手工杀毒报告分析详细解释又力作(实战教程).docVIP

为节省篇幅，不提供扫描报告，而且这里有：扫描报告贴子地址：/thread-17644-1-1.html2楼是详细解决方案。我们从??进程和模块列表??开始看起。来到了winlogon.exe这个进程。然后我们来看这个进程的路径： \??\C:\WINDOWS\system32\winlogon.exe 这是正常的。以前不知道的话现在记一下。在它下面有4个模块，前三个，如果你不知道是什么，那么请百度一下google一下。我们来到最后一个模块处： [C:\WINDOWS\system32\fvldkps.dll] [Microsoft Corporation,8.90.1101.0] 首先，当我看到这个文件名的时候，就觉得奇怪。我分析过很多报告，注入winlogon.exe进程的模块几乎很少，这个更是从没见过。于是我开始对它关注。看其出品公司及版本：Microsoft Corporation，这个正常。8.90.1101.0 这个版本号就不正常了。我们来看一下其它的进程及模块文件的版本号大都是：5.1.2600或者6.00.2900.3300。也许说这些还没有多大的说服力，那么我们再往下看一些进程及模块，你会发现C:\WINDOWS\system32\fvldkps.dll它还注入了其它的一些模块，象敏感进程svchost.exe，explorer.exe等。这时，我们就可以基本判定此文件是病毒了。那么我们百度一下，结果是：抱歉，没有找到与“fvldkps.dll” 相关的网页。 试想一下，如果此文件真的是Microsoft Corporation（微软公司）的文件，百度一下的话会搜索不到结果吗？？？绝对不可能吧？除非百度抽风了。那么我们再来google一下，结果是：找不到和您的查询 fvldkps.dll 相符的网页。如果百度抽风了，google也抽风了吗？概率极少甚至不可能吧？好了，此文件是病毒了。此模块分析完毕。关于进程：C:\WINDOWS\system32\svchost -k DcomLaunch 可以参阅：/thread-17581-1-1.html这里不做更多说明。其实继续往下看我们会在一个svchost.exe进程和explorer.exe进程中发现上面的病毒文件C:\WINDOWS\system32\fvldkps.dll了对不对？这就是最有力的证据。点上一支烟继续……继续往下看发现一个可疑进程： C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe global是编程的关键字。意为“公共的”。其路径为：C:\WINDOWS\system32\dllcache\ 这同样是一个敏感目录。一些病毒喜欢藏身于此。怎么来解释呢……对于进程，我们要求它们是干净的，而这个global.exe，有谁知道它是做什么的呢？或者有谁知道它是系统进程的一部分呢？当我看到这份扫描报告中的这个进程时，我不知道它是干什么的。而且进程名比较敏感，进程路径比较邪乎，就凭它进程路径比较特殊并且不在system32下面，我就可以把它当病毒对待，而不管它是不是病毒。因为它不是操作系统的一部分，不是系统的文件，有没有无所谓。既然我们不知道它是干什么的，完全可以临时结束进程。事实证明，我们只需要结束其进程就可以了。完全没必要免疫它。当然对菜鸟来说，还是不要随便放过它。继续往下看……发现一个重度可疑的病毒进程，不用正面看，看它的背后就知道是病毒： C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe 为什么这么说：svchost.exe进程，凡是路径不是C:\WINDOWS\system32\svchost.exe 的svchost.exe进程，我们一律认为是病毒。（这并不是说其进程是C:\WINDOWS\system32\svchost.exe的就不是病毒）继续…… C:\WINDOWS\Fonts\Fonts.exe fonts目录下扩展名为exe的文件出现在进程中，我们也认为它是病毒。大家有机会拿doit自带的资源管理器去此目录下看看都是些什么文件（看其扩展名）就知道我为什么这么说了。来看下下面的这个进程： rndll32.pif [C:\WINDOWS\Media\rndll32.pif C:\WINDOWS\system32\msconfig.exe /auto] [,1.00] pif 文件轻易不会在进程中出现(几乎不出现)。这里出现了