放法壹:懂得看進程就可以看看進程裏有沒有什麽可疑的進程,如果對進程不是那麽的熟悉,可以借用第三方軟件明確知道病毒的名字。
方法二:就是開始——》運行 cmd 到DOS下 輸入 c:\ 然後cd windows\system32 到這個目錄後輸入 dir /ah dir /ah 意思是系統隱藏的文件,在這裏面,是沒有以exe為最後後綴的文件,此時便可分辯病毒的名稱以及中了什麽毒。
到了system32 看了以後 還需要看壹個地方 cd drivers 進去後
也dir /ah 這裏面是沒有的,嗯,是沒有系統隱藏文件的。可確定名字。 還有就是用dir /ah 看看C,D,E盤根目錄 C盤的需要自己判斷,因為學這個都知道壹些東西的嘛。 還有就是D ,E 盤的系統隱藏文件,根據系統不同而不同,壹般只有兩個。
方法三:查看啟動項, 就是 開行——》運行 msconfig 看啟動項目裏面有沒可疑的東西吧。
方法四:註冊表查看啟動項,有些在msconfig 裏面是不足以看到的,所以妳可打開註冊表進行操作!方法如下:開始——》運行 regedit 然後進入此目錄[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]這裏面的啟動默認的是輸入法的 輸入法的是ctfmon.exe 。 還有RUN 下面那個文件是沒有的,這裏也需要看,是不是自己安裝的壹些虛擬機,等等。
還有壹個啟動位置和上面的壹樣 只是前面的不壹樣![HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]在這裏,比如妳的殺毒軟件等壹系列啟動的對象就在裏面,從而分析病毒的名稱,以及是什麽病毒。
法五:像近壹些比較流行的病毒,不壹定主程序就在C盤,D,E也有,此時妳右鍵D,E會看到上面多出個AUTO 或相似英文,這個詞是自動加載,意思就是說每次妳雙擊進入D,E也就是先運行了病毒的主程序在打開的D,E 。此時的病毒是隱藏的系統文件。這種病毒會惡意的修改註冊表,讓妳的查看文件隱藏屬性的那個功能失效。
好了查看的壹些方法,我壹般都用這壹些,現在我給妳說說壹些流行病毒該如何清楚吧。
比如:現在我家電腦中毒了,D,E都有AUTO,而且c:windows/system32 裏在dos下 dir /ah 有以exe結尾的文件 。
而且啟動項目裏也有名字和 c:windows\system32 裏面那個系統隱藏文件壹樣的名字。此時,我們就知道了病毒的名稱,好了,我們需要安裝壹個虛擬軟盤,此時要手工殺毒,小毒就不能在正常系統或是安全模式下進行操作了。此時,需要進入純DOS,如果是98關機時就自帶了純DOS 功能的,但是好象後來的windows產品中就沒有了。 安裝好虛擬軟盤後,重新啟動機器,就會看到選擇 第壹個進入windows 第二個就是虛擬軟盤。進入虛擬軟盤後,就到達純DOS了。 在純DOS 在 進行操作, 進入c:目錄 然後dir /ah 在del 病毒名 之後會看到 找不到此文件, 因為他是隱藏系統文件, 現在需要把它的屬性更改 用到的命令是 attrib -s -h 文件名, 然後在 del 病毒名, 如果還是不行 則用 del /s /f /q
,依次把 c: c:windows/system32 c:windows/system32/drivers d: e: 下的都刪除, 記住,是在純DOS狀態下 才可以刪除。刪除好了 重起機器,!
此時,到機器時會提示找不到 ****.exe 就是病毒的名字,因為機器現在還是要啟動那個病毒的, 但是我們已經刪除了,系統找不到了 需要提示。!
其實我們只完成了壹半,此時 妳開始運行 regedit 有些病毒會屏蔽掉它 , 嗯 就算此時,意思是說regedit 打不開時 沒反應被屏蔽了的吧 。 這時我們又要用到 cmd 開始 運行 dos 此時 我們 c:到根目錄 再cd windows/system32/dllcache 到了以後 我們直接 copy regedit.exe 1.exe 後面的名字隨便取 然後在開始運行 1.exe
此時註冊表被打開 , 然後在壹些地方進行查看修改, 幾個RUN鍵值上面我已經寫了, 這裏不寫了哈。 還有壹些地方 。
1:RUN
2:就是改回查看隱藏文件屬性的功能改在。[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
下有個CheckedValue 是DWORO值的, 病毒常常改成 字符串的 趁紅色 。正常名字是藍色 DWORO值的。 如果病毒沒改類型 則有些直接刪除了 。 如果沒刪除 也是DWORO值的 此時 我們雙擊把鍵值改2就行了。 如果刪除了就直接在右方 新建DWORO值的 打上壹樣的名字就行了。
3:映像劫持:喔 上面我還忘了告訴,此東西修改了,有些殺毒軟件也是無法運行的,呵呵那時就別指望什麽殺毒軟件了。 這個地方在註冊表的
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
這個地方 找到此地方 展開 看下面有許多的項,壹個項壹個項的點,點時需要看右方的顯示, 看到有 debugger 值是 ntsd -d 的就把這項 刪除了。
補充壹點就是,如果不知道RUN下如何修改? 只留 cftmon.exe/其他的都刪除就可以。
呵呵 我只有16歲的 ,我也在到處學習的, 所以呀,技術也不很過關,我知道的就這些, 哈哈 ,但是我不安裝殺毒軟件的, 但是我提醒 妳 不安殺毒軟件 還是需要準備壹個查病毒名字的第三方軟件做為輔助, 還有就是 也必須安裝 網絡防火墻 瀏覽器也得換 ! 呵呵 我的建議 有興趣就加我吧
我很想和妳壹起探討壹些問題!。
呵呵補充:在線殺毒是不能全部將妳的病毒全部殺掉的,因為現在的偽裝程序很強的,比如現在更新了殺毒軟件,可能壹分鐘後別人配置的木馬 做了免殺,通過實驗,他是可以過殺毒軟件的。
妳不認識病毒的,那就得用第三方軟件,因為妳不認識,就是系統自帶的任務管理器 妳不會看,不會看就要把這裏面的內容更形象化的出現在妳的面前,那另外的查看進程的軟件就能形象化的出現在妳的面前 從而知道。
好了 , 妳有什麽疑問或遇到什麽麻煩可以加的QQ:345728294
QQ:639402
再補充: 樓上門說的手殺不可能,知識學得越深,學問越深。
我可以這樣說 手工殺毒比殺毒軟件更來火,因為最新免殺的毒,我們卻知道我可殺,但殺毒軟件 給他掃 都掃不出來。
我想學過掛馬,玩馬的。都知道吧!
樓上們的說KO 就KO 啊? 不需要壹點方法。怎麽KO呀?