病毒手动查杀步骤参考总结.pptVIP

病毒手动查杀 Windows操作系统下的病毒 windows操作系统是一个极度依赖注册表运行的操作系统，其内部所有程序的启动都依赖于注册表。 病毒，一段恶意的程序。 由以上两点可以得出windows操作系统中的病毒的启动也一定会在注册表中留下痕迹。 结论：手动杀毒无非是修改被病毒修改了的注册表，使得病毒无法自动运行，达到保护计算机系统和资料的目的。 手动查杀病毒的目标 控制病毒：修改被病毒修改了的注册表，使得病毒无法自动运行，达到保护计算机系统和资料的目的。 完全清除病毒：在控制病毒的基础上，把病毒的源程序找到完全删除。（病毒可能有很多备份，所以完全删除比较困难） 病毒样本 本次使用的病毒样本来自于一个杀毒软件的病毒测试包。 病毒类型：木马——Troj.Agent2 文件名：17..exe 特点：生命力极其顽强，一旦中招，极难彻底杀死。 特别提示：病毒查杀测试前的准备 首先，病毒查杀、测试等具有一定危险性的操作最好在虚拟机中操作。 其次，为了方便的观察和检测病毒，在测试前当为虚拟机创建为中毒前的快照，以便快速恢复测试环境。 最后，当前有大量的网络病毒，在测试前应关闭虚拟机的网卡，如进行多个虚拟机联合测试，需使用与当前宿主机物理网络无关的虚拟网络。 中毒症状1 桌面被修改成如图所示，且右键→属性，显示属性中的主题、桌面选项卡中的设置项无法使用、或使用后不生效。切每次注销，启动，重启后背景色会变动。 中毒症状2 打开任务管理器时，提示任务管理器以被管理员禁用，打开命令行时，命令行被强制关闭，切弹出英文提示框，bat文件执行现象同命令行。且rar压缩文件不能执行。 病毒程序漏洞 经多次测试，发现该程序只能对一个命令行进行监控，即当不理会提示框的情况下打开第二个命令行时，第二个命令行将不被强行关闭，且可以正常使用。 查找病毒启动项 使用msconfig命令打开系统配置实用程序 ，打开启动项选项卡后可以看到2个smss32.exe的启动项。 smss(Session Manager Subsystem)是会话管理子系统用以初始化系统变量。 至于smss32.exe是什么想必大家也都能猜到。 ↑启动项名称 ↑ 被执行文件路径 ↑注册表记录 仔细观察会发现2个smss32被在了注册表的2个不同的地方 杀毒 要删除病毒文件首先必须关闭病毒文件的进程，即需要查看任务管理器。 通过命令行regedit打开系统注册表，将注册表展开到[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] 找到“DisableTaskmgr”并将其值设置为0 任务管理器被解锁！ 通过任务管理器，将smss32.exe进程关闭后，进入windows\system32 将smss32.exe文件删除，且在原处创建文件夹smss32.exe并进入命令行，到当前目录下执行attrib +s +r smss32.exe进行手动文件免疫，以免改文件被再次生成。 进入windows\system32将winlogon32.exe删除。 启动SREngLdr.exe软件，启动项目会自动跳出该注册表键值被修改，是否需要修复。 KEY_LOCAL_MACHINE\Software\Microsoft\WINDOWSNT\CurrentVersion\Winlogon\Userinit　键值为： C:\WINDOWS\system32\winlogon32.exe winlogon32.exe为启动病毒。 正常的值为Ｃ:\WINDOWS\system32\Userinit.exe 接下来就是恢复桌面了 \HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ \HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ 将非默认项全都删除，然后重新配置桌面，我们熟悉的桌面就回来了！ 至此，本次手工杀毒基本结束，当然由于时间和能力问题还有至少一个病毒进程还未被找到。