对于 PE 感染型病毒,大面积感染,最好是用专杀,或者重装,装完后不要随便双击磁盘、运行程序,把感染的 PE 文件都删除。
先把病毒和木马分开,病毒是有破坏性的,木马是不破坏,但它做的往往更可怕,比如偷密码、隐私的、利用感染的电脑做一些恶心的事。对于病毒,如
果已经发作,那您不管用什么方法应该先去拯救,不用看了,本文不讨论这个。本文只讨论怎么删除那些明目张胆但又难以删除的木马、未发作的病毒。
很多人见到删除不了的文件就满地找专杀软件、删除工具啊,其实再怎么难删除的程序,完全不用装任何第三方软件也
可以干掉的。就比如说 Rootkit 型病毒吧,遇到这样的病毒,泥巴娃知道,进程管理器、MoveFileEx +
MOVEFILE_DELAY_UNTIL_REBOOT、注册表编辑器,都是没用的。一个 Rootkit 型病毒如果设计得好,它可以拦截
MoveFileEx、Reg* 等 API,即使往注册表的 HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Control\Session Manager 下的
PendingFileRenameOperations 写入删除操作,木马也是可以把它删除的,总之这要是泥巴娃设计的,这些在 Windows
下常规杀毒的办法都是可以禁止的。所以遇到这种病毒,泥巴娃才不浪费时间去找什么软件来杀它,直接必杀绝招用下去。其实这个绝招是没有什么技术含量的。让
泥巴娃先卖个关子吧。
有些人会装 DOS,然后到 DOS 去 del,不过 DOS 无法访问 NTFS 格式的磁盘,于是他们装个支持 NTFS 的 DOS,不过却发现有这个 DOS 的存在,让电脑变得很没安全性!
所以上面两个都不是泥巴娃的必杀绝招,泥巴娃的必杀绝招是恢复控制台,这是系统盘上带的,用的时候可以装也可以不装,不装的话就是放光盘,泥巴
娃是比较喜欢装到硬盘用的。放系统盘,运行 X:\I386\WINNT32.EXE /cmdcons,这里的 X 是放系统盘的光驱盘符,才 7M
左右吧。装完后,系统的启动菜单里会多一个“Microsoft Windows Recovery Console”,进入是需要管理员密码的,比 DOS 安全多了!
举例说明怎么杀毒吧:最近有个 Rootkit 型病毒叫 RootKit.Adprot.h,小吴的电脑中了,泥巴娃去看,瑞星在线查毒找出
3 个文件:IEShell32.dll(Trojan.Agent.kk)、msprotect.sys(RootKit.Adprot.h)、
NTService32.dll(Trojan.Agent.zmk),不过泥巴娃一看就知道 CharSet.dll、
CreateDomTree.dll、WebPageParser.dll 和他们是一伙的。后来百度了一下,发现这 6 个文件果然是一伙的,网络上有
很多人在说它们无法删除,有高手出来讲解过,不过可能是病毒升级了,一些人照做了,还是删除不了。
泥巴娃试了一下,果然 MoveFileEx + MOVEFILE_DELAY_UNTIL_REBOOT 的删除方式是无效的,注册表的服
务键 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 下的 msprotect、
mspath 和 Windows NT Service32 都是被保护的,这 6 和文件也是被保护,根据推理 msprotect.sys 是用
DDK 写的驱动,实现了这些保护,进安全模式 msprotect.sys 也一样被加载。IEShell32.dll 一看就知道是 ATL 写
的,竟然还导出了 DllUnregisterServer!这 3 个病毒,泥巴娃看是 IEShell32.dll 最厚道!
开始杀了,泥巴娃先把它们备份起来,大家可以不用备份^_^先运行一下:regsvr32 /u IEShell32.dll,然后重启,进
“Microsoft Windows Recovery Console”,输入您的管理员密码,忘记的应该在重启前重设一个!
删除 msprotect.sys,输入:attrib -r msprotect.sys,回车,del msprotect.sys,回车;其他文件类似。
完成后输入 exit,重启,删除注册表里
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services 下的三个子键:msprotect、mspath 和 Windows NT Service32,整个世界清净了!
转自:
[url]http://hi.baidu.com/umu618/blog/item/99b0955161ca9a2442a75bd7.html[/url]
