项目四手工杀毒技巧总结

项目四：手工杀毒技巧总结任务1：杀毒技巧与实战任务2：杀毒经验总结任务1：手工杀毒案例1：手工清除AV终结者案例2：手工清除U盘巡警手工清除AV终结者病毒特征：1.生成文件%programfiles%\CommonFiles\MicrosoftShared\MSInfo\{随机8位字母+数字名字}.dat%programfiles%\CommonFiles\MicrosoftShared\MSInfo\{随机8位字母+数字名字}.dll%windir%\{随机8位字母+数字名字}.hlp%windir%\Help\{随机8位字母+数字名字}.chm也有可能生成如下文件%sys32dir%\{随机字母}.exe替换%sys32dir%\verclsid.exe文件2.生成以下注册表项来达到使病毒随系统启动而启动的目的HKEY_CLASSES_ROOT\CLSID\随机CLSID\\InprocServer32病毒文件全路径HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\随机CLSID病毒文件全路径HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks生成的随机CLSIDHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run随机字符串病毒文件全路径HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvcStartdword:000000043.映像劫持通过在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions下添加注册表项来进行文件映像劫持，可阻止大量安全软件及系统管理软件运行，并执行病毒体。被劫持的软件包括：360rpt.exe;360Safe.exe;360tray.exe;KAV32.exe;KAVDX.exe;KAVPFW.exe;……….4.修改以下注册表，导致无法显示隐藏文件HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AdvancedHiddendword:00000002HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALLCheckedValuedword:000000005、修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccessStartdword:00000004HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauservStartdword:000000046.删除以下注册表项，使用户无法进入安全模式HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HKEY_CURRENT_USER\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\7.连接网络下载病毒hxxp://8.关闭杀毒软件实时监控窗口，如瑞星、卡巴，通过自动点击跳过按钮来逃过查杀9.尝试关闭包含以下关键字窗口AntiAgentSvrCCenterRsaupdSmartUpFileDstyRegClean360tray10.注入Explorer.exe和TIMPlatform.exe反弹连接，以逃过防火墙的内墙的审核。11.隐藏病毒进程，但是可以通过结束桌面进程显示出来。12.在硬盘分区生成文件：autorun.inf和随机字母+数字组成的病毒复制体，并修改“NoDriveTypeAutoRun”使病毒可以随可移动存储介质传播。清除AV终结者1.下载IceSword，并将该其改名，如改成abc.exe名称，这样就可以突破病毒进程对该工具的屏蔽。然后双击打开IceSword，结束一个8位数字的EXE文件的进程，有时可能无该进程。2.利用IceSword的文件管理功能，展开到C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\下，删除2个8位随机数字的文件，其扩展名分别为：dat和dll。再到%windir%\help\目录下，删除同名的.hlp或者同名的.chm文件，该文件为系统帮助文件图标。3.然后到各个硬盘根目录下面删除Autorun.inf文件和可疑的8位数字文件，注意，不要直接双击打开各个硬盘分区，而应该利用Windows资源管理器左边的树状目录来浏览。有时电脑中毒后可能无法查看隐藏文件，这时可以利用WinRar软件的文件管理功能来浏览文件和进行删除操作。4.利用IceSword的注册表管理功能，展开注册表项到：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions]，删除里面的IFEO劫持项。5.安装或打开杀毒软件，升级杀毒软件到最新的病毒库，对电脑进行全盘杀毒。U盘巡警的手工清除USBPlice:自动运行，当U盘插入后自动打开，尚未发现对计算机有无危害清除方式：1）结束USBPlice进程2）删除C:\windows\目录下的USBPlice.exe及其它相关文件3）打开注册表，搜索所有包含USBPlice的键值并删除4）重启系统病毒预防经验尽量不要让机器裸奔，随时升级杀毒软件的病毒库在可能的情况下尽可能打开杀毒软件的所有监控功能尽量少上可能含有恶意代码的网站，降低风险接收来文件时务必先查毒，不要打开不明来历的任何文件利用组策略，禁用光盘、U盘的自启动功能打开分区或U盘时，尽量多用资源管理器而少用直接双击打开的方式如果不是必须，禁用掉不必要的服务如RPC服务、远程桌面服务等关闭不必要的端口如：135、139、445等病毒查杀经验总结多利用进程管理工具（IceSword）查看有无可疑进程查看注册表启动项有无可疑的启动项尽量在安全模式下杀毒，杀毒时尽量断开网络