S
smallpig8191981
Unregistered / Unconfirmed
GUEST, unregistred user!
楼主。。。 我来关心你份工作的吉凶。。。。
D
decade
Unregistered / Unconfirmed
GUEST, unregistred user!
发现木马:Smss.exe 内部名称:LkcSu89w9Css.exe 另外右键点击[我的电脑] 点击[属性]出现"找不到程序rundll32.exe" 不知道是否跟相关随机启动给清掉的原因造成的,请大伙想想办法,上述木马,无法用killbox清除.害死人了.
0
001zqk
Unregistered / Unconfirmed
GUEST, unregistred user!
現在那麼多殺毒軟件,用不著手工清除病毒了吧,如果殺不了找殺毒軟件公司幫忙就行了
D
decade
Unregistered / Unconfirmed
GUEST, unregistred user!
ie无法直接打开,双击ie图标,会打开文件夹,不会执行iexplore.exe
,可能是注册表信息给修改,今天已经帮它清除了Smss.exe 木马,注册表很多东西给修改了.现在这个问题,不知道如何改回来了
,可能是注册表信息给修改,今天已经帮它清除了Smss.exe 木马,注册表很多东西给修改了.现在这个问题,不知道如何改回来了
风
风卷残月
Unregistered / Unconfirmed
GUEST, unregistred user!
哈哈,一天時間完全可以重裝系統了, 裝好以後克隆備份一下,以後都不用怕病毒,[
]偶目前的機子就這樣,准備備份重要數據
]偶目前的機子就這樣,准備備份重要數據
D
decade
Unregistered / Unconfirmed
GUEST, unregistred user!
如果机器任你如何处理当然可以选择重装了,但是,总经理不允许重装,再加上邮件备份,帐户设置等问题,又给重装带了很多问题,(先前这些不是我处理的),所以必须是选择杀毒.
J
Johnny_du
Unregistered / Unconfirmed
GUEST, unregistred user!
不知楼主是否搞定了?不过昨天听新闻说本周是有一种病毒要发作,是通过E-mail传播的,症状为共享操作系统盘。
D
delphiskey
Unregistered / Unconfirmed
GUEST, unregistred user!
在DOS下把这个IEXP。EXE文件考出来,放一个新的进来,一定要在DOS下完成。一切OK
不OK ,打我。。。。
不OK ,打我。。。。
D
decade
Unregistered / Unconfirmed
GUEST, unregistred user!
病毒基本上已经清除是Smss.exe 木马病毒,但是注册表被多处修改.楼上的老兄,你的方法是否可靠,可行?因为这是总经理的电脑,弄坏就是掉饭碗的,他的系统是winXp繁体版本.
P
photodelphi
Unregistered / Unconfirmed
GUEST, unregistred user!
真可怜,哎!同情加顶
D
delphiskey
Unregistered / Unconfirmed
GUEST, unregistred user!
这个我在XP上亲自操作过没有任何问题
D
decade
Unregistered / Unconfirmed
GUEST, unregistred user!
现在的问题是:双击ie图标,会出现打开方式选项,不会执行iexplore.exe,
另外,你说的IEXP.EXE 文件在哪里可以拿到?
另外,你说的IEXP.EXE 文件在哪里可以拿到?
清
清新空气
Unregistered / Unconfirmed
GUEST, unregistred user!
你加我的QQ,发远程控制请求,我帮你搞定!
D
decade
Unregistered / Unconfirmed
GUEST, unregistred user!
楼上的请把你解决步骤说一下吧,这是总经理机器,我不方便这样做.
D
delphiskey
Unregistered / Unconfirmed
GUEST, unregistred user!
你在DOS的方式下进去,把这IEXP.EXE 备份出来,如果不行在COPY过去;
正常方法;
在DOS下把这个文件放到另一个目录,然后把新的IEXP。EXE考进去放到你先的目录
这个IEXEP。在你相应的系统中找一个出来放进去就OK 我是操作过这个东东的
正常方法;
在DOS下把这个文件放到另一个目录,然后把新的IEXP。EXE考进去放到你先的目录
这个IEXEP。在你相应的系统中找一个出来放进去就OK 我是操作过这个东东的
D
delphiskey
Unregistered / Unconfirmed
GUEST, unregistred user!
371265682QQ
D
delphiskey
Unregistered / Unconfirmed
GUEST, unregistred user!
这个有没解决
风
风铃夜思雨
Unregistered / Unconfirmed
GUEST, unregistred user!
重装IE
在windows XP中,默认状态是无法重装IE的,如果因为文件出错故障等原因必须重装,可以使用如下方法。插入windows XP安装光盘,在“开始-运行”窗口输入“rundll32.exe setupapi,lnstallHinfSection Defaultlnstall 132 c:/windows/inf/ie.inf"回车后即可重装IE(假设windows安装在c:/windows中)
二、1.控制面板 添加删除 里卸了 IE
2.控制面板 添加删除 添加WINDOWS组件 里找到 IE然后卸掉
3.C:/Program Files\目录下找到Internet Explorer 删除Internet Explorer
4.注册表删除
①对IE 5.0的重装可按以下步骤进行:
第一步:打开“注册表编辑器”,找到[HKEY_LOCAL_ MACHINE\Software\Microsoft\Internet Explorer],单击其下的Version Vector键。
第二步:在右侧窗格中双击IE子键,将原来的“5.0002”改为“4.0”,单击“确定”后退出“注册表编辑器”。
第三步:重启后,就可以重装IE 6。0了。
②IE 6.0的重装有两种方法:
方法1:打开“注册表编辑器”,找到[HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\Active Setup\
Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383}],将IsInstalled的DWORD值改为0就可以了。
但是你得先下载IE6.0SP1后,然后再卸载
在windows XP中,默认状态是无法重装IE的,如果因为文件出错故障等原因必须重装,可以使用如下方法。插入windows XP安装光盘,在“开始-运行”窗口输入“rundll32.exe setupapi,lnstallHinfSection Defaultlnstall 132 c:/windows/inf/ie.inf"回车后即可重装IE(假设windows安装在c:/windows中)
二、1.控制面板 添加删除 里卸了 IE
2.控制面板 添加删除 添加WINDOWS组件 里找到 IE然后卸掉
3.C:/Program Files\目录下找到Internet Explorer 删除Internet Explorer
4.注册表删除
①对IE 5.0的重装可按以下步骤进行:
第一步:打开“注册表编辑器”,找到[HKEY_LOCAL_ MACHINE\Software\Microsoft\Internet Explorer],单击其下的Version Vector键。
第二步:在右侧窗格中双击IE子键,将原来的“5.0002”改为“4.0”,单击“确定”后退出“注册表编辑器”。
第三步:重启后,就可以重装IE 6。0了。
②IE 6.0的重装有两种方法:
方法1:打开“注册表编辑器”,找到[HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\Active Setup\
Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383}],将IsInstalled的DWORD值改为0就可以了。
但是你得先下载IE6.0SP1后,然后再卸载
X
xeen
Unregistered / Unconfirmed
GUEST, unregistred user!
http://bbs.cnns.net/redirect.php?tid=4461&goto=lastpost
说明:以下是病毒的描述及清除方法
病毒文件名为SMSS.EXE,对lsass.exe及winlogon.exe操作方法相同
主程序:%Windows%/SMSS.EXE
图标:征途旗帜图标
生成文件:
%Windows%/1.com
%Windows%/ExERoute.exe(EXE关联)
%Windows%/explorer.com
%Windows%/finder.com
%Windows%/SMSS.EXE
%Windows%/BOOT.BIN.BAK
%Windows%/Debug/DebugProgram.exe
%Windows%/Debug/PASSWD.LOG
%System%/command.pif
%System%/dxdiag.com
%System%/finder.com
%System%/MSCONFIG.COM
%System%/regedit.com
%System%/rundll32.com
%ProgramFiles%/Internet Explorer/iexplore.com
%ProgramFiles%/Common Files/iexplore.pif
D:/autorun.inf
D:/pagefile.pif
创建的启动项:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"TProgram"="%Windows%/SMSS.EXE"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Runservices]
"TProgram"="%Windows%/SMSS.EXE"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Shell"="Explorer.exe 1"
修改了EXE关联到:
[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/winfiles]
干掉对手:
TROJDIE*
RAVMON.EXE
KPOP*
*ASSISTSE*
KPFW*
AGENTSVR*
KREG*
IEFIND*
IPARMOR*
SVI.EXE
UPHC*
RULEWIZE*
FYGT*
RFWSRV*
RFWMA*
清除方法之一……
1. 运行Procexp.exe和SREng.exe
(http://www.sysinternals.com/Utilities/ProcessExplorer.html)
2. 用ProceXP结束%Windows%/SMSS.EXE进程,注意路径和图标
3. 用SREng恢复EXE文件关联
1,2,3步要注意顺序,不要颠倒。
4. 可以删除文件和启动项了……
删除的启动项:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"TProgram"="%Windows%/SMSS.EXE"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Runservices]
"TProgram"="%Windows%/SMSS.EXE"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Shell"="Explorer.exe 1"
修改为:
"Shell"="Explorer.exe"
删除的文件就是一开始说的那些,别删错就行。
5. 最后打开注册表编辑器,恢复被修改的信息:
[red]查找“explorer.com”,把找到的“explorer.com”修改为“explorer.exe”;
查找“finder.com”、“command.pif”、“rundll32.com”,把找到的“finder.com”、
“command.pif”、“rundll32.com”修改为“rundll32.exe”;
查找“iexplore.com”,把找到的“iexplore.com”修改为“iexplore.exe”;
查找“iexplore.pif”,把找到的“iexplore.pif”,连同路径一起修改为正常的IE路径和
文件名,比如“C:/Program Files/Internet Explorer/iexplore.exe”。[/red]
这些主要是在以下几个位置:
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/.bfc
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/.lnk/
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/Applications/iexplore.exe
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/cplfile
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/Drive
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/dunfile
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/ftp
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/htmlfile
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/htmlfile
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/htmlfile
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/HTTP
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/inffile
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/InternetShortcut
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/scrfile
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/scriptletfile
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/telnet
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/Unknown
HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet
说明:以下是病毒的描述及清除方法
病毒文件名为SMSS.EXE,对lsass.exe及winlogon.exe操作方法相同
主程序:%Windows%/SMSS.EXE
图标:征途旗帜图标
生成文件:
%Windows%/1.com
%Windows%/ExERoute.exe(EXE关联)
%Windows%/explorer.com
%Windows%/finder.com
%Windows%/SMSS.EXE
%Windows%/BOOT.BIN.BAK
%Windows%/Debug/DebugProgram.exe
%Windows%/Debug/PASSWD.LOG
%System%/command.pif
%System%/dxdiag.com
%System%/finder.com
%System%/MSCONFIG.COM
%System%/regedit.com
%System%/rundll32.com
%ProgramFiles%/Internet Explorer/iexplore.com
%ProgramFiles%/Common Files/iexplore.pif
D:/autorun.inf
D:/pagefile.pif
创建的启动项:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"TProgram"="%Windows%/SMSS.EXE"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Runservices]
"TProgram"="%Windows%/SMSS.EXE"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Shell"="Explorer.exe 1"
修改了EXE关联到:
[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/winfiles]
干掉对手:
TROJDIE*
RAVMON.EXE
KPOP*
*ASSISTSE*
KPFW*
AGENTSVR*
KREG*
IEFIND*
IPARMOR*
SVI.EXE
UPHC*
RULEWIZE*
FYGT*
RFWSRV*
RFWMA*
清除方法之一……
1. 运行Procexp.exe和SREng.exe
(http://www.sysinternals.com/Utilities/ProcessExplorer.html)
2. 用ProceXP结束%Windows%/SMSS.EXE进程,注意路径和图标
3. 用SREng恢复EXE文件关联
1,2,3步要注意顺序,不要颠倒。
4. 可以删除文件和启动项了……
删除的启动项:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"TProgram"="%Windows%/SMSS.EXE"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Runservices]
"TProgram"="%Windows%/SMSS.EXE"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Shell"="Explorer.exe 1"
修改为:
"Shell"="Explorer.exe"
删除的文件就是一开始说的那些,别删错就行。
5. 最后打开注册表编辑器,恢复被修改的信息:
[red]查找“explorer.com”,把找到的“explorer.com”修改为“explorer.exe”;
查找“finder.com”、“command.pif”、“rundll32.com”,把找到的“finder.com”、
“command.pif”、“rundll32.com”修改为“rundll32.exe”;
查找“iexplore.com”,把找到的“iexplore.com”修改为“iexplore.exe”;
查找“iexplore.pif”,把找到的“iexplore.pif”,连同路径一起修改为正常的IE路径和
文件名,比如“C:/Program Files/Internet Explorer/iexplore.exe”。[/red]
这些主要是在以下几个位置:
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/.bfc
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/.lnk/
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/Applications/iexplore.exe
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/cplfile
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/Drive
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/dunfile
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/ftp
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/htmlfile
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/htmlfile
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/htmlfile
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/HTTP
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/inffile
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/InternetShortcut
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/scrfile
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/scriptletfile
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/telnet
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/Unknown
HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet
X
xeen
Unregistered / Unconfirmed
GUEST, unregistred user!
标 题: 常用工具 SREng Hijackthis 等
1、SREng (病毒问题用这个发log)
2、Hijackthis (IE浏览器问题用这个发log)
3、KillBox
4、IceSword
5、Winsock XP Fix 和 LSPFix
6、RootkitRevealer
7、FileMon和RegMon
1、SREng
版本:v2.0.21.505(2.0 RC2) 06/10/2006
简介:作者Smallfrogs,System Repair Engineer(SREng) 是一款全新的、强有力的、可扩充的用于调整和修复你系统的免费工具,在这个工具的帮助下,你可以察觉你的系统故障并能够很容易的修复他们。
使用方法:
[如何发log]
附件 下载 解压后 运行 SREng,选择 "智能扫描","扫描","保存报告",然后把扫描后的SREng.log这个文件以附件发上来或者把其中的内容 复制 粘贴上来。
注意:扫描log前关闭打开的应用程序,包括qq等,方便看log
[如何修复]
简单概括:结束进程、修复、手动删除文件,具体如下,把(1)~(5)看懂再操作,
如果正常模式操作不成功进安全模式下操作
按下列方法操作,修复后手动删除文件(不能删除的可以使用删除工具killbox)。
(1)注册表
先在任务管理器里结束要修复的对应“注册表”项的进程(注意有的"注册表"项没有运行的进程,有的进程有同名的系统文件,如svchost.exe、lsass.exe等,结束这样的进程可以用icesword等软件,可以看到路径)。
在SREng中 "启动项目" "注册表" 鼠标左键在对应要修复的项上单击 然后点击"删除"
注意如果以下3项需要修复 恢复如下的默认值
(在SREng中 "启动项目" "注册表" 鼠标左键在对应要修复的项上单击 然后点击"编辑" 修改对应"值" 如下即可)
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
<shell><Explorer.exe>
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
<Userinit><C:/WINDOWS/system32/Userinit.exe,>
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows]
<AppInit_DLLs><>
(2)启动文件夹
在SREng中 "启动项目" "注册表" 鼠标左键在对应要修复的项上单击 然后点击"删除"
(3)服务
在SREng中 "启动项目" "服务" "win32 服务应用程序" 先勾选右下角的 "隐藏微软服务" 鼠标左键在对应要修复的项上单击 然后选择右下角的"删除服务" 点击"设置" 在弹出的窗口中点"否"
(4)浏览器加载项
在SREng中 "系统修复" "浏览器加载项" 鼠标左键在对应要修复的项上单击 然后点击"删除所选内容"
(5)文件关联
在SREng中 "系统修复" "文件关联" 鼠标左键在对应要修复的项前勾选 然后点击"修复"
下载:附件
2、Hijackthis
版本
v1.99.1 02/16/2005)
简介:作者Merijn,是一个非常有用的检测扫描工具,主要用于扫描显示系统当前进程、启动项信息、BHO(Browser Helper Object)、ToolBar(浏览器工具栏)、DPF(Downloaded Program Files)等信息,并且具有修复功能,对于发现病毒等有害程序有很大帮助,尤其是在发现/修复浏览器劫持方面有很大作用。
使用方法:
[如何发log]
附件 下载 解压后 运行 hijackthis,选择 "扫描系统并保存日志",然后把扫描后的hijackthis.log这个文件以附件发上来或者把其中的内容 复制 粘贴上来。
注意:扫描log前关闭打开的应用程序,包括qq等,方便看log
[如何修复]
简单概括:结束进程、修复、手动删除文件,具体如下,把(1)~(5)看懂再操作,
如果正常模式操作不成功进安全模式下操作
(1)在HijackThis扫描的结果中,选中需要修复的项目,按下修复(Fix checked)按钮进行修复。修复前请关闭所有浏览器窗口和文件夹窗口。
(2)修复后手动删除对应文件(不能删除的可以使用删除工具killbox,注意hijackthis修复的只是注册表信息)。
(3)对于04项,修复前先在任务管理器里结束对应进程(注意有的04项没有运行的进程,有的进程有同名的系统文件,如svchost.exe、lsass.exe等,结束这样的进程可以用icesword等软件,可以看到路径)。
(4)对于023项,如果修复不掉,特别是显示(file missing)项,可以用SREng操作 对应的 服务项,方法看SREng。
(5)对于以下类似位置的项,注意
F2 - REG:system.ini: UserInit=C:/WINDOWS/system32/userinit.exe,C:/WINDOWS/ .exe
(此项删除文件 C:/WINDOWS/ .exe)
F2 - REG:system.ini: Shell=Explorer.exe C:/WINNT/System32/kernels32.exe
(此项删除文件 C:/WINNT/System32/kernels32.exe)
O4 - 启动项HKLM//Run: [Desktop] C:/WINDOWS/system32/rundll32.exe "C:/Program
Files/DeskAdTop/Run.dll" ,Rundll
(此项删除文件 C:/Program Files/DeskAdTop/Run.dll)
下载:附件
3、KillBox
版本:2.0.0.532(2.0.0.881英文版,附件内为汉化版)
简介:作者Option Explicit,删除文件和文件夹的工具软件
使用方法:
(1)标准方式删除模式:选择此项后,可以辅助选择 "删除前先结束"Explorer.exe进程"和"删除dll前先反注销此文件
(2)重启后删除文件:选择此项后,浏览选上要删除的文件,然后点红色的X操作即可(对于同时删除多个文件,点红色X后在弹出的选择框中选择否,然后重复加入其他文件,最后一个文件加入后,在弹出框中选择是)
(3)重启后替换文件:选择此项后,浏览选上要删除的文件,然后勾选"替换文件",killbox自动提供替换文件,然后点红色的X操作即可
下载:附件
4、IceSword
版本v1.18 05/08/2006)
简介:作者pjf,IceSword是一斩断黑手的利刃(所以取这土名,有点搞e,呵呵)。它适用于Windows 2000/XP/2003操作系统,用于查探系统中的幕后黑手(木马后门)并作出处理,当然使用它需要用户有一些操作系统的知识。
IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件,比如一些进程工具、端口工具,但是现在的系统级后门功能越来越强,一般都可轻而易举地隐藏进程、端口、注册表、文件信息,一般的工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内核技术,使得这些后门躲无所躲。
使用方法:
参考其帮助文件
下载:附件
5、Winsock XP Fix 和 LSPFix
版本v1.2 12/07/2003) (v1.1 07/04/2006)
简介:Winsock 修复工具
使用方法:
(1)Winsock XP Fix
运行 点击 修复 后,重起电脑
(2)LSPFix(辅助修复HijackThis扫描发现的O10项)
使用时,请关闭所有IE界面和文件夹界面后运行LSPFix,运行后,把要修复的那项从左边转到右边,点“Finish”即可。(不过这之前,需要在“I know what I`m doing”前面打勾。)
下载:附件
6、RootkitRevealer
版本v1.7 02/02/2006)
简介:Sysinternals的Rootkit检测工具,能检测出www.rootkit.com公布的所有Rootkit,包括AFX, Vanquish and HackerDefender (注意:RootkitRevealer不能够检测那些没有隐藏文件和注册表的Rootkit,比如FU_Rootkit)。
下载:附件
7、FileMon和RegMon
版本v7.02 08/28/2005) (v7.02 08/28/2005)
简介:Sysinternals的文件和注册表监控工具
在病毒文件、注册表项删除但立刻重复出现的情况下,使用这两个工具,监视病毒文件和注册表项由哪些进程或线程再次生成。有助发现问题。
下载:附件
1、SREng (病毒问题用这个发log)
2、Hijackthis (IE浏览器问题用这个发log)
3、KillBox
4、IceSword
5、Winsock XP Fix 和 LSPFix
6、RootkitRevealer
7、FileMon和RegMon
1、SREng
版本:v2.0.21.505(2.0 RC2) 06/10/2006
简介:作者Smallfrogs,System Repair Engineer(SREng) 是一款全新的、强有力的、可扩充的用于调整和修复你系统的免费工具,在这个工具的帮助下,你可以察觉你的系统故障并能够很容易的修复他们。
使用方法:
[如何发log]
附件 下载 解压后 运行 SREng,选择 "智能扫描","扫描","保存报告",然后把扫描后的SREng.log这个文件以附件发上来或者把其中的内容 复制 粘贴上来。
注意:扫描log前关闭打开的应用程序,包括qq等,方便看log
[如何修复]
简单概括:结束进程、修复、手动删除文件,具体如下,把(1)~(5)看懂再操作,
如果正常模式操作不成功进安全模式下操作
按下列方法操作,修复后手动删除文件(不能删除的可以使用删除工具killbox)。
(1)注册表
先在任务管理器里结束要修复的对应“注册表”项的进程(注意有的"注册表"项没有运行的进程,有的进程有同名的系统文件,如svchost.exe、lsass.exe等,结束这样的进程可以用icesword等软件,可以看到路径)。
在SREng中 "启动项目" "注册表" 鼠标左键在对应要修复的项上单击 然后点击"删除"
注意如果以下3项需要修复 恢复如下的默认值
(在SREng中 "启动项目" "注册表" 鼠标左键在对应要修复的项上单击 然后点击"编辑" 修改对应"值" 如下即可)
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
<shell><Explorer.exe>
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
<Userinit><C:/WINDOWS/system32/Userinit.exe,>
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows]
<AppInit_DLLs><>
(2)启动文件夹
在SREng中 "启动项目" "注册表" 鼠标左键在对应要修复的项上单击 然后点击"删除"
(3)服务
在SREng中 "启动项目" "服务" "win32 服务应用程序" 先勾选右下角的 "隐藏微软服务" 鼠标左键在对应要修复的项上单击 然后选择右下角的"删除服务" 点击"设置" 在弹出的窗口中点"否"
(4)浏览器加载项
在SREng中 "系统修复" "浏览器加载项" 鼠标左键在对应要修复的项上单击 然后点击"删除所选内容"
(5)文件关联
在SREng中 "系统修复" "文件关联" 鼠标左键在对应要修复的项前勾选 然后点击"修复"
下载:附件
2、Hijackthis
版本
v1.99.1 02/16/2005)简介:作者Merijn,是一个非常有用的检测扫描工具,主要用于扫描显示系统当前进程、启动项信息、BHO(Browser Helper Object)、ToolBar(浏览器工具栏)、DPF(Downloaded Program Files)等信息,并且具有修复功能,对于发现病毒等有害程序有很大帮助,尤其是在发现/修复浏览器劫持方面有很大作用。
使用方法:
[如何发log]
附件 下载 解压后 运行 hijackthis,选择 "扫描系统并保存日志",然后把扫描后的hijackthis.log这个文件以附件发上来或者把其中的内容 复制 粘贴上来。
注意:扫描log前关闭打开的应用程序,包括qq等,方便看log
[如何修复]
简单概括:结束进程、修复、手动删除文件,具体如下,把(1)~(5)看懂再操作,
如果正常模式操作不成功进安全模式下操作
(1)在HijackThis扫描的结果中,选中需要修复的项目,按下修复(Fix checked)按钮进行修复。修复前请关闭所有浏览器窗口和文件夹窗口。
(2)修复后手动删除对应文件(不能删除的可以使用删除工具killbox,注意hijackthis修复的只是注册表信息)。
(3)对于04项,修复前先在任务管理器里结束对应进程(注意有的04项没有运行的进程,有的进程有同名的系统文件,如svchost.exe、lsass.exe等,结束这样的进程可以用icesword等软件,可以看到路径)。
(4)对于023项,如果修复不掉,特别是显示(file missing)项,可以用SREng操作 对应的 服务项,方法看SREng。
(5)对于以下类似位置的项,注意
F2 - REG:system.ini: UserInit=C:/WINDOWS/system32/userinit.exe,C:/WINDOWS/ .exe
(此项删除文件 C:/WINDOWS/ .exe)
F2 - REG:system.ini: Shell=Explorer.exe C:/WINNT/System32/kernels32.exe
(此项删除文件 C:/WINNT/System32/kernels32.exe)
O4 - 启动项HKLM//Run: [Desktop] C:/WINDOWS/system32/rundll32.exe "C:/Program
Files/DeskAdTop/Run.dll" ,Rundll
(此项删除文件 C:/Program Files/DeskAdTop/Run.dll)
下载:附件
3、KillBox
版本:2.0.0.532(2.0.0.881英文版,附件内为汉化版)
简介:作者Option Explicit,删除文件和文件夹的工具软件
使用方法:
(1)标准方式删除模式:选择此项后,可以辅助选择 "删除前先结束"Explorer.exe进程"和"删除dll前先反注销此文件
(2)重启后删除文件:选择此项后,浏览选上要删除的文件,然后点红色的X操作即可(对于同时删除多个文件,点红色X后在弹出的选择框中选择否,然后重复加入其他文件,最后一个文件加入后,在弹出框中选择是)
(3)重启后替换文件:选择此项后,浏览选上要删除的文件,然后勾选"替换文件",killbox自动提供替换文件,然后点红色的X操作即可
下载:附件
4、IceSword
版本
v1.18 05/08/2006)简介:作者pjf,IceSword是一斩断黑手的利刃(所以取这土名,有点搞e,呵呵)。它适用于Windows 2000/XP/2003操作系统,用于查探系统中的幕后黑手(木马后门)并作出处理,当然使用它需要用户有一些操作系统的知识。
IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件,比如一些进程工具、端口工具,但是现在的系统级后门功能越来越强,一般都可轻而易举地隐藏进程、端口、注册表、文件信息,一般的工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内核技术,使得这些后门躲无所躲。
使用方法:
参考其帮助文件
下载:附件
5、Winsock XP Fix 和 LSPFix
版本
v1.2 12/07/2003) (v1.1 07/04/2006)简介:Winsock 修复工具
使用方法:
(1)Winsock XP Fix
运行 点击 修复 后,重起电脑
(2)LSPFix(辅助修复HijackThis扫描发现的O10项)
使用时,请关闭所有IE界面和文件夹界面后运行LSPFix,运行后,把要修复的那项从左边转到右边,点“Finish”即可。(不过这之前,需要在“I know what I`m doing”前面打勾。)
下载:附件
6、RootkitRevealer
版本
v1.7 02/02/2006)简介:Sysinternals的Rootkit检测工具,能检测出www.rootkit.com公布的所有Rootkit,包括AFX, Vanquish and HackerDefender (注意:RootkitRevealer不能够检测那些没有隐藏文件和注册表的Rootkit,比如FU_Rootkit)。
下载:附件
7、FileMon和RegMon
版本
v7.02 08/28/2005) (v7.02 08/28/2005)简介:Sysinternals的文件和注册表监控工具
在病毒文件、注册表项删除但立刻重复出现的情况下,使用这两个工具,监视病毒文件和注册表项由哪些进程或线程再次生成。有助发现问题。
下载:附件