手工清理病毒原來可以如此簡單

第一步：知己知彼，百戰(zhàn)百勝

要戰(zhàn)勝AV終結者，我們先要了解自己的處境和它的特性還有弱點。首先我們來了解下AV終結者的執(zhí)行以后的特征：

1.在多個文件夾內生成隨機文件名的文件

舊版本的AV終結者在任務管理器里可以查看2個隨機名的進程，新的變種文件名格式發(fā)生變化，目前我遇到過2種。
一種是隨機8個字母+數字.exe和隨機8個字母+數字.dll；另一種是6個隨機字母組成的exe文件和inf文件。不管變種多少它們保存的路徑大概都是如下幾個：
C:\windows
C:\windows\help
C:\Windows\Temp
C:\windows\system32
C:\Windows\System32\drivers
C:\Program Files\
C:\Program Files\Common Files\microsoft shared\
C:\Program Files\Common Files\microsoft shared\MSInfo
C:\Program Files\Internet Explorer
以及IE緩存等

這個是我個人總結出來的，隨著病毒的變種。獲取還有其他的。我這里只提供參考。

2.感染磁盤及U盤

當你的系統(tǒng)中了AV終結者，你會發(fā)現你的磁盤右鍵打開時將出現一個”Auto”也就是自動運行的意思，此時你的電腦已經中毒了，而且如果你這個時候企圖插入移動硬盤、U盤，或者刻錄光盤以保存重要資料，都將被感染。這也就為什么許多用戶重裝完系統(tǒng)甚至格式化磁盤以后病毒依然的原因。

當你重裝完系統(tǒng)，必定會有雙擊打開硬盤尋找軟件或者驅動的時候，這個時候寄生在你磁盤根目錄內的Autorun.inf文件就起到讓病毒起死回生的功能了。這絕對不是聳人聽聞哦！

3.破壞注冊表導致無法顯示隱藏文件

我們一起來看看磁盤里的Autorun.inf，因為此時你的系統(tǒng)已經無法顯示隱藏文件了。這個也是AV終結者的一個特征，所以我們這里用到幾條簡單的dos命令。

開始菜單-運行-輸入“cmd”來到cmd界面，輸入“D:” 跳轉到D盤根目錄，因為AV是不感染C盤根目錄的，再輸入“dir /a”顯示D盤根目錄內的所有文件及文件夾。“/a”這個參數就是顯示所有文件，包含隱藏文件。如圖：

我們看到D盤內多出了Autorun.inf以及隨機生成的病毒文件017a4901.exe。我們一起看看Autorun.inf的內容，輸入”type autorun.inf”，Autorun.inf里的代碼的意思就是當你雙擊打開、右鍵打開、資源管理器打開。都會自動運行目錄里的 017A4901.exe這個文件。所以對于普通用戶來說，即使你聽過別人勸告，通過右鍵打開企圖避免運行病毒也是徒勞的。因為“上有政策下有對策”，病毒也是在不斷的變種升級的！當然它并不是無敵的，下文中我們就會講述如何清理它。

4. 在注冊表中寫入啟動項，已達到自動啟動

HKEY_CLASSES_ROOT\CLSID\"隨機CLSID"\\InprocServer32 "病毒文件全路徑"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"隨機CLSID" "病毒文件全路徑"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks "生成的隨機CLSID" ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "隨機字符串" "病毒文件全路徑"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start dword:00000004
其他病毒及變種寫入注冊表的位置不同，下文的實戰(zhàn)部分我們將詳細說明
 

5.映像劫持技術

通過修改注冊表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options的內容達到劫持幾乎所有主流殺毒軟件，甚至360安全衛(wèi)士這樣的工具的目的，被劫持后的現象是，殺毒軟件無法自動運行，實時監(jiān)控也無法啟動，雙擊運行閃出一個黑色dos窗口后立刻消失。其實這個時候就是利用劫持技術轉向運行了病毒本身。這個時候殺毒軟件就徹底倒下了。關鍵時刻我們果然還是要靠自己手工清理啊！

6.修改以下服務的啟動類型來禁止Windows的自更新和系統(tǒng)自帶的防火墻

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess Start dword:00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv Start dword:00000004

7.刪除以下注冊表項，使用戶無法進入安全模式

HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_CURRENT_USER\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

8.連接網絡下載更多的游戲木馬、廣告軟件以為病毒作何謀取經濟利益。

9.強制關閉包含和病毒或者清理病毒或者殺毒軟件有關的信息的頁面。

10.注入Explorer.exe和TIMPlatform.exe反彈連接，以逃過防火墻的內墻的審核。

11.新的變種中加入雙進程保護，當你結束一個進程，另一個進程自動重新啟動它并關閉你的任務管理器

第二步：實戰(zhàn)清理病毒

通過上面的內容相信你已經基本了解病毒的運作方式，現在殺毒軟件已經“下崗”了，那么現在我們就靠自己的雙手將它驅逐出去，還您一片藍色的天空吧！

首先介紹今天的主角：WinPe 老毛桃修改版

這是一個類似windows98的操作系統(tǒng)。它體積很小只有幾十M，現在很多系統(tǒng)安裝版里都集成了這個軟件，或者你也可以上網下載一個iso文件。用虛擬光驅運行，會有安裝到系統(tǒng)的功能，所以沒有刻錄機的朋友一樣可以使用它，當然它還有U盤版。我今天使用的是光盤版，或許你會問“為什么要用這個操作系統(tǒng)？他和xp有什么區(qū)別呢？難道用他就不會開機運行病毒了？”

是的！說的沒錯！因為WinPe是光盤或本地安裝出來的一個虛擬磁盤的操作系統(tǒng)，他和系統(tǒng)本身是沒有掛鉤的，所以不會啟動windows注冊表里的啟動項。這個的帶來的優(yōu)勢就是我們可以在病毒啟動之前就把他刪除掉！設想，一個病毒雖然在注冊表里配置的啟動項，但是他的原始病毒文件已經不存在了。和談啟動運行？這就是我們今天的重點思路！在病毒啟動以前將病毒文件全部刪除，讓他有心無力！

下面是winpe下操作的截圖：

是不是和98或者2003很像？Winpe的另一個好處就是，我們前面提到的磁盤感染Autorun.inf對它也是無效的。右鍵是沒有”Auto”這個選項的，所以我們在winpe下可以放心的雙擊盤符而不會運行病毒！

我們首先來清理掉最容易找到的病毒文件——磁盤根目錄下的感染文件

除了C盤以外的每個盤根目錄下都有，一定要記得全部刪除！

刪除的文件包括Autorun.inf和那個隱藏的exe文件，有的病毒隱藏文件是.pif或cmd或別的什么，因為c盤根目錄沒這些感染文件。所以我可以告訴大家一個訣竅：

刪除除C盤以外，所以盤目錄下的隱藏文件（不包括文件夾）就可以了。

好接下來看看我們前面提到的其他文件夾：

C:\windows
C:\windows\help
C:\Windows\Temp
C:\windows\system32
C:\Windows\System32\drivers
C:\Program Files\
C:\Program Files\Common Files\microsoft shared\
C:\Program Files\Common Files\microsoft shared\MSInfo
C:\Program Files\Internet Explorer
在windows文件夾下我們發(fā)現了017A4901.hlp和我們上面說的一樣

所以我們利用winpe的文件搜索功能搜索” 017A4901”將其他病毒文件都挖出來

當我們把上面找到的這些文件全部清理完畢以后再搜索看看。是不是已經沒有了？

那么現在AV終結者也“下崗”了。注冊表里的所謂映像劫持、自動啟動、雙進程保護都已經形同虛設了！
這個時候你會發(fā)現你可以上殺毒軟件的網站了

    現在我們來徹底將病毒的啟動請出我們的電腦吧（注意：這個時候建議先不要運行殺毒軟件，避免還有殘留的我們沒發(fā)現的病毒殘留文件通過映像劫持再度重生?。?/p>

    開始菜單-運行-輸入“regedit”打開注冊表

 
    使用模糊查詢搜索我們剛才的病毒文件。不要包括擴展名，因為有的地方是以名字做注冊表項的，我們同時勾選 項、值、以及數據。確保不放過一個敵人！

    我們找到一個CLSID 為{A490017A-017A-4901-7A49-17A9017A4901}的項里面保存著病毒名稱和路徑：

    我們刪除這個項，然后按下F3繼續(xù)搜索下一個，找到就把它刪除。這里要注意一個問題。如果你搜索出來的注冊表項里面有很多個值，千萬不要盲目刪除項。只要刪除包含病毒文件名稱和路徑的部分就可以了！避免系統(tǒng)崩潰！接下來刪除映像劫持部分的注冊表內容搜索Image File Execution Options既可來到

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options這個位置。你會發(fā)現里面幾乎包含了所有你知道的殺毒軟件的進程名，病毒就是通過識別這些進程名來進行劫持的。所以有的時候你可以通過修改程序的名稱。比如把360safe.com改為xxx.exx就可以運行了。當然不是絕對。例如對AV終結者就是無效的，因為他識別的是窗體標題。所以你可以發(fā)現的殺毒軟件他們推出的專殺工具一般都是.com的擴展名，而且運行時候是沒有標題的。這個就是為了防止被感染或者被強制關閉。

    第三步：收拾戰(zhàn)場，修復系統(tǒng)

    首先我們重新啟動重新上崗就業(yè)的殺毒軟件。這里我使用360安全衛(wèi)士，因為針對非感染exe類型的病毒，360足夠應付了，而且速度快很多。

 
    選擇查殺流行木馬。好的，檢測結果。已經沒有木馬病毒了。下一步我們重啟啟動被病毒關閉的防火墻以及系統(tǒng)自動更新的服務，我的電腦-右鍵-管理-服務和應用程序-服務，找到windows firewall開頭的服務右鍵屬性，啟動類型改為自動，再找到Automatic Updates這個服務，同樣將啟動類型改為自動

下面修復安全模式：將如下代碼保存為1.reg 然后運行導入既可

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

    將如下代碼保存為2.reg運行導入后文件夾選項里重新出現“隱藏受系統(tǒng)保護的操作系統(tǒng)文件，以及“隱藏文件和文件夾”選項，選擇顯示后即可和一樣一樣，正常情況下不需要去設置，隱藏的病毒文件已經被我們刪除了，需要的人可以自行選擇

    Windows Registry Editor Version 5.00 
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN] 
    "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" 
    "Text"="@shell32.dll,-30501" 
    "Type"="radio" 
    "CheckedValue"=dword:00000002 
    "ValueName"="Hidden" 
    "DefaultValue"=dword:00000002 
    "HKeyRoot"=dword:80000001 
    "HelpID"="shell.hlp#51104"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] 
    "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" 
    "Text"="@shell32.dll,-30500" 
    "Type"="radio" 
    "CheckedValue"=dword:00000001 
    "ValueName"="Hidden" 
    "DefaultValue"=dword:00000002 
    "HKeyRoot"=dword:80000001 
    "HelpID"="shell.hlp#51105"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden] 
    "Type"="checkbox" 
    "Text"="@shell32.dll,-30508" 
    "WarningIfNotDefault"="@shell32.dll,-28964" 
    "HKeyRoot"=dword:80000001 
    "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" 
    "ValueName"="ShowSuperHidden" 
    "CheckedValue"=dword:00000000 
    "UncheckedValue"=dword:00000001 
    "DefaultValue"=dword:00000000 
    "HelpID"="shell.hlp#51103"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

    重新啟動后。您的電腦又是一片藍色的天空。

    自此，菜鳥們再也不用為中毒煩惱了，重裝系統(tǒng)和格式化，不再是噩夢！建議重啟后用殺毒軟件徹底查殺整個硬盤避免存在感染exe型病毒哦！偷懶的人跳過前面的介紹直接看操作實戰(zhàn)，是不是覺得非常容易？以后你也可以輕易的告訴MM電腦中毒？找我就行！重裝既浪費時間，又不能徹底解決問題哦！希望大家看完我的文章能夠學會舉一反三，輕松應對各種各樣病毒哦！