项目四手工杀毒技巧总结

,Click to edit the title text format,Click to edit the title text format,Click to edit the outline text format,Second Outline Level,Third Outline Level,Fourth Outline Level,Fifth Outline Level,Sixth Outline Level,Seventh Outline Level,Eighth Outline Level,Ninth Outline Level,*,项目四：手工杀毒技巧总结,任务,1,：杀毒技巧与实战,任务,2,：杀毒经验总结,任务,1,：手工杀毒,案例,1,：手工清除,AV,终结者,案例,2,：手工清除,U,盘巡警,手工清除,AV,终结者,病毒特征：,1.,生成文件,%,programfiles,%Common FilesMicrosoft Shared,MSInfo,随机,8,位字母,+,数字名字,.,dat,%,programfiles,%Common FilesMicrosoft Shared,MSInfo,随机,8,位字母,+,数字名字,.,dll,%,windir,%,随机,8,位字母,+,数字名字,.,hlp,%,windir,%Help,随机,8,位字母,+,数字名字,.,chm,也有可能生成如下文件,%sys32dir%,随机字母,.exe,替换,%sys32dir%verclsid.exe,文件,2.,生成以下注册表项来达到使病毒随系统启动而启动的目的,HKEY_CLASSES_ROOTCLSID,随机,CLSIDInprocServer32,病毒文件全路径,HKEY_LOCAL_MACHINESOFTWAREClassesCLSID,随机,CLSID,病毒文件全路径,HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows,CurrentVersion,Explorer,ShellExecuteHooks,生成的随机,CLSID,HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows,CurrentVersion,Run,随机字符串,病毒文件全路径,HKEY_LOCAL_MACHINESYSTEM,CurrentControlSetServiceswscsvc,Start,dword:00000004,3.,映像劫持,通过在,HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT,CurrentVersion,Image File Execution Options,下添加注册表项来进行文件映像劫持，可阻止大量安全软件及系统管理软件运行，并执行病毒体。,被劫持的软件包括：,360rpt.exe;,360Safe.exe;,360tray.exe;,KAV32.exe;,KAVDX.exe,;,KAVPFW.exe,;,.,4.,修改以下注册表，导致无法显示隐藏文件,HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorer,Advanced Hidden dword:00000002,HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows,CurrentVersion,ExplorerAdvancedFolderHiddenSHOWALL,CheckedValue,dword:00000000,5,、修改以下服务的启动类型来禁止,Windows,的自更新和系统自带的防火墙,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess,Start dword:00000004,HKEY_LOCAL_MACHINESYSTEM,CurrentControlSetServiceswuauserv,Start dword:00000004,6.,删除以下注册表项，使用户无法进入安全模式,HKEY_CURRENT_USERSYSTEMCurrentControlSetControlSafeBootMinimal,HKEY_CURRENT_USERSYSTEMControlSet001ControlSafeBootMinimal,7.,连接网络下载病毒,hxxp:/ 随机字母,+,数字组成的病毒复制体，并修改“,NoDriveTypeAutoRun,”,使病毒可以随可移动存储介质传播。,清除,AV,终结者,下载,IceSword,，并将该其改名，如改成,abc.exe,名称，这样就可以突破病毒进程对该工具的屏蔽。然后双击打开,IceSword,，结束一个,8,位数字的,EXE,文件的进程，有时可能无该进程。,2.,利用,IceSword,的文件管理功能，展开到,C:Program FilesCommon FilesMicrosoft SharedMSINFO,下，删除,2,个,8,位随机数字的文件，其扩展名分别为：,dat,和,dll,。再到,%,windir,%help,目录下，删除同名的,.,hlp,或者同名的,.,chm,文件，该文件为系统帮助文件图标。,3.,然后到各个硬盘根目录下面删除,Autorun.inf,文件和可疑的,8,位数字文件，注意，不要直接双击打开各个硬盘分区，而应该利用,Windows,资源管理器左边的树状目录来浏览。有时电脑中毒后可能无法查看隐藏文件，这时可以利用,WinRar,软件的文件管理功能来浏览文件和进行删除操作。,4.,利用,IceSword,的注册表管理功能，展开注册表项到：,HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT,CurrentVersion,Image File Execution Options,，删除里面的,IFEO,劫持项。,5.,安装或打开杀毒软件，升级杀毒软件到最新的病毒库，对电脑进行全盘杀毒。,U,盘巡警的手工清除,USBPlice,:,自动运行，当,U,盘插入后自动打开，尚未发现对计算机有无危害,清除方式：,1,）结束,USBPlice,进程,2,）删除,C:windows,目录下的,USBPlice.exe,及其它相关文件,3,）打开注册表，搜索所有包含,USBPlice,的键值并删除,4,）重启系统,病毒预防经验,尽量不要让机器裸奔，随时升级杀毒软件的病毒库,在可能的情况下尽可能打开杀毒软件的所有监控功能,尽量少上可能含有恶意代码的网站，降低风险,接收来文件时务必先查毒，不要打开不明来历的任何文件,利用组策略，禁用光盘、,U,盘的自启动功能,打开分区或,U,盘时，尽量多用资源管理器而少用直接双击打开的方式,如果不是必须，禁用掉不必要的服务如,RPC,服务、远程桌面服务等,关闭不必要的端口如：,135,、,139,、,445,等,病毒查杀经验总结,多利用进程管理工具（,IceSword,）查看有无可疑进程,查看注册表启动项有无可疑的启动项,尽量在安全模式下杀毒，杀毒时尽量断开网络,