我建议有能力的话,时刻注意系统的变化,奇怪端口、可疑进程等等。现在的病毒都不象以前那样对系统数据破坏很严重,也好发现的多, 所以尽量自己杀毒,杀毒(较简单的病毒、木马)大致要分几步:
1. 检查注册表中run、runserveice等几项,先备份,记下可以启动项的地址,再将可疑的删除。
2. 删除上述可疑键在硬盘中的执行文件。
3. 一般这种文件都在winnt,system,system32这样的文件夹下,他们一般不会单独存在,很可能是有某个母文件复制过来的,检查c、d、e等盘下有没有可疑的.exe,.com或.bat文件,有则删除之。
4. 检查注册表hkey_local_machine和hkey_current_user\software\microsoft\internet explorer\main中的几项(如local page),如果被修改了,改回来就可以。
5. 检查hkey_classes_root\inifile\shell\open\command和hkey_classes_root\txtfile\shell\open\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt,.ini等的默认打开程序让病毒“长生不老,永杀不尽”的。
6. 如果有可能,对病毒的母文件进行反汇编,比如我上次中的那个病毒,通过用ida反汇编,发现它还偷窃系统密码并建立 %systemroot%\system\mapis32a.dll 文件把密码送到一个邮箱中,由于我用的是w2k,所以它当然没有得手。
至此,病毒完全删除!
这个木马“abc.exe”可以在这里下载,里面附带了我用ida对这个木马分析的结果和一份清除此病毒的批处理文件。
作者:阿新
==========
更多的讨论,请点击http://bbs.chinaitlab.com/list.asp?boardid=12
