from:http://blog.sina.com.cn/hygxchxz
本文相关软件下载地址:
Wsyscheck(相关软件下载)
下载这些绿色软件,如下界面
下面,我们将按照一般顺序,展开对病毒的查杀。因为是面对初学者写的,所有表格中的内容(
绿色字)可以不看,他是对某一功能或某一原理的详细介绍。
这里所谓的顺序,并不是绝对的,只是个一般过程,根据个人习惯或实际情况,完全可以更改。
首先,运行
Wsyscheck,全面绞杀木马病毒。
在这中间,可以使用任务管理器软件,查看进程的属性,例如映像、服务、安全、TCP/IP、线程,堆栈等等。然后运行 启动项目查看软件,清理木马病毒的开机启动项目,最后使用 SREngPS ,对系统进行基本的简单的修复。
㈠、Wsyscheck
现在,运行
Wsyscheck ,
由于新浪博客里上传图片显示起来并不方便,所以本文教程将尽可能的少用图片。
Wsyscheck是一款功能强大且丰富的手动清除木马病毒的工具。强烈推荐大家在杀毒和远程杀毒时使用。此软件只有一个文件:Wsyscheck.exe。Wsyscheck的窗口本身已采取随机字符,如果仍然被木马禁用,请将Wsyscheck改名后运行。
说明:
如果你下载的软件包含DOS删除功能,那么就还有一个附加WdosDel.dat文件。WdosDel.dat不是Wsyscheck运行所必须的,删除后将不再显示Dos删除功能。一般情况下“重启删除”已经可以删除大多数的木马文件,所以如携带不便也可以删除WdosDel.dat。
进程页中查看模块与服务页中查看服务描述可以使用键盘的上下键控制,这一点在远程使用时比较方便。
说明:
关于Wsyscheck启动后状态栏的提示“
警告!程序驱动未加载成功,一些功能无法完成。”
多数情况下是安全软件阻止了Wsyscheck加载所需的驱动,这种情况下Wsyscheck的功能有一定减弱,但它仍能用不需要驱动的方法来完成对系统的修复。
驱动加载成功的情况下,对于木马文件可以直接使用Wsyscheck中各页中的删除文件功能(即先用强删除功能消灭木马文件),执行完后重启系统,,再清除它的启动项,注册表项等加载途径。
一、菜单-软件设置: (清除病毒的前期准备工作要做好)
模块、服务简洁显示:(默认打开),简洁显示会过滤掉微软文件不显示,方便查找病毒进程、文件和模块。
校验微软文件签名:(默认关闭),在使用了“校验微软文件签名”功能后,通不过的微软签名验证文件也会显示出来。
在使用“软件设置”-“校验微软文件签名”后,紫红色显示未通过微软签名的文件。同时,在各显示栏的"微软文件校验"会显示Pass(已经通过签名验证)与nopass(不能通过签名验证)。(
可以据此参考微软文件是否被修改或被替换,注意的是如果紫红色显示过多,可能是你的系统是网上常见的Ghost美化版,这些版本为了美化而大量修改了系统文件。对于受系统保护的文件的任何修改,都将使该文件无法通过签名验证。还有极个别的系统文件,由于与缺少安全编录而无法通过签名验证,多见于SP3下。以上所说的情况同时也会发生在本文提到的其他相关软件上,需要特别注意!)
禁止进程与文件创建:
针对木马的反复启动,反复创建文件,反复写注册表启动项进行监视或阻止,使用本功能后能更清松地删除木马文件及注册表启动项。
开启禁止“禁止进程与文件创建”后会自动添加“监控日志”页,取消后该页消失。可以观察一下日志情况以便从所阻止的动作中找到比较隐藏的木马文件。注意的是,如果木马插入系统进程,则反映的日志是阻止系统进程的动作,你需要自我分辨该动作是否有害并分析该进程的模块文件。如果在日志页观察到反复写创建文件,反复写注册表,反复创建的进程。当此进程是非系统进程时可以直接关闭并删除它。如果是系统进程,需要手动分析一下该进程的模块(配合查看一下活动页的加载项有助于快速找到木马插入系统进程的模块)。清理文件注册表完成后不要退出“禁止进程与文件创建”,而应直接使用工具下的“重启计算机”,以确保我们的清理成功。
要保留日志请在取消前Ctrl+A全选后复制。注意,为防止日志过多,满1000条后自动删除前400条日志。
二、菜单-工具:
清除临时文件:删除%TEMP%,%windir%\Temp及%windir%\DownloadedProgram Files下的所有文件。
清除Autorun.inf:程序分析各盘根目录下的Autorun.inf指向的文件,删除各盘的Autorun.inf及其指向的文件。清除以Autorun.inf方式启动的木马,(可配合“禁止进程与文件创建”使用以取得最好的效果)。如果手动清理,操作中尽量使用Wsyscheck内置的文件管理操作以防双击盘符再次激活木马。在手动删除Autorun.inf文件前用Wsyscheck的文件管理中打开这个文件查看木马启动的具体位置有利于您快速找到木马文件。清理时完后检查一下各盘根目录以保证完全清理了Autorun.inf文件。
修复隐藏文件显示及禁用硬盘自动播放:菜单栏太长写不完,本功能还包括磁盘无法双击打开故障。注意,某些故障修复后可能需要注销或重启才能生效。
修复安全模式:某些木马会破坏安全模式的键值导致无法进入安全模式,本功能先备份当前安全模式键值再恢复默认的安全模式键值。
构建安全环境:还原SSDT(
某些杀软还原SSDT会引起死机,本功能仅测试在Kv系列,Kav6.0下使用没有问题,其它版本请自行测试。如不确定,使用本功能前最好退出杀软进程。),只保留系统必须的几个进程,然后执行上述三个子菜单功能。(
在下面的实际操作中,将详细介绍关于SSDT。)
重启计算机:开启禁止“禁止进程与文件创建”后,清理病毒文件,修复注册表完毕,在wsyscheck的监控下重启电脑。
三、进程管理:清除病毒木马的第一步
红色表示非微软进程,
紫红色表示虽然进程是微软进程,但其模块中有非微软的模块文件。
定位文件:使用wsyscheck的文件管理器,锁定目标进程文件。可以快速查看文件的位置和基本信息,可以锁定一切存在的文件。注意,定位没有隐藏属性的文件时,不要选wsyscheck的文件管理器的“仅显示隐藏文件”选项。
拷贝文件路径:拷贝文件的完整路径,配合其他删除工具使用。如菜刀(费尔)、XDELBOX等。
结束这个进程:可以直接结束单个进程。
结束选择的进程:在要结束进程的前面复选,然后同时批量结束所选进程。
禁止这个程序运行:这个功能就是流行的IFEO劫持功能,我们可以使用它来阻止病毒进程的重新加载。此操作的结果参看安全检查-常规检查页的“
禁用程序管理”,如果结束木马进程后反复发现木马启动,可以尝试使用“
结束进程并删除文件”或“
禁止这个程序运行”,让其不再启动后删除。 还可以配合使用“禁止进程与文件创建”让其不再创建新进程、创建文件无效而清理它。
关于进程文件下半部的窗口,显示的是相关进程所加载的模块列表。这里特别注意查看explorer.exe和iexplore.exe两个进程所注入的非系统模块,木马病毒模块一般不会放过这两个关键进程。右键点击模块列表中的相应文件,可以进行相关的卸载、删除、改名等操作。
特别说明1:在“
文件厂商”中显示
MicrosoftCorporation,则一般表明该文件为微软文件,通常为系统文件。
特别说明2:关于模块卸载
对HOOK了系统关键进程的模块卸载可能导致系统重启,所以卸载不了的模块不要强求卸载,可以先删除该模块的启动项或文件。
一般顺序是,先选择“
卸载模块并删除文件”(
该功能需要特别注意,必须先确认文件非系统文件)或“
卸载模块”,如不成功,则检查其他进程下是否也加载了该模块,如果加载,则使用“
全局卸载模块”。在卸载完成以后,到文件所在目录下找到并删除。如不能正常执行“
全局卸载模块”,则应先完成后面的检查,再回头处理。
四、内核检查
SSDT检查:这里显示杀软和木马病毒的内核驱动保护。
如果SSDT管理中有木马模块在工作,请先恢复SSDT,再在服务管理页清理木马的服务及文件。否则会失败。
SSDT右键“
全部显示”是默认动作,当取消这个选项后,则仅显示SSDT表中已更改的项目。
红色表示内核被HOOK的函数。查看第三方模块,可以点击两次标签“
映像路径”排序,则第三方HOOK的模块会排在一起列在最前面。也可以取消“全部显示”,则仅显示入口改变了的函数。
SSDT页的“
代码异常”栏如显示“YES”,表明该函数被InlineHook(
被改写,或叫挂钩)。如果一个函数同时存在代码HOOK与地址HOOK,则对应的模块路径显示的是InlineHook的路径,而使用“
恢复当前函数代码”功能只恢复InlineHook,路径将显示为地址HOOK的模块路径,再使用“
恢复当前函数地址”功能就恢复到默认的函数了。
使用“
恢复所有函数”功能则同时恢复上述两种HOOK。
说明:
如果在SSDT表中有杀软挂钩,则尽量不要更改杀软的函数代码和地址,以免需要重装杀软。
SSDT的全称是System Services DescriptorTable,系统服务描述符表。这个表就是一个把ring3(应用层)的Win32API和ring0(内核层)的内核API联系起来的角色。对于一个干净的SSDT表来说,它里边的表项应该都是指向ntoskrnl.exe的;当程序的处理流程进入ring0之后,系统会根据服务号(eax)在SSDT这个系统服务描述符表中查找对应的表项,这个找到的表项就是系统服务某函数的真正地址。之后,系统会根据这个地址调用相应的系统服务函数,并把结果返回给ntdll.dll中。SSDT所示即为系统服务描述符表的各个表项;ntoskrnl.exe则为Windows系统内核服务进程(ntoskrnl即为NTOSKerneL的缩写),它提供了相对应的各个系统服务函数。ntoskrnl.exe这个文件位于Windows的system32目录下。根据你处理器的不同,系统内核服务进程可能也是不一样的。真正运行于系统上的内核服务进程可能还有ntkrnlmp.exe、ntkrnlpa.exe这样的情况。
|
什么,你的机器不是被Inline-HOOK Nt*?而是Inline-HOOKCm*啦,换 狙剑软件!不会用?那就直接“自启动项管理”。用狙剑的自启动项管理对自启动项进行操作,则无须手动检查与恢复
HOOK,狙剑在扫描与清除自启动项时,会自动恢复相关的HOOK(有些HOOK有防恢复机制,也很难用手工来恢复,所以也就没必要非手工恢复它,交给狙剑工具去做就可以了)。
FSD检查:这里显示木马病毒的文件保护。
FSD(文件系统驱动),文件格式有特定的程序来识别并读取使用,而文件系统格式则由特定的驱动来识别并读取使用。
CDFS格式:Cdfs.sys
UDFS格式:Udfs.sys
FAT格式:Fastfat.sys
NTFS格式:Ntfs.sys
这里我们再讲一个概念“文件过滤系统驱动”,听名字应该也能想出大概了吧?是的,这是一个文件过滤系统,附在文件系统上,像个筛子一样对传入文件系统驱动的信息进行过滤。文件过滤系统在现实中应用非常广泛,几乎所有的杀毒软件都会用到,而系统本身的系统还原也是应用的文件过滤系统,还有些硬盘还原之类的程序也在使用文件过滤驱动。
|
五、服务管理:
红色表示该服务不是微软服务,且该服务非.sys驱动。(最常见的是.exe与.dll的服务,木马大多使用这种方式)。
有些木马利用服务启动,请注意一下并判断一下服务页中的红色显示程序。如果状态是“
已停止”,而类型是“
自动”,则它已运行过一次,所以有可能启动了别的木马程序。
查看第三方服务可以点击标题条“
文件厂商”排序,结合使用“
启动类型”、“
修改日期”排序更容易观察到新增的木马服务。
检查键值保护:使用后,蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护,也有可能是木马的键值保护。
对于检测出的启动项,如果不是十分肯定,可以右键“设为禁用”,让其下次不启动再观察系统是否正常以判断它是否是一个木马程序。不要直接删除服务或文件,删错了很麻烦的。
删除选中的服务与文件:在删除文件的同时删除注册表加载项。
六、安全检查-常规检查:
host查看:检查hosts文件是否被恶意修改,一些病毒通过修改hosts文件,来阻止中毒者打开相关的杀毒网站和病毒升级服务器,还屏蔽一些常见的求助网站。
标准滴HOST:
# Copyright (c) 1993-1999 MicrosoftCorp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP forWindows.
#
# This file contains the mappings of IP addresses to host names.Each
# entry should be kept on an individual line. The IP addressshould
# be placed in the first column followed by the corresponding hostname.
# The IP address and the host name should be separated by at leastone
# space.
#
# Additionally, comments (such as these) may be inserted onindividual
# lines or following the machine name denoted by a '#'symbol.
#
# For example:
#
127.0.0.1 localhost
|
说明:360等一些软件也会通过修改host来防挂进行保护。千万别把他们灭了哦
“禁用程序管理”:目前利用IFEO禁用杀软、启动木马程序是比较流行的。在木马使用IFEO劫持一些杀软后,可以在“禁用程序管理”中恢复被劫持的程序。这个功能就是流行的IFEO劫持功能,当然,我们可以使用它来阻止病毒进程的重新加载。
注册表键值改动检测:检查和修复文件关联。
七、安全检查-活动文件:
红色显示的常规启动项的内容。即开机加载项。病毒木马一般在这里藏匿。
黑色部分内容大多是右键菜单或浏览器等窗口菜单调用的项目,多是一些插件之类的东东。也是病毒木马的藏身之处,要仔细认真的一个一个鉴别。
对于检测出的启动项,如果不是十分肯定,可以定位注册表项,将这个启动程序的路径前加上“;”等字符让其下次不启动再观察系统是否正常以判断它是否是一个木马程序。
注意:这里的修复所选项-这个操作是删除当前选定的启动或加载项。安全检查中各个选项卡里若有此功能,均是此含义。
这个页面没有直接删除选定的文件功能,不是很方便。可以使用“定位文件”,然后改名或删除。
八、安全检查-IE 安全:
这里是ie浏览器里加载的一些插件。怀疑的就删除(
即右键的修复所选项),不会影响系统运行。
九、安全检查-重启删除文件:
驱动加载的情况下,大多数文件都可以立即删除,加载的DLL文件删除后虽然文件仍然可见,但事实上已删除,重启可观察到文件已消失。
“
重启删除”仅作为驱动无法加载情况下使用的一种辅助手段,“
重启删除”与“
Dos删除”可以同时使用。其列表都可以手动编辑,一行一个文件路径即可。关闭程序时如果上述两者之一存在删除列表,会问询是否执行。
如果需要对删除的文件备份,先启用软件设置下的“
删除文件前备份文件”,它将在删除前将文件备份到%systemDrive%\VirusBackup目录中,且将文件名添加.vir后缀以免误执行。
说明:dos删除功能
对于用以上功能仍删除不了的文件,可以使用Wsyscheck的或“
dos删除功能”,使用“
dos删除”功能后会在启动菜单中添加一项“
删除顽固文件”,执行后自动清理文件并去掉它所添加的启动项。本功能需要将辅件Wdosdel.dat与Wsyscheck放在一起才会显示相关页面。“
dos删除”在多系统情况下可能存在一些问题,请慎用。建议在万不得已必须使用dos删除功能之前,备份重要资料。
十、文件管理:
文件管理页的“
删除”操作是删除文件到回收站,支持畸形目录下的文件删除。
应注意的是如果文件本身在回收站内,请使“
用直接删除文件”功能。或者使用剪切功能将它复制到另一个地方。否则你可能看到回收站内的文件删除了这个又添加了那个(因为右键“
删除”是删除到回收站)。
文件搜索中利用“
限制时间”条件来搜索近期产生的文件可能有助于您的清理工作。
选上文件列表下面的“
仅显示隐藏文件”,可以更快速的锁定system32等目录下的隐藏了的病毒文件。
什么是畸形文件或目录呢?我们在这里做个实验。。
在命令提示符下输入mdD:\30194447..\
这个时候,就会在D盘创建一个名为“30194447.”的文件夹。然后我们从资源管理器对这个文件夹进行各种操作看看,打开、删除、重命名、剪切、复制……这样的文件夹就属于畸形的一种。
如果要删除,可以在cmd下运行rdD:\30194447..\
想在里面进行操作,就在运行里输入“D:\30194447..\”来打开。
如果弄不明白这些东西,可以使用该软件,对他执行“删除”!
|
十一、注册表管理:
wsyscheck的强大之处在于,这个注册表管理功能一般的时候根本用不到。
但还是简单介绍一下。这个注册表管理功能,比系统自带的regedit要强大,可以看到regedit看不到的隐藏键,可以删除regedit删除不掉的键。类似于冰刃的注册表管理功能。
[
本帖最后由 depressedboy 于 2008-7-21 21:58 编辑 ]
