至此病毒怎么进入本机的过程很清楚了，但是病毒运行之后的效果呢？如何手工查杀呢？接下来的事情就是运行这个病毒样本，让它完全感染系统之后，观察它的行为，再手工把它“请”出去。

测试病毒，比较保险的做法应该在虚拟机里。于是打开我的虚拟机，经过辛苦地等待它启动完成（我的本本配置不行，如果不是为了测毒，装虚拟机太吃力了……）。然后从实机里把那个病毒样本传过去，运行之。运行失败了好几次（详述在后记中），总之，成功运行了之后，我的SSM的提示，我点得手酸。经过了冗长的过程（如果没有监控软件，在实机上运行，完成整个过程不过超过3秒），最后的效果是这样的：


创建的文件如图2

创建启动项目（SREng日志中可见）：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<xy><C:\WINDOWS\Download\svhost32.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><KB481354M.LOG> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{9A0CFC58-5A6F-41ba-9FFE-4320F4F62F1A}><C:\WINDOWS\system32\Cnscheck010.dll> []
<{9A0CFC58-5A6F-41ba-9FFE-4320F4F621BA}><C:\WINDOWS\system32\Cnscheck001.dll> []
<{9A0CFC58-5A6F-41ba-9FFE-4320F4F62FB1}><C:\WINDOWS\system32\Cnscheck100.dll> []

运行进程中可见
C:\WINDOWS\Download\svhost32.exe

进程模块中可见
[C:\WINDOWS\KB481354M.LOG] <N/A><N/A>
[C:\WINDOWS\system32\Cnscheck100.dll] <N/A><N/A>
[C:\WINDOWS\system32\Cnscheck001.dll] <N/A><N/A>
[C:\WINDOWS\system32\Cnscheck010.dll] <N/A><N/A>
[C:\WINDOWS\system32\xydll.dll] <N/A><N/A>
插入在此前和此后运行的应用程序进程（不包括系统关键进程），这也是我虚拟机里的SSM频繁提示导致我按得手酸的原因。

看起来它创建的文件和项目很多，似乎很不好清除。其实不然，因为它没有注册表守护，这是它的缺陷。
在C:\WINDOWS\Download\svhost32.exe进程在运行之时，仍然可以直接删除病毒创建的上述项目，不得不说它在这方面还是“软柿子”。

处理方法：

用任务管理器结束进程C:\WINDOWS\Download\svhost32.exe
（这一步也可不要，因为即使不结束此进程也可以处理以下注册表，但是对于有注册表守护的木马则必须先结束进程）

用SREng，打开“启动项目”-“注册表”
删除以下项目：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<xy><C:\WINDOWS\Download\svhost32.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{9A0CFC58-5A6F-41ba-9FFE-4320F4F62F1A}><C:\WINDOWS\system32\Cnscheck010.dll> []
<{9A0CFC58-5A6F-41ba-9FFE-4320F4F621BA}><C:\WINDOWS\system32\Cnscheck001.dll> []
<{9A0CFC58-5A6F-41ba-9FFE-4320F4F62FB1}><C:\WINDOWS\system32\Cnscheck100.dll> []

双击以下项目：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><KB481354M.LOG> []
将“值”一栏中的KB481354M.LOG删除，也就是将键值还原为空。
说明：系统默认这一项的键值为空，但是某些正常软件也会修改这个键值，比如我的虚拟机装的TPF2005，所以要按具体情况来处理，不过一般是改为默认的空值。

然后，重启电脑

打开“我的电脑”，点“工具”-“文件夹选项”-“查看”
选择“显示所有文件和文件夹”
并把“隐藏受保护的操作系统文件（推荐）”一项前面的勾去掉
最后也把“隐藏已知文件类型的扩展名”前面的勾去掉
然后找到并删除文件（确切地说是病毒的“尸体”），如图3。
清空IE临时文件夹和temp文件夹。

上一页  [1] [2] [3] 下一页