吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 3255|回复: 1
收起左侧

[会员申请] 会员申请ID:731315150

[复制链接]
吾爱游客  发表于 2014-6-10 21:23
1、申 请 I D:731315150
2、个人邮箱:731315150@qq.com
3、一篇原创技术文章:
Windos下手动杀毒
一.中毒特征
    这一点非常重要,中毒发现的越早越好,不但便于处理而且还能够及时备份重要数据。
    笔者发现的特征主要有以下几点:
    1.运行未知程序时忽然刷新了桌面;
    2.机子速度明显变慢;
    3.弹出未知网页及提示框;
    4.桌面出现异常图标,各盘符下出现无法删除的异常文件;
    5.杀软被劫持或者干脆挂掉(看进程以及桌面上的图标就能判断)。

.一线处理
    如果你已经不幸的发现电脑中了某病毒,或被某流氓缠身,请千万先记得这两个操作:
   1.切断网络;
   2.先不要重启!
   3.注意你的U盘。
   第一当然是为了防止成为别人的肉.鸡,第二点我要特别强调!!!写了启动项和自我复制的病毒会在你盲目重启后占领你的硬盘,事情就会变得比较麻烦,更重要的是,如果遇上黑心作者覆写了所有的pe文件......你就拿块毛巾准备抹眼泪吧。搞清问题再做下一步打算,盲目重启只会让事情变得更糟。第三就是现在病毒基本都感染移动储存,碰上了最好先别再用......但是!如果优盘里有重要数据,说啥也要先备份,至于为什么我会在最后举个例子。

.类型判断
    一般来说,流氓类的脚本也算是一种病毒了,所以判断清楚对处理方向有很大的指向性,会更加的省时省力。由于这是一篇关于技巧的文章,小菜Nero我就只强调三点:
    1.桌面上出新鲜玩意儿的大多是流氓类,危害性不大(这条只供参考啊,经验而已...)。
    2.在各盘符底下拷贝了脚本或者文件夹的,一定记得备份好数据,弄不好有破坏性;
    3.写了注册表或启动项的,大多有盗号的嫌疑,记得暂时不要再上邮箱和qq等。
.思路
    如下:
    保存手头工作,备份重要数据→查看桌面,各盘符根目录,及杀软状况→基本判断病毒类型→(看端口→)kill进程→kill病毒源文件→kill病毒启动项→清理注册表→查看敏感目录→清理战场→重启(现在必须的)→查看是否有残留→根除病毒。
    “看端口”这一点在查杀中不是很有用,其实经常就不用,所以括号括起来。但是判断类型上还是起作用的,有时候会有意外的收获。

.辅助工具
    这个是必须的,推荐必用的几款:冰刃,XueTr,Process Explorer(貌似比较老,查进程专用工具,强大专业就是有点复杂),IceSearch是个查找病毒源文件利器,关键看图里有个限定文件大小的功能,配合日期揪出病毒妥妥的。
    最主要的个人觉得还是XueTr和冰刃。
file:///C:\Users\LISHIC~1\AppData\Local\Temp\ksohtml\wps_clip_image-12467.png
file:///C:\Users\LISHIC~1\AppData\Local\Temp\ksohtml\wps_clip_image-24474.png
file:///C:\Users\LISHIC~1\AppData\Local\Temp\ksohtml\wps_clip_image-22047.png
.实例解析
    病毒描述:
    一个典型的流氓类病毒,各种损招传播该有的都有了,劫持浏览器并在桌面生成4个无法删除的网页快捷方式,均指向钓鱼网站sfc008.com(用这种方法简直无耻**了)。并在c:\windows\system32下产生两个文件夹,文件夹名不规则,为十个字符的随机生成,内各放一explore.exesmss.exe木马文件。最巧妙的是在你感染该病毒的目录下,他会自动生成一个与子文件夹图标一模一样的exe文件,双击之后不但运行了病毒,而且随后会立刻打开该目录。绝对骗过大多数同学(这里只是简单说一下,网上已经有人专门写文章来剖析该病毒,好像叫做“sfc008木马”,大家可以搜搜看,委实说病毒写的很聪明,当时我中的时候各杀软都没辙,网上也没什么方法。在这里我简单说一下。)
    手工步骤:
    1.用冰刃 ,在进程中killc:\windows\system32\qfdpiaebbu\explore.exe,和c:\windows\system32\todqcgshvk\smss.exe这两个;
    2.打开注册表编辑器,在 HKEY_CLASSES_ROOT 中找到exefile(不是.exe),选中exefile,在右边窗口空白处点右键,选择“新建→字符串值”,设置名称为AlwaysShowExt,然后重启explorer即可。反之,如果设置名称为NeverShowExt,就可以让exe文件扩展名从不显示(该病毒会把文件后缀隐藏);
    3.XueTr结果了病毒在注册表和启动项里留下的东西。
    4.全盘搜索大小为“86557kb”的可执行文件,杀!
  (5.如果插着优盘,千万千万先备份所有数据!他会把所有文件覆写了,数据全毁!下次打开就是满盘的86557kbexe!)
    6.这时候桌面上的东东就能删掉了,清理一下全盘。收工!
    提示:在中毒后,文件夹不能随便点击,以免再次中毒;桌面上的所有IE图标也不要点击。清理完之后才可以打开来看是否恢复。


前几天做了个申请,申请文章是放在World文档里的,过了这么长时间不知道为什么还没有通过,这次放出来了希望H大手下留情给予通过。
我把上次写的文件放到我的百度网盘了
网盘地址:http://pan.baidu.com/s/1qWExzzQ
   

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

Hmily 发表于 2014-6-13 22:24
文章感觉是综合,没有发现自己的原创内容,无法达到申请要求。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-15 15:43

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表