遇到病毒/木馬/惡意程序等的時候常要的操作

[psac]

遇到病毒/木馬/惡意程序等的時候常要的操作[給新手]

一般大家遇到病毒的時候,首先做的就是殺毒,如果殺毒軟體也無法清除,那麼就要自行手動式清除了.
現在向大家講解一下,手動式清除病毒(木馬,惡意程序)以及恢復病毒(木馬,惡意程序)對系統的改變的技巧.

感謝發帖主「不辭辛苦」的將tkabc版主和cons精英的文章copy過來 by agiha

1.如何清空IE臨時文件?
首先開啟IE瀏覽器,選項[工具]展開表單,按下[Internet 選項],按下[移除文件],就可以順利移除IE臨時文件.

2.如何顯示所有文件和資料夾?
雙按[我的電腦],選項[工具]展開表單,按下[資料夾選項],按下[檢視],勾上[顯示所有文件和資料夾],把[隱藏受保護的操作系統檔案(推薦)]去掉勾.再按[確定]按鈕即可.

3.如何禁用/關閉[系統還原]功能?
[我的電腦]右鍵按下,展開表單按下[內容],按下[系統還原]按鈕,把[在所有驅動器上關閉系統還原]勾上,再按[確定]按鈕即可.

4.如何進入安全模式?
開啟電腦(如果電腦正在執行,就請重新啟動電腦)
Windows Xp 進入安全模式方法:
在電腦開啟BIOS載入完之後,迅速按下F8鍵,在出現的WindowsXP進階選項表單中Enter鍵按下[安全模式].
Windows 2000 進入安全模式方法:
啟動Windows2000時,當看到白色箭頭的進度條,按下F8鍵,出現Windows2000進階選項表單中Enter鍵按下[安全模式].
Windows98/Me 進入安全模式方法:
啟動Windows98/Me時,當出現[Starting Windows 98]的時候,迅速按下F8鍵,按下啟動表單中選項第三項[Safe Mode].

5.如何修覆文件關聯?
http://www.dougknox.com/xp/file_assoc.htm
在以上的網站,下載所需要修復關聯的 reg,下載後雙按匯入,即可修復該關聯.

6.如何禁用某個Windows 服務?
雙按[我的電腦],雙按[控制台],雙按[系統管理工具],雙按[服務],即可看見所有WINDOWS的服務,雙按某個需要禁用的服務, 把[啟動檔案類型]設定為[已禁用],把[服務狀態]設定為[停止],即可.
如果在服務列表看不見所要禁用的服務(某些病毒的服務是看不到的).
我們可以在[開始],[執行],輸入[regedit],開啟註冊表編輯器,展開HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
找到服務的名稱,按下,看右邊,修改:ErrorControl,修改鍵值為1(0是允許).

7.如何移除一些不能移除的文件?
有時候,清除病毒的時候,會遇到移除不到的文件,這時候就需要利用一些軟體來移除,或者進入安全模式直接移除,這裡介紹一下軟體移除.我們利用到的軟體就是killbox.
http://download.pchome.net/utility/a...ers/19347.html
這裡下載killbox,解壓縮,雙按開啟執行,
驗證了要移除的文件,再填上文件的完整路徑,或通過遊覽選此文件,然後在按下旁邊的紅x.(某些文件可能需要重啟電腦)

8.如何簡單快捷使用 HijackThis?
1.下載最新官方版本HijackThis 1.99.1:
http://www.merijn.org/files/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
2.解開hijackthis.zip,執行HijackThis.exe
3.點擊 Do a system scan and save a logfile
4.掃瞄完成後,一個記事本彈出來,你可以把裡面的Log發上來,供高手分析.

9.如果簡單快捷使用 System Repair Engineer?
1下載最新官方版本 System Repair Engineer 2.0.12.350:
http://www.kztechs.com/sreng/download.html
2.解壓到隨意資料夾,執行SREng.exe
3.點擊"智能掃瞄"->"掃瞄"->"儲存報告".
4.掃瞄完成後你可以把裡面的Log發上來供高手分析.

[psac]

HijackThis (推薦使用)
===================
介紹:
HijackThis,一般簡稱HJT,是一個免費的間諜軟體移除工具,國內外十分常用的,由荷蘭學生Merijn Bellekom編寫.它可以掃瞄電腦的:
-Hosts檔案
-IE BHO(Browser Helper Object)
-IE 工具列
-IE插件
-IE預設主頁,搜尋頁
-啟動項
-Winsock LSP (Layered Socket Protocol)
-Windows 服務
-Winlogon Notify
-IE/系統限制 (eg. 禁用註冊表編輯器)
等等,並產生出報告/列表,讓有經驗的用戶/分析人員作出基本分析
===================
下載最新官方版本HijackThis 1.99.1:
http://www.merijn.org/files/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
===================
如何產生掃瞄報告讓別人分析:
1. 先下載最新官方版本HijackThis 1.99.1,並儲存到桌面
2. 解開hijackthis.zip,執行HijackThis.exe


3. 按圖中紅框的 Do a system scan and save a logfile




4. 掃瞄完成後,一個記事本彈出來,把所有內容複製再發給分析人員就可以


PS1: 一般用戶請勿自行胡亂修復HijackThis掃瞄內的項目,以免令系統發生問題
PS2: 這裡有一個HijackThis log自動分析網頁,方便用戶快速檢查自己的log,但結果只供參考,建議進行修復前,先問一下任何有經驗的人士
http://www.hijackthis.de/index.php
===================
如何修復HijackThis 中的項目:
1. 執行HijackThis.exe,按 Do a system scan only


2. 找出分析人員所提及要修復的項目,在需要修復的項目前的方格打勾,最後按[ b]Fix checked 就修復完成




PS: 修復完成後,建議重新啟動電腦,最好重新掃瞄一個log給分析人員,以便驗證病毒/木馬/惡意軟體已經移除

[psac]

StartupList
===================
StartupList是一個簡單工具,可以列出所有開機時自動執行的程序/檔案,它會列出:
-啟動目錄
-UserInit
-註冊表Run,RunOnce,RunOnceEx,RunServices,RunServicesOnce
-檔案關聯(包括*.EXE,*.BAT,*.COM,*.PIF,*.SCR,*.HTA,*.TXT)
-Active Setup
-Winlogon(Load,Run)
-BHO
-排程
-Winsock LSP檔案
-Windows服務 (比HijackThis更詳細)
等等................
StartupList其實可以在HijackThis 找到
===================
如何產生報告:
1. 參閱樓上,下載 + 執行hijackthis.exe
2. 按 Open the Misc Tools section


3. 在 List also minor sections (full) 和 List empty sections (complete) 的方格打勾


4. 按 Generate StartupList Log 即可

[psac]

TrojanFindInfo/TroyanFindInfo
======================
TrojanFindInfo是由Kaspersky Labs寫成的工具,它可列出
-啟動項(eg. Run,RunOnce,etc.)
-大部份檔案關聯
-註冊表Winlogon
-工作跟工作模組(包括檔案的版本資料,日期)
-開了的TCP/UDP ports資料
等等
======================
TrojanFindInfo 3.0下載:
ftp://ftp.kaspersky.com/utils/trojan...anFindInfo.rar
或附件
======================
如何產生報告:
1. 先下載TrojanFindInfo 3.0,下載後解開,執行TroyanFindInfo.exe
2. 確保已選取了
Save Trojans' StartUp Information
Save processes' information
Save opened ports information
Save modules for all processes


3. 按 Save 就可以產生報告,把報告儲存到桌面,你就可以把tinfofnd.log發給分析人員

附件： TrojanFindInfo.rar

[psac]

System Repair Engineer (推薦使用)
====================
介紹(取自官方網站) :
System Repair Engineer(SREng) 是一款全新的、強有力的、可擴充的用於調整和修復你系統的免費工具，在這個工具的說明 下，你可以察覺你的系統故障並能夠很容易的修復他們。
在 System Repair Engineer (SREng) 1.0版本裡面，開放了近 20 項和系統維護相關的功能。System Repair Engineer (SREng) 提供了以下一些功能：
-註冊表啟動組組態功能：能夠允許/禁止註冊表啟動項是否隨機啟動。對於一些隱蔽啟動組能夠檢測是否被篡改，如果預設值被篡改則會提示用戶。
-一般啟動組（使用啟動檔案夾啟動的啟動組）組態功能：能夠允許/禁止資料夾啟動項是否隨機啟動。
-WIN.INI、SYSTEM.INI、AUTOEXEC.BAT、CONFIG.SYS 組態功能：移除、新增、編輯項目。
-BOOT.INI組態功能：設定BOOT.INI預設啟動項、設定延時時間，設定啟動開關等。
-Win32服務組態功能：提供服務訊息的枚舉、禁用服務和移除服務功能。能夠隱藏由 Microsoft Corp 發行的服務。
-一般文件關聯預設值自動檢查修復功能
-Windows Shell 修復功能：修復一般的 Windows Shell 故障。
-Internet Explorer 修復功能：修復一般的 Internet Explorer 故障。
-瀏覽器載入項管理功能：包括BHO、工作列、ActiveX、右鍵表單項等。
-HOSTS文件組態功能：編輯、移除、新增HOSTS 列項訊息，
-智能掃瞄功能：智能掃瞄功能將掃瞄你的系統並指出一個詳細的報告，在這個報告的說明 下，系統管理員能夠發現一些你系統中存在的錯誤並告訴你如何使用 System Repair Engineer 或其他工具解決這些錯誤。
-我的增強功能：以規則庫的形式允許用戶之間交換各自的組態，軟體發行者也能夠通過提供額外的規則庫來增強軟體的功能而不需要重新下載可執行文件。規則庫的體積非常小巧，便於通過網路傳輸。
-內裝的在線提示視窗：隨時檢視一些關鍵點的說明 訊息。
-多語言自動切換功能或手動式指定界面語言功能：想看什麼語言界面就看什麼語言界面，隨心所欲。
-大部分操作不需要重啟或註銷就能夠立即生效功能：改變以往要使設定生效需要註銷重新登入的局面。
官方網站:
http://www.kztechs.com/sreng/index.html
===================
下載
Windows 2000/XP/Server 2003 的用戶:
http://www.kztechs.com/sreng/sreng.zip
Windows 98SE/ME 的用戶:
http://www.kztechs.com/sreng/sreng9x.zip
===================
使用方法及說明,可參看官方的用戶手冊:
http://www.kztechs.com/sreng/help/
===================
如何產生報告:
1. 執行SREng.exe,選 智能掃瞄 ,確定全選了那4個項目後,按 掃瞄


2. 掃瞄完成後,按 儲存報告,再儲存到桌面,把報告內容交由分析人員看看

[psac]

Fixregtaskmgrassoc.inf
修復一些比較重要的檔案關聯,解除對工作管理器和註冊表編輯器的禁用
===================
介紹:
不少木馬/病毒會修改檔案關聯,當用戶執行那些檔案,就會啟動病毒/木馬
更有些會禁用了工作管理器和註冊表編輯器,防止用戶結束病毒/木馬工作和修復註冊表
所以我把McAfee的Fixswen.inf修改了一下
現在應該可以修復
*.bat,*.com,*.exe,*.pif,*.reg,*.scr,*.txt的檔案關聯,同時可解除對工作管理器和註冊表編輯器的禁用

===================
只適合於Windows 2000/XP/Server 2003
98SE/Me未測試過,建議98SE/Me用戶不要使用

下載: 在附件
===================
如何使用:
1. 下載後,解開壓縮包
2. 右點Fixregtaskmgrassoc.inf,選 安裝 即可


附件： Fixregtaskmgrassoc.zip (1 K)
Silent Runners.vbs (推薦使用)
===================
介紹:
Silent Runners.vbs是國外常用的報告產生工具,作者Andrew Aronoff,由Dr. Vesselin Bontchev(F-Prot的病毒分析員)作為技術顧問
Silent Runners.vbs可以列出大部份木馬常用的啟動方式 / "地點",而且都適合用於分析瀏覽器綁架問題

Silent Runners.vbs有3種搜尋方式
-Normal
-Supplementary
-All

個人會建議使用All提供最完整的報告讓分析人員分析~

====================
如何產生報告
1. 下載Silent Runners.vbs,儲存到根目錄(例如C:\ )
http://www.silentrunners.org/Silent%20Runners.vbs

2. 開始 ----> 執行 -----> 輸入"C:\Silent Runners.vbs" -all

3. 你會看到一個訊息,按確定,直到等到第二個訊息,你會看到在Silent Runners.vbs同樣的目錄下,看到一個文件檔,把報告讓分析人員分析就可以了

[psac]

幾個易被誤認為病毒的文件

隨著電腦的普及和訊息技術的發展，「電腦病毒」一詞對每一個人來說都已經不再陌生了，現如今電腦病毒可謂層出不窮，甚至讓廣大電腦用戶幾乎到了「談毒色變」的程度。江民公司技術工程師發現有許多用戶對操作系統下的文件不是很瞭解瞭解，以至於產生種種的懷疑。

　　以下是用戶經常懷疑是病毒的文件:

　　一、Thumb.db文件

　　Thumb.db文件被用戶誤認為是病毒的原因應該有三點：

　　1、該檔案在一些操作系統中的帶有圖片的資料夾中都存在；

　　2、即使移除此文件，下次開啟該檔案夾時仍會產生；

3、該檔案可能會不斷增大。

　　其實，Thumb.db文件在Windows Me或更新的Windows版本中都會有，這是Windows對圖片的快取(也可以說是緩衝文件)，它可以方便用戶對圖片進行預覽，圖片越多，這個文件可能就越大，這是正常的。在Windows XP系統下可以在「資料夾選項」裡面選項「不快取縮略圖」，就不會產生這種文件了。

　　二、Mfm1992文件 或「Mfm1992.AVB.AVB.AVB.AVB(後面是無窮AVB)」

　　Mfm1992文件用戶誤認為是病毒的主要原因應該是:此文件可能產生在任何一個資料夾中，而且移除後可能還會重新產生。

　　Mfm1992文件是由於智能ABC的詞庫出現錯誤而產生的一個文件。由於智能ABC輸入法的詞庫容量有限，當超出這個容量的時候，就會產生這個文件。當前程序執行在哪個目錄，這個文件就在該目錄下產生。這個文件的大小一般為43KB。這是智能ABC4.0的一個Bug，Win2000和me中原有的的智能 ABC5.0已經修正了這個錯誤。

　　如果想讓電腦中不再出現這個文件，有兩種辦法:

　　1、可以把4.0的智能ABC昇級至高版本。

　　2、可以把Windowssystem目錄下的*.rem文件移除，然後重啟電腦。

　　三、Word的臨時文件

　　用戶在開啟一個Word我的文件時會發現在同一個目錄下出現了一個與原我的文件名稱相同但前面加了一個「~$」符號的文件，它的圖示與Word我的文件的圖示相同，但是「灰」顏色的(即具有隱藏內容)。許多用戶覺得可疑，認為是病毒造成的。

　　其實這是一個正常的現象，這個文件是Word產生的，可以理解為是一個緩衝文件，它的作用是最大限度的儲存由於意外原因(如突然當機等)造成的用戶對修改或建立的Word我的文件在未進行儲存時的損失。其實這個文件在關閉了Word我的文件後即會自動消失，用戶不必擔心。

　　四、jdbgmgr.exe文件

　　與以上幾種文件不一樣，該檔案即不是出現錯誤時產生的文件也不是臨時文件，是一個正常的系統檔案。用戶本來是注意不到它的，因為它存在於系統目錄下。但很多用戶把它認為是病毒的原因是由於一封具有欺騙性的電子郵件在網上四處散發。這封被偽裝成一份病毒防治報告的電子郵件，對收到郵件的用戶發出警告，聲稱 「jdbgmgr.exe」文件是一種病毒，可以在感染PC兩周後損害整個電腦系統。這一謊言被許多相信自己已經被感染的PC用戶四處散發，希望能說明 其他受害者清除這個病毒。

　　實際上，「jdbgmgr.exe」文件是Java偵錯管理器，是所有Windows系統中所安裝Java軟體的一個組成部分。該檔案一旦被移除之後，可能會導致一些Javaapplets和JavaScript停止工作。