手机中毒了怎么杀毒 中毒现场杀毒实战
电脑中毒了,难道就只能等待杀毒软件更新病毒库后再被动杀除?其实,有很多病毒,只要你掌握了一定的技巧和方法,也是能够手工清除的。 狙击“AV终结者”
被成为“安全软件杀手”的“AV终结者”,曾令惨遭其手者头疼异常。中了“AV终结者”的电脑,杀毒软件、安全软件无法正常运行(如图1),系统的安全模式被破坏,无法进入修复,即使你想到网上搜索一下,但只要输入“杀毒”网页IE就会被关闭……需要说明的是,由于“AV终结者”是一批病毒的组合,而且有很多变种,不建议使用手工分析的方式来进行人工删除。我们现在就用《金山毒霸》网站提供的专杀工具来干掉它。
Step1 在确认无病毒的计算机上下载《AV终结者专杀工具》,其网址为https://zhuansha.省略/259.shtml。
Step2 一直按住Shif t键,然后将U盘插入正常电脑,直到提示“设备可以使用”才松开。这样做的目的是防止因为U盘自动运行,导致正常电脑被U盘上可能存在的病毒感染。
Step3 将U盘插入被感染电脑,然后执行《AV终结者专杀工具》,它会删除病毒、修复被破坏的系统,并且禁用各个分区的自动播放功能(如图2)。
我们不建议你在清除病毒后马上重启系统,你此时应该做的是升级杀毒软件病毒库,对硬盘进行全面的病毒查杀。
《AV终结者专杀工具》不但可以杀除《AV终结者》,更可以清除目前最为流行的磁碟机、机器狗等病毒。
清除ARP病毒
ARP病毒(严格来说应该叫做ARP欺骗,不能算作病毒)最近风起云涌,造成了多少个单位、企业和各种局域网中的用户无法正常上网。中了ARP病毒最典型的症状就是局域网中突然出现大面积的计算机断线、无法上网。
ARP病毒的原理其实就是中毒计算机欺骗其他的机器,告诉它们“我是网关,要访问就快来”,于是其他计算机就将它作为网关。其实,被ARP欺骗攻击的网络并不只是断线、无法上网这么简单,由于客户端发送、接收到的信息都要经过“骗子”计算机,数据包中自然有可能被插入病毒下载之类的信息。事实上,《AV终结者》之类的病毒也是可以通过ARP欺骗来进行传播的。
由于ARP病毒主要是欺骗客户端它是网关,所以我们只需要在客户端绑定网关的MAC地址,ARP攻击就无从下手了。至于解决方案,最简单的当然是装个ARP防火墙(我们在后文《免费安全软件不完全推荐》中有介绍),对自己有信心的也可以手工来完成。
br>
Step1 查询网关MAC地址
要查询网关的MAC地址,最直接的办法当然是到网关机器或者控制台中查询。如果你不是网管,没有办法直接访问网关,也可以使用以下方法查询。
先打开命令行执行“Ping192.168.0.1”检测网关,再执行“Arp -a”指令查看ARP表。如果你执行无误的话,应该看到如下信息(如图3):
192.168.0.1 00-0f-66-82-2f-40 dynamic
192.168.0.1是指网关的IP地址,00-0f-66-82-2f-40是指网关的MAC地址,请根据自己的实际情况修改。需要提醒大家注意的是,通过这种远程方法查找到的网关MAC地址并不可靠,因为它也有可能是ARP病毒“冒充”的。
Step2 设置静态ARP表
因为ARP协议默认采用的是动态更新方式,就是这种方式造成了病毒来“冒充”网关,所以,我们可以让计算机启动时就自动将网关的IP地址和MAC地址绑定,从来达到预防ARP欺骗的目的。
打开记事本,输入以下信息,保存为AntiARP.reg:Windows Registry Editor Version 5.00
[HKEY_ LOCA L _MACHINE SOF TWARE MicrosoftWindowsCurrentVersionRun]
“AntiARP”=“arp -s 192.168.0.1 00-0f-66-82-2f-40”
然后,把这个注册表文件拿到客户端,逐一双击导入注册表,再重新启动计算机,这种基于ARP欺骗的攻击就彻底失效了。
Step3 找出中毒计算机
当然,只是让客户端“免疫”了ARP欺骗攻击还远远不够,我们要找到染毒计算机,杀除这个隐患源才算万事大吉。
在电脑上Ping一下网关的IP地址,然后再次使用“Arp -a”指令查看其MAC地址。如果与网关的MAC地址不符,则相应MAC地址的计算机就是毒源。在它上面安装杀毒软件,开始清剿行动吧。
也许有的用户会问,如何才能找到MAC地址对应的计算机呢?这个就要靠平时的积累了。作为网络管理人员,一定要登记在案的东西应该包括各个网络设备的IP和对应的MAC地址了。什么?你没有登记,还不快用Nbtscan这款工具扫描一下(https://www.省略/software/nbtscan.html,如图4)。
三大工具联手查杀Comine病毒实战
前段时间,我的Windows下的System32目录中多出一个comine程序。这个文件被设置为隐藏文件,还不能被删除。更令人困惑的是,中了这个病毒后,所有的杀毒软件、安全工具都不能使用了。不过,虽然它很狡猾,我们还是有清除它的办法……
Step1 准备工具
为了清除这个软件,我们先要准备三个小工具,它们分别是IceSword(用于清除常规方法不能删除的病毒)、进程查看软件Process Expolrer和自动运行查看工具AutoRuns。
软件名称: IceSword
软件版本: 1.22
授权方式: 免费软件
软件大小: 2.1MB
下载地址: https://www.省略/soft/6947.html
软件名称: Process Explorer
软件版本: 11.21
授权方式: 免费软件
软件大小: 3.5MB
下载地址: https://live.省略/
软件名称: AutoRuns
软件版本: 9.35
授权方式: 免费软件
软件大小: 650KB
下载地址: https://live.省略/
需要注意的是,由于病毒会禁止这些工具的运行,所以下载到这些软件后,我们还要为它们改名。我这里将它们分别改名为:IS.exe、PE.exe和AR.exe(如图5)
Step2 看看进程
大部分用户中了病毒之后,一般都是用“任务管理器”来查看进程,然后终止。不过,我推荐给大家的是 Process Explorer。它不但可以查看进程,而且可以查看进程程序的位置,更可以一次终止多个进程――确实是一款清除病毒不可或缺的好工具。
遗憾的是,在Comi ne中毒环境中,我并没有在Process Explorer中看到相关信息,还要另想他法。
Step3 删除病毒
虽然这个病毒在进程管理器中看不到它的踪影,但通过查询资料得知,它只有一个可执行文件Comine.exe,位于C:WinowsSystem32下。但这个文件按照常规的方法很难清除,所以我们就要借用IceSword了,打开它并切换到“文件”选项下,再定位到[C:WindowsSystem32]目录,终于看到Comine.exe这个隐藏文件了。在其上单击邮件,选择“强制删除”(如图6)。
Step4 解除映像劫持
也许有的朋友还在纳闷,为什么中毒之后,所有的安全、杀毒软件都不能正常运行了呢?这都是Windows的映像劫持惹得祸。这个本来是Windows用来调试程序留下的接口,却成为病毒入侵的后门,利用映像劫持功能,系统在调用某个程序时,首先执行的却是映像劫持中指定的其他程序,如果这个程序是病毒,那就是病毒首先激活,杀毒软件能不能用需要病毒说了算。
映像劫持可以通过AutoRuns工具来查看和管理,打开它,在“Image HiJacks”选项卡下,我们发现,绝大多数杀毒软件、安全软件都和Comine.exe挂上了勾(如图7)。
正常情况下的“Image HiJacks”选项卡下,应该只有“Your Image File Name Here without a path”这一项,所以把其他所有项目前的选钩都去掉吧!
我们这里介绍的三大工具查杀病毒过程,实际上适合于绝大部分病毒,只要你熟加操练,任何病毒都很难躲过你的杀手。
U盘病毒彻底查杀
U盘确实给广大用户带来了不少方便,可令他们始料未及的是,它还带来了困惑。困惑来自于一个叫做Autorun的病毒,这个病毒利用U盘等移动存储设备进行自我传播,计算机中毒以后,病毒会自动在每个硬盘的分区根目录下创建Autorun.inf和病毒主体程序,拿到其他计算机上,用户双击U盘符即也中了病毒。
Step1 使用XDelBox删除病毒文件删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入。导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入命令行模式完成操作(如图8)。
C:Windowssystem321707e7b.dll
C:Windows mfgog.exe
C:Windowssystem32792405c6.exe
软件名称: XDelBox
软件版本: 1.8
授权方式: 免费软件
软件大小: 1.0MB
下载地址: https://www.省略/down/
Step2 使用SREng修复系统启动项
主要修复以下两个部分的内容(如图9)。
在左侧选择“启动”,修复“注册表”选项页下的“[GenProtect] ”和“服务”项下的“[286EE121 / 286EE121] ”。
软件名称: SREng
软件版本: 2.0
授权方式: 免费软件
软件大小: 860KB
下载地址: https://www.省略
Step3 为U盘免疫
为了免除后患,我们建议清理完病毒后,再用USBCleaner为U盘免疫(如图10)。
软件名称: USBCleaner
软件版本: 6.0
授权方式: 免费软件
软件大小: 2.9MB
下载地址: https://www.省略/