冰刃实为很好的安全工具,而且只要开始动手使用几次,还是挺方便的,如果总觉得难而不亲自动手试上几次,那恐怕永远是人云亦云:新手慎用..........。
使用流程概括:设置IS-->结束可疑进程-->恢复SSDT-->删除文件-->删除病毒创建的“系统服务”-->其它清理
注意事项:如何退出IceSword:直接关闭,若你要防止进程被结束时,需要以命令行形式输入:IceSword.exe /c,此时需要Ctrl+Alt+D才能关闭(使用三键前先按一下任意键)。
如果最小化到托盘时托盘图标又消失了:此时可以使用Ctrl+Alt+S将IceSword主界面唤出。
如果无法在正常模式下运行,那么请进入安全模式查杀。使用前请先断网!
(一)设置IceSword
运行IceSword.exe。如果无法运行,如中了av终结者类,请先试着将文件名改个名字。如:188965.com
点击左上角的“文件”,再选择“设置”,勾选最下面的三项,点“确定”。注意:这样设置后是无法再打开任何新的程序的。如果要配合SREng等软件扫描出的日志,请先打开文件再设置。
二)结束可疑进程
红色项应全部结束(当然主程序IceSword.exe除外),是非正常的隐藏进程。系统默认是没有的。如果你确定哪些是正常的可以不管,比如你自己装的某个玩意或工具,但也要确认下此时是否你在主动的运行它。
顺便结束这些进程:Explorer.exe、iexplore.exe、rundll32.exe
(三)恢复SSDT
(SSDT-内核级后门有可能修改这个服务表,以截获你系统的服务函数调用,特别是一些老的rootkit,其通过这种hook实现注册表、文件的隐藏。被修改的值以红色显示,有些安全程序也会修改,比如你使用的一些安全工具软件,所以不要见 到红色就紧张,看清是啥程序,是否你安装的,不认识的话可google下。)
记下这里显示的文件位置以及文件名。具体看图
四)清理文件
上面是查找,下面开始清理,上图中不一定人人都挂红色。
首先应清理SSDT中显示的文件,还有第一步中红色进程的文件。
为完全清理文件,可以右键文件夹,选“搜索文件”查找前面找到的文件。具体方法同注册表搜索
有时强制删除文件会失败,请先使用“删除”。
若你的分区格式是NTFS,在清理时请使用管理员权限账户登陆,并右键目录,选择“枚举ADS(不包含子目录)”(全部的话时间较长)。这样可以揪出利用NTFS交换数据流(Alternate Data Streams,简称ADS)隐藏的文件。
IceSword中还有一些如“启动组”、“BHO”的功能,在这里可以检查可以启动项和浏览器劫持项
(五)删除注册表相关信息
系统服务所在位置:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
HKEY_LOCAL_MACHINESYSTEMControlSet001Services
HKEY_LOCAL_MACHINESYSTEMControlSet002Services
常见启动项:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
有些可以直接删除主键
注册表的清理可能会比较繁琐,需要你搜索文件所在的键值。方法如下:
时间会比较长,可能出现假死,请耐心等待
系统启动项Run的删除。示例:
(六)最后的清理
首先应该还原第一步中对IS的设置。
建议先装个kis7.0.0.125,杀完后可以卸载。
装好后马上联网、升级、重启。启动后若发现病毒未清除干净,需重新来一遍,然后启动卡巴杀毒。
若仍然不行,你可以进入“带网络连接的安全模式”,然后依次点 开始---运行---输入“net shart avp”(不带引号),再启动卡巴进行全盘扫描。不能清除的文件用IS的“强制删除”!
最后!用SREng修复一下关联文件,再用优化大师的 ActiveX 清理--->磁盘文件管理(扫描选项用“推荐”配置,扫描C盘,然后“全部删除”)--->注册信息清理(勾选第1~3和倒数第2个即可,也是全部除)。