在这个病毒横行的时代,如果你的爱机中了病毒,你会怎么处理?重装系统?一个个地试各种杀毒软件?本文在这里旨在和大家分享,中毒后不重做系统、不用费心劳神地试各种杀软便把病毒清除掉的方法。当然要清除病毒的话,还是需要借助一些辅助软件的,不可能完全赤手空拳(好吧,我承认是有点标题党)。下面废话少说,开始正题:
声明
本文适于下列人员阅读:
能熟练使用计算机的人
想自己动手解决问题的人
钱没有多到电脑一出问题就扔到电脑修理公司的人
这里附了一个我以前分析过的SREng日志,大家可以通过分析这个日志练练手,检测下掌握程度,暂不公布答案,分析出来的朋友可以把自己的答案贴出来
(11.53 KB)
要想快速有效地清除病毒,那么我们就得知道病毒都在我们的机器里面干了什么,这时候我们就需要借助一款工具SREng(System Repair Engineer)
下载SREng后,我们可以利用这款软件的智能扫描生成SREng的日志,通过分析这个日志,我们便能知道病毒在我们的机器里面干了什么。下面的内容便是重头戏了,怎么分析SREng的日志呢?
要会分析SREng的日志,首先我们来了解下SREng日志的结构
一份完整的 SREng 报告,分为如下 13 部分:
1. 注册表启动项目
2. 启动文件夹
3. 系统服务项目
4. 系统驱动文件
5. 浏览器加载项
6. 正在运行的进程(包括进程模块信息)
7. 文件关联
8. Winsock 提供者
9. Autorun.inf
10.HOSTS 文件
11.进程特权扫描
12.API HOOK
13.隐藏进程
其中,判断一台电脑,是否存在异常,主要是查看:
1. 注册表启动项目
3. 系统服务项目
4. 系统驱动文件
6. 正在运行的进程
8. Winsock 提供者
9. Autorun.inf
10.进程特权扫描
下面我首先来讲解一下注册表启动项目的看法:
启动项目所对应的注册表位置在log中可以看到;
要熟悉常见项,主要包括输入法、音频视频应用程序、杀毒软件、安装的应用软件等;
每个进程后有公司名属性,可以辅助辨别 ;
对于不确认的进程可以google;(在这边有的同学提问了,baidu行不行,事实上刚开始看日志的时候是需要多借助搜索引擎进行搜索的,baidu作为搜索引擎的一种,也是可以的,但是效率比google低,至于baidu在反病毒方面搜索效率比google低的这一看法,就没必要跟我争了,这是经验)
在任何一份SRE报告中,注册表启动项目,都有相同的结构,我下面随便举个例子:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Synchronization Manager><mobsync.exe /logon> [(Verified)Microsoft Windows 2000 Publisher]
看到这,有的同学会问,这一长串是什么意思,我们慢慢看一下
第一行:[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] ,代表的是:这个启动项目,在注册表中的详细位置。
第二行:<Synchronization Manager><mobsync.exe /logon> [(Verified)Microsoft Windows 2000 Publisher],由三部分组成:
1,<Synchronization Manager>,这个项目,是指该启动项,在注册表中的名称。不同的启动项目,自然名称也不会相同。
2,<mobsync.exe /logon>,这个项目,显示的就是该注册表键完整的键值,对于键值为相对路径的情况(如Explorer.exe),系统自动遍历环境变量PATH中的文件夹列表,来查找文件。
3.[(Verified)Microsoft Windows 2000 Publisher],这项代表:该文件,是否含有“公司签名认证”
SREng这个软件,自身具备了对“系统关键文件”和一些“众所周知的软件的文件”(如:explorer.exe,winlogon.exe,userinit.exe等)的“验证检测”,凡是通过了检测的系统关键文件,SREng在公司名这里,都会标有:Verified,这个英文。换句话说,系统的关键文件如果没有.Verified标识,那就得注意下,当然仅仅是注意,不一定有问题
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]
以上这些项需要具体认真地分析
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><> []
<run><> []
以上2个位置 如果加载了进程,通常是问题项
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
\Run]
以上2个位置 如果加载了进程,通常是问题项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [Microsoft Corporation]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [Microsoft Corporation] 逗号不可省略。
如果是NT系统(如win2000),相应路径为 C:\WINNT 不再累述。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<UIHost><logonui.exe> [Microsoft Corporation]
以上4个位置如果和默认的有区别,通常是可疑项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExec
uteHooks]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTas
kScheduler]
以上3个位置如果有加载项(除了第二个位置加载瑞星防病毒软件),通常是问题项
在这边讲补充一下启动文件夹
对应以下2个位置
Startup: c:\documents and settings\USERNAME\「开始」菜单\程序\启动
(Username为具体的用户名,例如 不使惹尘埃 之类的)
Global Startup: c:\documents and settings\All Users\「开始」菜单\程序\启动
常见问题项:
[IE-Bar]
<C:\Documents and Settings\All Users\Start Menu\Programs\Startup\IE-Bar.lnk>
<N>看到没有,后面的公司签名认证处为N
下面来讲一下服务部分的分析方法
对应注册表位置如下:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
服务后有公司属性,辅助分析,有假冒公司属性的服务需要注意
服务对应的文件位于windows下的要注意
不确认的要多google
不过有些没公司属性的也没问题 常见的有 要强记!别误删。
[Secdrv / Secdrv]
<system32\DRIVERS\secdrv.sys><N/A>
[TSP / TSP]
<\??\C:\WINDOWS\system32\drivers\klif.sys><N/A> 卡巴斯基 有时候会显示N/A
常见的问题项分析:
灰鸽子
[Performance Moniter / BARCASE]
<C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\IRJIT.DLL,Export 1087><N/A>
这个项的公司签名认证部分是N/A,很典型的问题项
[IPSEC Client / WalALET][Running/Auto Start]
<C:\WINDOWS\SYSTEM32\RUNDLL2000.EXE C:\WINDOWS\SYSTEM32\WBEM\TCGSH.DLL,Export 1087><Microsoft Corporation>
这个项的公司签名认证部分是Microsoft Corporation,一般新手的话,对于这样的项,会直接放过,但是在分析日志的时候应该关照下处于系统目录下的服务
留意本案中的C:\WINDOWS\SYSTEM32\RUNDLL2000.EXE也不是好东西。
[ODBC Administration Service / odbcasvc][Running/Auto Start]
<C:\WINDOWS\SYSTEM32\odbcasvc.EXE><Microsoft Corporation>
这是一U盘病毒,现在U盘病毒还冒充微软,防不胜防啊,同样的道理,应该多关照处于系统目录下的服务
[JMediaService / JMediaService]
<C:\WINNT\system32\rundll32.exe C:\PROGRA~1\MMSASS~1\MMSSVER.DLL,Service><N/A>
[StdService / StdService]
<C:\WINNT\system32\rundll32.exe C:\WINNT\System32\STDSVER.DLL,Service><N/A>
[VIPTray / VIPTray]
<C:\WINDOWS\System32\VIPTray.exe><N/A>
这三项没什么好说的,公司签名认证部分是N/A
[WinWrCup / WinWrCup]
<C:\WINNT\wincup\wincup.exe -R><MsWinCup>
这个虽然有公司签名认证部分,但是签名认证部分的内容不常见
[WinKld / WinKld]
<C:\WINDOWS\System32\RunDLL32.exe "C:\PROGRA~1\winkld\winkld.dll",Run -r><N/A>
[wint / wint]
<C:\WINDOWS\System32\RunDLL32.exe "C:\PROGRA~1\wint\wint.dll",Run -r><N/A>
[WinkldUP / WinkldUP]
<C:\DOCUME~1\wq\LOCALS~1\Temp\wz\wz.exe -R><N/A>
[XDownloadService / XDownloadService]
<C:\WINDOWS\system32\Rundll32.exe "C:\WINDOWS\Downloader.dll",Run><N/A>
[Server Advance / ServerAC]
<C:\WINDOWS\System32\Security.exe><N/A>
以上这几项想必没什么好说的,N/A项
[Windows DHCP Service / WinDHCPsvc]
<C:\WINDOWS\System32\rundll32.exe windhcp.ocx,start><Microsoft Corporation>
此处省略路径的为 C:\WINDOWS\System32\windhcp.ocx
[WinXP DHCP Service / WinXPDHCPsvc]
<C:\WINDOWS\System32\rundll32.exe xpdhcp.dll,start><Microsoft Corporation>
此处省略路径的为 C:\WINDOWS\System32\xpdhcp.dll
同样是冒充微软的Microsoft Corporation,仍然是要注意windhcp.ocx,xpdhcp.dll这两个文件的路径是在系统目录下
在这里我稍微作下小结:
一般病毒服务的特征
1·被rundll32.exe、Svchost.exe等系统进程调用;
2·【】内的前后两项内容相同;
3·所属公司为<N/A>或假冒<Microsoft Corporation>