⑴精确打击病毒文件
过了1分多钟,发现病毒没有再进行什么,估计已经潜伏好了。现在该IceSword上场了,先是进程,没有发现病毒。既然进程中没有,那就直接删除系统文件夹中的病毒,用IceSword的文件夹浏览功能就可以使所有文件显出原型,即便病毒修改了注册表。用IceSword打开C:\Windows\system32\点击“创建时间”,直到将时间拉到现在,这样system32下的新建的所有文件就会一目了然。可以看到htedtp.exe和QQhx.dat两个在Filemon列表中出现过的病毒文件,至于htedtp.dll无需废话直接连它一起右击“强制删除”即可。根据Filemon的文件动作列表显示的病毒动作列表,按图索骥清除其他分区病毒。
小知识:关于不可显示隐藏文件的问题
由于部分病毒修改注册表中:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ Folder\Hidden\SHOWALL]下的CheckedValue"=dword:00000001键值为CheckedValue"=dword:00000000或者干脆胡乱修改。使得即便在文件夹选项中选择了“显示所有文件和文件夹”并且确认后,再次打开文件夹选项后,发现选项仍是“不显示隐藏文件和文件夹”。就是通过这种方法大部分病毒达到了隐藏的目的。在将键值改正后一般就会恢复正常。如果还是不行的话,可以删除键值,再重新建一个CheckedValue的dword值。如果还是嫌麻烦的话,网上专门有高手制作的工具可以使用或者将正常的注册表值导入即可。
⑵注册表清理
IceSword同时也集成了注册表浏览和部分编辑功能,很实用,但是要编辑或创建键值还是用注册表编辑器(regedit.exe)里来进行编辑。由于关闭瑞星的注册表监控,病毒的注册表行为不是很清楚,但这里可以很明显的看出htedtp.exe文件已经成功地创建了自启动值,(见图7)右击删除所选即可。还有其他地方也是病毒常常光顾的地方,由于介绍的文章很多不在重复说明。至此病毒清除完毕。
小知识:Autorun.inf文件的是非
在这里我们要强调一点,有的病毒会在创建病毒文件时“赠送”一个Autorun.inf文件,此sxs病毒的INF文件所写的内容
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe
其他很多病毒和这个病毒一样“慷慨”地将这个文件分发到其他分区和移动存储上以备不时之需。这个文件的相关内容以往Cfan介绍的很多,它的目的就是为自己打造不死之身,所以要在清除sxs的同时要注意顺便清除它一下。不过病毒有时还会修改磁盘打开关联,推荐一款DSW实验室的Autorun病毒免疫工具,它还可以修复磁盘打开关联,下载地址:http://killer.9i3g.cn/download/antiautorun.rar
常看《电脑爱好者》的朋友们一定知道“蜜罐”技术吧,虽然此文的方法与“蜜罐”技术相距甚远,但是打造一个安全的、可控的实验室环境来静观病毒发作是它们的共同点。让病毒将自己的行为暴露给我们,然后我们以最简单的方式将病毒消灭掉,然后将病毒的“罪状”一条条列出,制作出相应的专杀工具以弥补杀毒软件升级滞后带来的麻烦。相信你看过此文后就知道了其实高手们的制作病毒分析报告的过程也不是很神秘的,你也可以试试看的!