欢迎到
一、病毒文件定位
二、组策略规则限制
三、映像劫持限制病毒
四、单文件顽固病毒清除
五、守护进程病毒文件清除
六、多病毒文件批量清除
一、病毒文件定位
要想清除病毒首先要定位病毒文件,紧接着根据不同病毒文件进行不同清除方案。
一般定为的病毒文件为3种
1.可执行文件或感染正常文件
2.Dll插入文件
3.驱动文件
4.自动脚本文件
二、组策略规则限制
在“本地计算机配置”——“windows设置”——“安全设置”——“软件限制策略”下右键其他规则→新散列规则,在安全级别中选择“不受限的”。
三、映像劫持限制病毒
映像劫持类病毒主要是利用忽略路径的注册表特性限制安全软件进程正常运行。解决办法,修改正常安全软件exe执行文件名称或者删除进程名注册表键值
HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\WindowsNT\CurrentVersion\Image File Execution Options
四、单文件顽固病毒清除
单文件顽固病毒一般根据文件类型不同清除方法也不一样。
文件类的先用冰刃这类的强删,如果不能强删就需要解锁后删除,如果还不能删除,将该文件用killbox加入重启删除列表。
驱动文件先停止服务后删除文件和注册表项。
Dll文件可以卸载模块删除该文件
五、守护进程病毒文件清除
守护进程是2个或多个进程间存在一定的关联关系,当其他程序终止该程序的任意进程,那么他的父进程或关联进程将自动创建该进程,从而达到相互保护关联的目的。
解决办法,查找该进程父进程或者使用命令行命令结束关联进程。
Taskkill /f /im 病毒文件.exe /t
意思是强制结束病毒文件.exe 和父进程和模块
五、多病毒文件批量清除
这类病毒较难用手工方式清除。因为手工速度远远不及病毒感染速度,感染速度快,一般遇到这类病毒杀毒软件和一些安全软件都会失效。
解决办法:
1.用备份还原系统数据
2.将硬盘挂接到其他电脑上用杀毒软件查杀
3.如果安全模式没有被破坏可以考虑安全模式查杀
4.如果破坏了可以考虑用gmer安全模式清理
5.其他工具或杀软辅助清除。
最后查杀总结,病毒查杀思路,查找中毒原因包括文件关联,程序感染,网页感染,arp欺骗,挂马,恶意插件,漏洞利用等,查杀思路要按照先从进程分析,然后端口分析,接着是dll定位,服务定位。如果实在无法查出哪里的病毒,可以考虑利用虚拟机环境配合HIPS检查或者是文件,注册表监视工具监视这些文件创建过程,从而分析木马,如果你懂反编译,先脱壳病毒文件,然后用OD进行反编译,跟踪病毒行为可以更加深入的了解 防范各类高级木马病毒。