根据SREng日志手工杀毒应注意的问题

乱插进程的病毒越来越多。病毒插入的对象不仅限于应用程序进程，甚至包括系统核心进程。
遇到这类病毒，分析SREng日志以及手工查杀时不能忽视“进程插入”问题。
否则，你费了很大劲，折腾大半天，结果还是杀不净。

目前，论坛中多见的情形是：求助者提供SREng日志，请别人帮忙指出日志中哪些加载项/服务/驱动/文件应该删除。然后，就开始动手查杀病毒了。

今天，看到一个例子[原始日志在http://forum.ikaka.com/topic.asp?board=28&artid=8240245&page=1 ]，有些典型意义。

按照上面说的操作流程，恐怕不能解决问题。原因何在？

请您继续往下看。


该日志中的异常部分：

启动项目
注册表：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<myZt1><C:\DOCUME~1\谢峰\LOCALS~1\Temp\Zt1\SVCH0ST.EXE> [N/A]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<mhs2><C:\DOCUME~1\谢峰\LOCALS~1\Temp\smss.exe> [N/A]
<rxzs><C:\DOCUME~1\谢峰\LOCALS~1\Temp\svchost.exe> [N/A]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<NiceMSoft><C:\WINDOWS\system32\retemp.exe> [N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{06A48AD9-FF57-4E73-937B-B493E72F4226}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\WinInfo.rxk> [N/A]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
<Load><; ? ?粒?粒??粒?
?? ?? ??粓?> [N/A]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
<myWl2><; C:\DOCUME~1\谢峰\LOCALS~1\Temp\Wl2\lexplore.exe> [N/A]

服务：
[Windows DHCP Service / WinDHCPsvc][Stopped/Auto Start]
<C:\WINDOWS\system32\rundll32.exe windhcp.ocx,start><Microsoft Corporation>

正在运行的进程：
[PID: 1448][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\windhcp.ocx] [N/A, N/A]
[PID: 2036][C:\WINDOWS\system32\wscntfy.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\windhcp.ocx] [N/A, N/A]
[PID: 248][C:\Program Files\Rising\Rav\RavTask.exe] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 7]
[C:\WINDOWS\system32\windhcp.ocx] [N/A, N/A]
[PID: 384][C:\Program Files\Rising\Rav\Ravmon.exe] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 36]
[C:\WINDOWS\system32\windhcp.ocx] [N/A, N/A]
[PID: 388][C:\Program Files\Common Files\Real\Update_OB\realsched.exe] [RealNetworks, Inc., 0.1.0.3510]
[C:\WINDOWS\system32\windhcp.ocx] [N/A, N/A]
[PID: 740][C:\Program Files\Rising\KakaToolBar\runiep.exe] [Beijing Rising Technology Co., Ltd., 1, 0, 1, 3]
[C:\WINDOWS\system32\windhcp.ocx] [N/A, N/A]
[PID: 672][C:\WINDOWS\system32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\windhcp.ocx] [N/A, N/A]
[PID: 2104][C:\Program Files\Internet Explorer\IEXPLORE.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\windhcp.ocx] [N/A, N/A]
[PID: 2160][C:\Program Files\Internet Explorer\iexplore.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\windhcp.ocx] [N/A, N/A]
[PID: 3336][E:\备分\sreng2\SREng.EXE] [Smallfrogs Studio, 2.3.13.690]
[C:\WINDOWS\system32\windhcp.ocx] [N/A, N/A]


以上是SREng日志中找到的、需要删除的加载项、服务项以及病毒插入应用程序进程的基本情况。
遇到这种情形，您先别急着用SREng删那些加载项、服务项。马上删，您也删不净。
为什么？因为这个病毒插入了很多应用程序的进程，连SREng本身也被windhcp.ocx插入了！

手工查杀这种狂插进程的BT病毒，建议您尝试下面的方法（以下操作仅针对此例。其它情形可以根据实际情况，举一反三）：

1、下载、运行IceSword。下载地址：http://www.blogcn.com/user17/pjf/blog/44570897.html
2、用IceSword禁止进/线程创建。
3、在IceSword的进程列表中找到并右击IceSword自身的进程名，点击“模块信息”。仔细查看模块中是否有C:\WINDOWS\system32\windhcp.ocx。如果有，用IceSword强制卸除之（建议不要省略这一步，因为有些病毒见进程就插）。
4、用IceSword结束下列进程（已经被病毒模块插入了）：
[PID: 1448][C:\WINDOWS\Explorer.EXE]
[PID: 2036][C:\WINDOWS\system32\wscntfy.exe]
[PID: 384][C:\Program Files\Rising\Rav\Ravmon.exe]
[PID: 248][C:\Program Files\Rising\Rav\RavTask.exe]
[PID: 388][C:\Program Files\Common Files\Real\Update_OB\realsched.exe]
[PID: 740][C:\Program Files\Rising\KakaToolBar\runiep.exe]
[PID: 672][C:\WINDOWS\system32\ctfmon.exe]
[PID: 2104][C:\Program Files\Internet Explorer\IEXPLORE.EXE]
[PID: 2160][C:\Program Files\Internet Explorer\iexplore.exe]
[PID: 3336][E:\备分\sreng2\SREng.EXE]
5、用IceSword删除上述加载项。
6、用IceSword删除那些加载项、服务项指向的文件。
7、点击IceSword工具栏上的“文件”、“设置”，取消“禁止进程创建”。
8、点击IceSword工具栏上的“文件”、“重启并监视”。此时，系统重启。
9、重启后，再用Sreng扫日志看看————该删除的是否都删了。

[注] 遇到插入系统核心进程（如winlogon、lsass、csrss、services等）的病毒，也可尝试先用IceSword禁止进/线程创建、强制卸除插入到这些系统核心进程中的病毒模块，再用IceSword删除病毒文件及其加载/服务/驱动项。