网站首页
维修网点
QQ专家在线
电脑保修
工具软件
在线查毒
电脑问题搜索
官方论坛
站点地图
友情链接
XML
RSS 2.0
联盟点:
北京
上海
深圳
广州
南京
杭州
成都
西安
厦门
武汉
重庆
天津
更多城市
加入收藏夹
设为主页
认识电脑
电脑优化
电脑保养
故障症状
学习维修
维修资料
病毒门诊
数据恢复
使用技巧
电脑常识
笔记本
安全技术
系统漏洞
专题导读:
操作系统
Windows Vista系统故障
Windows Xp系统故障
Windows 2003系统故障
Windows 2000系统故障
Windows 98系统故障
软件使用
网络配置
网络攻击
病毒
木马
主板
CPU
内存
硬盘
键盘
显卡
声卡
鼠标
显示器
音箱
刻录机
光驱、光盘
电源、UPS
网络设备
扫描仪
打印机
其它硬件
服务器
游戏平台
手机/MP3
相机/摄像头
USB
无线应用教程
软件漏洞
硬件漏洞
您的位置:
网站首页
>>
使用技巧
>>
不错的冰刃IceSwords使用教程
不错的冰刃IceSwords使用教程
发布日期: 2008-7-9 17:23:52 查看数:
转载www.PcHiHi.com
冰刃IceSword1.22中文版,实战清除
病毒
、
木马
流程(通用方法)
这不是一篇简单的IceSword使用
教程
。类似
教程
看过很多,但对新手而言往往不知道该如何使用。本文将详细介绍清理
隐藏进程、Rootkit类
程序
、强力删除
文件
与清理注册表
的流程及方法,暂不解释原理术语。
使用流程概括:设置IS-->结束可疑进程-->恢复SSDT-->删除文件-->删除病毒创建的“
系统
服务”-->其它清理
注意事项:如何退出IceSword:
直接关闭,若你要防止进程被结束时,需要以命令行形式输入:
IceSword.exe /c
,此时需要Ctrl+Alt+D才能关闭(使用三键前先按一下任意键)。
如果最小化到托盘时托盘图标又消失了:
此时可以使用Ctrl+Alt+S将IceSword主界面唤出。因为偷懒没有重绘图标,将就用吧'。
如果无法在正常模式下运行,那么请进入安全模式查杀。使用前请先断网!!!
(一)设置IceSword
运行IceSword.exe。如果无法运行,请先试着将文件名改成随即名字。如:188965.com
点击左上角的“文件”,再选择“设置”,勾选最下面的三项,点“确定”。注意:这样设置后是无法再打开任何新的程序的。如果要配合SREng等
软件
扫描出的日志,请先打开文件再设置。
(二)结束可疑进程
红色项应全部结束(当然主程序IceSword.exe除外),是非正常的隐藏进程。系统默认是没有的。如果你确定哪些是正常的可以不关。
顺便结束这些进程:
Explorer.exe、iexplore.exe、rundll32.exe
(三)恢复SSDT
记下这里显示的
文件位置
以及
文件名
。具体看图吧。。。
(四)清理文件
首先应清理SSDT中显示的文件,还有第一步中红色进程的文件。
为完全清理文件,可以右键文件夹,选“搜索文件”查找前面找到的文件。具体方法同
注册表搜索
有时强制删除文件会失败,请先使用“删除”。
若你的分区格式是NTFS,在清理时请使用管理员权限账户登陆,并右键目录,选择“枚举ADS(不包含子目录)”(全部的话时间较长)。这样可以揪出利用NTFS交换数据流(Alternate Data Streams,简称ADS)隐藏的文件。
IceSword中还有一些如“启动组”、“BHO”的功能,在这里可以检查可以启动项和
浏览器
劫持项
(五)删除注册表相关信息
系统服务所在位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001Services\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002Services\
常见启动项:
HKEY_CURRENT_USER\Software\
Microsoft
\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
有些可以直接删除主键
注册表的清理可能会比较繁琐,需要你搜索文件所在的键值。方法如下:
时间会比较长,可能出现假死,请耐心等待
系统启动项Run的删除。示例:
(六)最后的清理
首先应该还原第一步中对IS的设置。
建议先装个kis7.0.0.125,卡饭
论坛
里就有,杀完后可以卸载。
装好后马上联网、升级、重启。启动后若发现病毒未清除干净,需重新来一遍,然后启动卡巴杀毒。
若仍然不行,你可以进入“带
网络
连接的安全模式”,然后依次点开始---运行---输入“net shart avp”(不带引号),再启动卡巴进行全盘扫描。不能清除的文件用IS的“强制删除”!
最后!用SREng修复一下关联文件,再用Windows优化大师的 ActiveX 清理--->磁盘文件管理(扫描选项用“推荐”配置,扫描C盘,然后“全部删除”)--->注册信息清理(勾选第1~3和倒数第2个即可,也是全部删除)。
引用:
结束语
其实也就是写了一点很简单的东东,让老鸟、大侠见笑了
个人实际操作就是这样的,配合SREng +
瑞星
卡卡上网助手(一直装着就习惯用它了,主要是“隐藏
微软
已签名的项”和“隐藏
瑞星
已签名的项”用) + Google搜索文件,基本可以搞定病毒。如果重启后反弹,那么说明你在清理文件时没有搞好。
主要是对文件的识别,特别是“系统驱动文件”的识别,这是一个难点。重点检查非微软签名项文件。什么样的是微软签名项?下面举一些SREng的例子
|--------------------------------------------------------------------------------------------------------------------------
|启动项目
|注册表
|[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
| [(Verified)Microsoft Windows Component Publisher]
| [(Verified)Microsoft Windows Publisher]
| [(Verified)Microsoft Windows Publisher]
|
|[(Verified)Microsoft Windows Publisher]也就是通过验证的项了
|==================================
|正在运行的进程
|[PID: 10086 / SYSTEM][\SystemRoot\System32\smss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
|后面这段[Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]就标明了文件的签名了。
|--------------------------------------------------------------------------------------------------------------------------
一般来说病毒文件都没有Microsoft的签名,不过前几日清理一个病毒就拥有MS签名(其实要做到这一点并不是很难)。不过值得注意的是,有的系统文件SREng暂时还扫描不出签名。至于SREng使用和文件判断就不是这篇文章作重介绍的了
PcHiHi
上下页导航
上一页:
查杀木马病毒的最彻底的方法
下一页:
手把手教您如何正确涂抹硅脂
【打印】
字体
【大】
【中】
【小】
【关闭】
热点主题
家中两台电脑共享上网经验
用注册表如何显示隐藏文件
如何正确安装 USB 2.0驱动程序?
xp显示隐藏文件和文件夹注册修改方法
如何安装显卡驱动
关于CCProxy及IE代理设置方法
双网卡共享上网如何设置
如何给文件夹设置密码
请问怎么检测电脑电源的好坏
隐藏文件无法显示的最终解决方法
怎么修改电脑开机密码?
如何禁止windows xp和2003 禁用F8进入安全模式
windows xp系统取消登录时选择用户自动登录xp
Windows XP 注册表详解
笔记本电脑通过手机上网
内存条:双通道设置方法
怎么查看隐藏的文件夹
如何实现局域网打印机共享
修改注册表启用远程桌面连接
CDMA无线终端上网设置方法
最新主题
喷墨打印机使用小常识
Dell如何刷新BIOS?
全面了解宽带故障 让你的网络永不掉线
手把手教您如何正确涂抹硅脂
Word,Excel未保存,突然断电?找回死机后未储存的Word,Excel文件
科学的虚拟内存分配
五招查出想要知道的IP地址
对于攒机的一些建议及经验之谈
如何给光驱降速
如何调节风扇转
如何给光盘加密
NVIDIA系列板卡使用心得
北桥散热风扇巧安装
win2008分区方法
如何用好集成声卡
如何选购cpu风扇
禁止任何游戏运行的方法
Windows系统中Svchost进程应用技巧
网络资源推荐
站务联系:XBell@163.com 在线QQ:573861490
备案序号:粤ICP备06093858号
版权所有 2006 电脑维修知识网 最佳分辨率 1024 X 768
Copyright © Http://www.pcHiHi.com/ All rights reserved.
