根据系统报告将病毒木马撵出电脑

作者：老狼    来源：家用电脑    投递者： orz      [2008-01-11 15:59]      阅读：人

• 
  
  
  顶一下
• 互联网并不安全，危机四伏；甚至看个网页就有可能被种上木马，随着下载者木马的进入，各种各样盗号木马随之安营扎寨。对付这些无孔不入的木马病毒，单独依靠杀毒软件是远远不够的。

[Page:2 ]

小提示：

     如果文件名称是很无规律的8位随机数，那基本可以确定“有问题”无疑，但是那些貌似正常的例如“upxdnd.exe”该如何判断呢？建议大家有空多去逛逛杀毒软件公司的网站，看看病毒流行公告。此外还有一个小技巧：看文件目录。也就是说如果某文件处在可信目录中，例如“C:\Program Files\Herosoft\”，那么这个目录下所有文件都是可以信任的（快速分析时）。不过这也需要对正常文件目录有所了解，例如某个木马就隐藏在“C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\sysloader.exe”，这个目录看上去貌似正常吧？所以看报告关键要看积累。

     提醒一下，我发现分析助手有个小问题，就是进程模块信息中有错落问题，据作者回复是由于进程无公司排序造成的，以后会改进。如果你看原始报告不嫌头大的话，倒是可以直接看。

分析要准确，下手要慎重

     有了前面的分析基础，那么后面的“系统服务”和“驱动程序”就好办多了，原则和前面的是一样的，不再重复阐述。但是要注意 “C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll”是正常的系统服务、“system32\DRIVERS\secdrv.sys”是系统驱动，他们公司名为“N/A”，不要误删除了哦。同理标记为“N/A”的系统重要文件还有system32\msdmo.dll、system32\shdocvw.dll、system32\SHELL32.dll这些多在“浏览器BHO”里面出现，下手不准的请慎重了。

查看“其他修复”项目

     1、 “Autorun项目”一般是空（N/A），如果有则说明中了Auto类病毒（提个醒，分析的时候记得带毒分析，有的网友自己删除Autorun.inf文件后再做报告，容易漏掉项目）。

     2、 “Hosts文件”一般只有一项“127.0.0.1 localhost”，如果有其他的项目并且不是你自己或者网管添加的就要进行清理。

     3、 而“Winsock供应者”一般也是“N/A”但是不一定，因为杀毒软件例如NOD32和某些高校常用的拨号软件“Dr.com”都会修改这里。NOD32 是“C:\WINDOWS\system32\imon.dll”、Dr.com修改为“C:\WINDOWS\system32\TcpIpDog0.dll”（注意，公司名为“N/A”）。