教你妙用360清除顽固木马(如新的asn.2病毒等)

譩誷請訷

现在大多数中马的电脑都是给种了多个病毒木马, 可以使360和防毒软件失去作用, 并且不能访问特定网站(如:禁止访问360.cn).

中毒之后, 如果出现不能访问360.cn, 可以到其他专业可信的下载网重新下载360. 注意, 先别安装!!

1) 重新启动电脑, 启动时猛按F8

2) 出现开机启动菜单, 用方向键选 - SAFE MODE(安全模式), 回车

3) WINDOWS 在安全模式启动后, 重新安装360安全卫士

4) 这时候网络是不可用的, 可以直接运行360安全卫士

5) 开启360安全卫士的实时保护

6) 清理恶评软件

7) 查流行木马(快速模式)

以下比较专业了

8) 点360安全卫士中的\"高级\"-》修复IE, 点\"启动项状态\"-》禁止使用安全级别为\"未知\"的启动选项(需要一定的专业知识)

9) 接着点\"系统服务状态\", 这里可以选择性停止安全级别为\"未知\"的系统服务程序(注意观察该项服务的命令行,很奇怪的文件名字一般是病毒木马的服务程序, 能停止就先停止). 很奇怪的是, 360安全卫士为什么不增加个\"禁止\"使用该服务的功能????

10) 由于现在的360安全卫士没有直接禁止使用指定服务项目的功能, 现在只好如此做了:

点WINDOWS的开始-》运行-》输入 mmc c:\\windows\\system32\\services.msc -》 回车, 这样便打开了WINDOWS本身自带的\"服务\"控制面版

11) 对照360安全卫士的\"系统服务状态\", 需要特别留意启动类型为\"自动\"的服务, 一个个手工点开来查(很奇怪的文件名字一般是病毒木马的服务程序), 对于可疑的服务先停止, 再把启动类型设置为\"手动\"或者\"禁用\"(我是直接禁止使用了).

12) 用防毒软件和360安全卫士同时全系统扫描.

13) 喝茶睡觉, 直到扫描完毕.

14) 重新以正常模式启动WINDOWS

15) 不放心你就更新病毒库后再扫描一次. 然后睡到系统扫描完毕.

========================================

89楼 fangzhicheng08 说：

顶顶,进安全模式有点麻烦啊

直接拔网线结束点不需要的进程会比较快吗?

正版菜鸟的想法

是一种好方法,特别对于安全模式也进不去的用户, 但也需要个带毒可以运行的杀毒软件.

方法组合起来, 就可以对付大多数木马病毒了.

294楼 rgbgp01 说：

基本是好贴，ＬＺ辛苦了。不过我问个弱弱的问题，如果系统崩溃，死活进不了系统，该任何呢？？

系统崩溃, 只能用PE光盘/U盘/接其他系统完好的硬盘启动尝试, 或在DOS环境下操作.

不行只好重克/安装系统.

当然要看原来系统复杂性了, 如果普通电脑, 建议直接重刻. 所以经常备份系统是很必要的. 最好刻到DVD光盘或其他媒体上. 因为有些病毒(如熊猫烧香)会破坏GHOST文件. 如果备份在本电脑上, 备份文件的扩展名最好改成其他的(如: 改abc.gho为abc.sys)或者使用简单加密工具, 如winrar再压缩成标准的zip格式等等.

85楼 liz945 说：

有些木马屏蔽你的杀毒软件,让你打不开,我就改名字.再打开,碰到连锁启动的木马\\\\病毒不能关闭,就想办法打开冰刀强行同时关闭,这样你的360旧能运行了.凡是你一打开就被关闭,那你就想办法先改名字再打开.

liz945 的帖子【回复:【分享】半手工"清除"病毒木马实战】不错，greedwind赠送了3个金币给liz945。

greedwind 于2008-03-15 20:25:40 编辑过该帖

309楼 X霸道 说：

楼主：

你这方法对那些杀掉了的病毒重启电脑后又重生的也起作用吗？？？

你说的 对照360安全卫士的\\\"系统服务状态\\\", ，但是我电脑上的病毒杀了还会再生啊.....只是说禁用啊，那不是还存在有病毒么？？？

只是说禁用啊，那不是还存在有病毒么？？

-- 木马有个特点, 只要能找到启动触发点(可能不止一个位置), 其他的木马功能加载项目很可能就中断了. 第一考虑是终止木马进程, 然后掐断启动点. 其他的留给360和杀毒软件去清理.



========================================

下图是我中毒的电脑:

注意下木马的伪装和他的命令行, 以下是木马病毒的名称:

Windows XP SP2 C..

Windows 2000

toch

seclogon

HSCLUDMVDMWDPXG

B48B6C0

33F9E

譩誷請訷

强烈建议360增加服务启动方法的显示, 并增加"禁用"或“手动”使用选定服务的功能

************************ 【分享】半手工"清除"病毒木马实战 ************************

使用的方法:

[分享]更简单的清除顽固病毒的方法 New

【分享】教你妙用360清除顽固木马(如新的asn.2病毒等)

多种方法结合使用. 关键是从系统启动时加载的程序分析入手, 找到病毒反复启动的源头, 对可疑启动项目屏蔽(可改名, 删除, 移动, NTFS文件系统可以设置拒绝读取运行, 低级免疫 - 创建同名文件夹等) , 最终使相关连的病毒失去触发点.

终止病毒程序有先后顺序的:

最好在安全模式或不连接网络的情况下做

1) 用任务管理器(或360)把能终止的可疑进程先终止, 对于反复生成的进程, 不能彻底终止便接下一步

2) 用WINDOWS自带的服务控制台(命令行: mmc c:\windows\system32\services.msc )停止并禁用可疑服务

3) 再用任务管理器(或360)把能终止的可疑进程先终止, 对于反复生成的进程, 不能彻底终止便接下一步

4) 用MSCOFIG 检查一般启动加载项目, 禁止可疑加载(因为MSCONFIG使用比较简单, 其实Autoruns完全可以做到这点)

5) 用Autoruns 检查彻底全面检查其他启动加载项目(如驱动/导入并执行 等等), 禁止可疑加载

6) 用杀毒软件和360全盘查杀

对于可疑加载, 可以找到其文件改名等操作.

如果带毒运行中, 病毒反复增加启动项目, 那可能需要在纯DOS底下来做了. 这里就不介绍了.



对于分析查找启动时加载的程序的工作, 个人建议使用Autoruns, 见［分享］出色的启动项目管理工具, 对付自启动顽固病毒有奇效

这种办法对非感染EXE, DLL等的病毒有很好的效果.



以下黑体的都是不能自动清除并反复发作的病毒文件, 当然我还做了其他疑似病毒文件的改名工作.

奇虎360安全卫士木马查杀历史报告

木马名称：Trojan/Win32.Agent.asd[SPY]

路径：C:\WINDOWS\system32\12050697645.exe

查杀时间 ：2008-03-13 15:21

木马名称：Trojan/Win32.Rodog.oda

路径：C:\WINDOWS\system32\ssdtdt.sys

查杀时间 ：2008-03-13 15:21

以上是2008-03-13 奇虎360安全卫士病毒库更新后发现的, 但2008-03-10日半手工除毒后, 成功掐断了病毒的启动源头. 实际上木马群是条链, 能打断其启动源头, 便成功了一大半. 没有触发点的病毒算是僵尸了.

木马名称：Trojan/Win32.Delf.bfq

路径：C:\WINDOWS\system32\Com\vuvowlfwjnzh.dll.bak

查杀时间 ：2008-03-12 08:46

木马名称：Trojan-Downloader/Win32.Hmir.aou

路径：C:\WINDOWS\system32\drivers\3tf3eqoek.sys.bak

查杀时间 ：2008-03-12 08:46

注意3tf3eqoek.sys和上图的第3项对应, 是病毒其中一个启动点



木马名称：Packed/Win32.Klone.ap

路径：C:\calc.exe

查杀时间 ：2008-03-12 08:46

木马名称：Win32.Jusi.i

路径：C:\WINDOWS\system32\12050697452.exe

查杀时间 ：2008-03-12 08:37

木马名称：Backdoor/Win32.Agent.fju

路径：C:\WINDOWS\system32\640AD4C0.EXE.bak

查杀时间 ：2008-03-12 08:37

木马名称：Packed/Win32.Klone.ap

路径：C:\WINDOWS\system32\12050690171.exe.bak

查杀时间 ：2008-03-12 08:37

木马名称：Backdoor/Win32.Agent.fju

路径：C:\WINDOWS\system32\url2.exe

查杀时间 ：2008-03-12 08:37

************** 以下略...... *****************

清风小筑