病毒查杀

病毒查杀（共6篇）

病毒查杀 篇1

由于很多的杀毒软件安装后极度地影响系统效率或很多的病毒有禁用杀毒软件的能力等诸多因素, 在使用计算机的过程中, 我们可能经常要用手工的方法来查杀病毒, 而手工查杀病毒所必须要关注的一个对象便是进程。那么, 什么是进程呢?

进程是一个具有一定独立功能的程序关于某个数据集合的一次运行活动, 是应用程序的一次动态执行, 是操作系统动态执行的基本单元。也就是说, 任何代码要被CPU执行, 必须以进程或类似于进程的形式存在。由此推出, 任何病毒或木马要对系统产生破坏作用, 一定与进程脱不了关系。所以, 几乎所有的病毒、木马, 手工查杀首先要解决的问题是找到病毒进程, 将其结束, 再去做其它的修复工作--如删除病毒文件, 修复注册表等。但找到病毒进程, 将其结束并不是一件容易的事。几乎每一种病毒进程都会用各种各样的方法来保护或隐藏自己, 免于查杀。

下面, 我们来分析一下病毒有哪些常见的免杀技术及解除免杀的方法。

1、双进程守护法

这种类型的病毒在发作时会同时产生两个进程, 两个进程间是一种相互保护的关系, 即删掉其中一个进程, 另一个进程马上又会去重启这个进程, 两个进程之间颇有点狼狈为奸的意味。用系统自带的进程管理工具--任务管理器, 不能同时删除两个进程, 而专业的进程管理工具, 又被病毒映像劫持了, 无法启动。杀不了病毒进程, 当然就谈上杀掉病毒文件。这类病毒的典型代表是曾经猖狂一时的AV终结者。

对付这类病毒的方法是利用专业的进程管理工具, 当然得修改进程管理工具的名称, 因为原名称已经被映象劫持了。启动进程工具后, 选中两个病毒进程, 同时删除掉, 再去做其它的修复工作。

2、文件关联法

这种类型的病毒有两个病毒文件, 一般情况下病毒主文件运行并产生破坏功能, 而另一个病毒文件与系统的某类型文件 (如TXT或EXE) 的启动程序绑定, 其职责是恢复主病毒程序。一旦主病毒进程、文件被查杀, 而用户去启动了正常的TXT或EXE文件时, 另一病毒文件被触发, 于是, 主病毒文件又恢复了, 这也是为什么有些病毒屡杀不止的原因。这种类型的病毒以一种更隐蔽的方法守护病毒进程, 如果不仔细查看注册表, 根本很难判断病毒与哪种类型的文件绑定, 从而也难以找出守护病毒主文件的文件。

已经清楚了这种病毒的守护方法, 对付策略就很容易找到了。即在清除主病毒进程、文件时, 一定要清除相关的守护程序。从注册表的HKEY＿classes＿root的常用文件类型中去查找文件的关联的更改, 从更改路径中即可找到主病毒的守护程序的路径。

3、类似正常进程名法

这种类型的病毒进程、程序都只有一个, 但病毒进程的名称与一个正常的进程名非常类似, 如explorer、iexplore与iexplorer, 还有svchost与svch0st, 稍微粗心一点, 就难以区分哪些正常进程, 哪是病毒。

对付这种类型病毒的方法当然是在熟悉系统进程的前提下睁大眼睛, 仔细观察。

4、与正常进程同名法

这种类型的病毒进程与系统正常进程有完全一样的名称, 只是程序的执行路径不一样, 系统进程一般位于%systemroot%system32路径下, 而病毒进程位于其它的路径下, 如system等, 这样, 两个名称一样的程序就可以同时执行了, 它只是利用了"任务管理器"无法查看进程对应可执行文件这一缺陷。由于svchost进程的特殊性, 系统启动后, 在进程列表中会有多个svchost进程, 所以它最容易被利用的一个进程。

对付这种类型病毒进程, 首先是要熟悉系统进程及路径, 然后利用专业的进程管理工具, 将进程及进程所对应的可执行文件的路径列举出来, 于是, 病毒进程便一目了然了。

5、病毒进程隐藏法

所谓进程隐藏, 就是在进程列表中根本就找不到病毒进程。实现这种效果的技术基本上有以下两大类。

一是病毒采用了线程插入技术, 将病毒运行所需dll文件插入正常的系统进程中, 在进程列表中看到的确实是系统进程, 表面上看无任何可疑情况, 实质上系统进程已经被病毒控制了;二是病毒采用了Hooking API技术, 即病毒修改了列举进程的API函数函数的入口地址, 使别的程序在调用这些函数的时候, 首先转向病毒程序, 而病毒程序需要做的工作就是在列表中将病毒的进程信息去掉, 从而达到进程的隐藏。以上两种技术实现起来其实非常复杂, 这里就不详细分析了。

对付这种类型的病毒, 需要的专业知识就更多, 不仅要用到专业的进程管理工具, 该工具能显示某一进程所调用的模块, 而且要对系统的dll文件做一个备份, 必要时将备份与系统中的DLL进行对比, 查看是否有可疑的DLL文件。

虽然我们对病毒进程的抗查杀技术进行了分门别类的分析, 但实际应用中, 很多病毒可能同时用到了其中的几种技术, 这就需要我们在了解病毒的抗查杀技术的前提下用细心、耐心将那个顽固的或幕后的黑手揪出来并除掉。

摘要：手工查杀病毒的关键是找到病毒进程, 并结束进程。而几乎所有的病毒都有保护或隐藏措施, 以提高自身的抗查杀能力。本文分析了病毒的一些保护和隐藏措施及相应的对策, 以帮助大家手工查杀病毒。

关键词：进程,病毒,木马,免杀,隐藏

参考文献

[1].http://www.it.com.cn

[2].张涛网络安全管理技术专家门诊北京清华大学出版社2005

[3].罗诗尧黑客攻防实战进阶北京电子工业出版社2008

[4].肖军模等网络信息安全北京机械工业出版社2006

病毒查杀 篇2

其实该方法就是强制指定ARP对应关系。由于绝大部分ARP欺骗病毒都是针对网关MAC地址进行攻击的，使本机上ARP缓存中存储的网关设备的信息出现紊乱，这样当机器要上网发送数据包给网关时就会因为地址错误而失败，造成计算机无法上网。

第一步：我们假设网关地址的MAC信息为00-14-78-a7-77-5c，对应的IP地址为192.168.2.1。指定ARP对应关系就是指这些地址。在感染了病毒的机器上，点击桌面->任务栏的“开始”->“运行”，输入cmd后回车，进入cmd命令行模式;第二步：使用arp -s命令来添加一条ARP地址对应关系， 例如arp -s 192.168.2.1 00-14-78-a7-77-5c命令。这样就将网关地址的IP与正确的MAC地址绑定好了，本机网络连接将恢复正常了;第三步：因为每次重新启动计算机的时候，ARP缓存信息都会被全部清除。所以我们应该把这个ARP静态地址添加指令写到一个批处理文件(例如：bat)中，然后将这个文件放到系统的启动项中。当程序随系统的启动而加载的话，就可以免除因为ARP静态映射信息丢失的困扰了。

2、清空ARP缓存：

大家可能都曾经有过使用ARP的指令法解决过ARP欺骗问题，该方法是针对ARP欺骗原理进行解决的。一般来说ARP欺骗都是通过发送虚假的MAC地址与IP地址的对应ARP数据包来迷惑网络设备，用虚假的或错误的MAC地址与IP地址对应关系取代正确的对应关系。若是一些初级的ARP欺骗，可以通过ARP的指令来清空本机的ARP缓存对应关系，让网络设备从网络中重新获得正确的对应关系，具体解决过程如下：

第一步：通过点击桌面上任务栏的“开始”->“运行”，然后输入cmd后回车，进入cmd(黑色背景)命令行模式;

第二步：在命令行模式下输入arp -a命令来查看当前本机储存在本地系统ARP缓存中IP和MAC对应关系的信息;

第三步：使用arp -d命令，将储存在本机系统中的ARP缓存信息清空，这样错误的ARP缓存信息就被删除了，本机将重新从网络中获得正确的ARP信息，达到局域网机器间互访和正常上网的目的。

如果是遇到使用ARP欺骗工具来进行攻击的情况，使用上述的方法完全可以解决。但如果是感染ARP欺骗病毒，病毒每隔一段时间自动发送ARP欺骗数据包，这时使用清空ARP缓存的方法将无能为力了。下面将接收另外一种，可以解决感染ARP欺骗病毒的方法。

3、添加路由信息应对ARP欺骗：

常见的ARP病毒都是针对网关的，那么我们是否可以通过给本机添加路由来解决此问题呢。只要添加了路由，那么上网时都通过此路由出去即可，自然也不会被ARP欺骗数据包干扰了。第一步：先通过点击桌面上任务栏的“开始”->“运行”，然后输入cmd后回车，进入cmd(黑色背景)命令行模式;第二步：手动添加路由，详细的命令如下：删除默认的路由： route delete 0.0.0.0;添加路由：route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1;确认修改：route change此方法对网关固定的情况比较适合，如果将来更改了网关，那么就需要更改所有的客户端的路由配置了。

新型宏病毒的检测查杀 篇3

第一次打开CleanMacro后，软件会自动检测Office软件的路径，如果用户使用的是绿色版Office，可能需要手动指定路径。在主界面中点击窗口中的“设置”按钮，在弹出的窗口选择“清除病毒前自动备份源文件”和“清除低版本宏病毒时自动设置安全属性”两项（如图1）；接下来切换至“清除选项”中选择“清除所有宏病毒”项；最后在“免疫选项”中选择“兼容免疫模式”（Office 2007以上的版本可以不选此项）。

设置完成以后，点击窗口中的“文件”并选择要进行需宏病毒扫描的Office文件文档（如图2），软件会自动对Office文档中的宏代码进行分析判断，在这一过程中软件会自动检测并删除文档内的恶意代码，并且将原始文件备份到软件目录的BACKUP文件夹中，在扫描完毕后用户就可以安心地查看和编辑了。

提示

所谓宏病毒是一种寄存在文档或模板的宏中的病毒。用户一旦打开被感染的文档，宏病毒就会被激活，并驻留在系统的Normal模板上。以后所有自动保存的文档都会“感染”上这种宏病毒，当任意一个被感染的文档传播到其他电脑时，病毒就会再次散播出去。

病毒查杀 篇4

熊猫烧香(也称武汉男孩)病毒于2006年底出现,12月台湾地震导致海底光缆断裂,一段时间内境外服务器大范围失联,当时主流的杀毒软件(诺顿、卡巴斯基等)无法升级病毒库,助推了病毒的扩散与传播,2007年初在网络上肆虐。

笔者就职的中职学校于2007年1月在机房中发现该病毒。短短2周内,5个机房近200台计算机和超过70%的办公电脑感染了病毒,出现以下问题:

(1)桌面多个图标被篡改为熊猫烧香图案,出现1分钟倒计时重启;

(2)杀毒软件、安全卫士等系统防护程序自动退出;

(3)个别电脑断网能正常登陆,联网便无法登陆反复自动重启;

(4)根目录存在无法删除的可执行文件Gamesetup.exe。

2 实践过程

通过网络学习,笔者逐渐理清熊猫烧香工作原理,尝试多个专杀工具效果不理想后开始手动查杀病毒。

2.1 查杀步骤

熊猫烧香病毒大范围扩散基于以下几个特点:

(1)感染覆盖面广。

病毒除感染可执行文件外,还篡改asp、scr、pif等文件。

(2)系统植入深。

病毒通过自我复制到系统目录(%system%drivers)、注册表创建自启动项、根目录创建副本同时设置AutoRun强势侵入操作系统,并主动以弱密码访问局域网其他计算机以传播自身。

(3)自身保护意识强。

病毒自动终止金山毒霸、QQ管家等杀毒功能软件和任务管理器、注册表编辑器等常用系统管理工具进程,并删除相关启动项,禁用相关服务,甚至破坏GHO文件,以阻止用户使用GHOST还原系统。

针对上述特点,制定出杀毒策略:

(1)终止病毒进程spoclsv.exe (变种中可能是spcolsv.exe,与系统进程spoolsv.exe仅相差一个字母);

(2)清除病毒相关程序及文件;

(3)清理注册表,去除相关痕迹。

而要设计出适用性强又易行的通用杀毒方式,第一步终止病毒进程便成为关键,而如何提高适应性和避免杀毒过程再次染毒也让这一步骤成为难点。

2.2 难点攻克

笔者首先尝试使用命令行来解决此难点,便取得了良好效果。自Windows XP系统开始,微软操作系统自带进程管理命令tasklist和taskkill,分别具有进程查询和结束功能。使用taskkill命令配合/f (强行终止)、/t (连带子进程一并终止)两个参数,便可关闭病毒程序。

进而编写了杀毒批处理文件,命令如下:

@echo off

/*关闭命令显示*/

/*****结束病毒进程*****/

taskkill/f/t/im spcolsv.exe

taskkill/f/t/im spoclsv.exe

/*****删除系统目录中病毒程序*****/

cd c:windowssystem32drivers

attrib-h-s-r/*去除文件隐藏、系统属性以便删除*/

del sp**lsv.exe

/*****删除系统盘病毒程序*****/

cd c:

attrib-h-s-r

del autorun.inf

del setup.exe

del gamesetup.exe

/*****删除D盘病毒程序*****/

d:

attrib-h-s-r

del autorun.inf

del setup.exe

del gamesetup.exe

/*****若还有其他盘,可仿照D盘删除方式添加命令*****/

/*****删除注册表相关项*****/

reg delete HKEY-CURRENT-USERSo ftwareMicrosoftWindowsCurrentVersionRun/v svcshart/f

2.3 杀毒全过程

2.3.1 单机杀毒

(1)下载杀毒软件最新版本安装程序,与批处理文件同存于U盘中,开启U盘写保护;

(2)拔除染毒机器网线、关闭无线网卡,阻断一切网络连接;

(3)运行杀毒批处理文件;

(4)删除杀毒软件重新安装;

(5)使用杀毒软件进行完全查杀,清除病毒余孽;

(6)联网升级病毒库,下载安装受影响软件。

2.3.2 机房杀毒

学校机房装有硬盘保护卡,系统盘感染病毒可能性大为降低,可选取一台受影响相对较小计算机依据单机杀毒过程查杀病毒,而后通过系统同传对操作系统完成清理。使用杀毒软件对系统盘以外分区进行病毒查杀后方可让机器重新投入教学(可通过极域电子教室等机房辅助管理软件以命令行方式启动统一杀毒软件)。

2.3.3 跨系统作业

此杀毒方法仅适用于Win XP之后系统,当时尚有一个机房使用Win 2000系统。依据同样原理,针对该系统研究出特定杀毒办犯:用tlist命令(需单独下载,发送到系统path目录中),查出spoclsv.exe进程号(PID),通过“ntdr-c q-p PID”命令终止进程。因各台机器进程号不同,所以Win 2000系统下只能逐台查杀。

3 经验总结

通过查杀熊猫烧香病毒,对学校计算机管理中的防毒有了些更深体会,此处与大家共享:

(1)使用VLAN管理校园计算机上网,为各机房、教师用机设立不同地址段与上网策略,可有效阻止病毒在校园中的快速传播;

(2)每学期调试软件环境后,及时进行各机房的系统备份。随后在2-4周间隔内,升级一次病毒库;

(3)教师机若不统一安装保护卡,应定期巡查,解决使用小问题的同时,主动维护防毒系统的正常运行。

摘要：感染病毒是计算机管理过程中的棘手问题,尤其是学校计算机使用频率高、U盘等存储介质使用频繁,稍不留意便会造成病毒在全校范围的扩散,以至影响教学、办公的正常进行。如何在感染病毒后及时查杀,笔者在此总结个人查杀熊猫烧香病毒的实践经验,以供计算机管理员参考。

帕虫病毒查杀清除方法 篇5

你最少也要重装系统了.

还要特别注意一些事项.

在安装完后不要打开任何的盘符.

你要到资源管理器中打开,右击我的电脑就行.

然后显示隐藏文件,到各个盘下去,把autorun.inf和扩展名.exe的文件直接删除掉,一般这种文件是隐藏的.

在些过程中,你千万不要双击打开其它盘,也不要又击打开,不那你就会运行那有.exe文件,你的重装就白费了.

各个盘清完后,你再重新启动一下,你就可以正常的打开个各盘,而没危险了.

我说的你一定要注意下,不然就白重装了.

最后你一定要升级你的杀毒软件,然后到升级,进行全面的杀毒.

因为它会给你的电脑上下载好多的病毒的,你一定要再全盘杀一下.

病毒查杀 篇6

随着互联网的不断发展, 计算机网络已经是生活中不可或缺的一部分, 可随之而来的计算机网络安全也成为困扰人们的一大难题, 该选题的意义分为两种: (1) 全局意义。网络病毒是影响计算机通讯与数据通信最大的困难。 (2) 局部意义。单位的非编网络受到严重的影响直至瘫痪。这对网管而言是一个重要的警醒。

Kido是一种蠕虫病毒, 又叫Conficker, 也被称作Downadup。该病毒是安装在Windows操作系统—%systemroot%system32目录下的dll文件, 注册操作系Win32服务, 病毒再采用复杂算法加密后以upx加壳属于网络蠕虫类, 主要利用可移动存储设备、MS08067漏洞传播。

Kido蠕虫病毒, 最早发现于2008年, 其变种能力强, 以每年平均100多个新变种的速度递增, 已经成为计算机和网络的头号杀手。

2 Kido技术的基本类型.

2.1 Kido危害性

Kido所具备的几点常见危害特征: (1) 造成被感染计算机动行缓慢, 性能下降:造成局域网络缓慢, 甚至瘫痪; (2) 传播迅速, 变种能力强, 平均每4天出现一个新变种;通过已感染Kido的服务器传播变种和其他恶意程序; (3) Windows自动更新服务被关闭;阻止防病毒产品更新。

2.2 Kido产生过程与现象

从南京市雨花台区人民广播电台受到该病毒攻击进行现象分析:据网络大多数Kido攻击现象如出一辙。首先简单介绍该广播电台网络拓扑, 如图1所示。

原本只有一台双网卡主机是连外网的, 连外网的目的仅仅是用来升级杀毒软件, 但用的杀毒软件都不是正版的, 为了更新需要还是必须要升级的。这次病毒是通过U盘进入的, U盘通过双网卡那台主机, 因为没能及时清除病毒, 感染了内网所有工作站。

内网感染病毒之后, 首先会出现如图1所示的情况, 也就是说服务器上的server服务被关闭了, 接着盘塔中的数据读不出来, 非编软件打不开僵死在那边, 即使有的双击能运行, 打开的也是本地的库与2003server数据库失去中断出现的错误提示, 非编软件僵死在那里。

出现这种情况, 工作人员立刻向服务器发出ping包用ping 189.8.8.100命令进行检测, 发现正常如图2所示。

此刻管理员立刻对服务器进行检查, 发现2003server的server服务果真被关掉了。发现这个情况后, 立刻打开server服务, 打开之后, 工作站运行又正常了。但是不到5分钟时间, 网络又瘫痪了, 非编软件又打不开, 和上面一样即使打开了也是本地的库。此时网络管理者又对2003server进行检查, 发现server还是被关掉了。意识到网络病毒正在影响网络的数据传输。此时播出机房也瘫痪了, 主播机189.8.8.21、备播机189.8.8.22、编单机189.8.8.23、入库机都不能与盘塔189.8.8.56进行数据共享了。对于目前情况, 只能采取杀毒措施。可是dell工作站和server上都没有杀毒软件, 自从系统装好之后系统漏洞的补丁一直没有打上。于是寄希望于360安全卫士, 虽然查杀出了很多木马病毒。但是, 查杀结果不是很令人满意。情况依旧存在, 这时立刻断网查杀, 对每台单机安装最新版卡巴斯基, 进行全盘查杀。此时杀毒结果出来了, 一种变种Kido病毒被查出, 如图3所示。

而此时Sobey公司病毒工程师也作出了确认, 这就是Kido病毒, 此种病毒在江宁电视台也发生过, 造成江宁电视台大面积计算机瘫痪的现象与此一模一样。得到确认之后, 立刻上网进行搜索, 发现此病毒是利用微软的MS08-067漏洞对计算机进行感染。分别对dell工作站xp和2003server进行补丁更新。

为了彻底解决此病毒, 首先对各个客户机进行断网查杀, 首先用的是360safe, 其次用的是卡巴2009, 发现只能检查到却杀不掉, 于是使用卡巴2010, 发现可以杀掉但无法完全清除病毒。卡巴很占用内存这一点众所周知, 所以进行一次全盘杀毒速度很慢, 何况还要不断反复查杀。于是管理员接着使用Kido专杀kk.exe, 用它对每台机器进行轮番查杀, 果真查出每台机器上都有此类病毒。经过二次查杀后, 服务器显示界面如图4所示。

杀完之后, 服务器管理员立刻对所有工作站进行补丁的更新与维护, 此时非编网络终于正常了。

3 结语

在此操作中, 管理员结合本地情况, 利用现有设备, 将所学知识与实际相结合, 积累经验, 利用各种处理网络问题的方法解决了一项重要问题。总之, 做好故障处理十分重要。

摘要：通过对Kido技术的理解分析, 为了应对网络病毒的入侵, 保证区 (县) 电视台播出节目安全的重要性, 文章分析了其原因, 利用所掌握的知识设计了相应的安全对策。

关键词：病毒,木马,安全,Kido

参考文献

[1]刘金国, 单鹏.网盾病毒隔离系统在广播电视台网络中的应用[J].现代电视技术, 2015 (2) :120-123.

[2]杨军.计算机蠕虫病毒的解析与防范[J].教育教学论坛, 2005 (10) :32-34.