手工清理病毒原來如此簡單

編者按：當大家看到這個題目的時候一定會覺得手工殺毒真的很簡單嗎？筆者寫這個文章的目的就是讓所有菜鳥在面對病毒的時候能輕而易舉的狙殺掉它http://.，而不是重裝系統，或者在重裝N次系統以後無奈的選擇格式化，結果卻依然無法將討厭的病毒驅逐出你可憐的電腦。    今天我們以今年泛濫比較嚴重的病毒之一的“AV終結者”的手工清理方法來像大家講述如何手工清理這類非感染exe文件類型的病毒（本次講述的辦法在清理完病毒源頭以後借助專殺工具依然可以適用於清理感染exe類病毒）。
    第一步：知己知彼，百戰百勝
    要戰勝AV終結者，我們先要了解自己的處境和它的特性還有弱點。首先我們來了解下AV終結者的執行以後的特征：
    1.在多個文件夾內生成隨機文件名的文件
    舊版本的AV終結者在任務管理器裡可以查看2個隨機名的進程，新的變種文件名格式發生變化，目前我遇到過2種。
一種是隨機8個字母+數字.exe和隨機8個字母+數字.dll；另一種是6個隨機字母組成的exe文件和inf文件。不管變種多少它們保存的路徑大概都是如下幾個：
    C:\windows
    C:\windows\help
    C:\Windows\Temp
    C:\windows\system32
    C:\Windows\System32\drivers
    C:\Program Files\
    C:\Program Files\Common Files\microsoft shared\
    C:\Program Files\Common Files\microsoft shared\MSInfo
    C:\Program Files\Internet Explorer
    以及IE緩存等
    這個是我個人總結出來的，隨著病毒的變種。獲取還有其他的。我這裡只提供參考。
    2.感染磁盤及U盤
    當你的系統中了AV終結者，你會發現你的磁盤右鍵打開時將出現一個”Auto”也就是自動運行的意思，此時你的電腦已經中毒了，而且如果你這個時候企圖插入移動硬盤、U盤，或者刻錄光盤以保存重要資料，都將被感染。這也就為什麼許多用戶重裝完系統甚至格式化磁盤以後病毒依然的原因。
    當你重裝完系統，必定會有雙擊打開硬盤尋找軟件或者驅動的時候，這個時候寄生在你磁盤根目錄內的Autorun.inf文件就起到讓病毒起死回生的功能了。這絕對不是聳人聽聞哦！
    3.破壞注冊表導致無法顯示隱藏文件
    我們一起來看看磁盤裡的Autorun.inf，因為此時你的系統已經無法顯示隱藏文件了。這個也是AV終結者的一個特征，所以我們這裡用到幾條簡單的dos命令。
    開始菜單-運行-輸入“cmd”來到cmd界面，輸入“D:” 跳轉到D盤根目錄，因為AV是不感染C盤根目錄的，再輸入“dir /a”顯示D盤根目錄內的所有文件及文件夾。“/a”這個參數就是顯示所有文件，包含隱藏文件。如圖：

    我們看到D盤內多出了Autorun.inf以及隨機生成的病毒文件017a4901.exe。我們一起看看Autorun.inf的內容，輸入”type autorun.inf”，Autorun.inf裡的代碼的意思就是當你雙擊打開、右鍵打開、資源管理器打開。都會自動運行目錄裡的017A4901.exe這個文件。所以對於普通用戶來說，即使你聽過別人勸告，通過右鍵打開企圖避免運行病毒也是徒勞的。因為“上有政策下有對策”，病毒也是在不斷的變種升級的！當然它並不是無敵的，下文中我們就會講述如何清理它。
    4. 在注冊表中寫入啟動項，已達到自動啟動
    HKEY_CLASSES_ROOT\CLSID\"隨機CLSID"\\InprocServer32 "病毒文件全路徑"  
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"隨機CLSID" "病毒文件全路徑"  
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks "生成的隨機CLSID" ""
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "隨機字符串" "病毒文件全路徑"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start dword:00000004
    其他病毒及變種寫入注冊表的位置不同，下文的實戰部分我們將詳細說明

    5.映像劫持技術
    通過修改注冊表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options的內容達到劫持幾乎所有主流殺毒軟件，甚至360安全衛士這樣的工具的目的，被劫持後的現象是，殺毒軟件無法自動運行，實時監控也無法啟動，雙擊運行閃出一個黑色dos窗口後立刻消失。其實這個時候就是利用劫持技術轉向運行了病毒本身。這個時候殺毒軟件就徹底倒下了。關鍵時刻我們果然還是要靠自己手工清理啊！
    6.修改以下服務的啟動類型來禁止Windows的自更新和系統自帶的防火牆
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess Start dword:00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv Start dword:00000004
    7.刪除以下注冊表項，使用戶無法進入安全模式
    HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
    HKEY_CURRENT_USER\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
    8.連接網絡下載更多的游戲木馬、廣告軟件以為病毒作何謀取經濟利益。
    9.強制關閉包含和病毒或者清理病毒或者殺毒軟件有關的信息的頁面。
    10.注入Explorer.exe和TIMPlatform.exe反彈連接，以逃過防火牆的內牆的審核。
    11.新的變種中加入雙進程保護，當你結束一個進程，另一個進程自動重新啟動它並關閉你的任務管理器。
    12.跟隨系統唯一可以使用的安全模式“控制目錄恢復模式”啟動，並防止企圖清理注冊表裡的啟動項以清除病毒的行為，讓你清除注冊表的下秒，它又自動建立了！
第二步：實戰清理病毒    通過上面的內容相信你已經基本了解病毒的運作方式，現在殺毒軟件已經“下崗”了，那麼現在我們就靠自己的雙手將它驅逐出去，還您一片藍色的天空吧！
    首先介紹今天的主角：WinPe 老毛桃修改版
    這是一個類似windows98的操作系統。它體積很小只有幾十M，現在很多系統安裝版裡都集成了這個軟件，或者你也可以上網下載一個iso文件。用虛擬光驅運行，會有安裝到系統的功能，所以沒有刻錄機的朋友一樣可以使用它，當然它還有U盤版。我今天使用的是光盤版，或許你會問“為什麼要用這個操作系統？他和xp有什麼區別呢？難道用他就不會開機運行病毒了？”