|
现在的病毒木马一个比一个厉害,只要一运行成功,就会把一个个杀毒软件屏蔽掉,对于一些与杀毒有关的工具等也不放过。这时首先要解决的当然是如何恢复杀毒软件的安装和运行。通常这些病毒木马使用的都是镜像劫持技术,下面笔者通过使用Wsyscheck来说明如何恢复杀毒软件。
第1~2分钟:认清真伪
在Wsyscheck主窗口的“进程管理”选项卡中,红色表示非微软进程,紫红色表示包含有非微软的文件的微软进程,黑色的表示系统的核心进程。在“服务管理”选项卡中,红色表示非微软服务(最常见的是.exe与.dll的服务,木马大多使用这种方式)。使用“检查键值”后,蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护,也有可能是木马的键值保护。在取消了“模块、服务简洁显示”后,查看第三方服务可以点击标题条“文件厂商”排序,结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。通过这两项可以对系统存在的病毒、木马有一个大概的了解。
图 1所有进程
启动Wsyscheck,,单击“工具”→“构建安全环境”,并选择“禁止进程与文件创建”项,这时发现系统中已被打开的进程都被结束,重新将注册表中屏蔽的项目删除,如图2。
图 2危险进程已被全部结束
在主界面中选中“注册表管理”选项卡,依次打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options,看看被劫持的对象,可能包括瑞星等流行的杀毒软件,还可能包括Icesword、360等辅助杀毒软件。将Image File Execution Options下的所有项都删除后(如图3),重新安装这些软件,并将杀毒软件升级后进行杀毒,很容易就将这个病毒剿杀了。
图 3删除所有项,并重装被劫持的杀软 |
|
收藏
