电脑菜鸟如何手工检测电脑病毒(2)

2007-08-31 16:16:23 IT168 【大 中 小】 发表评论

    
    1、了解日志
    
    SRE日志分别扫描了注册表启动项、启动文件夹、服务、驱动、浏览器加载项、进程、文件关联、Winsock 提供者、autorun.inf、HOSTS文件、API HOOK。我会重点介绍一些检测时常用的项目
    
    2、看进程
    
    看进程，看什么呢?看的就是，是否有除系统基本进程和软件产生进程外的其他进程，尤其注意进程路径是c:windows和C:windowssystem32下的文件，可能有些新手不知道那些是系统基本进程，那些是软件安装的进程，这就是需要经验积累的地方。
    
    对于系统进程加载的DLL，这个需要具体分析，很多盗号木马运用了这个方式，那就要经过下面三步去完善。
    
    3、看启动项(包括注册表启动项、启动文件夹、服务、驱动)
    
    看了进程以后，对那些是可疑文件有了一定了解后，就可以来看启动项目。SRE这个日志非常适合新手使用，因为它已经在服务和驱动这两个地方把微软签名的启动项隐藏，对于服务，驱动需要经验才能动，下面我一项一项的介绍。
    
    4、对比
    
    对比所有可疑启动项目和所有可疑进程，是否可以一一对应，如果不可以，那么就要看是哪里出现的问题，就对那里进行进一步的研究。看看是否是因为病毒的运行方式或者保护方式问题，或者有其他病毒的存在。当然，原因不只这一些，还是需要大家积累经验。实践是根本。
    
    5、看其余项目
    
    第一个要看的就是autorun.inf这个项目，如果某个盘有此文件，或者每个盘都有，那么就说明你的计算机中了病毒，处理方法很多，这里介绍几种。当然处理的时候，要保证系统中没有病毒运行了。
    
    第一种：利用WinRAR。具体方法：打开所感染的硬盘，删除对应文件。说明不会感染计算机，方便实用。
    
    第二种：利用资源管理器。具体方法：在打开显示隐藏文件和系统文件的前提下，利用资源管理器，在资源管理器左面选择感染的盘符，右面删除对应文件。说明对于某些病毒又感染的危险。
    
    第三种：利用命令提示符。具体方法利用了DOS命令，具体命令如下：
    
    Attrib –s –h –r –a X:autorun.inf
    
    Attrib –s –h –r –a X:对应启动文件(EXE或者PIF)
    
    Del X:autorun.inf
    
    Del X: 对应启动文件(EXE或者PIF)
    
    其中X代表感染的盘符。
    
    说明可以删除彻底，需要懂一些DOS命令和CMD的使用方法。
    
    第四种：利用冰刃。具体方法打开冰刃后，点击下面的文件，后面的处理如同资源管理器。说明删除彻底，建议新手使用。
    
    第二个要看的就是HOSTS文件，这里的看法是按照行，日志前面写的是网址对应的DNS解析的IP地址，如果所有IP地址都是同一个，或者和其他计算机解析的IP地址不同，那么就有问题，最主要的还是同一个或者同为127.0.0.1。处理方法很简单，利用记事本打开Host这个文件，路经在C:WINDOWSsystem32driversetc，这个处理最好是在病毒删除以后。
    

更多"病毒" 的相关消息

相关报道：