“我的电脑黑屏了”
“我的电脑最近不知怎么变得很慢?“
“我上网老是自动弹出页面,怎么回事?”
“为什么杀毒软件老是弹出来,每次都是同一个病毒?”
.....................
任何人,我一般都会帮忙,但是长时间停留在这个问题上,会疯掉的,往往对方的描述不一定精确,光靠说,白白花了一天的时间也有可能搞不定一个小问题
也许有两种情况我会耐心的给你分析,1:领导,2:美女
我一般会说:“造成这种情况有149834种可能,重装吧,装完升级系统,打补丁,装杀毒,升级病毒库,不要装垃圾软件,不要上色情网站。”
下面讲讲一般步骤,以下讲的都是对付普通病毒,如果说驱动级,rootkit,bootkit什么的,要想让我用一篇简单的blog描述清楚恐怕不太现实,让你清理注入线程,SSDT之类的恶意程序就够你受的了。
以后谁问我,直接丢个链接,多方便 ^_^
凡是要看这篇文章的,都是没装杀毒或者杀毒软件已经形同虚设了,因此以下操作都为手工操作,别指望杀毒软件
(以下步骤都是实事存在案例的,务必一步一步确认)
如果是美女,直接跳到第十步
1、确认插电源了
2、确认硬盘灯亮了
3、确认显示器打开了
如果能进操作系统,一般系统慢是由于病毒、后门或者垃圾软件之类的,删除即可,步骤如下
4、查看进程,关闭不必要的进程
这个经常有人问我不知道哪些是不必要的进程,我只能说以下这些是必要的(但也不排除其中有猫腻,比如线程注入,替换服务等)
\SystemRoot\System32\smss.exe
\??\C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe (这个会有很多,因为他是服务的宿主进程)
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe (WinXP以后的输入法,Win2000没装office的输入法是internet.exe)
前面的c:\windows是安装windows的位置,你的可能不一样,大小写不敏感,这个...呃...明白哈
目前的技术,早就不能担保以上的进程都是没有问题的,再高深一点的,下面会提到
除了以上的进程,剩下都可以说是第三方的,如果是驱动,或者自用的一些软件什么的就不用关闭,其它可以的直接kill,然后找到文件删了(先备份一下),难就难在这里,您老也不知道哪个是要用到的,那小的更不知道了,一般我只能问,“这个xxx.exe是干嘛的?有用吗?”,你说不知道,那我再问,“你的机器用来干嘛的?”,如果你说只是上上网,玩玩游戏,那直接杀了进程,删除对应文件,如果说有什么xxxx系统,公司要用的,而且很重要,那没办法,只能保守点,留着吧。一般凭经验也能看出个大概,如果文件名起得和系统必要进程类似,比如svch0st.exe,这个我用大腿都能看出来是病毒,还有就是目录位置不对,比如c:\windows\svchost.exe,这个我用小腿就能看出来是病毒或者恶意程序,直接杀进程删文件。
除了这些,剩下的陌生的第三方程序咋办,你不知道,我也不知道,看目录位置(其实以目前的技术,这个也只能防防一般的程序),如果是program files目录的,如拼音加加输入法,一般没什么问题(我只是说一般没问题),是你自己装的软件,如果是windows目录或者system32目录,可能是打印机的或者其它的驱动,google一下,不会?请直接跳到第九步。如果google还是不能确定,把杀进程删文件(备份文件先),因为必要进程我们没动,可以保证系统正常启动就什么都不怕。
之前提到过注入线程,就是说恶意软件不是以exe形式以进程的方式运行了,而是dll的形式,插入正常的进程进行工作,那怎么办?找工具,windows没有自带的工具能查杀线程的,网上找icesword或者syscheck等,不会?请直接跳到第九步。下完了直接打开运行,查看对应程序的线程,里面有很多模块,一般都是dll的,这个只能凭经验了。真的,大哥,大姐,成千上万的dll,我没法确定,这里使用syscheck稍微要省事一点,它可以分辨出来哪些是系统自带的,哪些是第三方的(依然不是绝对的,只能对付95%的恶意程序)。有可疑的,结束线程,删文件(注意备份,有问题还原)。
杀完进程线程就查看启动项,一般包括注册表,文件关联,服务,驱动等
5、查看注册表,删除没用的启动项
命令行执行regedit.exe,启动项一般就是HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,runonce,runonceex,runservices都顺便看一下,还有HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下看看shell的值是不是explorer,确认后面没有跟其它内容。
还有所谓映像劫持,在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\,查看有没有exe键对应了可疑的程序,如果有,删除(注意备份,有问题恢复)。文件关联,比如txt的文件关联,在这里HKEY_CLASSES_ROOT\txtfile\shell\open\command,默认值应该是C:\\WINDOWS\\notepad.exe %1,其它的同理。
6、查看服务,禁用不必要的服务
windows自带的服务管理器,我的电脑上点击右键,管理菜单,或者命令行执行services.msc,然后敲回车,这个...呃...明白哈,回车就是写着Enter的那个键,看到一大堆服务,跟进程一样,凭经验,禁止可以或者无用服务,比如一般个人机器的话,task schedule、remote register、server等服务都没用,但是如果我关了server服务,以后可能又会对我嚷嚷,什么高手,自从被你整过之后,我的机器不能共享了。所以这个事情很耗时间,特别是远程操作,我可耗不起这人工时。使用iecsword,syscheck等之类的第三方软件,可疑查看windows自带的服务管理器看不到的服务、驱动等。
7、一些高级点的情况
可能会碰到有的注册表键值删除不了,出错,或者删了刷新又出来了,一般是有恶意的进程或者线程守护,没有杀干净,回到第四步,或者更高级一点,HOOK,SSDT,驱动等。使用icesword等第三方工具,恢复钩子,ssdt等,卸载驱动,重启计算机。
8、其它意外情况
一些驱动,sys文件,dll文件,在windows下看不到,或者死活删除不了,重命名也不行,那只能实dos下操作,什么是实dos?我觉得说来话有一匹布那么长,不如google一下,接着怎么进实dos,使用启动光盘,或者第三方软件,用grub菜单启动到实dos,然后找到文件位置删除(注意备份),至于还有什么实dos支持ntfs什么的不再说了,这个东西就像大树一样,一个枝干有很多分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,然后继电器呢就是把线圈绕在铁块上,线圈就是铜丝,铜丝一般由铜原子构成,一般金属都是原子构成,空气,水之类的才由分子组成............
9、找懂电脑的重装系统
这一步不是说安装上面的流程完了就做这一步,我想你应该明白的哈,如果实在搞不定,就找个懂电脑的重装系统,至于重装怎么分区,什么是分区,硬盘大小,怎么看大小,1G=1024M等,我就不说了,这个东西就像大树一样,一个枝干有很多分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支
又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有
分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分
支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,
分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支
又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有
分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分
支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,
分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支
又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,分支又有分支,然后继电器呢就是把线圈绕在铁块上,线圈就是铜丝,铜丝一般由铜原子
构成,一般金属都是原子构成,空气,水之类的才由分子组成............
10、把电脑抱过来,老衲亲自操刀
不记人工时