【51CTO.com獨家特稿】對于感染了病毒的操作系統(tǒng)，一般是采取兩種方式，一種是重裝系統(tǒng)；另外一種就是徹底清除病毒。對于前者如果在系統(tǒng)安裝完畢后系統(tǒng)做了備份，那么也可以采取還原系統(tǒng)的方法，而后者相對難度大一些，還有一些安全風(fēng)險。筆者因為老婆要換手機(jī)，到迪信通手機(jī)專賣店買了一部新的手機(jī)，手機(jī)買后送了一張手機(jī)存儲卡，想從店里面的電腦中復(fù)制一些鈴聲，存儲卡插入電腦后，電腦反映其慢無比，我一看估計是存在病毒，萬一一不小心在手機(jī)中安裝一個遠(yuǎn)程控制軟件或者手機(jī)病毒之類的東西，那不暴露隱私了！職業(yè)習(xí)慣直接操刀上陣，三下五除二，很快就搞定。店長一看我操作熟練，就要了我的手機(jī)號碼，后面也就有了這次手工清除病毒?，F(xiàn)將整個病毒清除過程寫出來跟大家一起探討。

一、故障現(xiàn)象

還不到8點就被手機(jī)吵醒了，正在做美夢呢，心里還是有點煩，既然有人這么早打電話，肯定有急事！接聽后才知道昌平迪信通手機(jī)專賣店業(yè)務(wù)專用計算機(jī)罷工了，其具體表現(xiàn)為，計算機(jī)啟動后，速度其慢無比，打開任何一個程序都需要三四分鐘；根本無法登陸業(yè)務(wù)系統(tǒng)，該計算機(jī)跟總部ERP系統(tǒng)相連，同時打印發(fā)票等都由該計算機(jī)負(fù)責(zé)，計算機(jī)通過CDMA上網(wǎng)卡連接互聯(lián)網(wǎng)，店長非常著急，因此想到我了（呵呵，看看平時的積累很重要哦，有客戶自動就會找上門來，哈哈）。我猜測是因為上次給迪信通的一臺工作計算機(jī)安全加固和病毒清理效果較好，所以遇到問題后就想到我了，呵呵，有安全問題，哈哈，俺喜歡，這等好事還不快點！

二、初步診斷  

到現(xiàn)場后，首先對計算機(jī)進(jìn)行一個初步的診斷，并了解計算機(jī)出現(xiàn)問題的詳細(xì)情況，通過詢問工作人員，可以做出如下判斷：

（1）計算機(jī)絕對是感染了病毒；

（2）計算機(jī)從來未做過安全加固，哪怕是簡單的安全加固都沒有；

（3）操作系統(tǒng)未做備份，重要業(yè)務(wù)系統(tǒng)均在系統(tǒng)盤；

（4）病毒可能是通過U盤和網(wǎng)絡(luò)進(jìn)行感染和傳播的。  

由于該系統(tǒng)未做任何備份，因此重裝系統(tǒng)顯然不可行，雖然重裝系統(tǒng)是最為安全和便捷的方法，由于很多業(yè)務(wù)系統(tǒng)都是公司直接配發(fā)，重裝系統(tǒng)后恢復(fù)業(yè)務(wù)系統(tǒng)比較困難，考慮到實際情況，只能進(jìn)行手工殺毒。#p#

三、魔高一丈，道高一尺，艱難的殺毒過程

（一）清除部分病毒

1.制作干凈病毒檢測和清除工具盤

本次說是手工清除病毒，還是借助了一些工具，雖然手工清除也是可以的，不過既然有一些好用的工具軟件，為什么還要舍近求遠(yuǎn)呢！首先準(zhǔn)備一個可設(shè)置可讀和可寫的優(yōu)盤，如果沒有這種優(yōu)盤，可以將工具軟件刻錄到光盤中。在本次病毒清理中，迪信通工作計算機(jī)是由公司統(tǒng)一配送，在配送時就拆除了計算機(jī)上面的光驅(qū)，且在店面中無多余光驅(qū)，因此只能使用優(yōu)盤，在優(yōu)盤中我準(zhǔn)備以下幾個軟件：

（1）Autoruns：用來清理和查看注冊表、自啟動、服務(wù)等

（2）CurrPorts.exe：查看網(wǎng)絡(luò)連接情況

（3）360安全衛(wèi)士安裝程序：清理惡意插件

（4）小紅傘殺毒軟件：查殺病毒

（5）冰刀IceSword：對疑難雜癥進(jìn)行治理

（6）ProcessExplorer：查看和終止進(jìn)程

（7）一鍵Ghost：備份和還原操作系統(tǒng)

2.解決CMD不能運行問題

病毒已經(jīng)修改了文件關(guān)聯(lián)，可執(zhí)行程序無法打開，CMD打開后馬上就關(guān)閉，直接在“運行”中輸入“command”，打開古老的DOS窗口，然后將U盤中的文件復(fù)制到D盤中，在復(fù)制過程中U盤病毒老是不停的讀寫U盤，由于U盤已經(jīng)設(shè)置為只讀，因此老是出現(xiàn)一個讀寫磁盤錯誤，通過任務(wù)管理器查看進(jìn)程，發(fā)現(xiàn)其中有很多的可疑進(jìn)程，選中可疑進(jìn)程并結(jié)束該進(jìn)程，出現(xiàn)無法結(jié)束或者結(jié)束后馬上又啟動了?？磥聿《静扇×艘恍┍Ｗo(hù)措施，先不管這個，到工具目錄直接運行autoruns程序。

說明：

（1）很多時候病毒會修改注冊表，修改文件關(guān)聯(lián)，在打開文件時老是出現(xiàn)一個選擇打開文件的對話框，即使選擇正確的可執(zhí)行文件也無法執(zhí)行，例如選擇記事本程序打開txt文件，也會出錯。出現(xiàn)這種情況一種辦法就是恢復(fù)注冊表，另外一種方法就是通過command命令來加載可執(zhí)行程序進(jìn)行清理，包括執(zhí)行一些Dos命令。

（2）病毒一般會禁用CMD、注冊表等可執(zhí)行程序，這個時候就需要運行command命令來恢復(fù)系統(tǒng)中的注冊表等。

3.使用 autoruns清理病毒

（1）清除Scheduled Tasks中的木馬加載項

如圖1所示，在autoruns主窗口中單擊“Scheduled Tasks”，在其中可以看到有一個At1.job選項，它的描述顯示的是“Microsoft Corporation”，其可執(zhí)行文件路徑為“C:\WINDOWS\system32\winhelp.exe”。一看就知道該加載選項是病毒，選中并直接刪除該選項。 

圖1

圖1 使用autoruns清除Scheduled Tasks中的木馬加載項

說明：

（1）如果了解系統(tǒng)可執(zhí)行文件的朋友知道winhelp文件主要存在“C:\WINDOWS”和“C:\WINDOWS\system32\dllcache”目錄下，C:\WINDOWS\system32目錄下絕對不會有winhelp.exe文件，如圖2所示，在正常系統(tǒng)中查找winhelp.exe的結(jié)果。 

圖2

圖2 正常winhelp文件所在正確路徑和文件大小

（2）通過實際經(jīng)驗判斷，winhelp為u盤病毒，因此必須加以清除。

（2）安裝一鍵Ghost軟件

很多看到此文的朋友會問，為什么在這一步要安裝一鍵Ghost軟件，我要告訴大家這一步很簡單，也很必要！現(xiàn)在很多病毒軟件寫的比較邪惡，對系統(tǒng)的感染程度非常深，一不小心，系統(tǒng)就會起不來，因此安裝軟件后，一定要及時和盡可能早的安裝Ghost備份和還原軟件。安裝完畢后對系統(tǒng)做一個備份，然后再進(jìn)行病毒的清理。以防止清理病毒失敗或者意外情況時可以及時恢復(fù)系統(tǒng)。

（3）對系統(tǒng)做一個安全備份     安裝Ghost軟件后對系統(tǒng)做了一個備份，注意做備份一定是在系統(tǒng)重啟后，且可以正常運行的情況下；否則就失去了做備份的意義。關(guān)于使用Ghost的一鍵備份，再次就不贅述了。

（4）清除可疑和病毒加載的服務(wù)   

再次通過command命令啟動autoruns程序，在autoruns主窗口中單擊“Services”，如圖3所示，可以看到有很多找不到文件的服務(wù)，有些名稱跟正常的服務(wù)名稱和文件非常類似，刪除可疑服務(wù)和病毒加載的服務(wù)。建議無病毒清理經(jīng)驗的朋友先在正常的計算機(jī)上熟悉和了解一些正常的服務(wù)和程序，以免誤刪！在清理服務(wù)時雖然可以實行寧可錯殺一千，不可放過一個的原則，但建議對服務(wù)文件所在路徑進(jìn)行驗證，如果具備上網(wǎng)條件可以通過Google進(jìn)行搜索，以驗證該服務(wù)是否是正常文件的。 

圖3

圖3 清除可疑服務(wù)和病毒加載的服務(wù)選項

（5）清除可疑的和病毒的驅(qū)動   

在autoruns中單擊“Drivers”，如圖4所示，可以看到naivaf5x.sys和mvstdi5x.sys驅(qū)動無任何描述和Publisher，是明顯的重點可疑對象，選中后直接刪除。同時拖動滾動條，刪除下邊的可疑服務(wù)。刪除服務(wù)后重啟計算機(jī)，看看計算機(jī)能否正常啟動，然后再做一下系統(tǒng)備份，這樣雖然繁瑣一些，但是可以逐步清除病毒，穩(wěn)打穩(wěn)扎，否則一切就從頭做起！ 

圖4

圖4清除可疑和病毒驅(qū)動#p#

（6）刪除U盤病毒的自保護(hù)病毒程序    

如圖5所示，在autoruns的“Everything”中可以看到啟動中有“C:\WINDOWS\system32\regsvr.exe”選項，在正常系統(tǒng)中存在的文件是“C:\WINDOWS\system32\regsvr32.exe”而不是“regsvr.exe”文件，病毒就是借助文件名稱來混淆正常文件。在清理病毒過程中我發(fā)現(xiàn)“regsvr.exe”和“winhelp.exe”是相互啟動的，因此需要清除所有跟這兩個文件有關(guān)的地方。 

圖5

圖5 刪除U盤病毒的自保護(hù)病毒程序

（7）刪除隨機(jī)ShellExecuteHooks下的病毒文件

“ShellExecuteHooks”下的文件在資源管理器里雙擊圖標(biāo)，運行程序或打開文件，都會激活這里的項目，“ShellExecuteHooks”也是木馬病毒最喜歡的地方之一，據(jù)我了解在以前瑞星殺毒軟件就不會查殺這個地方，如圖6所示，可以看到有很多隨機(jī)生成的病毒文件，我大致數(shù)了一下，有200多個，選中然后一個個的刪除，注意刪除的是隨機(jī)生成的文件，這些文件跟正常文件有很大的區(qū)別。 

圖6

圖6刪除隨機(jī)ShellExecuteHooks下的病毒文件

（8）清除Logon中的病毒加載選項

 單擊“Logon”，在Logon中同樣發(fā)現(xiàn)了“C:\WINDOWS\system32\regsvr32.exe”，選中并刪除它，如圖7所示。 

圖7

圖7 清除Logon中的病毒加載選項#p#

4.清除物理位置的病毒文件  

在前面我們清除了系統(tǒng)啟動、Scheduled Tasks、ShellExecuteHooks、Drivers、Services下面的可疑程序和病毒，這些清除只是在注冊表中的清除，清除這些選項是為了防止或者禁止病毒在啟動時加載。因此要實際清除病毒，還需要手動清除物理位置的病毒，如圖8所示，可以在回收站中看到一些被刪除的文件。 

圖8

圖8 刪除實際的病毒文件

5.使用360安全衛(wèi)士卸載無關(guān)軟件
    
如圖9所示，打開360安全衛(wèi)生的軟件管理，然后單擊“軟件卸載”，卸載一些跟業(yè)務(wù)系統(tǒng)無關(guān)的程序，在該計算機(jī)上安裝有瑞星殺毒軟件，但該殺毒軟件根本沒有起到應(yīng)有的殺毒和防范作用，反而占用系統(tǒng)資源，將其卸載掉。 

圖9

圖9 卸載無關(guān)應(yīng)用程序

說明：   在本次清理病毒過程中，我嘗試使用“控制面板”中的“添加/刪除程序”來卸載一些無用程序，無奈速度太慢，且容易出問題，因此使用第三方軟件提供的“卸載軟件”也不失為一種卸載軟件的良方！

6.簡單加固系統(tǒng)  

在每一個盤下面新建一個“autorun.inf”文件夾，同時在運行中輸入“gpedit.msc”打開組策略編輯器，單擊“用戶配置”-“系統(tǒng)”-“關(guān)閉自動播放”，打開關(guān)閉自動播放屬性設(shè)置窗口，在其中選擇“已啟用”，在關(guān)閉自動播放中選擇“所有驅(qū)動器”，如圖10所示，單擊確定使設(shè)置生效，防止光盤和驅(qū)動器自動啟動和播放。 

圖10

圖10 禁止驅(qū)動器自動播放

7.重啟系統(tǒng)、驗證并做系統(tǒng)備份  

至此，已經(jīng)對系統(tǒng)中的部分病毒進(jìn)行了清理、清除，同時卸載了系統(tǒng)中的一些無關(guān)應(yīng)用程序。重啟系統(tǒng)后看看系統(tǒng)是否能夠正常使用，一切OK后，重新對系統(tǒng)做一次備份。這個時候系統(tǒng)已經(jīng)能夠正常使用，速度較未清理前已經(jīng)有了很大的提高。#p#

（二）繼續(xù)修復(fù)系統(tǒng)

1.刪除“無法”刪除的文件  

在清除病毒過程中，可能會遇到一些頑固的病毒，如圖11所示，在系統(tǒng)的com文件夾下面存在一個mfc42.dll文件夾，很明顯這個文件夾有問題，無法瀏覽也無法打開，使用正常的文件刪除步驟根本無法刪除。即使使用winrar的壓縮后刪除原文件也無法刪除。這個時候就可以使用冰刀的強(qiáng)制文件刪除功能，將其刪除。冰刀（IceSword）中有一個非常好用的功能——強(qiáng)制文件刪除，方法就是使用IceSword瀏覽磁盤中的文件，找到需要刪除的文件夾或者文件，選中需要刪除的文件或者文件夾，然后右鍵單擊，選擇“強(qiáng)制刪除”即可強(qiáng)制刪除一些無法刪除的文件或者文件夾。 

圖11

圖11 刪除無法刪除的文件夾和文件

2.無法升級病毒庫  

對病毒清理后，需要對系統(tǒng)漏洞已經(jīng)惡意插件進(jìn)行清理，在本例中主要使用360安全衛(wèi)士來進(jìn)行檢測，再連接網(wǎng)絡(luò)后發(fā)現(xiàn)無法升級特征庫，看來病毒修改了Hosts文件，直接到系統(tǒng)的“C:\WINDOWS\system32\drivers\etc”目錄，打開Hosts文件，如圖12所示，果然病毒已經(jīng)修改了Hosts文件，在hosts文件中，第5到7行是迪信通公司的erp、db、txt服務(wù)器對應(yīng)的IP地址和域名。而后面的內(nèi)容顯示病毒已經(jīng)將目前所有的殺毒軟件和安全檢測軟件的網(wǎng)站以及病毒庫升級地址全部指向病毒設(shè)定的IP地址，致使安全檢測和殺毒軟件無法升級病毒庫，讓病毒一直逍遙“法”外。在檢測過程中，發(fā)現(xiàn)病毒還特別好心的將原來的Hosts文件打包壓縮了。直接解壓縮恢復(fù)原來的Hosts文件，就可以升級360安全衛(wèi)士的特征庫。 

圖12

圖12病毒修改了Hosts文件

3.使用安全360衛(wèi)士進(jìn)行安全檢測  

打開360安全衛(wèi)士，然后單擊“清理惡評插件”，對檢測出來的惡意插件和病毒進(jìn)行清除，掃描出來的結(jié)果表明，系統(tǒng)主要是由于Ms08067漏洞補(bǔ)丁為修補(bǔ)，在上網(wǎng)時訪問了存在木馬病毒的網(wǎng)頁，從而導(dǎo)致系統(tǒng)出現(xiàn)緩慢等原因。根據(jù)360安全衛(wèi)士檢測的提示，清除該病毒需要下載頑固木馬專殺工具，將該工具下載到本地，然后進(jìn)行查殺，如圖13所示，果然檢測出來兩個病毒，將其清除。 

圖13

圖13 使用360頑固木馬專殺大全查殺病毒#p#

4.木馬病毒瘋狂下載病毒  

（1）找到木馬病毒下載者

根據(jù)感覺，估計該木馬病毒會自動從木馬網(wǎng)站下載病毒，直接到Temporary Internet Files文件夾，如圖14所示，木馬病毒下載聊15個新的病毒文件，其下載地址為“http://www.down008867.com/mtv/”文件名稱依次按照Xpn進(jìn)行命名。在該文件夾中還存在一個讀取地址的文件sl.txt，該文件自動木馬病毒知道下載的地址。 

圖14

圖14木馬病毒瘋狂下載病毒

（2）清除木馬下載者

直接刪除“Temporary Internet Files”下的所有文件，同時在系統(tǒng)目錄中發(fā)現(xiàn)“ilobbyupdater117.exe”木馬下載者文件。最后再使用360衛(wèi)士看了一些系統(tǒng)的進(jìn)程，如圖15所示，確認(rèn)無可疑進(jìn)程運行。 

圖15

圖15查看系統(tǒng)進(jìn)程

5.修補(bǔ)系統(tǒng)漏洞  

使用安全360衛(wèi)士掃描和修補(bǔ)系統(tǒng)中存在的漏洞，最后使用其高級工具中的進(jìn)程查看器查看其進(jìn)程、服務(wù)以及網(wǎng)絡(luò)連接等，在確認(rèn)系統(tǒng)正常后，重新對系統(tǒng)做一次備份。

四、總結(jié)  

本次手工清除病毒對我來講，是一種挑戰(zhàn)，是運用多種方法和技術(shù)來清除病毒和加固系統(tǒng)的一次實戰(zhàn)。個人感覺還是有很多收獲，主要有以下幾點：   1.在清除病毒過程中一定要切記隨時做好系統(tǒng)的備份！我在開始清除病毒時，由于未對系統(tǒng)進(jìn)行備份，導(dǎo)致系統(tǒng)啟動后，無桌面，看似系統(tǒng)正常啟動，而實際上關(guān)鍵進(jìn)程都被病毒劫持了。后面每前進(jìn)一小步都對系統(tǒng)進(jìn)行備份，然后再次尋找突破點和清除病毒。
  
2.如果系統(tǒng)的一些關(guān)鍵進(jìn)程被劫持，則優(yōu)先考慮使用一些專用殺毒軟件來解決，這樣效率高，且不容易出現(xiàn)問題。

3．使用autoruns、icesword、CurrPorts、360安全衛(wèi)士安裝程序、ProcessExplorer以及一鍵Ghost等普通軟件可以清除絕大部分病毒。

4.在清理病毒時要注意可執(zhí)行文件名稱和大小，這個需要平時的經(jīng)驗積累。

解決問題后，感覺非常好，由于解決病毒有一段時間了，當(dāng)時急于解決問題，抓到圖也不太多，因此可能有些地方描述不太清除，不到之處，請批評指正，歡迎來我的論壇（bbs.antian365.com）進(jìn)行討論。

【51CTO.COM 獨家特稿，轉(zhuǎn)載請注明出處及作者！】

【編輯推薦】

1. 計算機(jī)病毒迎來25歲生日!未來安全不容樂觀象
2. 三月新增電腦病毒400萬被感染計算機(jī)多達(dá)2000萬