手工查杀病毒经验谈-by蓝色寒冰+

经常在论坛看到不少关于中毒求助的帖子,在此寒冰也尽自己所知道,所掌握的知识,参考了些资料,做一个病毒的查杀实战贴,希望有一定基础的朋友可以通过学习掌握一定的查杀知识和技能,更欢迎各大论坛的朋友们提出意见和补充,好让更多人因为学习而受益啊.个人认为病毒无非是：病毒文件、注册表、启动项、服务四大块，既然如此，只要把这四方面都干掉了也就差不多了； 本次寒冰通过一次实战经历，把查杀病毒会出现的问题尽可能涉及，所以以下查杀部分不全部代表该病毒的情况，只是为了做一说明而添加必要的假设，希望本帖真的可以帮到经常被病毒困扰的朋友们。

本帖一共分四部分,分别为:

第一部分：工具篇(随兵出征)

第二部分：查毒篇(请君入瓮)

第三部分：杀毒篇(初战告捷)

第四部分：修复篇（打完收工）

第一部分：工具篇

工欲善其事必先利其器，手动查杀并不是徒手而来，当然要借助些工具，好的工具可以帮助你快速找到解决的方案与窍门当然要借助些工具：

一、扫描日志工具：

当你去到一部中毒的机子,是不是会对如何下手有点茫然呢?那样,不管3721,扫描一份报告看看有何不妥先,而在报告总,系统的启动项目,进程,驱动和服务一目了然,多少可以重装发现一些蛛丝马迹,而寒冰也是习惯从这个步骤开始的. 至于寒冰推荐的扫描日志扫描当属hijackthis和SREng，尤其是后者,最近360的报告好像也挺热火的，可能是个人使用习惯吧,寒冰感觉他是介乎于两者之间，没有Sreng那么强大的dll数据，也没有hijackthis般的修复功能，虽然有颜色可以一目了然,可是排列却有点乱,有待改善啊,所以，如果你还没用过使用报告,寒冰首推SRENG这款软件，现在新的2.3版本已经出来了，具体更新的内容可以去寒冰的百度空间查看

二、进程服务工具：

没有病毒会选择沉默，病毒的特性决定他不会一直闲着，而活动，必然会在系统留下蛛丝马迹，可是，系统自带的资源管理器在现在病毒面前却显得如此软弱，因此，请进助手自然势在必行，常用的进程分析当属Icesword和Process Explorer

三、删除工具：

相信跟电脑相处多了的人,总会遇见过“文件正在被另一个人或程序使用，无法删除”诸如此类的警告，而正常文件尚且如此,病毒更是猖狂，一个具备完好自我保护体系的病毒单单的资源管理器无法结束其进程，更不用说删除他了，发现了病毒却不能删除,郁闷 也许有人会建议进入安全模式进行查杀，没错，的确可以，可是，太麻烦了，而且，安全模式下又不利于我们发现病毒的同伙，最好的状态还是在“病毒进行时”，因此，一款在正常模式下可以正常删除任意文件的工具就这样应运而生了，常用且有效的有：killbox、Icesword和unlocker，其中Icesword当属得力助手（当然，有时候他也无能为力，只能多试几个好工具）

附:常用删除工具的集和贴(引至崔老师)

文件删除工具介绍:http://hi.baidu.com/teyqiu/blog/item/291690efc3f3b5eece1b3e5a.html

第二部分：查毒篇19楼互动空间L!G jG1k:\ [ ?

R-AC2x+V.M0隐蔽性是病毒的一大特性，可是再隐蔽，他也总要让他自身运行的，而保证的途径必然会使他在系统留下蛛丝马迹，因此了解病毒的自启动方式对于进一步发现病毒的蛛丝马迹很有帮助，具体常见的宝地有：19楼互动空间#s7cRh8Z
19楼互动空间7b2@O8PDd

T|j$InP0
Gg_d4c-z,N,}(_0一、启动项目留迹
,FE2Y ?0h)L n0
f4Z;^&P]0
't-{
eQo6~J w01.内置到注册表启动项目中19楼互动空间7B?G3O"W7A z)}f


@hn+[#f#Mqq9E(@,bLgv0　　注册表是病毒最喜欢隐藏的地方，既没有人能找到它，又能自动运行，真是快哉！的确注册表由于比较复杂，木马常常喜欢藏在这里快活常见的键值有：
&h(boK^2u%S3}G&?0HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值；19楼互动空间(y&I5Miyx~h6dxS
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值；
UIyb%c8x2L%i1?}0HKEY-USERS\Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。19楼互动空间1M\+mR2gX%eu
19楼互动空间F+Qf }qsS/mWc0ej

3W"D5l&ruJ-lF'w#F02、隐形于启动组中19楼互动空间"VmN S3n

5O1gN(Uto0　　有时木马并不在乎自己的行踪，它更注意的是能否自动加载到系统中，因为一旦木马加载到系统中，任你用什么方法你都无法将它赶跑(哎，这木马脸皮也真是太厚)，因此按照这个逻辑，启动组也是木马可以藏身的好地方，因为这里的确是自动加载运行的好场所。19楼互动空间K
zN5C*lAr
动组对应的文件夹为：C:＼windows＼start menu＼programs＼startup，
,JV.Ui-K)Zm#h.s\S0在注册表中的位置：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼
+^^e7r;u&l5]1tg
US0　　Explorer＼ShellFolders Startup="C:＼windows＼start menu＼programs＼startup"。要注意经常检查启动组哦！
4G1R-i
qx.F0
6_)O*Xu6k sh-j+oO0
Lm o2@&D5KQ0x`03、捆绑在启动文件中19楼互动空间g#LKpToz3^

Pr2s'X1Eo0　　即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。19楼互动空间e4s
VmHJ8OI

-A5i7Y}!~ M)C.K019楼互动空间l];i tX x
4、潜伏在Win.ini中
}"v3I HB9O5`-M0
2Q/vV ni:cfZ%uq-}0　　木马要想达到控制或者监视计算机的目的，必须要运行，然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然，木马也早有心理准备，知道人类是高智商的动物，不会帮助它工作的，因此它必须找一个既安全又能在系统启动时自动运行的地方，于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看，在它的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“＝”后面是空白的，如果有后跟程序，比方说是这个样子：run=c:＼windows＼file.exe load=c:＼windows＼file.exe19楼互动空间4{;k7D$QP4lK"HT
　　这时你就要小心了，这个file.exe很可能是木马哦。19楼互动空间:L!kt4? JU Xt

yeuc,OI019楼互动空间9m)^`v?eI(U"y
5、在System.ini中藏身
6V d~)J kc
l0
GUj_8aP~0　　木马真是无处不在呀！什么地方有空子，它就往哪里钻！这不，Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。还是小心点，打开这个文件看看，它与正常文件有什么不同，在该文件的[boot]字段中，是不是有这样的内容，那就是shell=Explorer.exe file.exe，如果确实有这样的内容，那你就不幸了，因为这里的file.exe就是木马服务端程序！另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver=路径＼程序名”，这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，现在你该知道也要注意这里喽。
cw1g:`2Eg
e019楼互动空间Q+z|:iL:Fu2m
19楼互动空间
U I$j+n g$a1_l
19楼互动空间Xaal:{S9i9mtut
6、隐蔽在Winstart.bat中19楼互动空间!U;z*^"\%T

Q_@9cs-cAR"Fr0　　按照上面的逻辑理论，凡是利于木马能自动加载的地方，木马都喜欢呆。这不，Winstart.bat也是一个能自动被Windows加载运行的文件，它多数情况下为应用程序及Windows自动生成，在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。
`M&FZP
jx0
jJu"Nc#C"{
|)C019楼互动空间/[pAX#YJN7h
7、集成到程序中
Tf Ti0D NA019楼互动空间 I:Y#}E8wW:Wk+d
　　为了不让用户能轻易地把它删除，就常常集成到程序里，一旦用户激活木马程序，那么木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。 （高招）19楼互动空间0@9s#kH)hf
19楼互动空间 Y4u3]_*`.d
8、隐藏在配置文件中19楼互动空间1P rgisv8LH%Bq

"qq)S;C1Cy0　　木马实在是太狡猾，知道菜鸟们平时使用的是图形化界面的操作系统，对于那些已经不太重要的配置文件大多数是不闻不问了，这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用，木马很容易就能在大家的计算机中运行、发作，从而偷窥或者监视大家。不过，现在这种方式不是很隐蔽，容易被发现，所以在Autoexec.bat和Config.sys中加载木马程序的并不多见，但也不能因此而掉以轻心哦。 （这种方式现在好像没那么流行了）19楼互动空间n5zB]Ns+KP)C'p{ J

M ynhRTB&k1v019楼互动空间0^3ms#G&K%Wy8M @
明白了系统的藏身之处，我们就有思绪把他找出来了，当使用sreng查看其启动项目时,自动弹出了相应警告,提示load，shell，和Userinit等值被修改,所以,首先用Sreng扫描一份报告如下：19楼互动空间*^-E'i6fq)F `SW|

8la1|]n"P"JcO0[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
+E4m6iGg'Lec3X0   <load><C:\windows\system32\wincfgs.exe> [N/A]19楼互动空间D!j(cF8me
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]19楼互动空间:E+ta]Sp
   <shell><Explorer.exe "C:\WINDOWS\eksplorasi.exe"> [N/A]19楼互动空间
WmuBQMM7i0G
   <Userinit><userinit.exe,EXPLORER.EXE> [(Verified)Microsoft Corporation]19楼互动空间 c6qm4@4Nzh:g

-kUW5s J0\ojB0从中可以看出，病毒为了实现启动，分别在load，shell，和Userinit等进行了窜改，其中Userinit的EXPLORER.EXE还假装了(Verified)Microsoft Corporation的标识，具备很大诱惑性。
7[N&zDG0
-Qk4U3jW0比如之前大名顶顶的熊猫烧香,就是通过userinit.exe加载病毒程序C:WINDOWS\system32\SVCH0ST.exe实现开机启动,如果发现了这一项目,相信你的硬盘数据就危险了
*v!Z(M/[XjM0
tC+dv)TE h"L(N019楼互动空间)q1CPI r6lWW.vM&m
二、运行系统留迹19楼互动空间5].xU(E7~
19楼互动空间ILXj4x
病毒要运行，自然会有进程，可是，庆幸的是某个病毒的进程还算是统一的（除非变种了），而初级的病毒通过资源管理器可以立马做出判断（前提你应该认识系统进程和常用软件进程），再通过相应的工具辅组就可以找到他的相对路径，也许有人抱怨资源管理器连路径都无法提供，太无能了，就去找那个lohorn版本的装上，其实，只需要一个命令就可以找出来进程的文件路径，方法如下：19楼互动空间#gBVMH

WH
t
tUg7j0开始－运行－msinfo32，切换到软件，就可以看到了19楼互动空间uzr2YI
19楼互动空间T9]$f JJ(bF
然而，现在很多病毒已经实现了进程隐藏，单靠系统的资源管理器是无法查看到的，因此，加强型的进程查看自然应运而生，有人推荐了PE了，的确是很强，可是，为了尽量减少我们使用的工具，还是用Icesword（个人习惯，呵呵），，点击进程，如果可以看到红色的进程你就得小心了，同时，多注意一下进程的图标,比如之前的sxs就一目了然了，是柯南，而这次，本来lasaa，winlogon等进程是系统进程，在这里却是文件夹图标，十分可疑，而且看路径，呵呵，又被发现了,这是病毒了，icesword把痕迹扫描出来了19楼互动空间0@"]5Q~:D-WL~

mB/iy"CK0
a.q$rmY$H019楼互动空间*M+p"W2yd[ II6l_
19楼互动空间}eG@Tu(?te

y,n`b@5R$|EF.J0
? F d;s2~,B ?0
N;FKPE;[O"a0三.SSM监控留迹19楼互动空间a9KM4N]

T,ED@4B?F0相信SSM由于nslog的一篇文章很多人都认识了,http://bbs.ylmf.com/read.php?tid=136666&u=112814,在此不是讨论其他的功能,只是提供一个间接查毒的方案:19楼互动空间"[l?(yTY
在此开机设置其自动启动,然后通过开机启动的进程也不愧为发现同党的一个好办法,如图,乖乖泄密了,呵呵
?U9{+i4e$A019楼互动空间I~TV f2E"F
19楼互动空间$xnz|5E]
19楼互动空间G8vy-@V~
{#v:Ab

第三部分：杀毒篇19楼互动空间&R3o"jF@Fv/B
19楼互动空间^V*A_4`xl `7o
既然在上面发现了病毒及其痕迹，现在自然就是动手操作了，杀毒也是最简单的一个步骤，操作无非就是删除文件，结束服务，删除驱动保护，而想做到这些，相信徒手是不可能做到的，具体还是要请好的工具当助手

q6}6s;i^019楼互动空间6Ricp+nK
从软件界面看发现以下提示:19楼互动空间9yI/dLSW

6X v)j%?#n8CQ019楼互动空间;]1j8z n|\
19楼互动空间_dm;ix jx%w
19楼互动空间uN4U0|tXMY+y
19楼互动空间;R o:v D5k'cSd3Z
19楼互动空间z+U l2i^!Bh9I3_'zQ
19楼互动空间D
[N/`)Yk${
19楼互动空间v Oo*Re#Z-_!z2z

&mY)wI#H_M019楼互动空间 [ZDhh)|,]
19楼互动空间-F"[/Q)| UjpyYG


_6g+]9dNe1Q
u019楼互动空间&Z,W I]7U
hr
从上面发现得，我们自然要从启动项目得病毒先清理，首先是最关键的load，shell，和Userinit，相应的日志是：19楼互动空间+u%oN.~_3PU

8KPM+b J(yrR0[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
O3e@!|2_KK0   <load><C:\windows\system32\wincfgs.exe> [N/A]19楼互动空间^ p3D%Elo
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
.|8z)Kj0j2U0   <shell><Explorer.exe "C:\WINDOWS\eksplorasi.exe"> [N/A]19楼互动空间*\*kp~ln
   <Userinit><userinit.exe,EXPLORER.EXE> [(Verified)Microsoft Corporation]
)l6O!}o{#hp1|(cy^0
%JrO5B8NR%Z6Q019楼互动空间B Y w|4^Cw(_}
其次，启动文件夹（这个可以在程序－启动看到）：19楼互动空间 t;Fiv8[2[

:ie(x.{Ca Y0[Empty]

F-XQ2JTj8^0<C:\Documents and Settings\茅屋\「开始」菜单\程序\启动\Empty.pif --> [N/A]><N>
1u6@y`kD[#e6o019楼互动空间%u6S.S@#H

.?A:G#|IO-ujT,p019楼互动空间1O3X/y b%_6[5I
最后，其他启动项目：
ux A3JT@0[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]19楼互动空间4UpVj+V'^q9Cn
   <wsctf.exe><wsctf.exe> [Microsoft Corporation]19楼互动空间Ki ?b\
   <EXPLORER.EXE><EXPLORER.EXE> [Microsoft Corporation]19楼互动空间$j\Z:M:V;aqwPH
   <Tok-Cirrhatus><"C:\Documents and Settings\茅屋\Local Settings\Application Data\smss.ex> [N/A]
n%|@&{6Rg3E1y|%I019楼互动空间w2I9J1A n:YS
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]19楼互动空间2xM'i$SY~'U
   <Bron-Spizaetus><"C:\WINDOWS\ShellNew\sempalong.exe"> [N/A]19楼互动空间p zpp:]%K

a%?~pW:r'~_3|%Qx0从中我们知道病毒文件有：
J3sC'H_!HI4I019楼互动空间}6a,J`E4D}n`
C:\windows\system32\wincfgs.exe
9P Q@(}
R+V0C:\WINDOWS\eksplorasi.exe19楼互动空间)@KX5_(k&zIx
EXPLORER.EXE（位置未知）19楼互动空间X0wXg3g
Empty.pif（该病毒后来竟然在c盘明目张胆的出现，也没有隐藏，呵呵，好大胆阿）19楼互动空间9NI#MBo
wsctf.exe
E5g/I|.n#x0C:\Documents and Settings\茅屋\Local Settings\Application Data\smss.exe
+Nv]|a^N Pi0C:\WINDOWS\ShellNew\sempalong.exe19楼互动空间)uk
FX McE
Wo7X!g0s

EtS"dt*ox019楼互动空间1cEwjdr
然后，我们通过icesword查看系统进程，看看，发现什么了？
Ut9k;x9bYA0{K/n019楼互动空间{2P7JO xv
19楼互动空间o^"r5q;b$Z

BBb0B|-fm019楼互动空间 I7~j| ~hW Z,rJ
没错了，看到很奇怪的东西吧？
5Y|-L-M
I
i4k ~019楼互动空间Z9y0gq_'I~?
系统的进程lasaa.exe，winlogon等都是文件夹图标？看他们的位置，呵呵，全部是同个文件夹，还19楼互动空间#xQd)D
\0qK@#az
19楼互动空间V2`'f K3wzY

dZ^b)?b8|0
|s1{EY;}C0知道了病毒，就应该进行杀除了，可是病毒也不是吃斋的和尚，单凭简单的del是无法达到目的的，因此，借助辅组工具自然也是必要的，常用的有killbox、Icesword和unlocker

附：转载自ALPHA'S STUDIO，http://hi.baidu.com/peaset/blog/item/b5efafa12ddb048b461064de.html，在此表示感谢：

19楼互动空间{"y Cn j"Q'g1]f!I!J(V

第四部分：修复篇19楼互动空间l|?'}Y"c9EFL
19楼互动空间.Sk4Ls XoV
19楼互动空间^}b4kZ}:GA6Pfd
       19楼互动空间 u'om{1`$_ eE7|
19楼互动空间pMxO.{KNvG
19楼互动空间ou"uN(}'F"^
   扫干净病毒，自然要对战场进行清理，病毒为了保护自己，自然对电脑环境中不利于自己的设置进行修改，诸如以上的一些工具被禁用和注册表被锁定的提示一点也不新鲜.
T$}v^d/I#M0
:^Ao3h:u \v0   各位应该还记得寒冰在SXS.exe病毒时说过该病毒就是通过修改注册表实现隐藏文件无法查看从而让自己不被发现，而这次寒冰碰上的病毒似乎更厉高明一些，她把系统的“文件夹选项”隐藏了，呵呵，所以，清理病毒后如果不对系统进行必要的修复，相信没有哪一个MM认为你已经把问题解决了，一般的系统被破坏的痕迹包括一下几分面(以下修复建议在查杀完之后再进行,因为病毒运行本身会检测这些项目是否被修正,而且如果有人发现这些修复的方法都无须，更改后马上又被窜改，那就要考虑是不是毒还没清理干净了):
_ |NT k v[0
Q~oG6MTBV+lk01.禁用注册表19楼互动空间p]Ap}Be3k
2.隐藏“文件夹选项”19楼互动空间Nj5h4v&q__}.e
3.禁用组策略19楼互动空间 Rv+`h4j`]
4.窜改文件关联19楼互动空间ilSNyu-ck8D1A W
5.启动项目残留(如果开机后提示"**无法找到",就是启动项目未清理的缘故)19楼互动空间h5k+Y M i Cf

OSD+g Dl$}0
)cce#K s$v\0具体的修复建议还是通过小工具去实现,毕竟很多项目需要查找注册表对于后续工具也麻烦了一些,在此推荐几个工具,由于百度空间无法上传,已经发到蓝色寒冰+工具集合盘(地址http://readon99.edudisk.cn/),相应目录是:网络安全系列--系统修复系列,其他的修复可以通过相应的介绍使用19楼互动空间N b~*aWO;z[

N.by4a a8NB5d019楼互动空间V5Bds? CEA
而且提醒一点,像寒冰差毒过程中曾经插进了u盘,这时候你应该考虑是不是存在被感染的可能性,像寒冰的u盘,查看后发现多了一个anturun.inf和以用户名命名的文件夹,鉴于此,的确可疑,双击运行后,ssm报警了,的确,就是残留物,如果你不删除,下次插入u盘,相信你又得再把工作重新来一遍了,呵呵

附：转载自ALPHA'S STUDIO，http://hi.baidu.com/peaset/blog/item/b5efafa12ddb048b461064de.html，在此表示感谢：