件看不到,文件夹选项设置显示所有文件;或者使用IceSword

(9)HOSTS 文件
在SREng中 "系统修复" "HOSTS 文件"  "127.0.0.1  localhost"这个保留,其它的全部删除
(自己添加的除外)

下载:附件


2、HijackThis
版本:v1.99.1 2005-2-16
简介:作者Merijn,是一个非常有用的检测扫描工具,主要用于扫描显示系统当前进程、启
动项信息、BHO(Browser Helper Object)、ToolBar(浏览器工具栏)、DPF(
Downloaded Program Files)等信息,并且具有修复功能,对于发现病毒等有害程序有很大
帮助,尤其是在发现/修复浏览器劫持方面有很大作用。

使用方法:
[如何发log]
附件 下载 解压后 运行 hijackthis,选择 "扫描系统并保存日志",然后把扫描后的
hijackthis.log这个文件以附件发上来或者把其中的内容 复制 粘贴上来。
注意:扫描log前关闭打开的应用程序,包括qq等,方便看log
[如何修复]
简单概括:结束进程、修复、手动删除文件,具体如下,把(1)~(5)看懂再操作,
如果正常模式操作不成功进安全模式下操作
(1)在HijackThis扫描的结果中,选中需要修复的项目,按下修复(Fix checked)按钮进行
修复。修复前请关闭所有浏览器窗口和文件夹窗口。
(2)修复后手动删除对应文件(不能删除的可以使用删除工具KillBox或者Unlocker,注意
hijackthis修复的只是注册表信息)。
(3)对于04项,修复前先在任务管理器里结束对应进程(注意有的04项没有运行的进程,有的
进程有同名的系统文件,如svchost.exe、lsass.exe等,结束这样的进程可以用icesword等
软件,可以看到路径)。
(4)对于023项,修复后,对于显示(file missing)项,可以用hijackthis的工具箱删除,或
者SREng操作 对应的 服务项,方法看SREng。
(5)对于以下类似位置的项,注意
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\ .exe
(此项删除文件 C:\WINDOWS\ .exe)
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\System32\kernels32.exe
(此项删除文件 C:\WINNT\System32\kernels32.exe)
O4 - 启动项HKLM\\Run: [Desktop] C:\WINDOWS\system32\rundll32.exe "C:\Program
Files\DeskAdTop\Run.dll" ,Rundll
(此项删除文件 C:\Program Files\DeskAdTop\Run.dll)

下载:附件


3、KillBox 和 Unlocker
(1)KillBox
版本:2.0.0.881(附件内为汉化版2.0.0.648)
简介:作者Option Explicit,删除文件和文件夹的工具软件
使用方法:
(1)标准方式删除模式:选择此项后,可以辅助选择 "删除前先结束"Explorer.exe进程"和"删
除dll前先反注销此文件
(2)重启后删除文件:选择此项后,浏览选上要删除的文件,然后点红色的X操作即可(对于同
时删除多个文件,点红色X后在弹出的选择框中选择否,然后重复加入其他文件,最后一个文件
加入后,在弹出框中选择是)
(3)重启后替换文件:选择此项后,浏览选上要删除的文件,然后勾选"替换文件",killbox自
动提供替换文件,然后点红色的X操作即可
(2)Unlocker
版本:1.8.5 2006-7-9(英文版,需要安装)
简介:功能强大,正常模式就可以删除大部分文件
使用方法:
在要删除的文件/文件夹上 鼠标右键  选择 “unlocker”,然后再弹出的窗口中选择“
delete”

下载:附件


4、IceSword
版本:v1.20 2006-10-22
简介:作者pjf,IceSword是一斩断黑手的利刃(所以取这土名,有点搞e,呵呵)。它适用于
Windows 2000/XP/2003操作系统,用于查探系统中的幕后黑手(木马后门)并作出处理,当然
使用它需要用户有一些操作系统的知识。
IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件,比如一些进程工具、
端口工具,但是现在的系统级后门功能越来越强,一般都可轻而易举地隐藏进程、端口、注
册表、文件信息,一般的工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内
核技术,使得这些后门躲无所躲。

使用方法:
参考其帮助文件

下载:附件


5、Msinfo32模块分析
简介:操作系统自带的命令,有时SREng  hijackthis 分析不出时,这个命令比较实用
使用方法:
开始菜单 运行 输入 msinfo32 回车
在弹出的 "系统信息" 窗口中,选择 "软件环境" "加载的模块"
(1)点击"文件日期"列,按时间排序,用最新加载的几个模块文件google,排查
(2)点击"制造商"列,进行排序,用不确认的制造商模块文件或没有制造商的模块文件
google,排查


6、LSPFix 和 Winsock XP Fix
版本v1.2 2003-12-7) (v1.1 2006-7-4)
简介:Winsock 修复工具
使用方法:
(1)LSPFix(辅助修复HijackThis扫描发现的O10项)
使用时,请关闭所有IE界面和文件夹界面后运行LSPFix,运行后,把要修复的那项从左边转
到右边,点“Finish”即可。(不过这之前,需要在“I know what I`m doing”前面打勾
。)
(2)Winsock XP Fix
运行 点击 修复 后,重起电脑

下载:附件


7、RootkitRevealer
版本:v1.71 2006-11-1(英文)
简介:Sysinternals的Rootkit检测工具,能检测出www.rootkit.com公布的所有Rootkit,包
括AFX, Vanquish and HackerDefender (注意:RootkitRevealer不能够检测那些没有隐藏
文件和注册表的Rootkit,比如FU_Rootkit)。

下载:附件
7、RootkitRevealer
版本:v1.71 2006-11-1(英文)
简介:Sysinternals的Rootkit检测工具,能检测出www.rootkit.com公布的所有Rootkit,包
括AFX, Vanquish and HackerDefender (注意:RootkitRevealer不能够检测那些没有隐藏
文件和注册表的Rootkit,比如FU_Rootkit)。

下载:附件


8、FileMon和RegMon
版本v7.04 2006-11-1) (v7.04 2006-11-1)
简介:Sysinternals的文件和注册表监控工具
在病毒文件、注册表项删除但立刻重复出现的情况下,使用这两个工具,监视病毒文件和注
册表项由哪些进程或线程再次生成。有助发现问题。

下载:附件

--
2005年12月7日7点 侄子出生


※ 修改:·tnds 于 Mar 19 17:36:33 修改本文·[FROM: 218.78.225.*]
※ 来源:·水木社区 newsmth.net·[FROM: 221.221.30.*]
附件: hijackthis.zip (246 KB) 链接:
http://www.newsmth.net/att.php?p.78.227853.11.0.7560.zip
附件: KillBox.zip (77 KB) 链接:
http://www.newsmth.net/att.php?p.78.227853.11.0.259590.zip
附件: unlocker1.8.5.zip (163 KB) 链接:
http://www.newsmth.net/att.php?p.78.227853.11.0.338738.zip
附件: IceSword120_cn.zip (2120 KB) 链接:
http://www.newsmth.net/att.php?p.78.227853.11.0.506552.zip
附件: WinSock_XP_Fix.zip (683 KB) 链接:
http://www.newsmth.net/att.php?p.78.227853.11.0.2678399.zip
附件: LSPFix.zip (185 KB) 链接:
http://www.newsmth.net/att.php?p.78.227853.11.0.3378604.zip
附件: RootkitRevealer.zip (225 KB) 链接:
http://www.newsmth.net/att.php?p.78.227853.11.0.3568457.zip
附件: Filemon_v7.04.zip (544 KB) 链接:
http://www.newsmth.net/att.php?p.78.227853.11.0.3799879.zip
附件: Regmon_v7.04.zip (261 KB) 链接:
http://www.newsmth.net/att.php?p.78.227853.11.0.4357342.zip
附件: SREng2.zip (597 KB) 链接:
http://www.newsmth.net/att.php?p.78.227853.11.0.4625299.zip
全文链接:http://www.newsmth.net/bbscon.php?bid=78&id=227853&ftype=11


Rank: 3Rank: 3

现金
229 元 
精华
帖子
8 
注册时间
2006-10-1 
最后登录
2007-6-15 
2
发表于 2007-5-11 02:54

[公告]跟一篇流氓软件的解决方法

转自水木病毒版

发信人: sihecun (如果有来生), 信区: Virus
标  题: 流氓软件解决方法及防范
发信站: 水木社区 (Thu Mar 16 20:58:12 2006), 站内

一、清除方法
二、如何防范流氓软件及几款免费防间谍软件


一、清除方法
第一步  添加删除程序里卸载(有些卸载不掉或者卸载不完全)
    MMSAssist、winstdup、酷站导航、RichMedia、很棒小秘书、桌面传媒、桌面媒体、划词搜索、网络猪、青娱乐、搜搜地址栏搜索、中文上网、中文邮、网络实名、上网助手、雅虎助手......

第二步  软件清理
1、恶意软件清理助手 & 超级兔子 & Windows清理助手 & 360安全卫士
    以上几个软件,基本可以清除大部分常见流氓软件,几点说明如下:
    (1)这些软件定期更新,注意升级。检测到但不能清除的,进入安全模式下清理
    (2)超级兔子功能只推荐 超级兔子清理王 专业卸载 功能
    (3)清理前先备份注册表,虽然出现问题的人极少。这一步操作自己选择吧,方法见版内置底的 常用方法

恶意软件清理助手(绿色软件)
http://www.tommsoft.com/Products.aspx?pid=2
http://www.tommsoft.com/Products.aspx?pid=10(DOS版(支持NTFS))
超级兔子
http://www.pctutu.com/
http://down.pctutu.net/ckdown.php(网络卫士 绿色版)
http://download4.pctutu.com/soft/winspeed796.zip(清理王7.96, 2007-1-29 免安装版)
Windows清理助手(绿色软件)
http://www.arswp.com/
http://www.arswp.com/download/arswp/arswp.rar
360安全卫士 
http://www.360safe.com/

2、hijackthis & SREng
    用hijackthi或者SREng找出问题项修复,这2个软件的用法见置底

第三步  手动清理
    对于前边操作都无法删除的,进控制台或者第三方软件启动(需要能访问ntfs)删除相应文件

二、如何防范流氓软件及防间谍软件
1、如何防范流氓软件
    (1)操作系统及ie打好补丁
    (2)安装防病毒及防间谍软件,并定期更新
    (3)上网养成好习惯,不去不知名网站
    (4)不要随意安装共享软件、免费软件、汉化软件等
     (5) 安装软件时不要一路下一步,注意提示
     (6) 使用Maxthon浏览器并启用ActiveX过滤可以有效抵挡大部分ActiveX类的流氓软件

2、防间谍软件(后2个为微软推荐的防间谍软件)
    目前很多杀毒软件都集成了防间谍组件,如诺顿2006、卡巴6、mcafee8(需要单独安装)等,以下几个软件是免费的防间谍软件。
(1)Windows Defender(微软开发的防间谍软件)
下载地址
http://www.microsoft.com/downloads/info.aspx?na=90&p=&SrcDisplayLang=en&SrcCategoryId=&SrcFamilyId=435BFCE7-DA2B-4A6A-AFA4-F7F14E605A0D&u=http%3a%2f%2fdownload.microsoft.com%2fdownload%2fe%2fd%2f0%2fed099d5e-dc60-4740-8747-1c72f053b800%2fWindowsDefender.msi

(2)Ad-Aware SE
下载地址:
http://www.lavasoft.de/ms/index.htm

(3)Spybot Search & Destroy (S&D)
下载地址
http://www.safer-networking.org/microsoft.en.html

--
2005年12月7日7点 侄子出生


※ 修改:·tnds 于 Mar 19 17:38:05 修改本文·[FROM: 218.78.225.*]
※ 来源:·水木社区 newsmth.net·[FROM: 221.221.38.*]

Rank: 6Rank: 6

现金
3236 元 
精华
帖子
2027 
注册时间
2005-2-5 
最后登录
2009-5-25 
3
发表于 2007-5-12 07:45

个人习惯用checkrun检测自启动项,

用procexp检测端口连接

用syscheck和勘魔传说检测线程和服务

用卡卡安全助手检测驱动

用unclocker删除锁定的文件……:)

少年侠气 交结五都雄 肝胆洞 毛发耸 立谈中 死生同 一诺千金重!
‹ 上一主题|下一主题

肝胆相照论坛

GMT+8, 2024-11-26 20:17 , Processed in 0.017372 second(s), 11 queries , Gzip On.

Powered by Discuz! X1.5

© 2001-2010 Comsenz Inc.