13 12
发新话题
打印

教你干掉最近猖獗的“HBKernel”病毒~~~

教你干掉最近猖獗的“HBKernel”病毒~~~

为了实验,我们选取了曾经非常流行的HBKernel病毒,其清除难度非常大,众多反病毒软件厂商无奈之下只得靠编写专杀来处理。当然样本KIS2009早就能杀了,但为了体验,我们这里暂停KIS2009的保护,然后呢,运行样本文件。直接运行?对,这才能体现出咱的信心不是?双击样本文件,一小会儿后,样本文件消失了,应该已经充分运行了。我们来用KIS2009创建系统报告,看看怎么把它清除掉。打开KIS2009的主窗口,点击左下角的“支持链接->支持工具”,
  点击“创建系统状态报告”这时KIS2009就会收集系统信息,生成报告。
  生成报告后点击右边的“查看”按钮,就可以打开报告所在的文件夹。这时我们看到报告已经被打成了sysinfo.zip压缩包。
  我们来将里面的报告解压出来。由于报告所在的目录受到KIS2009的保护,无法写入,我们得先将它复制到别的文件夹下比如“桌面”,然后再解压缩。解压缩后我们得到两个文件:avz_sysinfo.htm和avz_sysinfo.xml,我们打开sysinfo.html。打开后IE浏览器会提示是否允许运行被阻止的内容,选择“允许”。
  这时我们就看到报告了,可是报告里的文字是乱码啊,呵呵,还有些俄语字母呢,大家不要误以为这报告是俄语的,这可绝对是中文的,只是因为IE浏览器没能够正确选择文件的文字编码而造成的。在IE浏览器的菜单里依次点击“查看->编码->简体中文(GB2312)”,怎么样,这时中文就出来了吧。
  我们来好好看下报告吧。报告里列出来了系统中正在运行的进程、内核模块、服务、驱动、自动运行、BHO等等,绝对的应有尽有。而且可以信任的系统程序都用绿色标记了出来,不认识的程序则用黄色来标记。好了,我们来揪出隐藏在系统中的病毒,把它咔嚓掉吧。
  在“进程列表”里我们发现了一个可疑的explore.exe进程,这家伙起个名跟系统进程似的,可是“描述”信息和“版权信息”里啥都没有,基本可以断定是恶意程序。我们来将它删除。文件名下面有个脚本行,用户可以选择对这个文件执行什么脚本命令。我们先点击“终止”,让执行脚本事先结束这个进程,然后点击“删除”,尝试删除这个文件,怕删不掉,我们再点击“BC 删除”。什么是“BC 删除”呢,“BC”就是“Boot Cleaner”,是在重新启动进入系统前将病毒删除掉,对于那些已经加载进内存又赖着不出来,删除不掉的病毒就可以用“BC 删除”在重启后病毒还没进驻内存中时就将它干掉。我们也不知道这个病毒是不是很顽固,就用“删除”、“BC 删除”一起来吧。
  这时我们先不忙找其它的病毒文件,我们先转到报告的底部,在这里我们看到了一个“脚本命令”编辑框,
  我们看到里面有这样几行:
  begin
  TerminateProcessByName('c:\windows\system32\explore.exe');
  DeleteFile('c:\windows\system32\explore.exe');
  BC_DeleteFile('c:\windows\system32\explore.exe');
  end。
  这就是根据前面对“explore.exe”进程所进行的操作而生成的相应的脚本命令。最前面的begin和最后面的end表示脚本的开始与结束。TerminateProcessByName就是“终止”对应的脚本命令,它根据文件名来结束进程,当进程列表中有进程的文件名是括号里文件名时,就结束掉这个进程,这里就会结束掉文件名为'c:\windows\system32\explore.exe'的进程。DeleteFile 就是删除文件对应的脚本命令,后面括号里就是要删除的文件名,BC_DeleteFile就是“BC 删除文件对应的脚本命令”,后面括号里也是要删除的文件名。大家明白了吧,我们每次进行某种操作,都会相应的生成脚本命令,最后我们将这个脚本交给KIS2009去执行,就能完美地清除病毒了。
  我们继续往下揪病毒吧。下面是“模块”里的,“删除”加“BC删除”
  与以上过程类似,我们再找出其它部分中的可疑程序,选择“删除”加“BC删除”。最后我们在下面的添加命令到脚本里再选择上“Boot Cleaner - 启动”(使用BC_XXXX这类的命令一定要在后面写上这条命令),“在删除文件后执行注册表清理”,“重启”最终生成了下面这样的脚本:
  Begin
TerminateProcessByName('c:\windows\system32\explore.exe'); DeleteFile('c:\windows\system32\explore.exe'); BC_DeleteFile('c:\windows\system32\explore.exe'); DeleteFile('C:\WINDOWS\system32\HBmhly.dll');
  BC_DeleteFile('C:\WINDOWS\system32\HBmhly.dll');
  DeleteFile('C:\WINDOWS\system32\Drivers\HBKernel.sys');
  BC_DeleteFile('C:\WINDOWS\system32\Drivers\HBKernel.sys');
  DeleteFile('C:\WINDOWS\system32\DRIVERS\HBKernel.sys');
  BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\HBKernel.sys');
  DeleteFile('HBmhly.dll');
  BC_DeleteFile('HBmhly.dll');
  DeleteFile('aaa.dll');
  BC_DeleteFile('aaa.dll');
  BC_Activate;
  ExecuteSysClean;
  RebootWindows(true);
  end。
  OK,我们再来到这里
  选择“执行AVZ脚本”,然后粘贴我们的脚本
  点击“执行”,然后就会执行脚本,然后显示向导成功完成,由于脚本中有“重启”功能,这时会自动重启。
  重启之后,再创建一次系统状态报告看看,哈哈,果然都清掉了。
  HBKernel病毒曾经非常猖獗,众多杀毒软件束手无策,只能额外编写专杀,而KIS2009的用户无需下载任何专杀,只需要对系统报告指指点点就能轻松干掉病毒,修复系统,真的是太强大了!实际上AVZ脚本就是一种小编程语言,可以自己手工编写,支持的命令(编程里叫“函数”)有170多个,涵盖了系统修复的方方面面。就靠它您就完全可以抛弃什么“XXXX系统清理专家”、“XXXX清理助手”,即使遇到了未知病毒,您也可以用自己编写的脚本清除了病毒,恢复了系统,那可绝对是有成就感的事。您还可以用自己写的脚本去帮助别人,帅哥们能因此吸引到mm也说不定哦。

TOP

真不明白现在的网络病毒怎么这么多啊。

TOP

卡巴的确不错,可以把这么猖獗的病毒都干掉啊

TOP

用上一款好的杀软,还得会用才行啊

TOP

现在的病毒只要你的电脑防护的不好,就会进入你的电脑,所以有个好杀软很重要

TOP

早就该干掉这些病毒了,每次都把我的电脑弄坏

TOP

楼主我用的就是2009版的卡巴,呵呵

TOP

卡巴2009的默认设置就足够了,安全第一。

TOP

我用卡巴不久,真得向楼主这样的学习一下经验啊

TOP

一直用卡巴的,安静省心。

TOP

 13 12
发新话题