善用Autoruns------再谈灰鸽子的手工查杀
灰鸽子变种越来越多。原来手工杀毒的老招数已经不太灵了。有些中了鸽子的朋友,其hijackthis日志中根本无异常发现。
今天来谈谈用Autoruns找鸽子。为了说明问题,选一只驱动级的鸽子做例子。
在谈具体方法前,先交待一下使用此法的前提:
1、在系统干净时,保存一个Autoruns的日志(要全部内容"everything"),作为参考基准。
2、系统中安装了新程序后,请及时更新这个作为基准的Autoruns的日志。否则,今后用起来会比较麻烦。
好了,开始说具体的:
1、发现中招后,用Autoruns扫日志(要全部内容"everything")。
2、将新扫的日志与原来保留的那个基准日志比较(图1-图3)
3、根据比较结果发现的绿色高亮显示(Autoruns自动用这种方式显示差别)的注册表内容,找到并删除鸽子的启动/服务项(图4-图6)。
4、删除服务/启动项前,注意记下木马文件的路径,以便删除文件。删除注册表项后,立即重启系统。
5、显示隐藏文件。找到并删除鸽子的文件。
6、还有个.dll文件问题。这个问题Autorans解决不了。要靠经验并使用IceSword才能确定(图7)。
不过,即使漏掉这个.dll也问题不大。删除了.exe和.sys,它就是死东西一个。
图1
