12   1  /  2  页   跳转

Windows.Sfc.Mgr的查杀方法

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-02 23:52 | 显示全部 短消息 资料
字号: 1楼

Windows.Sfc.Mgr的查杀方法

以下是我根据某网友提交的一个样本写的手工查杀过程。这个木马有变种,生成的文件名不一定与此完全相同。本帖只供有动手能力的网友实战时参考。
—————————————————

1、用IceSword结束病毒进程(进程名可变,不一定都是services.exe。图1)
2、删除病毒文件(图2)。执行完第一步操作,可以自己按图2提示的病毒文件名及其路径找到病毒文件,直接删除。
3、注册表清理:

(1)定位到:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
将:"HideFileExt"=dword:00000001 改为:"HideFileExt"=dword:00000000
(2)定位到:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除:"Net"="C:\\windows\\services.exe"
(3)定位到:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
删除:"Load"="C:\\windows\\assistse.exe"


图1

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-8-2 23:52:42
描述:



最后编辑2005-08-14 12:24:10
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-02 23:53 | 显示全部 短消息 资料
字号: 2楼

图2

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-8-2 23:53:08
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-03 01:13 | 显示全部 短消息 资料
字号: 3楼

引用:
【电子立方的贴子】太感谢了!!

请问图2中用的那个软件,哪里有下?
Tracklog Analyzer...
...........................

那是TPF2005的一个组件。不能单独使用。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-03 14:50 | 显示全部 短消息 资料
字号: 4楼

引用:
【花落花又开的贴子】【回复“baohe”的帖子】
现在木马有新趋势了?

生成的好多BT文件,增加删除难度.
...........................

是的。那天Qoo提到的“日月光华”网页上的那个驱动级木马,隐蔽性更好。如果是不知不觉的被动染毒,你很难找到那两个木马文件,更不用说“手工杀毒”了。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-03 17:19 | 显示全部 短消息 资料
字号: 5楼

引用:
【1aaaddd的贴子】算我求求你了
快点吧
我还有事
...........................

这还不明白?那是我杀毒的一步一步的实际操作记录。那我没办法说明白了。我太菜。抱歉!
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-04 00:04 | 显示全部 短消息 资料
字号: 6楼

引用:
【小≯恶魔的贴子】大虾,问题是我的进程里没有你那些services.exe,我该终止哪些就不知道了呀,里面就一个英文大写的SERVICES。EXE,我该怎么办?
...........................

用IceSword可以分辨出病毒进程——它的图标是“文件夹”图标。就这么简单,就这么显而易见。问题是——就是没多少人仔细看那张图。我白费劲了!今天,问这个问题的人很多。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-04 13:17 | 显示全部 短消息 资料
字号: 7楼

引用:
【子珊的贴子】请问为什么在结束程序的时候就会自动关机呢?
...........................

你把正常的进程services结束了。
注意:虽然病毒进程名也是services,但在IceSword的进程列表中二者的图标明显不同。病毒进程services的图标是“文件夹”。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-04 13:30 | 显示全部 短消息 资料
字号: 8楼

引用:
【风逝428的贴子】IceSword????
什么东东?那里下载?
...........................

这是个免费工具。自己用“百度”等工具在网上搜。不要太懒惰。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-04 14:29 | 显示全部 短消息 资料
字号: 9楼

【回复“子珊”的帖子】
按照步骤,一步一步做。不结束病毒进程,无法删除病毒文件。
如果确实不能在WINDOWS下删,可以考虑重启到安全模式下删。也可用KillBox强行作“替换删除”。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-04 15:40 | 显示全部 短消息 资料
字号: 10楼

引用:
【风逝428的贴子】呵呵呵呵.没用这个工具,重装了一遍系统,然后在驱动都没有装的情况下把所有分区的WEB文件夹全删除了。重启,嘿嘿嘿嘿!现在全没了。搞定。开心ING………………
...........................

有些人就是有格盘、重装系统的癖好,谁也拦不住。既然如此,我觉得这些人中招后,都没必要来论坛求助。格盘就是了。
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT