贡献点原创的 capxteo杀毒实录|经验技巧

超级版主

UID 2890256
精华 4
积分 345
帖子 119
威望 1405
积分 344
阅读权限 150
注册 2008-3-25
状态离线

发表于 2008-7-13 10:53 资料主页文集短消息

贡献点原创的 capxteo杀毒实录

本文适合网龄1岁到100岁读者，新手学这个容易懂，老手看看窍门，交流下技术。
dazahuo.com Cl@rke将军原创，转载注明。

首先：为什么有这么先进的杀毒软件的轰炸我们还要自己拿着棒子打？
1，公共机器和别人机器未必有条件使用杀毒。
2，病毒可能先手封掉或疯掉杀毒软件。
3，杀毒软件病毒库始终比病毒慢几天，前些日子见到一个病毒叫"重要文件自动备份.exe"在每个盘符下面都生成了一个备份，漏骨的木马啊。我用卡巴指着他，卡巴老头曰：“未发现威胁。”我说卡巴您老人家是不是近视了。5天后卡巴更新了才回过味来，跟我屁股后面喊：“发现病毒啦！”我说滚，信的住你Q号早丢了。

我家的老爷机有360卫士，但是开着它占用的25个M快到我家总内存的十分之一，平时不敢开，放在桌面上吓唬病毒。
某日借了同学mp3，刚插上就知道坏了。插上u盘类硬件速度变慢几秒是个危险信号，某些东东正在运行，可以肯定的是这个程序非常大方，不以把QQ币送我为光荣，要把我的QQ币散布到社会四方，没准能援助几个贫困学生呢。经过周密推理，我认为这个病毒或木马作者有99%可能比我富有，于是决定忍痛割爱把它kill掉。

上面都是废话，下面切入正题。
咒语Ctrl+alt+del，召唤任务管理器，进程里面有2个明显不是我们东北的，乱码进程，下面以m--和s--代替。结束m--进程，0.1秒后我被从任务管理器里踢出来。再开，结束s--进程，又被踢。合着我结束谁另一个就把我踢出来并把被关的进程复活，2打1我不干了，先关闭任务管理器。
双击拍掉360上面厚厚一层灰，绿色窗口在出现后瞬间被病毒秒掉。又打开进程字典，再次被秒。我新建一个文档叫“杀毒”，被秒；把文档改名叫“进程”，再被秒；把文档改名为“世上只有妈妈好”，这回没秒，看来作者还是孝顺的。
在地址栏上输入c:\autorun.inf
里面显示着英文。废话，当然是英文，翻译成中文就是“双击自动运行capxteo.exe，右键点这个这个文件夹第一项叫‘打开’，但是那是糊弄小孩的，其实还是先运行capxteo.exe”
不结束病毒进程，光说我认识你叫capxteo肯定不能把病毒赶出去，问题是这个病毒无耻至此，同时把cmd，MS-Dos，甚至用修改关键文件的方法把安全模式全部封锁。
忍术幻术忍具都不能用，光靠体术我也能当上伟大的忍者！再召唤任务管理器。结束m--，被s--踢一脚我认了，再开任务管理器，右键点s--，点“结束进程树”，你不牛B么？踢我啊！怎么踢不了了？
在结束m--进程后，s--会再次开启m--，但是因此m就成了s的子进程，用关闭进程树的方法同时关闭了2个进程。

到此为止，贼老大被打倒，如果我开360的话基本可以杀掉病毒，但是那样就没意思了。
点“开始”-“启动”，输入msconfig，启动项目中多了2个，位置均在windows文件夹下，这两个就是病毒的小头目了。

右键点我的破电脑，资源管理器，并在左面的目录中打开c盘，用这个方法可以防止autorun.inf里面的信息执行。病毒是隐形的，我点击文件夹选项，显示被保护文件，不仅病毒没有出现，曾经被我误删导致3天开不了机的关键文件ntldr也看不到。注册表等会再改吧，下面分享个压缩包大法。在c盘根目录下建一个rar文件，双击打开。当然是空的。在左下方点击".."也就是返回上一层文件夹也就是c盘根目录，这次所有隐藏文件在压缩包中显示了。rar文件显示中会自动显示系统文件，此显示不受注册表影响。用同样方法删除了3个盘符下的autorun.inf和capxteo.exe，在删除前查看属性，其修改日期当然就是当日了，记作猴年马月驴日猪时。
最后右键我的电脑，搜索所有猴年马月驴日（猪-1）时到猴年马月驴日（猪+1）时修改的文件，搜索类型.exe，除了新装的魔兽1.21补丁包全部删除。

以上，与capxteo作战1:0获胜，耗时20分，之后用了注册表和安全模式的一些修复工具便再没有异常。

www.zhuobi.com

[广告] 注意：下载附件需要消耗积分