WSYSCHECK 反黑重型武器的使用方法

WSYSCHECK 反黑重型武器的使用方法（本文参考软件中附带的《Wsyscheck简要说明.txt》（0725版），并加以补充。本人也不是很精通其所有功能，所以只是说说我知道的一些常用操作，我不会的不明白的操作，就不说了，嘿嘿 。本文是给菜鸟看的，当然，我也是菜鸟，所以有些词汇我不知道专业点的应该怎么讲，大家看明白意思知道怎么操作就行了。还有，一些简单的，一看就知道什么意思的操作，就忽略不写了。wsyscheck的操作界面也很清爽，本文也是按照界面的菜单逐个介绍，所以，懒得配图了。 ）

Wsyscheck使用须知：
du110Wsyscheck是一款功能强大且丰富的手动清除木马病毒的工具。强烈推荐大家在杀毒和远程杀毒时使用。此软件只有一个文件：Wsyscheck.exe。Wsyscheck的窗口本身已采取随机字符,如果仍然被木马禁用,请将Wsyscheck改名后运行。
du110如果你下载的软件包含DOS删除功能，那么就还有一个附加WdosDel.dat文件。WdosDel.dat不是Wsyscheck运行所必须的，删除后将不再显示Dos删除功能。一般情况下“重启删除”已经可以删除大多数的木马文件，所以如携带不便也可以删除WdosDel.dat。

du110进程页中查看模块与服务页中查看服务描述可以使用键盘的上下键控制，这一点在远程使用时比较方便。

关于Wsyscheck启动后状态栏的提示“警告！程序驱动未加载成功，一些功能无法完成。”
du110多数情况下是安全软件阻止了Wsyscheck加载所需的驱动，这种情况下Wsyscheck的功能有一定减弱，但它仍能用不需要驱动的方法来完成对系统的修复。
du110驱动加载成功的情况下,对于木马文件可以直接使用Wsyscheck中各页中的删除文件功能（即先用强删除功能消灭木马文件）,执行完后重启系统，，再清除它的启动项，注册表项等加载途径。


下载地址：http://bark.net.cn/soft/Wsyscheck.html  
或下载本帖附件（主程序改名为Wsyscheck(du110).exe）。

du110【Wsyscheck的很多操作是通过右键菜单来完成的。在本文中，凡是提到的右键菜单的操作，全部用蓝色显示。窗口菜单的操作，使用紫红色显示。重要的提示内容使用红色显示。】

一、菜单－软件设置：（清除病毒的前期准备工作要做好）
du110模块、服务简洁显示（默认打开）
du110简洁显示会过滤掉微软文件不显示，方便查找病毒进程、文件和模块。

du110校验微软文件签名 （默认关闭）`http://www.du110.com `
du110在使用了“校验微软文件签名”功能后，通不过的微软签名验证文件也会显示出来。
du110建议在查找病毒时，打开上面两个选项，查找时比较容易。

du110在使用“软件设置”-“校验微软文件签名”后，紫红色显示未通过微软签名的文件。同时，在各显示栏的"微软文件校验"会显示Pass与no pass。(可以据此参考是否是假冒微软文件，注意的是如果紫红色显示过多，可能是你的系统是网上常见的Ghost精简版，这些版本可能精简掉了微软签名数据库所以结果并不可信)

du110禁止进程与文件创建：
du110针对木马的反复启动，反复创建文件，反复写注册表启动项进行监视或阻止,使用本功能后能更清松地删除木马文件及注册表启动项。
du110开启禁止“禁止进程与文件创建”后会自动添加“监控日志”页，取消后该页消失。可以观察一下日志情况以便从所阻止的动作中找到比较隐藏的木马文件。注意的是，如果木马插入系统进程，则反映的日志是阻止系统进程的动作，你需要自我分辨该动作是否有害并分析该进程的模块文件。如果在日志页观察到反复写创建文件，反复写注册表，反复创建的进程。当此进程是非系统进程时可以直接关闭并删除它。如果是系统进程，需要手动分析一下该进程的模块（配合查看一下活动页的加载项有助于快速找到木马插入系统进程的模块）。清理文件注册表完成后不要退出“禁止进程与文件创建”，而应直接使用工具下的“重启计算机”，以确保我们的清理成功。
du110要保留日志请在取消前Ctrl+A全选后复制。注意,为防止日志过多,满1000条后自动删除前400条日志。
二、菜单－工具：
du110清除临时文件:删除%TEMP%,%windir%\Temp及%windir%\Downloaded Program Files下的所有文件。
du110清除Autorun.inf:程序分析各盘根目录下的Autorun.inf指向的文件，删除各盘的Autorun.inf及其指向的文件。清除以Autorun.inf方式启动的木马，（可配合“禁止进程与文件创建”使用以取得最好的效果）。如果手动清理，操作中尽量使用Wsyscheck内置的文件管理操作以防双击盘符再次激活木马。在手动删除Autorun.inf文件前用Wsyscheck的文件管理中打开这个文件查看木马启动的具体位置有利于您快速找到木马文件。清理时完后检查一下各盘根目录以保证完全清理了Autorun.inf文件。
du110修复隐藏文件显示及禁用硬盘自动播放:菜单栏太长写不完,本功能还包括磁盘无法双击打开故障。注意，某些故障修复后可能需要注销或重启才能生效。
du110修复安全模式：某些木马会破坏安全模式的键值导致无法进入安全模式，本功能先备份当前安全模式键值再恢复默认的安全模式键值。
du110构建安全环境：还原SSDT(某些杀软还原SSDT会引起死机,本功能仅测试在Kv系列,Kav6.0下使用没有问题,其它版本请自行测试。如不确定,使用本功能前最好退出杀软进程),只保留系统必须的几个进程，然后执行上述三个子菜单功能。
du110重启计算机：开启禁止“禁止进程与文件创建”后，清理病毒文件，修复注册表完毕，在wsyscheck的监控下重启电脑。

三、进程管理：清除病毒木马的第一步
  
du110红色表示非微软进程,紫红色表示虽然进程是微软进程,但其模块中有非微软的文件。
du110定位文件：使用wsyscheck的文件管理器，锁定目标进程文件。可以快速查看文件的位置和基本信息，可以锁定一切存在的文件。注意，定位没有隐藏属性的文件时，不要选wsyscheck的文件管理器的“仅显示隐藏文件”选项。
du110拷贝文件路径：拷贝文件的完整路径，配合其他删除工具使用。如菜刀（费尔）、XDELBOX等。
du110结束这个进程：可以直接结束单个进程。
du110结束选择的进程：在要结束进程的前面复选，然后同时批量结束所选进程。
du110禁止这个程序运行：这个功能就是流行的IFEO劫持功能，我们可以使用它来阻止病毒进程的重新加载。此操作的结果参看安全检查－常规检查页的“禁用程序管理”，如果结束木马进程后反复发现木马启动，可以尝试使用“结束进程并删除文件”或“禁止这个程序运行”,让其不再启动后删除。      还可以配合使用“禁止进程与文件创建”让其不再创建新进程、创建文件无效而清理它。

du110关于进程文件下半部的窗口，显示的是相关进程所加载的模块列表。这里特别注意查看explorer.exe和iexplore.exe两个进程所注入的非系统模块，病毒模块一般不会放过这两个关键进程。右键点击模块列表中的相应文件，可以进行相关的卸载、删除、改名等操作。
du110付：关于模块卸载：
du110对HOOK了系统关键进程的模块卸载可能导致系统重启，所以卸载不了的模块不要强求卸载，可以先删除该模块的启动项或文件。

四、内核检查之SSDT检查：这里显示病毒的内核驱动保护。
du110如果SSDT管理中有木马模块在工作,请先恢复SSDT,再在服务管理页清理木马的服务及文件。否则会失败。
du110SSDt右键“全部显示”是默认动作，当取消这个选项后，则仅显示SSDT表中已更改的项目。
du110红色表示内核被HOOK的函数。查看第三方模块，可以点击两次标签“映像路径”排序，则第三方HOOK的模块会排在一起列在最前面。也可以取消“全部显示”,则仅显示入口改变了的函数。
du110SSDT页的“代码异常”栏如显示“YES”,表明该函数被Inline Hook。如果一个函数同时存在代码HOOK与地址HOOK,则对应的模块路径显示的是Inline Hook的路径，而使用“恢复当前函数代码”功能只恢复Inline Hook，路径将显示为地址HOOK的模块路径，再使用“恢复当前函数地址”功能就恢复到默认的函数了。
  
du110使用“恢复所有函数”功能则同时恢复上述两种HOOK。
  
五、服务管理：
du110红色表示该服务不是微软服务,且该服务非.sys驱动。（最常见的是.exe与.dll的服务，木马大多使用这种方式）。
有些木马利用服务启动，请注意一下并判断一下服务页中的红色显示程序。如果状态是STOP，而类型是Auto，则它已运行过一次，所以有可能启动了别的木马程序。
du110查看第三方服务可以点击标题条“文件厂商”排序，结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。
du110“检查键值保护”：使用后，蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护，也有可能是木马的键值保护。
du110对于检测出的启动项，如果不是十分肯定，可以右键“设为禁用”，让其下次不启动再观察系统是否正常以判断它是否是一个木马程序。不要直接删除服务或文件，删错了很麻烦的。
du110删除选中的服务与文件：在删除文件的同时删除注册表加载项。

六、安全检查－常规检查：
du110host查看：检查hosts文件是否被恶意修改，一些病毒通过修改hosts文件，来阻止中毒者打开相关的杀毒网站和病毒升级服务器，还屏蔽一些常见的求助网站。
du110“禁用程序管理”：目前利用IFEO禁用杀软、启动木马程序是比较流行的。在木马使用IFEO劫持一些杀软后，可以在“禁用程序管理”中恢复被劫持的程序。这个功能就是流行的IFEO劫持功能，当然，我们可以使用它来阻止病毒进程的重新加载。
du110注册表键值改动检测：检查和修复文件关联。


七、安全检查－活动文件：
du110红色显示的常规启动项的内容。即开机加载项。病毒木马一般在这里藏匿。
du110黑色部分内容大多是右键菜单或浏览器等窗口菜单调用的项目，多是一些插件之类的东东。也是病毒木马的藏身之处，要仔细认真的一个一个鉴别。
du110对于检测出的启动项，如果不是十分肯定，可以定位注册表项，将这个启动程序的路径前加上“；”等字符让其下次不启动再观察系统是否正常以判断它是否是一个木马程序。
du110注意这里的修复所选项 － 这个操作是删除当前选定的启动或加载项。
du110这个页面没有直接删除选定的文件功能，不是很方便。可以使用“定位文件”，然后改名或删除。

八、安全检查－IE 安全：
du110这里是ie浏览器里加载的一些插件。怀疑的就删除，不会影响系统运行。

九、安全检查－重启删除文件：
du110 驱动加载的情况下，大多数文件都可以立即删除，加载的DLL文件删除后虽然文件仍然可见，但事实上已删除，重启可观察到文件已消失。

du110 “重启删除”仅作为驱动无法加载情况下使用的一种辅助手段，“重启删除”与“Dos删除”可以同时使用。其列表都可以手动编辑,一行一个文件路径即可。关闭程序时如果上述两者之一存在删除列表，会问询是否执行。
     如果需要对删除的文件备份,先启用软件设置下的“删除文件前备份文件”，它将在删除前将文件备份到%systemDrive%\VirusBackup目录中，且将文件名添加.vir后缀以免误执行。

付： dos删除功能：
du110 对于用以上功能仍删除不了的文件，可以使用Wsyscheck的或“dos删除功能”，使用“dos删除”功能后会在启动菜单中添加一项“删除顽固文件”，执行后自动清理文件并去掉它所添加的启动项。本功能需要将辅件Wdosdel.dat与Wsyscheck放在一起才会显示相关页面。“dos删除”在多系统情况下可能存在一些问题，请慎用。建议在万不得已必须使用dos删除功能之前，备份重要资料。

十、文件管理：
du110文件管理页的“删除”操作是删除文件到回收站，支持畸形目录下的文件删除。
du110应注意的是如果文件本身在回收站内，请使“用直接删除文件”功能。或者使用剪切功能将它复制到另一个地方。否则你可能看到回收站内的文件删除了这个又添加了那个（因为右键“删除”是删除到回收站）。
du110PS:：（有的病毒文件是在回收站里的，参看帖子： recycled\info.exe     ）
du110文件搜索中利用“限制时间”条件来搜索近期产生的文件可能有助于您的清理工作。
du110选上文件列表下面的“仅显示隐藏文件”，可以更快速的锁定system32等目录下的病毒文件。

十一、注册表管理：
du110wsyscheck的强大之处在于，这个注册表管理功能一般的时候根本用不到。
du110但还是简单介绍一下。这个注册表管理功能，比系统自带的regedit要强大，可以看到regedit看不到的隐藏键，可以删除regedit删除不掉的键。类似于冰刃的注册表管理功能。

教你如何找到线程插入式木马
目前网络上最猖獗的病毒估计非木马程序莫数了，特别是在过去的2004年木马程序的攻击性也有了很大的加强，在进程隐藏方面，做了较大的改动，不再采用独立的exe可执行文件形式，而是改为内核嵌入方式、远程线程插入技术、挂接psapi等，这些木马也是目前最难对付的。本期就教你查找和清除线程插入式木马。

操作步骤：

1、通过自动运行机制查木马

一说到查找木马，许多人马上就会想到通过木马的启动项来寻找“蛛丝马迹”，具体的地方一般有以下几处：

1）注册表启动项：

在“开始/运行”中输入“regedit.exe”打开注册表编辑器，依次展开[hkey_current_user\software\microsoft\windows\currentversion\]和[hkey_local_machine\software\microsoft\windows\currentversion\]，查看下面所有以"run"开头的项，其下是否有新增的和可疑的键值，也可以通过键值所指向的文件路径来判断，是新安装的软件还是木马程序。

另外[hkey local machine\software\classes\exefile\shell\open\command\]键值也可能用来加载木马，比如把键值修改为“x:\windows\system\abc.exe "%1"%”。  

2）系统服务

有些木马是通过添加服务项来实现自启动的，大家可以打开注册表编辑器，在[hkey_local_machine\software\microsoft\windows\currentversion\runservices]下查找可疑键值，并在[hkey_local_machine\system\currentcontrolset\services\]下查看的可疑主键。

然后禁用或删除木马添加的服务项：在“运行”中输入“services.msc”打开服务设置窗口，里面显示了系统中所有的服务项及其状态、启动类型和登录性质等信息。找到木马所启动的服务，双击打开它，把启动类型改为“已禁用”，确定后退出。也可以通过注册表进行修改，依次展开“hkey_local_machine\system\currentcontrolset\services\服务显示名称”键，在右边窗格中找到二进制值“start”，修改它的数值数，“2”表示自动，“3”表示手动，而“4”表示已禁用。当然最好直接删除整个主键，平时可以通过注册表导出功能，备份这些键值以便随时对照。

3）开始菜单启动组

现在的木马大多不再通过启动菜单进行随机启动，但是也不可掉以轻心。如果发现在“开始/程序/启动”中有新增的项，可以右击它选择“查找目标”到文件的目录下查看一下，如果文件路径为系统目录就要多加小心了。也可以在注册表中直接查看，它的位置为[hkey_current_user\software\microsoft\windows\currentversion\explorer\shell folders]，键名为startup。

4）系统ini文件win.ini和system.ini

系统ini文件win.ini和system.ini里也是木马喜欢隐蔽的场所。选择“开始/运行”，输入“msconfig”调出系统配置实用程序，检查win.ini的[windows]小节下的load和run字段后面有没有什么可疑程序，一般情况下“＝”后面是空白的；还有在system.ini的[boot]小节中的shell=explorer.exe后面也要进行检查。

5）批处理文件

如果你使用的是win 9x系统，c盘根目录下“autoexec.bat”和windows目录下的“winstart.bat”两个批处理文件也要看一下，里面的命令一般由安装的软件自动生成，在系统默认会将它们自动加载。在批处理文件语句前加上“echo off”，启动时就只显示命令的执行结果，而不显示命令的本身；如果再在前面加一个“@”字符就不会出现任何提示，以前的很多木马都通过此方法运行。

2、通过文件对比查木马

最近新出现的一种木马。它的主程序成功加载后，会将自身做为线程插入到系统进程spoolsv.exe中，然后删除系统目录中的病毒文件和病毒在注册表中的启动项，以使反病毒软件和用户难以查觉，然后它会监视用户是否在进行关机和重启等操作，如果有，它就在系统关闭之前重新创建病毒文件和注册表启动项。下面的几招可以让它现出原形（下面均以win xp系统为例）：  

1）对照备份的常用进程

大家平时可以先备份一份进程列表，以便随时进行对比查找可疑进程。方法如下：开机后在进行其他操作之前即开始备份，这样可以防止其他程序加载进程。在运行中输入“cmd”，然后输入“tasklist /svc >x:\processlist.txt”（提示：不包括引号，参数前要留空格，后面为文件保存路径）回车。这个命令可以显示应用程序和本地或远程系统上运行的相关任务/进程的列表。输入“tasklist /？”可以显示该命令的其它参数。

2）对照备份的系统dll文件列表

对于没有独立进程的dll木马怎么办吗？既然木马打的是dll文件的主意，我们可以从这些文件下手，一般系统dll文件都保存在system32文件夹下，我们可以对该目录下的dll文件名等信息作一个列表，打开命令行窗口，利用cd命令进入system32目录，然后输入“dir *.dll>x:\listdll.txt”敲回车，这样所有的dll文件名都被记录到listdll.txt文件中。日后如果怀疑有木马侵入，可以再利用上面的方法备份一份文件列表“listdll2.txt”，然后利用“ultraedit”等文本编辑工具进行对比；或者在命令行窗口进入文件保存目录，输入“fc listdll.txt listdll2.txt”，这样就可以轻松发现那些发生更改和新增的dll文件，进而判断是否为木马文件。

3）对照已加载模块

频繁安装软件会使system32目录中的文件发生较大变化，这时可以利用对照已加载模块的方法来缩小查找范围。在“开始/运行”中输入“msinfo32.exe”打开 “系统信息”，展开“软件环境/加载的模块”，然后选择“文件/导出”把它备份成文本文件，需要时再备份一个进行对比即可。

4）查看可疑端口

所有的木马只要进行连接，接收/发送数据则必然会打开端口，dll木马也不例外，这里我们使用netstat命令查看开启的端口。我们在命令行窗口中输入“netstat -an”显示出显示所有的连接和侦听端口。proto是指连接使用的协议名称，local address是本地计算机的ip地址和连接正在使用的端口号，foreign address是连接该端口的远程计算机的ip地址和端口号，state则是表明tcp连接的状态。windows xp所带的netstat命令比以前的版本多了一个-o参数，使用这个参数就可以把端口与进程对应起来。输入“netstat /？”可以显示该命令的其它参数。


接着我们可以通过分析所打开的端口，将范围缩小到具体的进程上，然后使用进程分析软件，例如《windows优化大师》目录下的winprocess.exe程序，来查找嵌入其中的木马程序。有些木马会通过端口劫持或者端口重用的方法来进行通信的，一般它们会选择139、80等常用端口，所以大家分析时要多加注意。也可以利用网络嗅探软件（如：commview）来了解打开的端口到底在传输些什么数据。

网络时代，病毒已经无所不在。在层出不穷、变化多端的病毒袭击下，中招基本上是不可避免的了。那么中招以后我们改如何处理（当然必须处理，否则计算机没法替你工作）？是格式化系统然后重装windows，还是请人帮忙……。因为职业关系，我不得不与这些让人讨厌的东西战斗着，逐步地积累了一些行之有效的办法，供大家参考。  
一、中毒的一些表现  

  我们怎样知道电脑中病毒了呢？其实电脑中毒跟人生病一样，总会有一些明显的症状表现出来。例如机器运行十分缓慢、上不了网、杀毒软件生不了级、word文档打不开，电脑不能正常启动、硬盘分区找不到了、数据丢失等等，就是中毒的一些征兆。  

二、中毒诊断  

  1、按Ctrl+Shift+Ese键（同时按此三键），调出windows任务管理器查看系统运行的进程，找出不熟悉进程并记下其名称（这需要经验），如果这些进程是病毒的话，以便于后面的清除。暂时不要结束这些进程，因为有的病毒或非法的进程可能在此没法结束。点击性能查看CPU和内存的当前状态，如果CPU的利用率接近100%或内存的占用值居高不下，此时电脑中毒的可能性是95%.  

  2、查看windows当前启动的服务项，由“控制面板”的“管理工具”里打开“服务”。看右栏状态为“启动”启动类别为“自动”项的行；一般而言，正常的windows服务，基本上是有描述内容的（少数被骇客或蠕虫病毒伪造的除外），此时双击打开认为有问题的服务项查看其属性里的可执行文件的路径和名称，假如其名称和路径为C：winntsystem32explored.exe，计算机中招。有一种情况是“控制面板”打不开或者是所有里面的图标跑到左边，中间有一纵向的滚动条，而右边为空白，再双击添加/删除程序或管理工具，窗体内是空的，这是病毒文件winhlpp32.exe发作的特性。  

  3、运行注册表编辑器，命令为regedit或regedt32，查看都有那些程序与windows一起启动。主要看Hkey_Local_MachineSoftwareMicroSoftWindowsCurrentVersionRun和后面几个RunOnce等，查看窗体右侧的项值，看是否有非法的启动项。WindowsXp运行msconfig也起相同的作用。随着经验的积累，你可以轻易的判断病毒的启动项。  

  4、用浏览器上网判断。前一阵发作的Gaobot病毒，可以上yahoo.com，sony.com等网站，但是不能访问诸如www.symantec.com，www.ca.com这样著名的安全厂商的网站，安装了symantecNorton2004的杀毒软件不能上网升级。  

  5、取消隐藏属性，查看系统文件夹winnt（windows）system32，如果打开后文件夹为空，表明电脑已经中毒；打开system32后，可以对图标按类型排序，看有没有流行病毒的执行文件存在。顺便查一下文件夹Tasks，wins，drivers.目前有的病毒执行文件就藏身于此；driversetc下的文件hosts是病毒喜欢篡改的对象，它本来只有700字节左右，被篡改后就成了1Kb以上，这是造成一般网站能访问而安全厂商网站不能访问、著名杀毒软件不能升级的原因所在。  

  6、由杀毒软件判断是否中毒，如果中毒，杀毒软件会被病毒程序自动终止，并且手动升级失败……杀毒、建议。

三、杀毒  

  1、在注册表里删除随系统启动的非法程序，然后在注册表中搜索所有该键值，删除之。当成系统服务启动的病毒程序，会在Hkey_Local_MachineSystemControlSet001services和controlset002services里藏身，找到之后一并消灭。  

  2、停止有问题的服务，改自动为禁止。  

  3、如果文件system32driversetchosts被篡改，恢复它，即只剩下一行有效值“127.0.0.1localhost”，其余的行删除。再把host设置成只读。  

  4、重启电脑，摁F8进“带网络的安全模式”。目的是不让病毒程序启动，又可以对Windows升级打补丁和对杀毒软件升级。  

  5、搜索病毒的执行文件，手动消灭之。  

  6、对Windows升级打补丁和对杀毒软件升级。  

  7、关闭不必要的系统服务，如remoteregistryservice.

8、第6步完成后用杀毒软件对系统进行全面的扫描，剿灭漏网之鱼。  

  9、上步完成后，重启计算机，完成所有操作。

很多网友在保卫自己的爱机时，不管使用了哪些杀毒软件，几乎都会碰到储如此类的问题，如：

　　★清除病毒失败怎么办？

　　★杀毒出现清除失败怎么办？

　　★清除失败或未解决病毒怎么办？

　　★发现病毒时提示“删除失败”，怎么办？

　　★发现病毒时提示“清除失败”，怎么办？

　　★系统中了病毒、木马、蠕虫，清除、隔离、删除失败怎么办？

　　产生这些问题的主要原因在于：

　　1、病毒正在使用中；

　　2、病毒防止杀毒软件清除而做的自我保护；

　　3、病毒中有守护进程在保护病毒。

　　简单解释下这其中的原因：

　　1、这是较早期的杀毒软件无法清除病毒时的提示，比如一个文件，如果你正在打开使用它时，你是没有办法删除这个文件的， 因为文件正在使用中，受到系统正常的保护；同样病毒进程如果没有终止掉，直接删除病毒文件的话，同样会提示该信息。

　　2、 原因2与原因3可以归类来说，简单地讲，就相当于病毒躲在巨人的身后，你想要抓住这个“病毒”，首先要打败这个“巨人”，否则就会受到“巨人”的干扰而让你无法顺利抓到这个“病毒”。同样地，病毒为了防止自己不被杀毒软件查杀、剿灭，而使用了如：权限提升到系统级、阻止病毒进程被终止、阻止病毒体被删除、电脑中同时存在2个以上的病毒，相互负责监控对方，如发现自己的保护对象不存在了，重新生成新的病毒体。

　　解决办法：

　　1、 重新启动电脑进入操作系统的安全模式， 使用杀毒软件清除或手工删除病毒体。

　　2、 使用终截者抗病毒中的“安全回归”功能，在电脑重新启动的同时迅速将病毒隔离，之后，你可以通过杀毒软件清除或手工删除。

　　小插曲：什么是安全回归？

　　安全回归看似是“重新启动”,它主要是针对目前许多恶意病毒无法彻底查杀，在每次电脑开机启动后又重新发作的问题，安全回归行为识别技术提供一个快速解决方案。用户只须轻点击“安全回归用户电脑将在一次重新启动电脑的过程中恢复到一个无病毒、无流氓软件运行的安全状态，并告知用户已经拦截了哪些危险程序，整个过程的感觉就像是上天给予了一次安全重来的机会。

　　安全回归基本原理

　　安全回归在计算机开机启动过程中，识别和判断所有将要运行的程序，包括病毒、木马等恶意程序，只允许运行合法的系统程序和用户在安全回归许的程序，其它的一律禁止。这样可以保证：

　　1、电脑启动完成后，没有任何病毒及流氓软件正在运行，同时也抑制了所有病毒程序对电脑破坏；

　　2、不用担心病毒程序先于安全回归运行，它有一夫当关，万夫莫开之功效；

　　3、使用安全回归不会删除用户任何数据，请用户放心使用。

　　安全回归可以解决什么问题？

　　1、解决顽固木马、病毒无法清除，或反复清除失败的问题；

　　2、拒绝流氓软件困扰、减少弹出窗口的干扰；

　　3、禁止了与安全无关的进程、服务及插件的运行，加快了系统运行速度。

iexplore.exe是Microsoft Internet Explorer的主程序。这个微软Windows应用程序让你在网上冲浪，和访问本地Interanet网络。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。iexplore.exe同时也是Avant网络浏览器的一部分，这是一个免费的基于Internet Explorer的浏览器。注意iexplore.exe也有可能是Trojan.KillAV.B病毒，该病毒会终止你的反病毒软件，和一些Windows系统工具，该进程的安全等级是建议删除。


这个东西可以说是病毒，也可以说不是病毒。


因为微软的浏览器就是IEXPLORE.EXE，但是它一般情况随系统被安装在C:\Program Files\Internet Explorer下面。那么，如果发现这个文件是在这个目录下面的，一般情况不是病毒，当然，不包括已经被感染了的情况；还有一种情况，就是IEXPLORE.EXE在C:\WINDOWS\system32\下面，那么这个十有八九都是病毒。


系统进程－－伪装的病毒 iexplore.exe


Trojan.PowerSpider.ac 破坏方法：密码解霸V8.10。又称“密码结巴”。偷用户各种密码，包含：游戏密码、局域网密码、腾讯QQ账号和密码、POP3 密码、Win9x缓存密码及拨号账号等等。这个木马所偷密码的范围很广，对广大互联网用户的潜在威胁也巨大。


现象：


1、系统进程中有iexplore.exe运行，注意，是小写字母；


2、搜索该程序iexplore.exe，不是位于C盘下的PROGRAMME文件夹，而是WINDOWS32文件夹。


解决办法：


1、到C:\\WINDOWS\\system32下找到ixplore.exe 和 psinthk.dll 完全删除之。


2、到注册表中，找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion \\Run “mssysint”= iexplore.exe，删除其键值。

杀毒攻略：清除无法显示隐藏文件的病毒
选择“显示隐藏文件”这一选项后，发现U盘有个文件闪出来一下就马上又消失了，而再打开文件夹选项时，发现仍就是“不显示隐藏文件”这一选项。而且刚发现点击C、D等盘符图标时会另外打开一个窗口！

总结：

I、病情描述：

1、无法显示隐藏文件；

2、点击C、D等盘符图标时会另外打开一个窗口；

3、用winrar查看时发现C、D等根目录下有autorun.inf和tel.xls.exe两个恶心的文件；

4、任务管理器中的应用进程一栏里有个莫明其妙的kill；

5、开机启动项中有莫明其妙的SocksA.exe。

II、解决办法：

用了一些专杀工具和DOS下的批处理文件，都不好使，只好DIY。注意在以下整个过程中不要双击硬盘分区，需要打开时用鼠标右键—>打开。

一、关闭病毒进程

在任务管理器应用程序里面查找类似kill等你不认识的进程，右键—>转到进程，找到类似SVOHOST.exe（也可能就是某个svchost.exe）的进程，右键—>结束进程树。

二、显示出被隐藏的系统文件

开始—>运行—>regedit


HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\
Folder\Hidden\SHOWALL



删除CheckedValue键值，单击右键 新建—>Dword值—>命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
三、删除病毒

在分区盘上单击鼠标右键—>打开，看到每个盘跟目录下有autorun.inf 和tel\.xls\.exe 两个文件，将其删除，U盘同样。

四、删除病毒的自动运行项

开始—>运行—>msconfig—>启动—>删除类似sacksa.exe、SocksA.exe之类项，或者打开注册表运行regedit


HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run



删除类似C:\WINDOWS\system32\SVOHOST.exe 的项。
五、删除遗留文件

C:\WINDOWS\ 跟 C:\WINDOWS\system32\ 目录下删除SVOHOST.exe(注意系统有一个类似文件，图标怪异的那个类似excel的图标的是病毒)session.exe、sacaka.exe、SocksA.exe以及所有excel类似图标的文件，每个文件夹两个，不要误删哦，自己注意。重启电脑后，基本可以了。

一、为什么流氓软件总是删不掉？

  经常有网友发贴子说文件删除不掉，或者流氓软件清除不了，或者删除了相关的文件，但是马上它又出现了。现在流氓软件为了保护自己，采取的手段是五花八门，无所不用其极：进程保护，交叉感染，自启动，自我恢复，文件隐藏，进程注入，驱动保护。

到目前为止，所有流氓软件最终极、最有效的保护办法还是底层驱动级的保护，一般就是在drivers目录下增加一个或多个.sys文件（我也见过一个用rundll32来运行一个.dll作为驱动的），但本质上这个都会在Windows的HKLM\SYSTEM\CurrentControlSet\Services\下建一个相关的值,如CNNIC建立的就是HKLM\SYSTEM\CurrentControlSet\Services\cdnprot,并且将启动级别做得很高，在安全模式下也会自动启动。这个底层的驱动过滤所有的文件以及注册表操作，如果发现是对流氓软件自己的文件/注册表操作，就会直接返回一个true，如果发觉文件被删除，就会通过备份或者网络来下载恢复。它们的保护措施已经做到这一级，普通用户根本没有办法删除相关的文件，一般都需要重启到DOS系统下去删除文件。

  这也是很多网友提的为什么文件删除不掉，或者删除了，重启之后，一会儿又出现了，阴魂不散的原因。下面我们的要做的，就是找出来这些流氓软件的后台的驱动保护。

二、为什么找出驱动保护很困难？

  Windows的驱动文件一般位于system32\drivers目录下，以.sys文件方式存在，通过注册表的HKLM\SYSTEM\CurrentControlSet\Services\的方式来启动，有一部分属于服务的，可以在Windows的服务的MMC控制窗口里看到。但如果是驱动，则在这里看不到。Windows正式情况下，那个drivers目录下有200个左右的文件，如果偷偷往这个下面塞一个.sys文件，是很难发现的。象著名的3721这类cnsminkp.sys，CNNIC的cdnprot.sys比较容易认识，但现在的很多软件的名字都是不固定的，或者是随机生成的，这样的辨识的难度就很大。我曾经用过的方式有：

  1、通过保存文件列表，时常自己手工比较这两个文件，看前后差别多出来的文件肯定有问题

  2、通过文件生成的日期。（这点流氓软件也想到了，日期也只能作为参考）

  3、通过文件的属性里在的公司信息。早年还行，现在越来越多的流氓软件的驱动冒充是M$的，有的连英文单词都写错了。唉。。。

  4、通过文件夹监视工具。

上面这四种都有一定的缺陷，只能作为参考，都不是太好。并且现在有一些软件通过文件系统隐藏，这些驱动文件，通过资源管理器，根本连看都看不到。

三、如何找出可疑驱动来？

  难道没有更好的办法吗？有，应该有的，这个就是我们今天要介绍的主角：autoruns

介绍：autoruns是著名的sysinternals出品的一款小软件，它的主要功能是列出系统自启动的项目。通过它，你可以轻易查看到所有系统可能启动的地方，非常的全面。跟流氓软件相关的是“Services（服务）"，“LSA Providers（LSA提供者）”、"Winsock Providers（Winsock提供者）",“Drivers（驱动）“。下面重点介绍Drivers这一部分的功能。

  运行autoruns之后，在它的“Options(选项）”菜单中有两项“Verifiy Code Signatures（验证代码签名）“Hide Signed Microsoft Entries（隐藏已签名的微软项）“，把这两项都选中了。验证代码签名是指验证所有dirvers下的.sys文件的文件签名。Windows下的硬件有一个签名的功能，它是为了保证所有的驱动文件是经过M$测试，符合HAL兼容性。隐藏已签名的微软项，就是把那些合法的隐藏起来。不然200多个，会看着发晕的。

  这样autoruns就会检查所有已经注册成为驱动的项，并且检查所有的.sys的文件数字签名。所有假冒的或者没有通过代码签名的项，都会在这里列出来。也就可以很容易判断这个驱动是不是有问题了。如果有问题的话，可能通过冰刃把里面相关的注册表键值删除，重启机器，这样驱动保护就失效了，然后可以通过文件删除工具来删除其它的文件，完成最后的清理工作。

四、总结
  最后再总结一下：
  1、流氓软件删除不掉或者死灰复燃，很多时候是因为有驱动或服务保护
  2、通过autoruns找到这些可疑的驱动
  3、通过冰刃删除相关驱动健值或者直接用文件粉碎器删除相关的.sys文件，重启驱动就无效
  4、清理其它文件，完成善后工作。

  以上方法通过各种测试是证明有效的，但不排除将来有更进一步的隐藏手段来躲避autoruns的检查。但原理是一样的。不过是通过程序来减少工作量。

未知蠕虫分析与解决方案
目 录


一、病毒特征：   2
二、病毒描述：   2
三、行为分析：   2
四、解决方案：   4

附件1、弱口令字典列表   5
附件2、部分杀毒软件、防火墙进程   5
附件3、修改注册表项内容   6
附件4、遭受攻击时分析截图   7
附件5、终截者拦截蠕虫攻击截图   8




一、病毒特征：
样本名称： fwupdat.exe. 、configure.exe 、sslms.exe
样本大小： 213 KB (218,624 字节)、257 KB (263,168 字节)、259 KB (265,216 字节)
病毒类型： 蠕虫/后门
二、病毒描述：
  集合IRC后门、蠕虫功能于一体的，通过网络共享和操作系统漏洞（MS03-026、MS02-061、MS03-007、MS04-011等）进行传播的病毒。

病毒会尝试通过弱密码登陆目标系统。病毒运行后把自己加载到注册表启动项，以使自己下次开机能够继续运行。病毒还会在感染的电脑上打

开后门接收攻击者发出的指令，然后连接特定的IRC服务器通知攻击者病毒的存在。病毒会扫描网段内的机器并猜测共享密码，占用大量网络带

宽资源，容易造成局域网阻塞。它通过IRC服务器接受攻击者发出的指令，例如安装/卸载后门、下载并运行文件、结束进程、运行代理服务器

、盗取流行游戏的帐号、对指定的IP进行DDoS（拒绝服务）攻击等。
目前已经有多个变种。修改多处注册表键，用以关闭杀毒软件、防火墙降低系统安全性。
三、行为分析：
1、蠕虫运行后复制自身到
%system32%\ fwupdat.exe (变种名为：configure.exe 、sslms.exe)
  
  2、在C盘根目录下生成 a.bat 批处理文件，其功能是将需要修改的注册表键值ECHO重定向到 Temp\1.reg 并使用指令 START /WAIT

REGEDIT /S %temp%\1.reg 将要修改的注册表内容静悄悄地导入注册表中。
（注： 相关的 a.bat 内容保存为 a.bat.txt ）

  3、将自身加载到注册表自启动项中，实现开机自动运行蠕虫。
Software\Microsoft\Windows\CurrentVersion\Run
Software\Microsoft\Windows\CurrentVersion\RunServices
Software\Microsoft\OLE
SYSTEM\CurrentControlSet\Control\Lsa

  4、尝试弱口令扫描登录目标主机； （弱口令列表，请参看附件1）   
5、扫描系统，终止杀毒软件、防火墙进程； （进程列表，参看附件2）

6、使用findpass获取WinLogon.exe进程空间中的管理员帐号（该方式适用于Win2000/XP系统）

  7、连接到一个IRC服务器，等待恶意者的连接并接受控制，命令说明如下:
IRC指令如下：
JOIN %s %s 创建或加入闲聊室
NICK //更改别名
PART // 指名退出闲聊室的原因
QUIT // 退出
对目标主机的操作：
下载文件
发起拒绝服务(DDOS)攻击
执行基本的IRC命令
执行系统扫描

  8、 修改多处注册表键，用于关闭微软防火墙及自动更新功能，以降低系统安全性。（注释详见附件3）

  9、发去DDOS拒绝服务攻击；如 Syn flood、Wonk flood、UDP flood、Ping flood（参见附件4截图）

  10、监听键盘事件，捕获帐号密码信息；





四、解决方案：
  虽然用户电脑上安装了诺顿杀毒软件，但仍然遭受到蠕虫的攻击，而且在这个过程中，不仅清除不掉，还防不住！
全面的个人电脑病毒解决方案包括了抗病毒和杀病毒两方面。抗病毒属于防病毒中预防、免疫方面的范畴；杀毒软件是属于事后病毒查杀工具

，目前市场上所有杀毒软件的技术都是大同小异的，无非在病毒特征库的更新速度和数量多少及病毒查杀引擎性能上的区别。用户频繁更换杀

毒软件也是无济于事的。因为新病毒出现太快，老病毒变化多端，黑客及流氓软件又来凑热闹，当然只安装杀毒软件是有一点势单力薄，所以

需要增强电脑的抗病毒能力，具有事前免疫和对抗病毒的功能。
  为什么越来越多的人们在安装杀毒软件的同时也安装了防火墙？ 原因是什么？ 就是因为杀毒软件不具备抗病毒能力。而“防火墙”

在这个安全体系中充当着防范攻击，防止入侵的功能。其本质也是属于抗病毒功能中“防范黑客入侵、避免系统遭到漏洞攻击“的一部分。
  目前电脑中安装都是杀毒软件，抗病毒能力都很弱。终截者抗病毒软件的主要作用是：增强电脑对病毒的抵抗力，抗击黑客入侵和流

氓软件干扰。
先清除后巩固：
  1、 使用 Terminator Lab样本的专杀工具清除；
  2、 使用“终截者抗病毒软件”中的 安全回归 ，使系统迅速回归到标准的符合系统安全的状态；
  3、 使用“安全分析专家”自带的“进程管理”、“自启动”管理，将上述特征的蠕虫清除。
  4、 配制防火墙策略，拦截异常网络连接、拦截蠕虫缓冲区溢出。






附件1、弱口令字典列表



附件2、部分杀毒软件、防火墙进程





附件3、修改注册表项内容



附件4、遭受攻击时分析截图


为保障客户安全，隐去内网真实IP地址


附件5、终截者拦截蠕虫攻击截图


拦截来自MS03-039蠕虫攻击


拦截蠕虫体感染系统



终截者拦截蠕虫攻击效果.jpg



病毒体 configure随机打开多个端口.jpg

驱动木马覆灭记

篇首语:
  现在的木马越来越厉害，从Ring 3 到期 Ring 0直接杀进来。本文亦是从大概原理出发，配合工

具挖掘出这只“千里马”。

测试环境：
  Windows Xp
  终截者入侵阻止 v5.0
  安全分析专家 v0.4
  IceSword v1.16
  反病毒调试程序 v1.2
  Process Explorer v10.11
还有纸和笔…

开始了。。。
  首先，还是要先激活这只“睡马”，醒了之后才会去找主人的。


终截者入侵阻止中的“安全预警“拦截了，正问是否要放过这只“马”呢，一看，

既然是自己玩的“马“，当然要“允许”啦
很快，文件监视器生效了，可以在“病毒监控”框中记录下这只马跑过的地方，下过的蛋。。。嘿嘿。。


把记录复制出来看看：

创建时间：　2006-06-15 14:31:37
位   置：d:\windows\system32\yumhyeuj.d1l
>>> 注意， 这个文件的后缀是 .d1l (中间的是 数字 1 )
创建时间：　2006-06-15 14:31:37
位   置：d:\windows\system32\drivers\yumhyeuj.sys
>>> 驱动保护。驱动名：Yumhyeuj

创建时间：　2006-06-15 14:31:37
位   置：d:\windows\system32\yumhyeuj.dll
>>> 注意，这个后经缀是字母 .dll

创建时间：　2006-06-15 14:31:48
位   置：d:\windows\system32\config\systemprofile\local settings\temporary internet

files\content.ie5\qg85n3v1\xiaoyin[1].txt
>>>> 内容为：221.235.234.211:80

创建时间：　2006-06-15 14:32:19
位   置：d:\docume~1\cyq\locals~1\temp\yumhyeuj.log


看看还有什么漏网之鱼，拿出“安全分析专家”，GO GO GO





发现了一个隐藏进程和一个隐藏服务
这里没有显示出 “完整的路径名称” 是否为BUG？

注： 在注册表中可以找到具体的而且是完整的路径名称：\??\D:\WINDOWS\System32

\drivers\Yumhyeuj.sys <? 马脚露出来了
（是否在编程读取路径时碰到\??导致读取失败）

还有一个dll,则进来这里了。

想要去搜索这些文件，愣是没有找到？？？ 怎么可能？ 难道这是一只“天马”？

在CMD及资源管理器中是看不到这些病毒的存在的。

使用IceSword 查看SDT表， 原来系统被HOOK了文件的查找。

CODE:

d:\windows\system32\drivers\Yumhyeuj.sys   0x8058c1f4   NtQuerySystemInformation
d:\windows\system32\drivers\Yumhyeuj.sys   0x805961e4   NtQueryDirectoryFile
在这两个函数中无论是从CMD下还是在资源管理器中，实现了隐藏指定文件名的功能！
d:\windows\system32\drivers\Yumhyeuj.sys   0x805843fb   NtQueryValueKey
d:\windows\system32\drivers\Yumhyeuj.sys   0x805997c4   NtDeviceIoControlFile
d:\windows\system32\drivers\Yumhyeuj.sys   0x8057e323   NtEnumerateKey
d:\windows\system32\drivers\Yumhyeuj.sys   0x8056b5f7   NtEnumerateValueKey
d:\windows\system32\drivers\Yumhyeuj.sys   0x8058372f   NtOpenKEY

[Copy to clipboard]


再用记事本打开d:\docume~1\cyq\locals~1\temp\yumhyeuj.log看看它里面有什么内容

记录的格式：

CODE:

  时间           窗口     路径名称
[2006-06-15 14:54:21] 口令 C:\Program Files\Foxmail\Foxmail.exe
****     ? 这里存放记录的口令
[2006-06-15 14:54:25] 口令 C:\Program Files\Foxmail\Foxmail.exe
****     <= 这里存放记录到邮箱密码
[2006-06-15 14:54:28] 解析主机地址 C:\Program Files\Foxmail\Foxmail.exe


[Copy to clipboard]


小结：
  这只马首先会生成以下三个文件 yumhyeuj.d1l 、yumhyeuj.sys 、yumhyeuj.dll
还有一个是yumhyeuj.log，这里记录着你输入的任何一个键盘信息，包括你的帐号与密码
而xiaoyin[1].txt这个文件则记录着这只马的老家地址，发送个指令什么的。偶尔发送些东西什么的。。

。
然后，在一瞬间的时间，Process Explorer 中显示，Svchost.exe 正创建一个进程Iexplorer.exe (正常

的浏览器进程)，只是被注入了两个DLL（yumhyeuj.d1l 、yumhyeuj.dll），实现其隐藏进程功能及监听

TCP 1030 端口。
从哪个.sys的文件来看，系统是被创建了驱动服务。








清除：
  打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services，删除服务名为：

Yumhyeuj 的驱动服务。
  这里记得不要急着去终止那个具有隐藏进程的Iexplorer.exe进程，一旦被终止，系统会被重启

！
恢复
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters下的ServiceDll =   

%SystemRoot%\System32\dmserver.dll
被替换掉的内容参见下图

  最后，重新启动后，删除三个小马（yumhyeuj.d1l 、yumhyeuj.sys 、y

使用安全重启来删除 Hxdef 后门
简介：
  hxdef 是一款隐藏进程， 隐藏注册表， 隐藏连接， 隐藏文件的后门，
运行以后，你用任务管理器无法看到相应的进程，注册表这些。

作者还推出了黄金版的hxdef， 这个版本据说可以躲过iceword, knlps, rootkitreveal 这些内核级后门检测工具，

黄金版的是要付钱的， 呵呵。

但我相信，无论他怎么改， 使用安全重启一定可以把他找出来。


下面是我做的一个简单的介绍， 教你如何使用安全重启的。



一、运行我电脑里面一个病毒样本，hxdef
然后安全专家会拦截掉他，

为了描述安全重启的功能， 我们在这里面允许这个进程运行.




二、点击主窗口上面的安全重启按钮

界面如下：






三、重新启动电脑完成后，
会弹出一个窗口，显示安全专家帮你拦截的进程列表

在这儿我们看到了 hxdef.exe 被拦截了。




四、你可以选择编辑列表，