网络安全 频道

手动删除病毒木马程序

前言
  常常听到许多人说俺中毒了怎么办,回答当然是杀毒,F8杀毒,但如果您手头的杀毒程序功能不强或更新速度过慢,那只能让病毒特别是可恶的木马无孔不如了,这里我为大家介绍一种手动查杀毒方法。。毛主席教导我们说自己动手丰衣足食嘛呵呵(当然相信许多高手一定都一直到更多方法,但我发现我们的论坛却没有一篇详细的着类文章。所以自己做了个总结,如有不足请多多指教)
在这里我们要用的的几个必杀工具有:
1.Fport
2.WinProcess(windows优化大师进程查看工具)
3.ha-killbox
  这些软件一般网站都有下载如黑鹰,而且软件大小很小 ,功能强大,基本上对机子配置系统没有要求,更重要的是可是免费哦,相信这年头没有哪个病毒软件能做到吧 呵呵)
  如果某年某月日我们如感觉自己机子感觉不对头(当然这要的是经验)。。那就请开始我们的文章吧
首先我们用Fport(当然windows自带的netstat -na命令也可以只是功能稍微逊点不能直接看到是哪个程序来)查看可恶的木马是否骑站了咱们的某些端口
第一步 下载Fport 解压在Fport文件夹中建立BAT文件,为方便以后每次使用(具体步骤1.点右键建立快接方式,2该文件名为Fport.bat,3点右键编辑“start cmd.exe”保存)
第二步打开 Fport.bat
出现如下:^

=======================================
 
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.
C:\Documents and Settings\Administrator
E:\>fport /ap
FPort v2.0 - TCP/IP Process to Port Mappercz
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com

Pid   Process            Port  Proto Path
616   Apache         ->  80    TCP   D:\usr\local\apache\Apache.exe
464   svchost        ->  135   TCP   C:\WINNT\system32\svchost.exe
8     System         ->  139   TCP
8     System         ->  445   TCP
516   msdtc          ->  1025  TCP   C:\WINNT\System32\msdtc.exe
628   tcpsvcs        ->  1026  TCP   C:\WINNT\System32\tcpsvcs.exe
1192  MSTask         ->  1027  TCP   C:\WINNT\system32\MSTask.exe
8     System         ->  1029  TCP
1316  svchost        ->  1621  TCP   C:\WINNT\system32\svchost.exet
1316  svchost        ->  1623  TCP   C:\WINNT\system32\svchost.exe
1316  svchost        ->  1627  TCP   C:\WINNT\system32\svchost.exe
8     System         ->  1770  TCP
768   mysqld-nt      ->  3306  TCP   D:\usr\local\mysql\bin\mysqld-nt.exe
516   msdtc          ->  3372  TCP   C:\WINNT\System32\msdtc.exe
628   tcpsvcs        ->  67    UDP   C:\WINNT\System32\tcpsvcs.exe
628   tcpsvcs        ->  68    UDP   C:\WINNT\System32\tcpsvcs.exe FTP.exe-z
8     System         ->  137   UDP
8     System         ->  138   UDP
8     System         ->  445   UDP
256   lsass          ->  500   UDP   C:\WINNT\system32\lsass.exe3
1648  rundll32       ->  1703  UDP   C:\WINNT\system32\rundll32.exe
1500  Rundll32       ->  1751  UDP   C:\WINNT\system32\Rundll32.exe
628   tcpsvcs        ->  2535  UDP   C:\WINNT\System32\tcpsvcs.exe
2520  WebScanner     ->  3674  UDP   E:\Hk\FFScanDemo\WebScanner.exe
2696  iexplore       ->  3699  UDP   C:\Program Files\Internet Explorer\iexplore.exe

=======================================
具体操作详情见
木马和未授权远程控制软件的关闭
http://bbs.hackbase.com/viewthread.php?tid=2753809&sid=wLklic
 
然后我们用WinProcess 查看具体进程具体分析
直接可以与下面的文章进行参照找出不合法的进程,
Windows进程完全解析
http://bbs.hackbase.com/viewthre ... hlight=%BD%F8%B3%CC

  最后那当然是删除病毒文件了 我们用到的程序是ha-killbox 。KillBox 实质是一个删除任意文件的利器,它不管这个文件是EXE还是DLL等其它文件,也不管这个文件是正在运行中,还是被系统调用了,KillBox 都可以简单几步就将文件删除。正因如此,KillBox 在反病毒方面使用非常之棒。现时流行类病毒(蠕虫、木马)很多均为单独的病毒文件,与系统无关,可以安全删除此类病毒文件。但在删除过程,由于病毒的狡滑,总是很难删除,这连国际知名安全软件产商也推荐在安全模式杀毒。有了 KillBox ,一切变得简单多了,只要先通过 HijackThis 等系统分析工具的 Log ,确认了病毒的文件,再填上病毒文件的完整路径,或通过游览选中此病毒文件,一 K 就行了(某些病毒可能需要重启电脑)。
我使用的使酷儿中文版功能,很齐全有使用说明。。大家只要参照说明相信没有杀不了的病毒
总结 大家也可以配上可以搭配 HijackThis & CheckRun 或卡巴斯基出品的木马探测器来直接扫描病毒然后用KillBox删除。呵呵我一般多用木马客星(电脑报测试100%查马软件 估计吹牛)扫到然后用KillBox删,至于HijackThis也是个很帅气的软件有机会再详细介绍使用方法
如果大家想看看他的使用可以去
http://bbs.dvbbs.net/dispbbs.asp ... D=911685&page=1
很齐全的!哦
0
相关文章