详述Viking变种清除　史上最完美攻略(2)

2008-02-23 07:12:30来源：互联网阅读 ()

最最可恨的就是感染所有驱动器上大于大约27KB的exe文件。加上约60KB的数据，文件图标丢失，目的在于被清除病毒后通过exe文件复活，当调用该句柄时自我释放为logon_1.exe rundl132.exe
并且恢复exe文件以便让它正常运行。。。
同时会自动从网上下载多达几十种其它类型的病毒，QQ盗号木马，热门网络游戏木马。至此，taskmgr任务管理器一团糟。。
因为木马众多会影响清除效率及难度，内存占用超大，危险系数也大。这点不得不佩服。。

如果你的系统有以上状况，那么请follow they step:
首先你断开internet网,删除杀毒软件。因为它已被病毒感染，它在内存里只是添麻烦而已

重新安装杀毒软件，比较可以的有卡巴斯基、mcafee、江民，推荐用卡巴，安完马上重启。不要停留不然新的杀软会又中标的。安全模式下因为不能启用msiexec所以很多软件安不了
冷启动或关机，拨电源也可，待光电鼠标灯不亮了再开机（呵呵太夸张了)
进入带网络连接的安全模式，（如果不能上网就还是进正常模式），用文件夹选项里面打开显示所有文件；取消隐藏系统文件复选框，选中显示已知文件扩展名；下载viking专杀工具，这里推荐江民的。下载"瑞星卡卡助手"用于以后修复注册表，如果为exe文件最好改下后缀名。以后运行时再改回来。升级杀毒软件为最新版。升了马上重启进入纯安全模式，只运行系统盘扫描。扫到的病毒名及路径用笔记下来。
冷启动。。光盘或U盘启动dos，查找刚才记下来那些文件，有就删。我用的是windowsPE启动盘启动。所以免去了dos命令带来的麻烦，最主要要找到并删除上文说到的那些文件，这里很关键，一定要仔细找。
进入安全模式，运行regedit.exe （记住一定要输入.exe，因为如果没删干净，exe文件会被再度被作为winfile文件类型中的病毒命令行打开。）
按ctrl f查找以上述文件的文件名的键值删除。
进入正常模式，这时可能因为杀毒引起不能上网了，用刚才下载的“瑞星卡卡助手”修复IE和注册表吧。顺便也扫一下刚才可能viking下载有的其它木马及残留（切记不要启动宽带拨号程序，因为Enternet500这类拨号程序己被感染，如果是xp下的默认拨号，也最好不要去动）
接下来进程应该干净了，就要处理被感染的exe文件了，如果你不想要这些文件可以选择直接用专查工具把它们杀烂，或查找直接删除，还省了下边的步骤。因为以下步骤最安全但容易累死人
仿制logon_1.exe rundl132.exe richdll.dll
新建文本文档.txt，建三个，分别改为以上三个文件名。并且设为只读。放在平时它们感染的目录下。目录位置上文己提及。目的用于免疫，防止染毒exe文件释放出同名病毒文件。
也可使用gpedit.msc，组策略中用户配置\管理模板\系统\不要运行windows程序中，启用并添加logon_1.exe
rundl132.exe
也可使用mcafee杀毒软件中的文件规则，禁止在硬盘中新建*.exe *.com 文件
后两种限制方法我没试过，但理论上说是成立的
接下来按顺序分别查找每个盘上的exe文件。按大小排列结果，降序排列。旁边打开个任务管理器窗口，记下任务条目及数量。如进程数：22
双击空白图标exe文件，注意任务管理器变化。例：如果双击game.exe则，已染毒现象：任务管理器会多出一个进程叫game.exe 这时你再双击。或反复再双击。会看到又会多出game.exe，如果是基于16位兼容模式的程序，会出现一个ntvdm的进程，不影响，可结束。稍后你可能会发现net 和 net1 进程一闪而过，持续不到1秒，而后出现一个或多个cmd进程。这时请结束所有game.exe,cmd进程也会结束。病毒从内存中得到释放。可以再次双击如果不再产生cmd进程或能恢复正常图标，或能正常运行，证明该文件不再带毒。第二种情况：game.exe一会自动消失
或每双击一次多出一个game.exe而没其它进程。说明此文件未被感染
一个一个分区，一个一个文件的测试。修复。当然，你要是烦了，可以将不重要的文件放一边。专心找自己心爱的exe文件。反正剩下的不重要的exe文件就留给江民专杀来杀烂得了。。无所谓
辛苦工作完成后，也不必要重启，打开江民专杀来清理漏网之鱼吧。
查毒软推荐使用Mcafee（卖咖啡），查毒功能较强，且最强最具特色最实用之处在于他可以像设置IP安全策略那样设置禁止任何类型文件的建立，写入，修改，甚至读取！！，这在我们访问不可信站点或发现有木马苗头的时候大有帮助。即使查不出来我也不准你建文件改文件！强吧？？
缺点就是占用内存资源太高，优化版的我都发现有七个进程。。晕。。。鱼和熊掌不可兼得啊。。
写了这么多，我尽量想到的都想到了。我曾如此辛苦，故不希望大家都绕弯路。但愿对大家有所帮助。
最后发表我的一点看法，杀毒软件只是一个辅助工具。每个厂商的杀软都有优点有缺点。很多人就是把杀软看成无敌的了。认为中了毒，清一色杀毒扫描的做法。其实，很多时候甚至是心理安慰，障眼法。。我是从dos时代一路走来的，中过多种病毒。看到老师们用pctools及debug手动杀过不少毒，总结出：手动才是王道！！手动万岁。。
在E时代，我们要发扬取长补短的做法，把杀软的效率化，全面化，结合人工的仔细，灵活。这样才能尽心尽力像对待生活那样对待电脑