1、冰刃 IceSword 使用教程冰刃 IceSword1.22 中文版,实战清除病毒、木马流程(通用方法)这不是一篇简单的 IceSword 使用教程。类似教程看过很多,但对新手而言往往不知道该如何使用。本文将详细介绍清理隐藏进程、Rootkit 类程序、强力删除文件与清理注册表的流程及方法,暂不解释原理术语。使用流程概括:设置 IS结束可疑进程恢复 SSDT删除文件删除病毒创建的“系统服务 ”其它清理注意事项:如何退出 IceSword:直接关闭,若你要防止进程被结束时,需要以命令行形式输入:IceSword.exe /c,此时需要 Ctrl+Alt+D 才能关闭(使用三键前先按一下任意键)
2、。如果最小化到托盘时托盘图标又消失了:此时可以使用 Ctrl+Alt+S 将 IceSword 主界面唤出。因为偷懒没有重绘图标,将就用吧_。如果无法在正常模式下运行,那么请进入安全模式查杀。使用前请先断网!(一)设置 IceSword运行 IceSword.exe。如果无法运行,请先试着将文件名改成随即名字。如:点击左上角的“文件” ,再选择“ 设置”,勾选最下面的三项,点“确定”。注意:这样设置后是无法再打开任何新的程序的。如果要配合 SREng 等软件扫描出的日志,请先打开文件再设置。(二)结束可疑进程红色项应全部结束(当然主程序 IceSword.exe 除外),是非正常的隐藏进程。系
3、统默认是没有的。如果你确定哪些是正常的可以不关。顺便结束这些进程:Explorer.exe、iexplore.exe、rundll32.exe(三)恢复 SSDT记下这里显示的文件位置以及文件名。具体看图吧。(四)清理文件首先应清理 SSDT 中显示的文件,还有第一步中红色进程的文件。为完全清理文件,可以右键文件夹,选“搜索文件” 查找前面找到的文件。具体方法同注册表搜索有时强制删除文件会失败,请先使用“删除” 。若你的分区格式是 NTFS,在清理时请使用管理员权限账户登陆,并右键目录,选择“枚举 ADS(不包含子目录)”(全部的话时间较长)。这样可以揪出利用 NTFS 交换数据流(Alter
4、nate Data Streams,简称 ADS)隐藏的文件。IceSword 中还有一些如“启动组”、“BHO” 的功能,在这里可以检查可以启动项和浏览器劫持项(五)删除注册表相关信息系统服务所在位置:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHKEY_LOCAL_MACHINESYSTEMControlSet001ServicesHKEY_LOCAL_MACHINESYSTEMControlSet002Services常见启动项:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersi
5、onRunHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce有些可以直接删除主键注册表的清理可能会比较繁琐,需要你搜索文件所在的键值。方法如下:时间会比较长,可能出现假死,请耐心等待系统启动项 Run 的删除。示例:(六)最后的清理首先应该还原第一步中对 IS 的设置。建议先装个 kis7.0.0.125,卡饭论坛里就有,杀完后可以卸载。装好后马上联网、升级、重启。启动后若发现病毒未清除干净,需重新来一
6、遍,然后启动卡巴杀毒。若仍然不行,你可以进入“带网络连接的安全模式” ,然后依次点开始-运行-输入“net shart avp”(不带引号),再启动卡巴进行全盘扫描。不能清除的文件用 IS 的“ 强制删除” !最后!用 SREng 修复一下关联文件,再用 Windows 优化大师的 ActiveX 清理-磁盘文件管理(扫描选项用“推荐”配置,扫描 C 盘,然后“ 全部删除”)- 注册信息清理(勾选第 13 和倒数第 2 个即可,也是全部删除)。引用:结束语其实也就是写了一点很简单的东东,让老鸟、大侠见笑了个人实际操作就是这样的,配合 SREng + 瑞星卡卡上网助手(一直装着就习惯用它了,主要
7、是“ 隐藏微软已签名的项”和“ 隐藏瑞星已签名的项” 用) + Google 搜索文件,基本可以搞定病毒。如果重启后反弹,那么说明你在清理文件时没有搞好。主要是对文件的识别,特别是“系统驱动文件” 的识别,这是一个难点。重点检查非微软签名项文件。什么样的是微软签名项?下面举一些 SREng 的例子|-|启动项目|注册表|HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon| (Verified)Microsoft Windows Component Publisher| (Verified)Microsoft W
8、indows Publisher| (Verified)Microsoft Windows Publisher|(Verified)Microsoft Windows Publisher也就是通过验证的项了|=|正在运行的进程|PID: 10086 / SYSTEMSystemRootSystem32smss.exe Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)|后面这段Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)就标明了文件的签名了。|-一般来说病毒文件都没有 Microsoft 的签名,不过前几日清理一个病毒就拥有 MS 签名(其实要做到这一点并不是很难)。不过值得注意的是,有的系统文件 SREng 暂时还扫描不出签名。
