QQ病毒查杀实战

　　好了，之后就没有再查找到可疑程序，到这里就查找完整了。。。接下来，就是先记录下来这些可疑文件的文件名字（有位置的顺便把文件位置也记录下来），然后将上面说的可疑键值全部删除掉。其中有一个比较特别的是rundll32.exe文件，这个本是windows的自带文件，但是病毒文件将其替换掉了，恢复方法见后。

　　Ok，关闭regedit，等待个几分钟，然后再打开regedit看看，重复一下上面的操作，看看刚才在注册表里的键值是否真的删除掉了。因为利用改写系统system i/o操作，可以作到令删除指定文件/注册表项目的操作无效--该技术目前只看到3721用到过。我查了一下，的确都删除了，看来这些木马技术含量还真不是一般的低，真好杀。

　　现在让我们运行一下scanregw，重新备份注册表

　　为什么这里要重新备份一次呢？？因为windows有个习惯，就是如果是非法关机，那么此次的注册表操作都不保存--我曾经遇到过不少病毒利用这点来刻意令windows无法正常关机，达到用户即使清理了注册表也无效的效果。因此为了预防这点，我们重新备份一次注册表--这时候的注册表中已经是没有木马选项的了。

　　好了，重新启动计算机，开机按f8，进入到安全模式中。这时候因为不运行注册表里的启动程序，所以所有的木马都成了一匹死马--除了d盘下的利用autorun.inf的那个。等下特别关照它。

　　按照刚才记录下来的程序位置，依次进入到该目录中将该病毒文件删除；上面提到过，除了一个特殊的木马外，其他的都在c盘，所以直接进到相应目录里，删除文件即可。

　　接下来，在"我点电脑中"，在d盘上点右键，选择"打开"方式打开d盘（如下图），注意，这一步不可以直接双击d盘图标打开，那样会导致d盘根目录下的autorun.inf自动执行，别忘记了d盘的木马还没删除掉呢。

上一页  [1] [2] [3] [4] [5] [6]  下一页