病毒木马查杀,以熊猫烧香为例。、
手动查杀流程:
排查可疑进程——检查启动项——删除病毒——修复被病毒破坏的文件
虚拟机中运行(组好纯净系统 好进行进程对比)
1、排查可疑进程:
首先查看当前进程(任务管理器:taskmgr)
运行病毒
再次启动任务管理器,发现立刻被关闭。说明病毒已经对我们的系统产生了影 响。
Cmd中tasklist查看
对比进程可发现多了名为spoclsv.exe和IMEDICTUPDATE.EXE的进程通过查询发现可疑进程为spoclsv.exe
通过命令 taskkill /f /im 1084(强制删除PID值为1084的文件镜像)
2、检查启动项:
运行中输入msconfig
记录下文件位置及注册表位置
文件位置: C:\WINDOWS\system32\drivers\spoclsv.exe
注册表位置:HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run//(注册表用于检查spoclsv是否被禁止)
3.删除病毒
取消spoclsv前的对勾。dos下删除本体文件
4.修复文件
病毒会自动复制到根目录下,dos下查看根目录的隐藏文件 dir /a:h
删除可以文件autorun.inf和setup.exe.
重启系统后,所有手动查杀病毒的工作完毕,我们的系统就又恢复正常了。
,
