|
最近和病毒做斗争,总结了很多有用的经验,写在这里供大家参考,如果你的杀毒软件能检测到病毒,但不能完全彻底的清除这些烦人的东东,也许以下的方法能帮你摆脱麻烦。
你需要准备的工具:
1.SREng 下载地址
http://www.kztechs.com/sreng/sreng2.zip
释放sreng2.zip 到一个目录,然后执行其中的 SREng.exe 。
2.费尔木马强力清除助手 下载地址
http://dl.filseclab.com/down/powerrmv.zip
释放 PowerRmv.zip 到一个目录,然后执行其中的 PowerRmv.exe 启动“费尔木马强力清除助手”。
清除之前做的准备:
1.更新杀毒软件的病毒库,建议使用的杀毒软件是诺顿。
2.断开网络连接。
3.运行杀毒软件,找到病毒,记录染毒文件的路径,但不执行任何操作。
例如 C:\DOCUME~1\邹庆\LOCALS~1\Temp\2.exe
4 打开任务管理器,点击进程标签,在菜单栏点击-查看-选择列-把PID(进程标识)打上勾,然后查看进程2.exe,记录其PID号码。例如2.exe的pid号码为2112
5.运行 SREng,执行智能扫描,导出扫描报告保存为temp1.txt.
开始逐个彻底清除染毒文件:
(最好重起电脑,在安全模式下操作)
6.查看扫描报告
----ctrl + f 查找定位信息 pid:2112
----在pid:2112那一栏,会发现一系列文件,如上例,可以看到:
[PID: 2112][C:\DOCUME~1\邹庆\LOCALS~1\Temp\2.exe] <N/A><N/A>
[C:\WINDOWS\System32\wldll.dll] <N/A><N/A>
[C:\WINDOWS\System32\Cnscheck001.dll] <N/A><N/A>
[C:\WINDOWS\System32\xydll.dll] <N/A><N/A>
[C:\Program Files\Internet Explorer\PLUGINS\system18.sys] <N/A><N/A>
记录有关这一进程信息中的所有文件路径
C:\DOCUME~1\邹庆\LOCALS~1\Temp\2.exe
C:\WINDOWS\System32\wldll.dll
C:\WINDOWS\System32\Cnscheck001.dll
C:\WINDOWS\System32\xydll.dll
C:\Program Files\Internet Explorer\PLUGINS\system18.sys
7 打开软件-- 费尔木马强力清除助手,里面有一项"抑制文件再次生成"打上钩,然后定位到以上记录的5个有毒文件,分别删除,如果跳出发送病毒报告的邮件提示 选择 否,然后确认删除文件.
8 重新回到扫描报告
---ctrl + f 搜索 刚才删除的几个文件文件名
找到注册表中对应的位置
例如:Cnscheck001.dll对应的为:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{6E44887F-5214-41F2-AB46-4728735C4CC6}><C:\Program Files\Internet Explorer\PLUGINS\system18.sys> []
<{9A0CFC58-5A6F-41ba-9FFE-4320F4F621BA}><C:\WINDOWS\System32\Cnscheck001.dll> []
打开注册表,定位到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
删除键值
<{9A0CFC58-5A6F-41ba-9FFE-4320F4F621BA}
注意,注册表被修改地方的可能不止一个,所以每个染毒文件都请查找一次,删除对应的注册表键值,以防遗漏,找不到的就没有了.
9 重起电脑, 确认病毒是否被完全删除.
10 备份注册表(以后再有毒,按照以上方法操作,注册表键值删除可以通过恢复注册表而简化)
11 大功告成 庆祝一下:)
我清除了Infostealer.Gampass mccrar.exe backdoor.trojan,对付一般的木马这种方法我想足够了,最后祝大家上网顺利!
|