手工清理病毒原來可以如此簡單

第一步：知己知彼，百戰(zhàn)百勝

要戰(zhàn)勝AV終結(jié)者，我們先要了解自己的處境和它的特性還有弱點(diǎn)。首先我們來了解下AV終結(jié)者的執(zhí)行以后的特征：

1.在多個(gè)文件夾內(nèi)生成隨機(jī)文件名的文件

舊版本的AV終結(jié)者在任務(wù)管理器里可以查看2個(gè)隨機(jī)名的進(jìn)程，新的變種文件名格式發(fā)生變化，目前我遇到過2種。
一種是隨機(jī)8個(gè)字母+數(shù)字.exe和隨機(jī)8個(gè)字母+數(shù)字.dll；另一種是6個(gè)隨機(jī)字母組成的exe文件和inf文件。不管變種多少它們保存的路徑大概都是如下幾個(gè)：
C:\windows
C:\windows\help
C:\Windows\Temp
C:\windows\system32
C:\Windows\System32\drivers
C:\Program Files\
C:\Program Files\Common Files\microsoft shared\
C:\Program Files\Common Files\microsoft shared\MSInfo
C:\Program Files\Internet Explorer
以及IE緩存等

這個(gè)是我個(gè)人總結(jié)出來的，隨著病毒的變種。獲取還有其他的。我這里只提供參考。

2.感染磁盤及U盤

當(dāng)你的系統(tǒng)中了AV終結(jié)者，你會(huì)發(fā)現(xiàn)你的磁盤右鍵打開時(shí)將出現(xiàn)一個(gè)”Auto”也就是自動(dòng)運(yùn)行的意思，此時(shí)你的電腦已經(jīng)中毒了，而且如果你這個(gè)時(shí)候企圖插入移動(dòng)硬盤、U盤，或者刻錄光盤以保存重要資料，都將被感染。這也就為什么許多用戶重裝完系統(tǒng)甚至格式化磁盤以后病毒依然的原因。

當(dāng)你重裝完系統(tǒng)，必定會(huì)有雙擊打開硬盤尋找軟件或者驅(qū)動(dòng)的時(shí)候，這個(gè)時(shí)候寄生在你磁盤根目錄內(nèi)的Autorun.inf文件就起到讓病毒起死回生的功能了。這絕對(duì)不是聳人聽聞哦！

3.破壞注冊(cè)表導(dǎo)致無法顯示隱藏文件

我們一起來看看磁盤里的Autorun.inf，因?yàn)榇藭r(shí)你的系統(tǒng)已經(jīng)無法顯示隱藏文件了。這個(gè)也是AV終結(jié)者的一個(gè)特征，所以我們這里用到幾條簡單的dos命令。

開始菜單-運(yùn)行-輸入“cmd”來到cmd界面，輸入“D:” 跳轉(zhuǎn)到D盤根目錄，因?yàn)锳V是不感染C盤根目錄的，再輸入“dir /a”顯示D盤根目錄內(nèi)的所有文件及文件夾。“/a”這個(gè)參數(shù)就是顯示所有文件，包含隱藏文件。如圖：

我們看到D盤內(nèi)多出了Autorun.inf以及隨機(jī)生成的病毒文件017a4901.exe。我們一起看看Autorun.inf的內(nèi)容，輸入”type autorun.inf”，Autorun.inf里的代碼的意思就是當(dāng)你雙擊打開、右鍵打開、資源管理器打開。都會(huì)自動(dòng)運(yùn)行目錄里的 017A4901.exe這個(gè)文件。所以對(duì)于普通用戶來說，即使你聽過別人勸告，通過右鍵打開企圖避免運(yùn)行病毒也是徒勞的。因?yàn)?ldquo;上有政策下有對(duì)策”，病毒也是在不斷的變種升級(jí)的！當(dāng)然它并不是無敵的，下文中我們就會(huì)講述如何清理它。

4. 在注冊(cè)表中寫入啟動(dòng)項(xiàng)，已達(dá)到自動(dòng)啟動(dòng)

HKEY_CLASSES_ROOT\CLSID\"隨機(jī)CLSID"\\InprocServer32 "病毒文件全路徑"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"隨機(jī)CLSID" "病毒文件全路徑"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks "生成的隨機(jī)CLSID" ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "隨機(jī)字符串" "病毒文件全路徑"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start dword:00000004
其他病毒及變種寫入注冊(cè)表的位置不同，下文的實(shí)戰(zhàn)部分我們將詳細(xì)說明
 

5.映像劫持技術(shù)

通過修改注冊(cè)表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options的內(nèi)容達(dá)到劫持幾乎所有主流殺毒軟件，甚至360安全衛(wèi)士這樣的工具的目的，被劫持后的現(xiàn)象是，殺毒軟件無法自動(dòng)運(yùn)行，實(shí)時(shí)監(jiān)控也無法啟動(dòng)，雙擊運(yùn)行閃出一個(gè)黑色dos窗口后立刻消失。其實(shí)這個(gè)時(shí)候就是利用劫持技術(shù)轉(zhuǎn)向運(yùn)行了病毒本身。這個(gè)時(shí)候殺毒軟件就徹底倒下了。關(guān)鍵時(shí)刻我們果然還是要靠自己手工清理啊！

6.修改以下服務(wù)的啟動(dòng)類型來禁止Windows的自更新和系統(tǒng)自帶的防火墻

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess Start dword:00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv Start dword:00000004

7.刪除以下注冊(cè)表項(xiàng)，使用戶無法進(jìn)入安全模式

HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_CURRENT_USER\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

8.連接網(wǎng)絡(luò)下載更多的游戲木馬、廣告軟件以為病毒作何謀取經(jīng)濟(jì)利益。

9.強(qiáng)制關(guān)閉包含和病毒或者清理病毒或者殺毒軟件有關(guān)的信息的頁面。

10.注入Explorer.exe和TIMPlatform.exe反彈連接，以逃過防火墻的內(nèi)墻的審核。

11.新的變種中加入雙進(jìn)程保護(hù)，當(dāng)你結(jié)束一個(gè)進(jìn)程，另一個(gè)進(jìn)程自動(dòng)重新啟動(dòng)它并關(guān)閉你的任務(wù)管理器

第二步：實(shí)戰(zhàn)清理病毒

通過上面的內(nèi)容相信你已經(jīng)基本了解病毒的運(yùn)作方式，現(xiàn)在殺毒軟件已經(jīng)“下崗”了，那么現(xiàn)在我們就靠自己的雙手將它驅(qū)逐出去，還您一片藍(lán)色的天空吧！

首先介紹今天的主角：WinPe 老毛桃修改版

這是一個(gè)類似windows98的操作系統(tǒng)。它體積很小只有幾十M，現(xiàn)在很多系統(tǒng)安裝版里都集成了這個(gè)軟件，或者你也可以上網(wǎng)下載一個(gè)iso文件。用虛擬光驅(qū)運(yùn)行，會(huì)有安裝到系統(tǒng)的功能，所以沒有刻錄機(jī)的朋友一樣可以使用它，當(dāng)然它還有U盤版。我今天使用的是光盤版，或許你會(huì)問“為什么要用這個(gè)操作系統(tǒng)？他和xp有什么區(qū)別呢？難道用他就不會(huì)開機(jī)運(yùn)行病毒了？”

是的！說的沒錯(cuò)！因?yàn)閃inPe是光盤或本地安裝出來的一個(gè)虛擬磁盤的操作系統(tǒng)，他和系統(tǒng)本身是沒有掛鉤的，所以不會(huì)啟動(dòng)windows注冊(cè)表里的啟動(dòng)項(xiàng)。這個(gè)的帶來的優(yōu)勢就是我們可以在病毒啟動(dòng)之前就把他刪除掉！設(shè)想，一個(gè)病毒雖然在注冊(cè)表里配置的啟動(dòng)項(xiàng)，但是他的原始病毒文件已經(jīng)不存在了。和談啟動(dòng)運(yùn)行？這就是我們今天的重點(diǎn)思路！在病毒啟動(dòng)以前將病毒文件全部刪除，讓他有心無力！

下面是winpe下操作的截圖：

是不是和98或者2003很像？Winpe的另一個(gè)好處就是，我們前面提到的磁盤感染Autorun.inf對(duì)它也是無效的。右鍵是沒有”Auto”這個(gè)選項(xiàng)的，所以我們?cè)趙inpe下可以放心的雙擊盤符而不會(huì)運(yùn)行病毒！

我們首先來清理掉最容易找到的病毒文件——磁盤根目錄下的感染文件

除了C盤以外的每個(gè)盤根目錄下都有，一定要記得全部刪除！

刪除的文件包括Autorun.inf和那個(gè)隱藏的exe文件，有的病毒隱藏文件是.pif或cmd或別的什么，因?yàn)閏盤根目錄沒這些感染文件。所以我可以告訴大家一個(gè)訣竅：

刪除除C盤以外，所以盤目錄下的隱藏文件（不包括文件夾）就可以了。

好接下來看看我們前面提到的其他文件夾：

C:\windows
C:\windows\help
C:\Windows\Temp
C:\windows\system32
C:\Windows\System32\drivers
C:\Program Files\
C:\Program Files\Common Files\microsoft shared\
C:\Program Files\Common Files\microsoft shared\MSInfo
C:\Program Files\Internet Explorer
在windows文件夾下我們發(fā)現(xiàn)了017A4901.hlp和我們上面說的一樣

所以我們利用winpe的文件搜索功能搜索” 017A4901”將其他病毒文件都挖出來

當(dāng)我們把上面找到的這些文件全部清理完畢以后再搜索看看。是不是已經(jīng)沒有了？

那么現(xiàn)在AV終結(jié)者也“下崗”了。注冊(cè)表里的所謂映像劫持、自動(dòng)啟動(dòng)、雙進(jìn)程保護(hù)都已經(jīng)形同虛設(shè)了！
這個(gè)時(shí)候你會(huì)發(fā)現(xiàn)你可以上殺毒軟件的網(wǎng)站了

    現(xiàn)在我們來徹底將病毒的啟動(dòng)請(qǐng)出我們的電腦吧（注意：這個(gè)時(shí)候建議先不要運(yùn)行殺毒軟件，避免還有殘留的我們沒發(fā)現(xiàn)的病毒殘留文件通過映像劫持再度重生！）

    開始菜單-運(yùn)行-輸入“regedit”打開注冊(cè)表

 
    使用模糊查詢搜索我們剛才的病毒文件。不要包括擴(kuò)展名，因?yàn)橛械牡胤绞且悦肿鲎?cè)表項(xiàng)的，我們同時(shí)勾選 項(xiàng)、值、以及數(shù)據(jù)。確保不放過一個(gè)敵人！

    我們找到一個(gè)CLSID 為{A490017A-017A-4901-7A49-17A9017A4901}的項(xiàng)里面保存著病毒名稱和路徑：

    我們刪除這個(gè)項(xiàng)，然后按下F3繼續(xù)搜索下一個(gè)，找到就把它刪除。這里要注意一個(gè)問題。如果你搜索出來的注冊(cè)表項(xiàng)里面有很多個(gè)值，千萬不要盲目刪除項(xiàng)。只要?jiǎng)h除包含病毒文件名稱和路徑的部分就可以了！避免系統(tǒng)崩潰！接下來刪除映像劫持部分的注冊(cè)表內(nèi)容搜索Image File Execution Options既可來到

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options這個(gè)位置。你會(huì)發(fā)現(xiàn)里面幾乎包含了所有你知道的殺毒軟件的進(jìn)程名，病毒就是通過識(shí)別這些進(jìn)程名來進(jìn)行劫持的。所以有的時(shí)候你可以通過修改程序的名稱。比如把360safe.com改為xxx.exx就可以運(yùn)行了。當(dāng)然不是絕對(duì)。例如對(duì)AV終結(jié)者就是無效的，因?yàn)樗R(shí)別的是窗體標(biāo)題。所以你可以發(fā)現(xiàn)的殺毒軟件他們推出的專殺工具一般都是.com的擴(kuò)展名，而且運(yùn)行時(shí)候是沒有標(biāo)題的。這個(gè)就是為了防止被感染或者被強(qiáng)制關(guān)閉。

    第三步：收拾戰(zhàn)場，修復(fù)系統(tǒng)

    首先我們重新啟動(dòng)重新上崗就業(yè)的殺毒軟件。這里我使用360安全衛(wèi)士，因?yàn)獒槍?duì)非感染exe類型的病毒，360足夠應(yīng)付了，而且速度快很多。

 
    選擇查殺流行木馬。好的，檢測結(jié)果。已經(jīng)沒有木馬病毒了。下一步我們重啟啟動(dòng)被病毒關(guān)閉的防火墻以及系統(tǒng)自動(dòng)更新的服務(wù)，我的電腦-右鍵-管理-服務(wù)和應(yīng)用程序-服務(wù)，找到windows firewall開頭的服務(wù)右鍵屬性，啟動(dòng)類型改為自動(dòng)，再找到Automatic Updates這個(gè)服務(wù)，同樣將啟動(dòng)類型改為自動(dòng)

下面修復(fù)安全模式：將如下代碼保存為1.reg 然后運(yùn)行導(dǎo)入既可

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

    將如下代碼保存為2.reg運(yùn)行導(dǎo)入后文件夾選項(xiàng)里重新出現(xiàn)“隱藏受系統(tǒng)保護(hù)的操作系統(tǒng)文件，以及“隱藏文件和文件夾”選項(xiàng)，選擇顯示后即可和一樣一樣，正常情況下不需要去設(shè)置，隱藏的病毒文件已經(jīng)被我們刪除了，需要的人可以自行選擇

    Windows Registry Editor Version 5.00 
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN] 
    "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" 
    "Text"="@shell32.dll,-30501" 
    "Type"="radio" 
    "CheckedValue"=dword:00000002 
    "ValueName"="Hidden" 
    "DefaultValue"=dword:00000002 
    "HKeyRoot"=dword:80000001 
    "HelpID"="shell.hlp#51104"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] 
    "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" 
    "Text"="@shell32.dll,-30500" 
    "Type"="radio" 
    "CheckedValue"=dword:00000001 
    "ValueName"="Hidden" 
    "DefaultValue"=dword:00000002 
    "HKeyRoot"=dword:80000001 
    "HelpID"="shell.hlp#51105"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden] 
    "Type"="checkbox" 
    "Text"="@shell32.dll,-30508" 
    "WarningIfNotDefault"="@shell32.dll,-28964" 
    "HKeyRoot"=dword:80000001 
    "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" 
    "ValueName"="ShowSuperHidden" 
    "CheckedValue"=dword:00000000 
    "UncheckedValue"=dword:00000001 
    "DefaultValue"=dword:00000000 
    "HelpID"="shell.hlp#51103"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

    重新啟動(dòng)后。您的電腦又是一片藍(lán)色的天空。

    自此，菜鳥們?cè)僖膊挥脼橹卸緹懒?，重裝系統(tǒng)和格式化，不再是噩夢！建議重啟后用殺毒軟件徹底查殺整個(gè)硬盤避免存在感染exe型病毒哦！偷懶的人跳過前面的介紹直接看操作實(shí)戰(zhàn)，是不是覺得非常容易？以后你也可以輕易的告訴MM電腦中毒？找我就行！重裝既浪費(fèi)時(shí)間，又不能徹底解決問題哦！希望大家看完我的文章能夠?qū)W會(huì)舉一反三，輕松應(yīng)對(duì)各種各樣病毒哦！