中毒現場殺毒實戰

電腦中毒了，難道就只能等待殺毒軟件更新病毒庫后再被動殺除？其實，有很多病毒，只要你掌握了一定的技巧和方法，也是能夠手工清除的。

狙擊“AV終結者”

被成為“安全軟件殺手”的“AV終結者”，曾令慘遭其手者頭疼異常。中了“AV終結者”的電腦，殺毒軟件、安全軟件無法正常運行（如圖1），系統的安全模式被破壞，無法進入修復，即使你想到網上搜索一下，但只要輸入“殺毒”網頁IE就會被關閉……需要說明的是，由于“AV終結者”是一批病毒的組合，而且有很多變種，不建議使用手工分析的方式來進行人工刪除。我們現在就用《金山毒霸》網站提供的專殺工具來干掉它。

Step1 在確認無病毒的計算機上下載《AV終結者專殺工具》，其網址為http://zhuansha.duba.net/259.shtml。

Step2 一直按住Shif t鍵，然后將U盤插入正常電腦，直到提示“設備可以使用”才松開。這樣做的目的是防止因為U盤自動運行，導致正常電腦被U盤上可能存在的病毒感染。

Step3 將U盤插入被感染電腦，然后執行《AV終結者專殺工具》，它會刪除病毒、修復被破壞的系統，并且禁用各個分區的自動播放功能（如圖2）。

我們不建議你在清除病毒后馬上重啟系統，你此時應該做的是升級殺毒軟件病毒庫，對硬盤進行全面的病毒查殺。

《AV終結者專殺工具》不但可以殺除《AV終結者》，更可以清除目前最為流行的磁碟機、機器狗等病毒。

清除ARP病毒

ARP病毒（嚴格來說應該叫做ARP欺騙，不能算作病毒）最近風起云涌，造成了多少個單位、企業和各種局域網中的用戶無法正常上網。中了ARP病毒最典型的癥狀就是局域網中突然出現大面積的計算機斷線、無法上網。

ARP病毒的原理其實就是中毒計算機欺騙其他的機器，告訴它們“我是網關，要訪問就快來”，于是其他計算機就將它作為網關。其實，被ARP欺騙攻擊的網絡并不只是斷線、無法上網這么簡單，由于客戶端發送、接收到的信息都要經過“騙子”計算機，數據包中自然有可能被插入病毒下載之類的信息。事實上，《AV終結者》之類的病毒也是可以通過ARP欺騙來進行傳播的。

由于ARP病毒主要是欺騙客戶端它是網關，所以我們只需要在客戶端綁定網關的MAC地址，ARP攻擊就無從下手了。至于解決方案，最簡單的當然是裝個ARP防火墻（我們在后文《免費安全軟件不完全推薦》中有介紹），對自己有信心的也可以手工來完成。

br>

Step1 查詢網關MAC地址

要查詢網關的MAC地址，最直接的辦法當然是到網關機器或者控制臺中查詢。如果你不是網管，沒有辦法直接訪問網關，也可以使用以下方法查詢。

先打開命令行執行“Ping192.168.0.1”檢測網關，再執行“Arp -a”指令查看ARP表。如果你執行無誤的話，應該看到如下信息（如圖3）：

192.168.0.1 00-0f-66-82-2f-40 dynamic

192.168.0.1是指網關的IP地址，00-0f-66-82-2f-40是指網關的MAC地址，請根據自己的實際情況修改。需要提醒大家注意的是，通過這種遠程方法查找到的網關MAC地址并不可靠，因為它也有可能是ARP病毒“冒充”的。

Step2 設置靜態ARP表

因為ARP協議默認采用的是動態更新方式，就是這種方式造成了病毒來“冒充”網關，所以，我們可以讓計算機啟動時就自動將網關的IP地址和MAC地址綁定，從來達到預防ARP欺騙的目的。

打開記事本，輸入以下信息，保存為AntiARP.reg：Windows Registry Editor Version 5.00

[HKEY_ LOCA L _MACHINE \\ SOF TWARE \\Microsoft\\Windows\\CurrentVersion\\Run]

“AntiARP”=“arp -s 192.168.0.1 00-0f-66-82-2f-40”

然后，把這個注冊表文件拿到客戶端，逐一雙擊導入注冊表，再重新啟動計算機，這種基于ARP欺騙的攻擊就徹底失效了。

Step3 找出中毒計算機

當然，只是讓客戶端“免疫”了ARP欺騙攻擊還遠遠不夠，我們要找到染毒計算機，殺除這個隱患源才算萬事大吉。

在電腦上Ping一下網關的IP地址，然后再次使用“Arp -a”指令查看其MAC地址。如果與網關的MAC地址不符，則相應MAC地址的計算機就是毒源。在它上面安裝殺毒軟件，開始清剿行動吧。

也許有的用戶會問，如何才能找到MAC地址對應的計算機呢？這個就要靠平時的積累了。作為網絡管理人員，一定要登記在案的東西應該包括各個網絡設備的IP和對應的MAC地址了。什么？你沒有登記，還不快用Nbtscan這款工具掃描一下（http://www.inetcat.net/software/nbtscan.html，如圖4）。

三大工具聯手查殺Comine病毒實戰

前段時間，我的Windows下的System32目錄中多出一個comine程序。這個文件被設置為隱藏文件，還不能被刪除。更令人困惑的是，中了這個病毒后，所有的殺毒軟件、安全工具都不能使用了。不過，雖然它很狡猾，我們還是有清除它的辦法……

Step1 準備工具

為了清除這個軟件，我們先要準備三個小工具，它們分別是IceSword（用于清除常規方法不能刪除的病毒）、進程查看軟件Process Expolrer和自動運行查看工具AutoRuns。

軟件名稱: IceSword

軟件版本: 1.22

授權方式: 免費軟件

軟件大小: 2.1MB

下載地址: http://www.crsky.com/soft/6947.html

軟件名稱: Process Explorer

軟件版本: 11.21

授權方式: 免費軟件

軟件大小: 3.5MB

下載地址: http://live.sysinternals.com/

軟件名稱: AutoRuns

軟件版本: 9.35

授權方式: 免費軟件

軟件大小: 650KB

下載地址: http://live.sysinternals.com/

需要注意的是，由于病毒會禁止這些工具的運行，所以下載到這些軟件后，我們還要為它們改名。我這里將它們分別改名為：IS.exe、PE.exe和AR.exe（如圖5）

Step2 看看進程

大部分用戶中了病毒之后，一般都是用“任務管理器”來查看進程，然后終止。不過，我推薦給大家的是Process Explorer。它不但可以查看進程，而且可以查看進程程序的位置，更可以一次終止多個進程——確實是一款清除病毒不可或缺的好工具。

遺憾的是，在Comi ne中毒環境中，我并沒有在Process Explorer中看到相關信息，還要另想他法。

Step3 刪除病毒

雖然這個病毒在進程管理器中看不到它的蹤影，但通過查詢資料得知，它只有一個可執行文件Comine.exe，位于C:\\Winows\\System32下。但這個文件按照常規的方法很難清除，所以我們就要借用IceSword了，打開它并切換到“文件”選項下，再定位到[C:\\Windows\\System32]目錄，終于看到Comine.exe這個隱藏文件了。在其上單擊郵件，選擇“強制刪除”（如圖6）。

Step4 解除映像劫持

也許有的朋友還在納悶，為什么中毒之后，所有的安全、殺毒軟件都不能正常運行了呢？這都是Windows的映像劫持惹得禍。這個本來是Windows用來調試程序留下的接口，卻成為病毒入侵的后門，利用映像劫持功能，系統在調用某個程序時，首先執行的卻是映像劫持中指定的其他程序，如果這個程序是病毒，那就是病毒首先激活，殺毒軟件能不能用需要病毒說了算。

映像劫持可以通過AutoRuns工具來查看和管理，打開它，在“Image HiJacks”選項卡下，我們發現，絕大多數殺毒軟件、安全軟件都和Comine.exe掛上了勾（如圖7）。

正常情況下的“Image HiJacks”選項卡下，應該只有“Your Image File Name Here without a path”這一項，所以把其他所有項目前的選鉤都去掉吧！

我們這里介紹的三大工具查殺病毒過程，實際上適合于絕大部分病毒，只要你熟加操練，任何病毒都很難躲過你的殺手。

U盤病毒徹底查殺

U盤確實給廣大用戶帶來了不少方便，可令他們始料未及的是，它還帶來了困惑。困惑來自于一個叫做Autorun的病毒，這個病毒利用U盤等移動存儲設備進行自我傳播，計算機中毒以后，病毒會自動在每個硬盤的分區根目錄下創建Autorun.inf和病毒主體程序，拿到其他計算機上，用戶雙擊U盤符即也中了病毒。

Step1 使用XDelBox刪除病毒文件刪除時復制所有要刪除文件的路徑，在待刪除文件列表里點擊右鍵選擇從剪貼板導入。導入后在要刪除文件上點擊右鍵，選擇立刻重啟刪除，電腦會重啟進入命令行模式完成操作（如圖8）。

C:\\Windows\\system32\\1707e7b.dll

C:\\Windows\mfgog.exe

C:\\Windows\\system32\\792405c6.exe

軟件名稱: XDelBox

軟件版本: 1.8

授權方式: 免費軟件

軟件大小: 1.0MB

下載地址: http://www.dodudou.com/down/

Step2 使用SREng修復系統啟動項

主要修復以下兩個部分的內容（如圖9）。

在左側選擇“啟動”，修復“注冊表”選項頁下的“[GenProtect] ”和“服務”項下的“[286EE121 / 286EE121] ”。

軟件名稱: SREng

軟件版本: 2.0

授權方式: 免費軟件

軟件大小: 860KB

下載地址: http://www.kztechs.com

Step3 為U盤免疫

為了免除后患，我們建議清理完病毒后，再用USBCleaner為U盤免疫（如圖10）。

軟件名稱: USBCleaner

軟件版本: 6.0

授權方式: 免費軟件

軟件大小: 2.9MB

下載地址: http://www.usbcleaner.cn/