2007-2-21 11:04
[本帖转载自水木社区Virus版]
这个帖子包括了 软件简介及修复方法等
1、SREng (病毒问题用这个发log) 版本:2.3.13.690 2006-12-25
2、HijackThis 版本:1.99.1 2005-2-16
3、KillBox 和 Unlocker(删除工具)
4、IceSword 版本:1.20 2006-10-22
5、msinfo32
6、Winsock XP Fix 和 LSPFix(Winsock 修复工具)
7、RootkitRevealer
8、FileMon 和 RegMon
1、SREng
版本:v2.3.13.690 2006-12-25
简介:作者Smallfrogs,System Repair Engineer(SREng) 是一款全新的、强有力的、可扩
充的用于调整和修复你系统的免费工具,在这个工具的帮助下,你可以察觉你的系统故障并
能够很容易的修复他们。
使用方法:
[如何发log]
附件 下载解压后运行 SREng,选择 "智能扫描","扫描","保存报告",然后把扫描后的
SREng.log这个文件以附件发上来或者把其中的内容 复制 粘贴上来。
注意:扫描log前关闭打开的应用程序,包括qq等,方便看log
[如何修复]
简单概括:结束进程、修复、手动删除文件,具体如下,把(1)~(9)看懂再操作,
如果正常模式操作不成功进安全模式下操作
按下列方法操作,修复后手动删除文件(不能删除的可以使用删除工具KillBox或者
Unlocker)。
(1)注册表
先在任务管理器里结束要修复的对应“注册表”项的进程(注意有的"注册表"项没有运行的
进程,有的进程有同名的系统文件,如svchost.exe、lsass.exe等,结束这样的进程可以用
icesword等软件,可以看到路径)。
在SREng中 "启动项目" "注册表" 鼠标左键在对应要修复的项上单击,然后点击"删除"
注意如果以下3项需要修复,恢复如下的默认值
(在SREng中 "启动项目" "注册表" 鼠标左键在对应要修复的项上单击,然后点击"编辑" 修
改对应"值" 如下即可)
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINDOWS\system32\Userinit.exe,>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><>
(2)启动文件夹
在SREng中 "启动项目" "注册表" 鼠标左键在对应要修复的项上单击,然后点击"删除"。
(3)服务 & 驱动程序
在SREng中 "启动项目" "服务" "win32 服务应用程序"(或者"驱动程序") 先勾选右下角
的 "隐藏已认证的微软项目" 鼠标左键在对应要修复的项上单击,然后选择右下角的"删除
服务",点击"设置",在弹出的窗口中点"否"。
(4)浏览器加载项
在SREng中 "系统修复" "浏览器加载项" 鼠标左键在对应要修复的项上单击,然后点击"删
除所选内容"。
(5)正在运行的进程
对于要删除的文件,可以到安全模式删除,或者用killbox等工具软件。
(6)文件关联
在SREng中 "系统修复" "文件关联" 鼠标左键在对应要修复的项前勾选,然后点击"修复"。
(7)Winsock 提供者
用log 中 提示的文件搜索,确认是恶意添加的
可以使用 lspfix 删除对应文件
最后再用 winsock xp fix 修复一下
(8)Autorun.inf
按照SREng log中 删除对应分区下的autorun.inf 及相关exe文件
如果要删除的文件看不到,文件夹选项设置显示所有文件;或者使用IceSword
(9)HOSTS 文件
在SREng中 "系统修复" "HOSTS 文件" "127.0.0.1 localhost"这个保留,其它的全部删除
(自己添加的除外)
2、HijackThis
版本:v1.99.1 2005-2-16
简介:作者Merijn,是一个非常有用的检测扫描工具,主要用于扫描显示系统当前进程、启
动项信息、BHO(Browser Helper Object)、ToolBar(浏览器工具栏)、DPF(
Downloaded Program Files)等信息,并且具有修复功能,对于发现病毒等有害程序有很大
帮助,尤其是在发现/修复浏览器劫持方面有很大作用。
使用方法:
[如何发log]
附件 下载 解压后 运行 hijackthis,选择 "扫描系统并保存日志",然后把扫描后的
hijackthis.log这个文件以附件发上来或者把其中的内容 复制 粘贴上来。
注意:扫描log前关闭打开的应用程序,包括qq等,方便看log
[如何修复]
简单概括:结束进程、修复、手动删除文件,具体如下,把(1)~(5)看懂再操作,
如果正常模式操作不成功进安全模式下操作
(1)在HijackThis扫描的结果中,选中需要修复的项目,按下修复(Fix checked)按钮进行
修复。修复前请关闭所有浏览器窗口和文件夹窗口。
(2)修复后手动删除对应文件(不能删除的可以使用删除工具KillBox或者Unlocker,注意
hijackthis修复的只是注册表信息)。
(3)对于04项,修复前先在任务管理器里结束对应进程(注意有的04项没有运行的进程,有的
进程有同名的系统文件,如svchost.exe、lsass.exe等,结束这样的进程可以用icesword等
软件,可以看到路径)。
(4)对于023项,修复后,对于显示(file missing)项,可以用hijackthis的工具箱删除,或
者SREng操作 对应的 服务项,方法看SREng。
(5)对于以下类似位置的项,注意
F2 - REG
ystem.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\ .exe
(此项删除文件 C:\WINDOWS\ .exe)
F2 - REGystem.ini: Shell=Explorer.exe C:\WINNT\System32\kernels32.exe
(此项删除文件 C:\WINNT\System32\kernels32.exe)
O4 - 启动项HKLM\\Run: [Desktop] C:\WINDOWS\system32\rundll32.exe "C:\Program
Files\DeskAdTop\Run.dll" ,Rundll
(此项删除文件 C:\Program Files\DeskAdTop\Run.dll)
3、KillBox 和 Unlocker
(1)KillBox
版本:2.0.0.881(附件内为汉化版2.0.0.648)
简介:作者Option Explicit,删除文件和文件夹的工具软件
使用方法:
(1)标准方式删除模式:选择此项后,可以辅助选择 "删除前先结束"Explorer.exe进程"和"删
除dll前先反注销此文件
(2)重启后删除文件:选择此项后,浏览选上要删除的文件,然后点红色的X操作即可(对于同
时删除多个文件,点红色X后在弹出的选择框中选择否,然后重复加入其他文件,最后一个文件
加入后,在弹出框中选择是)
(3)重启后替换文件:选择此项后,浏览选上要删除的文件,然后勾选"替换文件",killbox自
动提供替换文件,然后点红色的X操作即可
(2)Unlocker
版本:1.8.5 2006-7-9(英文版,需要安装)
简介:功能强大,正常模式就可以删除大部分文件
使用方法:
在要删除的文件/文件夹上 鼠标右键 选择 “unlocker”,然后再弹出的窗口中选择“
delete”
4、IceSword
版本:v1.20 2006-10-22
简介:作者pjf,IceSword是一斩断黑手的利刃(所以取这土名,有点搞e,呵呵)。它适用于
Windows 2000/XP/2003操作系统,用于查探系统中的幕后黑手(木马后门)并作出处理,当然
使用它需要用户有一些操作系统的知识。
IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件,比如一些进程工具、
端口工具,但是现在的系统级后门功能越来越强,一般都可轻而易举地隐藏进程、端口、注
册表、文件信息,一般的工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内
核技术,使得这些后门躲无所躲。
使用方法:
参考其帮助文件
5、Msinfo32模块分析
简介:操作系统自带的命令,有时SREng hijackthis 分析不出时,这个命令比较实用
使用方法:
开始菜单 运行 输入 msinfo32 回车
在弹出的 "系统信息" 窗口中,选择 "软件环境" "加载的模块"
(1)点击"文件日期"列,按时间排序,用最新加载的几个模块文件google,排查
(2)点击"制造商"列,进行排序,用不确认的制造商模块文件或没有制造商的模块文件
google,排查
6、LSPFix 和 Winsock XP Fix
版本v1.2 2003-12-7) (v1.1 2006-7-4)
简介:Winsock 修复工具
使用方法:
(1)LSPFix(辅助修复HijackThis扫描发现的O10项)
使用时,请关闭所有IE界面和文件夹界面后运行LSPFix,运行后,把要修复的那项从左边转
到右边,点“Finish”即可。(不过这之前,需要在“I know what I`m doing”前面打勾
。)
(2)Winsock XP Fix
运行 点击 修复 后,重起电脑
7、RootkitRevealer
版本:v1.71 2006-11-1(英文)
简介:Sysinternals的Rootkit检测工具,能检测出www.rootkit.com公布的所有Rootkit,包
括AFX, Vanquish and HackerDefender (注意:RootkitRevealer不能够检测那些没有隐藏
文件和注册表的Rootkit,比如FU_Rootkit)。
8、FileMon和RegMon
版本v7.04 2006-11-1) (v7.04 2006-11-1)
简介:Sysinternals的文件和注册表监控工具
在病毒文件、注册表项删除但立刻重复出现的情况下,使用这两个工具,监视病毒文件和注
册表项由哪些进程或线程再次生成。有助发现问题。
为了减轻服务器压力, 以下仅提供站外链接~
附件: SREng2.zip (477 KB) 链接:
http://www.newsmth.net/att.php?p.78.2278...0.7565.zip
附件: hijackthis.zip (246 KB) 链接:
http://www.newsmth.net/att.php?p.78.2278...496134.zip
附件: KillBox.zip (77 KB) 链接:
http://www.newsmth.net/att.php?p.78.2278...748164.zip
附件: unlocker1.8.5.zip (163 KB) 链接:
http://www.newsmth.net/att.php?p.78.2278...827312.zip
附件: IceSword120_cn.zip (2120 KB) 链接:
http://www.newsmth.net/att.php?p.78.2278...995126.zip
附件: LSPFix.zip (185 KB) 链接:
http://www.newsmth.net/att.php?p.78.2278...166973.zip
附件: WinSock_XP_Fix.zip (683 KB) 链接:
http://www.newsmth.net/att.php?p.78.2278...356826.zip
附件: RootkitRevealer.zip (225 KB) 链接:
http://www.newsmth.net/att.php?p.78.2278...057031.zip
附件: Filemon_v7.04.zip (544 KB) 链接:
http://www.newsmth.net/att.php?p.78.2278...288453.zip
附件: Regmon_v7.04.zip (261 KB) 链接:
http://www.newsmth.net/att.php?p.78.2278...845916.zip
[ 本帖最后由 Metmet 于 2007-2-21 11:08 编辑 ]
这个帖子包括了 软件简介及修复方法等
1、SREng (病毒问题用这个发log) 版本:2.3.13.690 2006-12-25
2、HijackThis 版本:1.99.1 2005-2-16
3、KillBox 和 Unlocker(删除工具)
4、IceSword 版本:1.20 2006-10-22
5、msinfo32
6、Winsock XP Fix 和 LSPFix(Winsock 修复工具)
7、RootkitRevealer
8、FileMon 和 RegMon
1、SREng
版本:v2.3.13.690 2006-12-25
简介:作者Smallfrogs,System Repair Engineer(SREng) 是一款全新的、强有力的、可扩
充的用于调整和修复你系统的免费工具,在这个工具的帮助下,你可以察觉你的系统故障并
能够很容易的修复他们。
使用方法:
[如何发log]
附件 下载解压后运行 SREng,选择 "智能扫描","扫描","保存报告",然后把扫描后的
SREng.log这个文件以附件发上来或者把其中的内容 复制 粘贴上来。
注意:扫描log前关闭打开的应用程序,包括qq等,方便看log
[如何修复]
简单概括:结束进程、修复、手动删除文件,具体如下,把(1)~(9)看懂再操作,
如果正常模式操作不成功进安全模式下操作
按下列方法操作,修复后手动删除文件(不能删除的可以使用删除工具KillBox或者
Unlocker)。
(1)注册表
先在任务管理器里结束要修复的对应“注册表”项的进程(注意有的"注册表"项没有运行的
进程,有的进程有同名的系统文件,如svchost.exe、lsass.exe等,结束这样的进程可以用
icesword等软件,可以看到路径)。
在SREng中 "启动项目" "注册表" 鼠标左键在对应要修复的项上单击,然后点击"删除"
注意如果以下3项需要修复,恢复如下的默认值
(在SREng中 "启动项目" "注册表" 鼠标左键在对应要修复的项上单击,然后点击"编辑" 修
改对应"值" 如下即可)
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINDOWS\system32\Userinit.exe,>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><>
(2)启动文件夹
在SREng中 "启动项目" "注册表" 鼠标左键在对应要修复的项上单击,然后点击"删除"。
(3)服务 & 驱动程序
在SREng中 "启动项目" "服务" "win32 服务应用程序"(或者"驱动程序") 先勾选右下角
的 "隐藏已认证的微软项目" 鼠标左键在对应要修复的项上单击,然后选择右下角的"删除
服务",点击"设置",在弹出的窗口中点"否"。
(4)浏览器加载项
在SREng中 "系统修复" "浏览器加载项" 鼠标左键在对应要修复的项上单击,然后点击"删
除所选内容"。
(5)正在运行的进程
对于要删除的文件,可以到安全模式删除,或者用killbox等工具软件。
(6)文件关联
在SREng中 "系统修复" "文件关联" 鼠标左键在对应要修复的项前勾选,然后点击"修复"。
(7)Winsock 提供者
用log 中 提示的文件搜索,确认是恶意添加的
可以使用 lspfix 删除对应文件
最后再用 winsock xp fix 修复一下
(8)Autorun.inf
按照SREng log中 删除对应分区下的autorun.inf 及相关exe文件
如果要删除的文件看不到,文件夹选项设置显示所有文件;或者使用IceSword
(9)HOSTS 文件
在SREng中 "系统修复" "HOSTS 文件" "127.0.0.1 localhost"这个保留,其它的全部删除
(自己添加的除外)
2、HijackThis
版本:v1.99.1 2005-2-16
简介:作者Merijn,是一个非常有用的检测扫描工具,主要用于扫描显示系统当前进程、启
动项信息、BHO(Browser Helper Object)、ToolBar(浏览器工具栏)、DPF(
Downloaded Program Files)等信息,并且具有修复功能,对于发现病毒等有害程序有很大
帮助,尤其是在发现/修复浏览器劫持方面有很大作用。
使用方法:
[如何发log]
附件 下载 解压后 运行 hijackthis,选择 "扫描系统并保存日志",然后把扫描后的
hijackthis.log这个文件以附件发上来或者把其中的内容 复制 粘贴上来。
注意:扫描log前关闭打开的应用程序,包括qq等,方便看log
[如何修复]
简单概括:结束进程、修复、手动删除文件,具体如下,把(1)~(5)看懂再操作,
如果正常模式操作不成功进安全模式下操作
(1)在HijackThis扫描的结果中,选中需要修复的项目,按下修复(Fix checked)按钮进行
修复。修复前请关闭所有浏览器窗口和文件夹窗口。
(2)修复后手动删除对应文件(不能删除的可以使用删除工具KillBox或者Unlocker,注意
hijackthis修复的只是注册表信息)。
(3)对于04项,修复前先在任务管理器里结束对应进程(注意有的04项没有运行的进程,有的
进程有同名的系统文件,如svchost.exe、lsass.exe等,结束这样的进程可以用icesword等
软件,可以看到路径)。
(4)对于023项,修复后,对于显示(file missing)项,可以用hijackthis的工具箱删除,或
者SREng操作 对应的 服务项,方法看SREng。
(5)对于以下类似位置的项,注意
F2 - REG
ystem.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\ .exe(此项删除文件 C:\WINDOWS\ .exe)
F2 - REG
ystem.ini: Shell=Explorer.exe C:\WINNT\System32\kernels32.exe(此项删除文件 C:\WINNT\System32\kernels32.exe)
O4 - 启动项HKLM\\Run: [Desktop] C:\WINDOWS\system32\rundll32.exe "C:\Program
Files\DeskAdTop\Run.dll" ,Rundll
(此项删除文件 C:\Program Files\DeskAdTop\Run.dll)
3、KillBox 和 Unlocker
(1)KillBox
版本:2.0.0.881(附件内为汉化版2.0.0.648)
简介:作者Option Explicit,删除文件和文件夹的工具软件
使用方法:
(1)标准方式删除模式:选择此项后,可以辅助选择 "删除前先结束"Explorer.exe进程"和"删
除dll前先反注销此文件
(2)重启后删除文件:选择此项后,浏览选上要删除的文件,然后点红色的X操作即可(对于同
时删除多个文件,点红色X后在弹出的选择框中选择否,然后重复加入其他文件,最后一个文件
加入后,在弹出框中选择是)
(3)重启后替换文件:选择此项后,浏览选上要删除的文件,然后勾选"替换文件",killbox自
动提供替换文件,然后点红色的X操作即可
(2)Unlocker
版本:1.8.5 2006-7-9(英文版,需要安装)
简介:功能强大,正常模式就可以删除大部分文件
使用方法:
在要删除的文件/文件夹上 鼠标右键 选择 “unlocker”,然后再弹出的窗口中选择“
delete”
4、IceSword
版本:v1.20 2006-10-22
简介:作者pjf,IceSword是一斩断黑手的利刃(所以取这土名,有点搞e,呵呵)。它适用于
Windows 2000/XP/2003操作系统,用于查探系统中的幕后黑手(木马后门)并作出处理,当然
使用它需要用户有一些操作系统的知识。
IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件,比如一些进程工具、
端口工具,但是现在的系统级后门功能越来越强,一般都可轻而易举地隐藏进程、端口、注
册表、文件信息,一般的工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内
核技术,使得这些后门躲无所躲。
使用方法:
参考其帮助文件
5、Msinfo32模块分析
简介:操作系统自带的命令,有时SREng hijackthis 分析不出时,这个命令比较实用
使用方法:
开始菜单 运行 输入 msinfo32 回车
在弹出的 "系统信息" 窗口中,选择 "软件环境" "加载的模块"
(1)点击"文件日期"列,按时间排序,用最新加载的几个模块文件google,排查
(2)点击"制造商"列,进行排序,用不确认的制造商模块文件或没有制造商的模块文件
google,排查
6、LSPFix 和 Winsock XP Fix
版本v1.2 2003-12-7) (v1.1 2006-7-4)
简介:Winsock 修复工具
使用方法:
(1)LSPFix(辅助修复HijackThis扫描发现的O10项)
使用时,请关闭所有IE界面和文件夹界面后运行LSPFix,运行后,把要修复的那项从左边转
到右边,点“Finish”即可。(不过这之前,需要在“I know what I`m doing”前面打勾
。)
(2)Winsock XP Fix
运行 点击 修复 后,重起电脑
7、RootkitRevealer
版本:v1.71 2006-11-1(英文)
简介:Sysinternals的Rootkit检测工具,能检测出www.rootkit.com公布的所有Rootkit,包
括AFX, Vanquish and HackerDefender (注意:RootkitRevealer不能够检测那些没有隐藏
文件和注册表的Rootkit,比如FU_Rootkit)。
8、FileMon和RegMon
版本v7.04 2006-11-1) (v7.04 2006-11-1)
简介:Sysinternals的文件和注册表监控工具
在病毒文件、注册表项删除但立刻重复出现的情况下,使用这两个工具,监视病毒文件和注
册表项由哪些进程或线程再次生成。有助发现问题。
为了减轻服务器压力, 以下仅提供站外链接~
附件: SREng2.zip (477 KB) 链接:
http://www.newsmth.net/att.php?p.78.2278...0.7565.zip
附件: hijackthis.zip (246 KB) 链接:
http://www.newsmth.net/att.php?p.78.2278...496134.zip
附件: KillBox.zip (77 KB) 链接:
http://www.newsmth.net/att.php?p.78.2278...748164.zip
附件: unlocker1.8.5.zip (163 KB) 链接:
http://www.newsmth.net/att.php?p.78.2278...827312.zip
附件: IceSword120_cn.zip (2120 KB) 链接:
http://www.newsmth.net/att.php?p.78.2278...995126.zip
附件: LSPFix.zip (185 KB) 链接:
http://www.newsmth.net/att.php?p.78.2278...166973.zip
附件: WinSock_XP_Fix.zip (683 KB) 链接:
http://www.newsmth.net/att.php?p.78.2278...356826.zip
附件: RootkitRevealer.zip (225 KB) 链接:
http://www.newsmth.net/att.php?p.78.2278...057031.zip
附件: Filemon_v7.04.zip (544 KB) 链接:
http://www.newsmth.net/att.php?p.78.2278...288453.zip
附件: Regmon_v7.04.zip (261 KB) 链接:
http://www.newsmth.net/att.php?p.78.2278...845916.zip
[ 本帖最后由 Metmet 于 2007-2-21 11:08 编辑 ]