当你把扫描的SREng日志提供到论坛、经过他人分析得到一份分析结果(报告)后,接下来就是根据分析手工清除电脑上的病毒。虽然按照目前不少人使用的分析助手得出的分析报告格式已经列出比较详细的步骤,但还是很多人看不明白。既然如此,本教程就教你根据别人的日志分析来进行操作。
即使分析结论不按照分析助手的报告格式,但操作步骤与使用方法也一样适用,因此借用草莽书生的SREng分析助手的报告格式来讲解。
先看一份分析报告的样式:
======================开始==============================
1.删除以下文件……:
c:\windows\system32\xxx (第一部分)
2.删除重启后使用SREng修复下面各项:
启动项目 -- 注册表之如下项删除: (第二部分)
[……] <C:\WINDOWS\system32\xxx>
启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:(第三部分)
[……] <C:\WINDOWS\system32\yyy>
启动项目 -- 服务-- 驱动程序之如下项禁用:
[……] <\??\C:\DOCUME~1\user1\LOCALS~1\Temp\zzz>
系统修复-- 浏览器加载项之如下项删除: (第四部分)
[……] <C:\Program Files\Internet Explorer\PLUGINS\sss>系统修复-- HOSTS文件--重置…… (第五部分)
下载windows清理助手清理恶意软件 (第六部分)
http://www.arswp.com/download/arswp/arswp.rar临时文件清理……
======================结束==============================
基本就这六个部分,当然这个分析助手还提供了一份“通用病毒灭杀机”的自动清除工具,想用的可以参考http://bbs.icpcw.com/viewthread.php?tid=1335426的分析助手视频教程,本文不讨论。
下面开始,先第一部分:就是删除文件。
此部分文件为从日志各个分项(包括进程、注册表、服务等)中找到的病毒文件(或疑似病毒文件),应该说这是比较重要的一步,建议删除前前备份一下(虽然我都不备份,但还是要说,如果有损失,别找我了)。
删除方法有多种,首先可以手动删除。但直接删除有时由于文件正在使用或其它保护机制(系统的、病毒的都有保护)不能顺利实现或删除后重新生成(当然也可以用先结束进程再删除的方法,但有的文件在任务管理器的进程表中是看不见的)。对于删除不了的,一般可以到安全模式下(开机按F8,选择安全模式进入)删除,但有时由于病毒破坏,进不了安全模式(这类修复问题放第五部分说),那可以用各种启动盘启动到DOS或WIN PE系统下删除。对于删除对象再生的,一般方法就是建个同名文件夹放在原地来阻止再生,当然要手快。可见手动删除有一定难度,所以不推荐菜鸟进行和懒人进行(我基本是后者)。
除了手动,还可以借助工具软件,如冰刃、XDelBox、PowerRmv、unlocker、killbox等,总之能删的就能用,但注意并不是所有的删除能力都一样,而且并不是所有的工具都有抑制删除对象再生的能力,比如XDelBox、PowerRmv就有这种抑制能力(原理就是建同名文件夹),所以用它们时要记得选上抑制删除对象再生的选项。说几样工具的使用吧:
冰刃:
冰刃确实是强大的工具,不过这里只用到它的删除功能就很简单了:点左边栏的“文件”,在右边找到要删除的文件,右击,在弹出的菜单中选“强制删除”,就这样。
PowerRmv:
可以手动查找选择文件,或直接把报告第一部分的所有文件(一个文件一行,要包括完整的路径,如c:\windows\system32\aaa.dll)全拷到上面的框中,然后点选“清除,并抑制文件再次生成”,再点开始就OK了(会问你是否要发送邮件,可以选“否”)。
XDelBox:这是分析助手报告中默认选用的删除工具(网盘下载,提取码:88mq),使用方法与PowerRmv有些类似。
当然不论使用什么工具、什么手段,总之我们的目标是只要删除这些文件就可以,但有几点注意事项:
1、可能其中个别文件不存在(可能是已经被杀毒软件什么的先干掉了,只剩下注册表中的残余项,被SREng扫描出来),不要紧,只要确认确实没有这些文件跳过就是,怎么确认?用工具删除时会提示不存在文件,一般就是不存在,手动删除没找到,可要小心一点,可能是文件属性是隐藏或系统属性,且病毒破坏隐蔽文件显示功能(这个修复也第五部分讲),可以借助冰刃、Wsyscheck等工具来查找。
2、如果删除工具提示找不到文件时,要先检查下输入的删除文件路径是否正确,有时多个引号、参数什么的,或路径中使用了不可识别的文件夹名,都可能导致找不到删除对象,因此首先建议分析日志者,在得出结论后,请把文件路径整理一下,保证使用者能方便操作,对于实际操作者,估计也要熟悉一点常用的知识了,比如:
??\\c:\windows\:这时就要记得把前面的??\\删除,文件路径要从c:\windows开始;
systemroot\system32:这里的systemroot就是系统启动目录,如c:\windows(这是系统装在c盘的);
c:\docume~1\user\locals~1\temp:这里的~1是用DOS下的8.3格式表示,实际是c:\documents and settings\user\local settings\temp;
c:\progra~1\:是c:\program files\
如果看不懂一定要问,否则删不干净,留有后患。
3、如果要删除的文件中有autorun.inf,为了避免打开硬盘分区时激活病毒,因此不懂删除此种病毒方法的人建议用工具软件删除,比如上面的直接把要删除文件及路径全拷到删除工具的待删区中,或用冰刃、ACDSEE、WINRAR等不会激活病毒的工具的打开硬盘分区删除文件。总之,就是在删除病毒文件前不要用双击、右击或资源管理器方式去打开硬盘。
除删除文件外,可能会有一些需要替换修复的系统文件,则需要从正常的电脑或网上下载相同操作系统、相同版本的文件来覆盖被病毒感染或破坏的同名文件。替换方法一般直接复制拷贝,但也可能文件正在运行或有系统甚至病毒进程保护而不能直接替换,则可以试下安全模式下进行操作,或用启动盘(如windows PE)启动后再替换,当然还可以使用某些文件替换工具软件(网盘下载,提取码:88mq)。
第二部分:注册表启动项及启动文件夹(有时“启动文件夹”项是空的)。
这部分与以下的第三、四、五部分都是使用SREng来做,当然使用其它工具(什么冰刃、Wsyscheck等,包括直接打开注册表玩也行)也可以的,目的也是一样:搞掂就行。
虽然在报告格式上说要重启后用SREng修复,但我一般都没重启(我是等做完全部或大部分后步骤后才重启),虽然有的做完要重启才生效或重启后才能看到效果,但只要前面的文件删得干净,下面的操作会好做些。
分析报告中的注册表启动项和启动文件夹中的项目基本的操作就是用SREng来删除,但个别项目会提示修复(比如保留空值或恢复初始值),这在报告中应该显著列出(如果没列出,找那个分析的人算帐),比如userinit项目,一般保留到userinit.exe,为止(注意包括逗号)。至于删除操作,就是在SREng的启动项目-注册表项中按“名字”找到对应的项目,然后点删除(可以参考SREng用法:http://blog.sina.com.cn/s/blog_53f6c6cd01000bu0.html,下面几个部分用到SREng操作,也可以参考该文)。启动文件夹也是一样。
第三部分:服务和驱动
应该和第二部分的删除一样简单,打开SREng-启动项目-服务,有两个按键:Win32服务应用程序和驱动,分别进入后勾选下方的隐藏已认证的微软项目,然后对应报告中列的项目查找,找到后设置成“禁用”(将启动类型设成Disable,点选“修改启动类型”再点“设置”就完成了)。新版的分析助手报告使用“禁用”,以前一般是“删除”,也是为了安全起见,如果愿意并且确认可以删除,就选“删除服务”,再点“设置”,会弹出一个确认框,注意,这里要点“否”,才会在下次重启后删除服务。
禁用或删除驱动与禁用或删除服务是一样。建议没把握或谨慎的人采用“禁用”方式。
第四部分:浏览器加载项:
此项位于SREng的“系统修复”中,从中找到“浏览器加载项”(其实就是IE插件),对照报告中的内容,查找删除相关条目(有的没有名字,就对照后面的“映像文件路径”中的文件名),方法不多说了,不会的自己去参考上面的SREng用法。
注意一点,可能会有多个重复的内容在此处出现,有时报告中也会把多个相同的加载项全列出来,如果没列,那是有人偷懒,反正你都发从头找到尾,把所有与要删除的项目相同的条目全删除。
第五部分:包括文件关联、HOSTS、Winsock及SREng中的一些修复功能,都在SREng的“系统修复”下面。
要做哪些得看其中哪些有标出有问题。有问题的项目如HOSTS、Winsock的栏目下都有“重置”的按钮,如要恢复正常值或初始值,就点一下重置就是,如果是文件关联,就去选中要修复的后缀名,然后点“修复”就OK了。
在SREng的“系统修复”-“Windows Shell / IE”和最后的“高级修复”中,有一些常见的系统问题修复,如:隐藏文件不能显示、打不开注册表编辑器、修复安全模式(这个在高级修复中)等,按需使用,都是中文,不用我截图说明了吧。
第六部分:这部分的操作基本就是扫尾了。
通常我会加上windows清理助手和临时文件清理工具,可自行对照处理。根据实际情况,还可能有IFEO的清理工具(处理映像劫持的,就象AV终结者之类的病毒)、熊猫威金的EXE修复工具(这些是分析助手默认的可选工具),反正给什么就用什么就是。
特地说下,即使没有给出这些工具,做完上面的手工清除后,也建议用这些工具检查下,特别是windows清理助手(你用别的也行,或者直接用杀毒软件,建议要先升级到最新版病毒库)和临时文件清理工具。其实这也是无奈的选择,在多次借助SREng清除病毒后,我发现仍有可能有残余病毒木马文件留下(有时数量还不少),因为这些在日志中是不体现的,可能带启动的全被我们干掉,剩下的可能只是没作用的部分,可也难说,谁知道呢,也许人家在处于冬眠潜伏,一旦某条件成熟就重新激活,或者真没什么危害了,但想着还有残留心里就不舒服。如果你有一定基础,可以进入系统目录(主要是windows、system32和system32下的drivers文件夹),检查文件修改时间和创建时间、及文件属性中的公司标识等信息,清除异己,但这不一定会准,还可能误伤,新建立或新修改的文件不一定是病毒(虽然嫌疑很大),而病毒文件有时就是显示很早的时间。
所以,非常建议用上述工具和杀毒软件扫描一下,扫个尾,清理战场。着重说下临时文件这个,临时文件包括temp和IE缓存,这两地通常也是病毒的最爱之地,建议把里面的东东全删除,既能清理可能的病毒残余,又能释放硬盘空间,系统运行也改善了。当然手动也能做到清除(而且建议你在工具清除后再进行手动清除,有时工具真清不干净),假设你的系统是装在C盘的且没改过环境变量,那么可以进入c:\documents and settings\你的用户名\local settings\temp(不知道用户名是什么的话,就把c:\documents and settings\下几个文件夹全的开找下面的部分)、c:\windows\temp(2000是winnt)删除临时文件,而IE缓存则在IE的internet选项(IE菜单栏-工具-internet选项)中删除,打开该选项-常规-删除文件-删除所有临时文件并删除cookie,IE7略有不同,建议在INTERNET选项的“高级”页中找到“关闭浏览器时清空internet临时文件夹”选项,选中,这样每次关闭IE时会自动清理,少很多麻烦,真的。
再说下windows清理助手,其实作为懒人,或动手能力比较差,或发现要清理的东西太多(有的电脑确实中病毒严重,简直就一毒窝、马棚),可以这一步提前,先用清理助手扫描电脑,这样可以大大减少工作量并节约时间,我很喜欢这样做最近。
最后,说下杀毒软件,虽然我们做的是手动处理,但还是建议用杀毒软件最后做个全盘扫描,因为做到现在,大部分该删的也删了,可能杀毒软件也能正常用了(很多时候杀毒软件在发现病毒时是最早倒下的),也可以升级了(因此建议有装杀毒软件的要注意及时升级),赶紧升个级,然后查查还有什么残留,也说不定新版本对你处理的病毒已经有了清理能力,同时也来个心理安慰。不过,也可能什么也查不到,可能是还是不认识这种病毒木马,或已经被你在前面清干净了,希望是后者。
补充一下,如果分析结果不是象上面的报告格式也是可以按上面步骤做,或者就按对方给出的顺序做也行,一般都是先删文件再删项目,道理和操作也是一样的,请灵活掌握。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/sreng-kill-virus.html
