[转帖]杀病毒

一只猫

朋友的一台电脑，装的是Windows 2000专业版，补丁没打全，又没装防火墙，就接到了宽带网，很快就成了病毒木马的乐园。我远程登录之后（用的是Remote Administrator），用了一些网络上现成工具清理干净了，只可惜没有留下屏幕截图，下面只是记得的一些步骤，希望对有些朋友有用。<br>
<br>
我首先察看的是任务管理器（Task Manager），果然看到了好几个不熟悉的进程，有一个叫system32.exe，简直太过分了。我先停了那些可以停掉的进程，然后到系统目录去找这些文件，发现 C:/ 下竟然没有 WINNT 目录。不过这个容易，想把 WINNT 藏起来显然是此地无银。（用命令行执行 attrib -s -h -r C:/WINNT 来改变此文件夹的隐藏属性）<br>
<br>
在 C:/WINNT/system32 按时间排序，看到了几个新近增加的可执行文件（achance.exe，another.exe，fall.exe 等等），明显是可疑的东西。运行一下 sysinternals 的 autoruns 可以看到注册表设置了让这些东西开机就运行。sysinternals.com 提供了许多免费珍品用具，以后另文介绍。 autoruns 是一个方便的小工具，用来查看什么东西开机就会运行，可以方便地起用和禁用。因为病毒木马要让自己开机就运作，多半会在启动文件夹（Startup）或注册表的Run Key做手脚，但这些小动作在 autoruns 下无处遁形。从 autoruns 里我看到了 system32.exe，名字叫 Windows2000 Service，在 C:/WINNT/system32/besides/ 里。进去一看，里面好多东西，尽管名字变了，仍然可以看出来有 ServU FTP Server，wget 等。这些程序本身没问题，难怪 Norton 没有理它们。但加上 system32.exe，就不知道这位老兄究竟想在这台电脑上做什么。<br>
<br>
清除了这些之后，下一步是查看服务程序（Services）。最新版的 autonruns 可以查看 Services，很方便。查 Services 时要注意名称和可执行文件是否相符。有些病毒木马给自己起的名字和描述很象系统的东西，但一看可执行文件就可以找到线索，不肯定时就查Google。<br>
<br>
奇怪的是 Norton Antivirus 没有认为 achance.exe，another.exe，fall.exe 等等是病毒。我用了 Panda 的在线杀毒 （ActiveScan），Panda 指出它们是木马。可能 Norton 不太管木马。Norton 9 有一个新的类别叫 Extended Threats，对木马有效，但我知道它会杀掉 Remote Administrator （r_server.exe）。杀掉 r_server 我的远程登录就会断掉，我就没有起用 Norton 来查木马。Panda 的在线杀毒：<a target=_blank href=http://www.pandasoftware.com/products/activescan/com/activescan_principal.htm>http://www.pandasoftware.com/products/activescan/com/activescan_principal.htm</a><br>
<br>
之后我又试了 Trendmicro 的 housecall：<a target=_blank href=http://housecall60.trendmicro.com/en/start_corp.asp?id=scan>http://housecall60.trendmicro.com/en/start_corp.asp?id=scan</a> 。housecall 时常可以找出 Norton 不识别的东西，所以还不能被 Norton 替换。<br>
<br>
之后做了 Windows Update，打上了所有的补丁，重启了N次，Task Manager 看起来干干净净。至此所有非 rootkit 的病毒木马应该都没了。至于有没有 rootkit，就不清楚了。rootkit 可以隐藏注册表，隐藏Task Manager中的进程，隐藏文件，极难查获。sysinternals.com 有一个工具可以用来查 rootkit，叫 RootkitRevealer，用了一下，没找到可疑的东西，想必可以安心了。<br>
<br>

都只因为你

前天遭遇病毒，电脑系统崩溃，只好重装，下了一堆软件，怕有毒（实在是被这些坏分子弄得头也木了），KV光盘不知怎么滴，跟我生气了，读不出盘，便从朋友那里借来瑞星。安装瑞星后总是提示有人进行漏洞攻击，切切，我这个破电脑，还有人攻击？打电话问朋友：是不是我的电脑有病毒，才这样提示？<br>
他说没什么了，瑞星工具里有个漏洞扫描，然后根据扫描结果给系统打补丁就是了。这个蛮好，经常提醒我Update，不错不错。不过我也发现了一个问题，老是在打补丁时喜欢重启，要是不重启就好了。

jaffas1101

顶啦！感谢分享！