文档介绍:项目四:手工杀毒技巧总结
任务1:杀毒技巧与实战
任务2:杀毒经验总结
任务1:手工杀毒
案例1: 手工清除AV终结者
案例2:手工清除U盘巡警
手工清除AV终结者
病毒特征:
%programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dat
%programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dll
%windir%\{随机8位字母+数字名字}.hlp
%windir%\Help\{随机8位字母+数字名字}.chm
也有可能生成如下文件
%sys32dir%\{随机字母}.exe
替换%sys32dir%\
HKEY_CLASSES_ROOT\CLSID\"随机CLSID"\\InprocServer32 "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"随机CLSID" "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\ShellExecuteHooks "生成的随机CLSID" ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"随机字符串" "病毒文件全路径"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start
dword:00000004
通过在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下添加注册表项来进行文件映像劫持,可阻止大量安全软件及系统管理软件运行,并执行病毒体。
被劫持的软件包括:
;
;
;
;
;
;
……….
,导致无法显示隐藏文件
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced Hidden dword:00000002
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue dword:00000000
5、修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ess Start dword:00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv Start dword:00000004
,使用户无法进入安全模式
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
HKEY_CURRENT_USER\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
hxxp://.exe
,如瑞星、卡巴,通过自动点击"跳过"按钮来逃过查杀
Anti
enter
Rsaupd
SmartUp
FileDsty
RegClean
360tray
,以逃过防火墙的内墙的审核。
,但是可以通过结束桌面进程显示出来。
: 和随机字母+数字组成的病毒复制体,并修改“NoDriveTypeAutoRun”使病毒可以随可移动存储介质传播。
清除AV终结者
下载IceSword,并将该其改名, 名称,这样就可以突破病毒进程对该工具的屏蔽。然后双击打开Ic