手动查毒杀毒过程

杀毒思路
1)        首先,通过诺顿客户端的威胁历史记录中查找所中的病毒名称,这样可以通过上网搜索此种病毒的解决方法来查杀病毒.

2)        如果诺顿不能查出所中病毒,可以通过经验在进程,服务,固定的文件夹中查找怀疑是病毒的文件,然后到网上搜索相关的资料,进行查杀.或把怀疑是病毒的文件发送到专门检测病毒的网站上进行检测, http://www.virustotal.com/en/indexf.html,查出是什么病毒后在找出相对应的杀毒方法

以下是查杀病毒的具体说明:

一、 病毒检测
1.1.1 检查进程
按Ctrl+Shift+Ese键(同时按此三键)，调出windows任务管理器查看系统运行的进程，找出不熟悉进程并记下其名称(这需要经验)，或者把怀疑是病毒的文件名放到google中搜索一下,可以查出是不是非法的进程。如果这些进程是病毒的话，以便于后面的清除。暂时不要结束这些进程，因为有病毒或非法的进程可能在此没法结束。点击性能查看CPU和内存的当前状态，如果CPU的利用率接近100%或内存的占用值居高不下，此时电脑中毒的可能性是95%。

1.1.2 检查服务
查看windows当前启动的服务项，由“控制面板”的“管理工具”里打开“服务”。看右栏状态为“启动”启动类别为“自动”项的行;一般而言，正常的windows服务，基本上是有描述内容的(少数被骇客或蠕虫病毒伪造的除外)，此时双击打开认为有问题的服务项查看其属性里的可执行文件的路径和名称，假如其名称和路径为C:\winnt\system32\explored.exe，计算机中招。有一种情况是“控制面板”打不开或者是所有里面的图标跑到左边，中间有一纵向的滚动条，而右边为空白，再双击添加/删除程序或管理工具，窗体内是空的，这是病毒文件winhlpp32.exe发作的特性。

1.1.3 检查注册表
运行注册表编辑器，命令为regedit或regedt32,查看都有那些程序与windows一起启动.主要看下面注册表项, 查看窗体右侧的项值，看是否有非法的启动项。WindowsXp运行msconfig也起相同的作用。随着经验的积累，你可以轻易的判断病毒的启动项。

HLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

HLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon      

HCU\Software\Microsoft\Windows\CurrentVersion\Run

HCU\Software\Microsoft\Windows NT\CurrentVersion\Windows

1)        用浏览器上网判断。前一阵发作的Gaobot病毒，可以上yahoo.com,sony.com等网站，但是不能访问诸如www.symantec.com,www.ca.com这样著名的安全厂商的网站，安装了symantecNorton2004的杀毒软件不能上网升级。

1.1.4 检查系统文件夹
取消隐藏属性，查看系统文件夹winnt(windows)\system32,如果打开后文件夹为空，表明电脑已经中毒;打开system32后，可以对图标按类型排序，看有没有流行病毒的执行文件存在。顺便查一下文件夹Tasks,wins,drivers.目前有的病毒执行文件就藏身于此;drivers\etc下的文件hosts是病毒喜欢篡改的对象，它本来只有700字节左右，被篡改后就成了1Kb以上，这是造成一般网站能访问而安全厂商网站不能访问、著名杀毒软件不能升级的原因所在。

如果找到可疑的文件,而且诺顿没有检测出是病毒的话, 可疑把怀疑是病毒的文件发送到专门检测病毒的网站上进行检测, http://www.virustotal.com/en/indexf.html,查出是什么病毒后在找出相对应的杀毒方法。



1.1.5 检查客户端防病毒软件
由杀毒软件判断是否中毒，如果中毒，杀毒软件可能会被病毒程序自动终止，并且手动升级失败。

1.1.6 检查端口
可以使用aport软件或在命令行下用netstat -an 命令查看正在开放的端口,在没有应用任何软件的情况下TCP协议的listen在1025端口以上,则可能是木马了.



1.2 工具检查病毒
1.2.1 使用HiJackThis对系统进行扫描：
HijackThis是一款英文免费软件，由荷兰的一名学生merijn 开发。HijackThis能够扫描注册表和硬盘上的特定文件，找到一些恶意程序“劫持”浏览器的入口。但要提醒大家注意的是，这些内容也可能正由正常的程序在使用，所以不能草率处理，必须经过分析。
　　HijackThis扫描的内容十分详尽，并且可以修复大部分被恶意修改的内容。尤其值得一提的是它的日志，HijackThis可以把扫描的内容保存为日志文件，并直接用记事本（notepad）打开。

以下是使用HiJackThis对系统进行扫描，生成报表如下：



报表说明

HijackThis_zww汉化版扫描日志 V1.99.1

保存于      15:51:19, 日期 2006-1-12

操作系统：  Windows 2000 SP2 (WinNT 5.00.2195)

浏览器：    Internet Explorer v5.00 SP2 (5.00.2920.0000)

系统进程

C:\WINNT\System32\smss.exe

C:\WINNT\System32\bmss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\System32\termsrv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\msdtc.exe

C:\WINNT\system32\serverappliance\appmgr.exe

C:\WINNT\system32\serverappliance\elementmgr.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\WQuinn\StorageCentral SRM\5.0\bin\WQFSSvr.exe

C:\IBM\iaaconfig\iaaconfig.exe

C:\WINNT\System32\ibmspsvc.exe

C:\WINNT\system32\ibmsprem.exe

C:\WINNT\system32\ibmsprem.exe

C:\WINNT\System32\llssrv.exe

C:\WINNT\system32\serverappliance\psmserv.exe

C:\Program Files\WQuinn\StorageCentral SRM\5.0\bin\WQQASvr.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\serverappliance\srvcsurg.exe

C:\WINNT\system32\svchost.exe

C:\PROGRA~1\UMS\Director\bin\twgipcsv.exe

C:\PROGRA~1\UMS\httpd.exe

C:\vdiserver\VDIServer.exe

C:\vdiserver\VodaMonitor.exe

C:\DMI\WIN32\bin\Win32sl.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\Program Files\ORL\VNC\WinVNC.exe

C:\Program Files\Intel\Alert on LAN\winnt\agent\aolagt.exe

C:\WINNT\System32\inetsrv\inetinfo.exe

C:\WINNT\System32\ServerAppliance\saagent.exe

C:\WINNT\system32\Dfssvc.exe

C:\PROGRA~1\UMS\Director\bin\twgipc.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\Promon.exe

C:\WINNT\System32\NMSSvc.exe

C:\WINNT\system32\conime.exe

C:\WINNT\avserve2.exe

C:\WINNT\system32\internat.exe

C:\PROGRA~1\IBMFAS~1\qlremote.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINNT\System32\mdm.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\System32\14579_up.exe

G:\东莞移动应急解决方案\hijackthis\HijackThis1991zww.exe

系统参数

O3 - IE工具栏增项: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - 启动项HKLM\\Run: [dllInit ibmasstw.dll] "C:\Program Files\UMS\utils\DLLINIT.EXE" ibmasstw.dll

O4 - 启动项HKLM\\Run: [smbdpmi] C:\PROGRA~1\UMS\utils\smbdpmi.exe

O4 - 启动项HKLM\\Run: [avserve2.exe] avserve2.exe

O4 - 启动项HKLM\\Run: [Promon.exe] Promon.exe

O4 - 启动项HKLM\\Run: [sakstartup] c:\ibm\sakstartup.bat

O4 - 启动项HKLM\\Run: [Qlogic NAS_start] C:\IBM\raidscripts\qstart.cmd

O4 - 启动项HKLM\\Run: [WinVNC] "C:\Program Files\ORL\VNC\WinVNC.exe" -servicehelper

O4 - HKCU\..\Run: [internat.exe] internat.exe

O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O20 - AppInit_DLLs: TwgProc.DLL

O23 - NT 服务: Alert on LAN 2 Agent (AOLAgent) - Intel Corporation - C:\Program Files\Intel\Alert on LAN\winnt\agent\aolagt.exe

O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - NT 服务: FileScreen Server - W. Quinn Associates - C:\Program Files\WQuinn\StorageCentral SRM\5.0\bin\WQFSSvr.exe

O23 - NT 服务: iaaconfig - Unknown owner - C:\IBM\iaaconfig\iaaconfig.exe

O23 - NT 服务: IBM Advanced System Management Remote Mouse (ibmspsvc) - Unknown owner - C:\WINNT\System32\ibmspsvc.exe

O23 - NT 服务: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINNT\System32\NMSSvc.exe

O23 - NT 服务: Perl Socket Service (PerlSock) - ActiveState Tool Corp. - C:\sfu\Perl\bin\PerlSock.exe

O23 - NT 服务: Persistent Storage Manager Service (psmserv) - Unknown owner - C:\WINNT\system32\serverappliance\psmserv.exe

O23 - NT 服务: QLogic Management Suite Java Agent (QLManagementAgentJava) - Unknown owner - C:\PROGRA~1\IBMFAS~1\qlremote.exe

O23 - NT 服务: QuotaAdvisor Server - W. Quinn Associates - C:\Program Files\WQuinn\StorageCentral SRM\5.0\bin\WQQASvr.exe

O23 - NT 服务: ServeRAID Manager Agent (ServeRAIDManagerAgent) - Unknown owner - C:\Program Files\RaidMan\RaidServ.exe (file missing)

O23 - NT 服务: Director Support Program (TWGIPC) - IBM Corporation - C:\PROGRA~1\UMS\Director\bin\twgipcsv.exe

O23 - NT 服务: Director Remote Control Service (TWGRCAGT) - Unknown owner - C:\PROGRA~1\UMS\Director\bin\TWGRMTWC.exe

O23 - NT 服务: UMS HTTPServ (UMSHTTPD) - Unknown owner - C:\PROGRA~1\UMS\httpd.exe

O23 - NT 服务: VodaImage Server (VDIServer) - Unknown owner - C:\vdiserver\VDIServer.exe

O23 - NT 服务: VodaImageMonitor - Unknown owner - C:\vdiserver\VodaMonitor.exe

O23 - NT 服务: Win32sl - Intel - C:\DMI\WIN32\bin\Win32sl.exe

O23 - NT 服务: VNC Server (winvnc) - Unknown owner - C:\Program Files\ORL\VNC\WinVNC.exe" -service (file missing)




*红字部分为异常系统信息。



具体使用方法请查看 附件一





1.2.2 用IceSword发现隐藏进程与特殊的内核模块
IceSword专为查探系统中的幕后黑手——木马和后门而设计，内部功能强大，它使用了大量新颖的内核技术，使内核级的后门一样躲无所躲.

具体的使用方法请查看 附件二



二、 病毒查杀
2.1 使用专杀工具
如果通过上面的方法查出是什么病毒,可以上瑞星,金山等杀毒厂商的网站找出专杀工具或上网搜索查杀此种病毒的方法.





2.2 手工查杀
1        在注册表里删除随系统启动的非法程序，然后在注册表中搜索所有该键值，删除之。当成系统服务启动的病毒程序，会在Hkey_Local_Machine\System\ControlSet001\services和controlset002\services里藏身，找到之后一并消灭。

2        停止有问题的服务，改自动为禁止。

3        如果文件system32\drivers\etc\hosts被篡改，恢复它，即只剩下一行有效值“127.0.0.1  localhost”,其余的行删除。再把host设置成只读。

4        重启电脑，摁F8进“带网络的安全模式”。目的是不让病毒程序启动，又可以对Windows升级打补丁和对杀毒软件升级。

5        搜索病毒的执行文件，手动消灭之。

6        对Windows升级打补丁和对杀毒软件升级。

7        关闭不必要的系统服务，如remoteregistryservice。

8        第6步完成后用杀毒软件对系统进行全面的扫描，剿灭漏网之鱼。

9        上步完成后，重启计算机，完成所有操作。