病毒防治

空手入白刃 自助查杀Vista木马病毒秘籍

日期:2015/6/28来源: IT猫扑网

  现在的病毒、木马层出不穷,相对来说杀毒软件总是慢半拍。与其求助杀毒软件,不如亲自操刀。Windows提供了强大的命令行工具,其实在某些特殊情况下我们完全可以用其手刃病毒。下面以清除winlog0n.exe病毒为例演示vista下命令行杀毒的一般过程。

  一、未雨绸缪,有备无患

  任务:备份系统进程和注册表启动项。

  工具:TaskList.exe、reg.exe

  说明:新型病毒都学会了用进程来隐藏自己,所以我们最好在系统正常的时候,备份一下电脑的进程列表,当然最好在刚进入Windows时不要运行任何程序的情况下备份,样以后感觉电脑异常的时候可以通过比较进程列表,找出可能是病毒的进程。另外病毒和木马通过在注册表启动项中添加相关键值达到随系统启动,我们也要备份启动项,这样在中毒后可以进行比对,找出病毒或者木马。

  操作:

  1.备份系统进程

  在命令提示符下输入:taskList /fo:csv>D:\bf.csv

  提示:上述命令的作用是将当前进程列表以csv格式输出到"bf.csv"文件中,D:为你要保存到的盘,可以用excel打开该文件。

  2.备份注册表启动项

  把如下代码保存为rbf1.bat批处理文件

  @echo off

  reg export HKLM\software\Microsoft\Windows\CurrentVersion\Run d:\hklmrun.reg

  reg export HKLM\software\Microsoft\Windows\CurrentVersion\RunOnce d:\hklmrunonce.reg

  reg export HKCU\software\Microsoft\Windows\CurrentVersion\Run d:\hkcurun.reg

  注:这里只列举几个常见键值的备份,其它键值请参照上述方法制作。

  二、明察秋毫,揪出黑手

  任务:找出可疑的进程

  工具:Fc.exe

  说明:如果感觉电脑异常,或者知道最近有流行病毒,那么就有必要检查一下。

  操作:

  进入命令提示符下,输入下列命令"TaskList /fo:csv>D:\yc.csv"生成一个当前进程的yc.csv文件列表,然后输入"FC /C /N D:\bf.csv D:\yc.csv"回车后就可以看到前后列表文件的不同了,通过比较发现,电脑多了一个名为"winlog0n.exe"(不是 winlogon.exe)的异常进程。

  三、现场取证,揪出确定目标

  任务:查看可疑进程打开的本机网络端口

  工具:Netstat.exe

  说明:大部分病毒(特别是木马)会通过端口进行对外连接来传播病毒,可以通过查看端口占有情况确定病毒或者木马。

  操作:

  在命令提示符下输入"Netstat -a -n -o"回车后就可以看到所有开放端口和外部连接进程,可以看到PID为2016的进程最为可疑,与192.168.1.6直接有网络连接并且连接状态为 "ESTABLISHED",端口号为880。通过任务管理器可以知道这个进程就是"winlog0n.exe",通过查看本机运行网络程序,可以判断这是一个非法连接!

  提示:LISTENINC:表示处于侦听状态,就是说该端口是开放的,等待连接,但还没有被连接,只有TCP协议的服务端口才能处于 LISTENINC状态。ESTABLISHED的意思是建立连接,表示两台机器正在通信。TIME-WAIT意思是结束了这次连接,说明端口曾经有过访问,但访问结束了,用于判断是否有外部电脑连接到本机。

  四:当机立断,杀死进程

  任务:杀死可疑进程

  工具:Netsd.exe

  说明:既然"winlog0n.exe"是个非法进程,我们就得结束这个进程,经测试taskkill无法结束,那么我们就用Netsd.exe这个无敌命令。不过,在Vista中没有集成这个命令,我们可以从XP的系统中复制一个。

  操作:

  在命令提示符下输入下列命令"ntsd -c q -p 2016"回车后可以顺利结束病毒进程。

  提示:"2016"为进程PID值,如果不知道进程的ID,在命令提示符下敲入tasklist命令在PID列中可以看到该进程的ID。与 NTSD相关的还有taskkill命令,不过ntsd更强大,它可以强行终止除system"、"smss.exe"、"csrss.exe"之外的所有进程。

  五、斩草除根

  任务:搜索并清除病毒原文件

  工具:dir、del

  说明:结束了winlog0n.exe进程,如果不清除源文件它还会死灰复燃,在一定的条件下重新运行。因此要找到病毒的老巢,把它清理出硬盘。

  操作:

  在命令行下敲入如下命令:

  CD \

  cd windows

  dir /a /s /OD winlog0n.exe

  attrib System32\winlog0n.exe

  attrib -s -h -r system32\winlog0n.exe

  del system32\winlog0n.exe

  说明:上面的第一、二行命令是进入Windows目录,因为病毒、木马一般都藏身在这个目录下。第三行命令是在C:\Windows目录下查找所有的(包括隐藏的)winlog0n.exe病毒文件,并按照时间顺序排列。第四行是查看该病毒文件的属性。第五行是取消该病毒文件的系统、隐藏、只读属性。第六号是删除病毒文件。

  六、打扫战场

  任务:清理病毒、木马在注册表中留下的键值

  工具:reg.exe

  说明:手动杀毒虽然把病毒文件删除了,但病毒都会在注册表留下垃圾键值,还需要把这些垃圾清除干净。

  操作:

  1.导出注册表启动项目

  把如下代码保存为rbf2.bat批处理文件

  @echo off

  reg export HKLM\software\Microsoft\Windows\CurrentVersion\Run e:\hklmrun.reg

  reg export HKLM\software\Microsoft\Windows\CurrentVersion\RunOnce e:\hklmrunonce.reg

  reg export HKCU\software\Microsoft\Windows\CurrentVersion\Run e:\hkcurun.reg

  运行rbf2.bat导出中毒后的注册表启动项。

  2.注册表启动项比对,输入如下命令:

  copy d:\*.reg d:\ziqidong1.txt

  copy e:\*.reg e:\ziqidong2.txt

  fc d:\ziqidong1.txt e:\ziqidong2.txt >d:\fc.txt & d:\fc.txt

  命令的作用是把两次备份的reg文件输出到"ziqidong1.txt"和"ziqidong2.txt"中,然后利用上面介绍的FC命令比较前后两个txt文件, 即可快速找出新增自启动项目。

  3.用reg delete删除新增自启动键值。

  通过上面的方法在[HKER_CURRENT_USER\SOFTWARE\Microsoft\Windows \CurrentVersion\Run],找到一个"winlog"自启动项,启动程序为"c:\windows\system32 \winlog0n.exe",现在输入下列命令即可删除病毒自启动键值:reg delete HKCU\software\Microsoft\Windows\CurrentVersion\Run /v winlog。

  4.用reg import恢复注册表。

  Reg deete删除是的是整个RUN键值,现在用备份好的reg文件恢复即可,输入下列命令即可迅速还原注册表:reg import f:\hklmrun.reg

  提示:上述操作也可以在注册表编辑器里手动操作,但是REG命令有个好处,那就是即使注册表编辑器被病毒设置为禁用,也可以通过上述命令导出/删除/导入操作,而且速度更快!

  显示到此结束,最后总结一下vista命令行杀毒的一般步骤:用TSKLIST备份好进程列表和注册表的启动项→通过FC比较文件找出病毒→用 NETSTAT判断进程→用Ntsd终止进程→dir搜索找出病毒并删除→用REG命令修复注册表。也许,命令行杀毒大家平时不经常用到,但是掌握一项安全技能却绝不是坏事。

相关文章

相关下载

网友评论

我要评论...
    没有更早的评论了
    取消