瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】手工检测病毒(3月25日更新)【新手发帖必读】

12345678»   1  /  39  页   跳转

【原创】手工检测病毒(3月25日更新)【新手发帖必读】

【原创】手工检测病毒(3月25日更新)【新手发帖必读】

文章我认为可能会有问题,希望高手多多指教,我会在春节前把文章更新好,并且会发布完整版。届时将有我整理的一些进程、服务等等,需要经验来说明的东西,目的都是为了新手和想学习的人,希望这些经验可以帮助大家,可以在论坛里面和我交流也可以发邮件。总之谢谢大家。

此文章所有软件都已配合了使用方法,请大家注意,写完所有使用方法后,我将重新整理细化此文章:
SREng(System Repair Engineer)的使用方法:http://blog.sina.com.cn/u/56b232db010007my
冰刃(IceSword)的使用方法(基础篇):http://blog.sina.com.cn/u/56b232db010007xt
冰刃(IceSword)的使用方法(高级篇):http://blog.sina.com.cn/u/56b232db01000841
注:高级篇刚刚开始写,请耐心等待。
我的blog地址:http://blog.sina.com.cn/ufovirus
文章在卡卡中的对应位置:
SREng(System Repair Engineer)的使用方法:http://forum.ikaka.com/topic.asp?board=28&artid=8270267
冰刃(IceSword)的使用方法(基础篇):http://forum.ikaka.com/topic.asp?board=28&artid=8283980

在对新手说一句,不管什么病毒,请先贴日志,让大家了解你计算机后,才能对症下药。解决你的问题

手工检测未知病毒       
作者:UFO&不幸外人(转载请注明)
    近期,可能是因为春节的来临,也可能是因为病毒作者耐不住寂寞,纷纷发表新的病毒,年底的“熊猫烧香”,去年的“威金”等等大型蠕虫病毒,给我带来的很多麻烦,我们应该如何对付这些病毒呢?我们要增强我们自己的防病毒意识。虽然现在杀毒软件做的非常不错,但对某些病毒的更新速度还需要改善,这就需要我们来自己动手检测未知病毒。

    说到检测未知病毒,对于新手来说,可能很困难,经过这个文章可以让你完整了解病毒的检测和删除过程,加上自己努力学习和实践,就可以实现自己手工杀毒。好了废话就说这么多,我们来看看如何检测未知病毒。

    第一,    全面检测计算机。
    对于新手,手动全面检测计算机是非常困难的,因为需要打开注册表,一项一项去检查,那我们就使用简单的方法——运用SRE这个软件,SRE全名System Repair Engineer,下载地址:http://www4.skycn.com/soft/23312.html。打开软件后,点击软件左边的智能扫描,再点击“扫描”,就可以对计算机进行较为全面的扫描了。

对于不想自己分析的新手,请把日志贴到论坛上,会有人帮你解决。



    第二,    分析扫描日志
    这个是最关键的一步,对于很多新手,选择来论坛发布日志,让有经验的高手来分析,这样省时省力,但是如果大家学会分析日志,那么就可以有更多的人帮助新来的人,减少版主和论坛高人的劳动。分析日志学习起来很难,因为需要不断积累经验,在这里只介绍简单的方法(若有更好的方法,希望论坛或者邮件进行讨论)。

    1、    了解日志
    SRE日志分别扫描了注册表启动项、启动文件夹、服务、驱动、浏览器加载项、进程、文件关联、Winsock 提供者、autorun.inf、HOSTS文件、API HOOK。我会重点介绍一些检测时常用的项目

    2、    看进程
    看进程,看什么呢?看的就是,是否有除系统基本进程和软件产生进程外的其他进程,尤其注意进程路径是c:\windows\和C:\windows\system32\下的文件,可能有些新手不知道那些是系统基本进程,那些是软件安装的进程,这就是需要经验积累的地方,为了方便新手了解进程,我做了一个表一
    对于系统进程加载的DLL,这个需要具体分析,很多盗号木马运用了这个方式,那就要经过下面三步去完善。

    3、    看启动项(包括注册表启动项、启动文件夹、服务、驱动)
    看了进程以后,对那些是可疑文件有了一定了解后,就可以来看启动项目。SRE这个日志非常适合新手使用,因为它已经在服务和驱动这两个地方把微软签名的启动项隐藏,对于服务,驱动需要经验才能动,下面我一项一项的介绍。
最后编辑2007-12-22 00:30:58
分享到:
gototop
 

注册表启动项
在SRE里面,这册表启动项包括了Winlogon启动,普通注册表启动等等多个项目。这个只能看下我在虚拟机下面刚安装一版SP2的Windows XP的日志了,当然因为每一种系统(盗版方式不同或者正版等等)不同,可能扫描出来的不仅相同,剩下的需要大家经验积累。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [(Verified)Microsoft Corporation](启动输入法)
超级兔子、MSN Messenger等通过此项目启动
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32>  [(Verified)Microsoft Corporation](微软输入法启动项)
    <PHIME2002ASync><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC>  [(Verified)Microsoft Corporation] (微软输入法启动项)
    <PHIME2002A><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName>  [(Verified)Microsoft Corporation] (微软输入法启动项)
暴风影音、NVIDIA显卡、声卡、超级解霸、瑞星杀毒软件、瑞星个人防火墙、卡卡上网助手、金山毒霸、江民杀毒软件、Emule、金山词霸、Nero、Real系列、酷狗等通过此项目启动
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)Microsoft Corporation]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Corporation](Winlogon启动项,逗号后面若有东西90%是病毒)
    <UIHost><logonui.exe>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  [N/A](初始化动态链接库,若这里面有东西90%是病毒)
以上只进行了概述,具体请看下面回复的表二

启动文件夹
这个最好看,只有部分软件修改这里,典型的比如QQ的启动项、OFFICE的工具栏启动项。这个利用的病毒也很少,早期的“比肩社区”(在桌面呈现比肩社区介绍)就利用。需要耐心检查。

服务
这个比较好看,第一看服务名称后面的状态,SRE日志扫描后的格式为(最新版本)[服务名称][当前运行状态/启动状态],其中当前运行状态是表示扫描的时候计算机是否运行了此服务,Running表示运行、Stopped表示没有运行;启动状态,表示此服务是如何启动,Auto Start表示自动,Disabled表示已禁用,Manual Start表示手动启动。其中重点看Running和Auto Start的项目,如果此项目和你安装的软件和驱动程序无关,那就可能是病毒。
这里请看下面回复的表三

驱动
我经过5年的杀毒经验,也不敢轻易动这个项目,只能介绍一条经验,就是如果一个驱动全部为数字,可能为病毒文件。因为现在各种品牌的驱动都不一样,所以其他的就记不住了。
请看表四

鉴于启动项确定比较困难,希望新手在安装计算机后,做一次扫描备份,可以通过对比的方法,来看是否增加了启动项,如果此期间没有安装任何驱动和软件,那么就可能不是正常文件,就要小心的进行检查了。
gototop
 

4、    对比
    对比所有可疑启动项目和所有可疑进程,是否可以一一对应,如果不可以,那么就要看是哪里出现的问题,就对那里进行进一步的研究。看看是否是因为病毒的运行方式或者保护方式问题,或者有其他病毒的存在。当然,原因不只这一些,还是需要大家积累经验。实践是根本。

    5、    看其余项目
    第一个要看的就是autorun.inf这个项目,如果某个盘有此文件,或者每个盘都有,那么就说明你的计算机中了病毒,处理方法很多,这里介绍几种。当然处理的时候,要保证系统中没有病毒运行了。

第一种:利用WinRAR。具体方法:打开所感染的硬盘,删除对应文件。说明不会感染计算机,方便实用。

第二种:利用资源管理器。具体方法:在打开显示隐藏文件和系统文件的前提下,利用资源管理器,在资源管理器左面选择感染的盘符,右面删除对应文件。说明对于某些病毒又感染的危险。

第三种:利用命令提示符。具体方法利用了DOS命令,具体命令如下:
Attrib –s –h –r –a X:\autorun.inf
Attrib –s –h –r –a X:\对应启动文件(EXE或者PIF)
Del X:\autorun.inf
Del X:\ 对应启动文件(EXE或者PIF)
其中X代表感染的盘符。
说明可以删除彻底,需要懂一些DOS命令和CMD的使用方法。

第四种:利用冰刃。具体方法打开冰刃后,点击下面的文件,后面的处理如同资源管理器。说明删除彻底,建议新手使用。

第二个要看的就是HOSTS文件,这里的看法是按照行,日志前面写的是网址对应的DNS解析的IP地址,如果所有IP地址都是同一个,或者和其他计算机解析的IP地址不同,那么就有问题,最主要的还是同一个或者同为127.0.0.1。处理方法很简单,利用记事本打开Host这个文件,路经在C:\WINDOWS\system32\drivers\etc,这个处理最好是在病毒删除以后。

第三,    处理所有可疑文件(清除病毒文件)

这个是最关键的一步,这一步就要删除病毒了,看到论坛以前有人光用SRE这类日志扫描程序删除,就非常气愤,因为这个程序无法完全解决问题。现在先来说明一下原因,第一,若病毒运行,病毒会不时的自动检测启动项是否被修改,你用SRE删除以后,病毒会立刻检测到,自动添加,当重新启动的时候就会重新回来,解决方法倒是有一个,这个可以在安全模式下进行,但是有部分病毒在安全模式下照样会运行,下一点就说明了这个。第二,有很多病毒选择了Winlogon启动或者初始化动态链接库启动再或者驱动启动,这三类启动有一个共同特点,就是病毒在安全模式下也会运行,那么SRE对其根本没有效果。那我们怎么进行处理呢,最可靠的方法还是使用冰刃(IceSword)。

当然也有一点冰刃不是全能的,现在有病毒以进程来结束冰刃,以后会怎么样,《黑客防线》曾经有一篇文章就是专门介绍冰刃的漏洞,利用这个漏洞,病毒可以结束掉冰刃。
废话就说以上这么多,看看具体处理方法吧。冰刃在杀毒的时候需要做一个预处理,点击上方文件下的设置,选中禁止线程创建。然后就可以做下面的处理了

删除方法:
第一种情况,有确实的EXE进程。打开冰刃后,点击进程,结束此可疑进程,这样此进程不会创建,按照上面对比后的结果,如果是注册表中的,在冰刃下面可以看到注册表,直接进行修改,注意一点就是<AppInit_DLLs><>项目需要双击打开编辑框清空,其它的直接找到对应键值删除即可;如果是服务启动,在冰刃下进入服务,找到启动服务,点右键,改为已禁用即可;如果是驱动启动,可以打开注册表进入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services找到对应的删除即可,也可以使用SRE进行删除。最后运用冰刃强制删除文件后杀毒结束。

第二种情况,无确定的EXE进程,现在很多木马喜欢用DLL潜入方式,比如江湖木马,征途木马,这些木马对应的启动项目是一个EXE文件,而最终起作用的是一个潜入进程的DLL,找此DLL的方法也是有经验的。此病毒删除方法就是先处理EXE文件,打开冰刃,进入对应启动项,按照第一种情况所说方法先删除启动项。然后强制删除对应文件,最后强制删除DLL文件重新启动后即可完成杀毒,如果找不到对应的DLL,不删除也可以,此DLL会成为系统垃圾,放在它该存在的位置,而不在产生作用。

第三种情况,也是最难处理的一种情况,现象就是杀毒软件报告病毒,但是无法从日志中找到任何病毒踪迹,这里要先启动冰刃,在进程、内核程序、启动组和服务中进行一次彻底查找(后面对次问题有解释),如果还是没有,就属于这种情况。此情况删除及其复杂。可以用冰刃强制删除对应文件(若杀毒软件以成功删除就不用做这一步),并且打开我的电脑,找到对应位置,建立一个同名的文件夹(包括扩展名),这样病毒将不会再产生,然后运用Filemon这个文件监控软件,进行监控,在监控过程中,逐一运行软件,看看那个软件要创建前面用冰刃或者杀毒软件删除的文件,找到后,删除此软件里面的所有文件重新安装,即可。

请继续看贴http://forum.ikaka.com/topic.asp?board=28&artid=8267923&page=1
下面的更新都在此贴进行。更新结束后,我会完善(修改)文章,并且对问题进行回复。然后再一次发布完整帖子。希望对大家有所帮助
gototop
 

不错,适合新人的教程
gototop
 

继续更新比较难啊,有些地方想写具体了 但是发现要写的太多太多了。。。。
gototop
 

<Userinit><C:\WINDOWS\system32\userinit.exe,> [(Verified)Microsoft Corporation](Winlogon启动项,逗号后面若有东西90%是病毒)
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><> [N/A](初始化动态链接库,若这里面有东西90%是病毒)


呵呵~这两个后面如果有东西的话,基本上可以说是100%是病毒~.


分析日志的时候SYS文件(服务和驱动文件)最头疼了~...

有的都很陌生~..茫然啊..~

gototop
 

门槛太高,日志不好看,尤其是sr日志,还是建议用户怎样做好防护现实些
gototop
 

门槛可能是高了一些,但是我会尽量写得普通一些,这个只是初稿。我会修改后完整发布到论坛上,希望能让新手明白一些。

会补充一个常见进程列表和初始安装系统时的服务列表

驱动就没有办法解决了

对于防护,如果不了解病毒特性,硬硬的按照自己的要求去要求其它人,就是两个字——没用

就算你的防护在你那里试验不会感染病毒,但是在人家那里也会,因为不了解计算机,不了解病毒。其实有一点防护最值得新手注意,就是需要上合法的网站,小网站千万不要浏览,80%会中毒。

就算大网站的外网连接,都有可能连接到病毒网站。。。
gototop
 

我只是希望更多人看到,懂得运用SRE这个软件
gototop
 

第二个要看的就是HOSTS文件,这里的看法是按照行,日志前面写的是网址对应的DNS解析的IP地址,如果所有IP地址都是同一个,或者和其他计算机解析的IP地址不同,那么就有问题,最主要的还是同一个或者同为127.0.0.1。处理方法很简单,利用记事本打开Host这个文件,路经在C:\WINDOWS\system32\drivers\etc,这个处理最好是在病毒删除以后。

我扫描后就一个IP地址不一样其他都是一个IP地址,不知道是不是中了毒了..?
gototop
 
12345678»   1  /  39  页   跳转
页面顶部
Powered by Discuz!NT