实战杀毒系列之手动查杀Netstart病毒

编者按：这里所用到的各种手动查杀方法，具有一定的通用性。用户在碰到类似情况的时候，可以试着使用这些方法，自行手动查杀。

早上老板的老板叫我过去说他的IE出问题了。一打开就弹出窗口跳到http://vod.mmdy.org（注意：请勿点击）。我一开始并没有当回事情，因为现在上网被修改了首页太多见了。就用Upiea修复了一下，改成about:blank，觉得就没问题了，没想到重新启动后，又被改了回去。

也就是说，系统中招了，每次启动的时候自动修改。运行msconfig，查看启动项目，发现了一个可疑项目systems.exe，应该就是它了。

老板说是今天早上中的招。开着卡巴斯基6.0，病毒库到9.14，扫描过没有报毒。于是我按照下面的步骤开始手动查杀的过程：

1.Win＋F，进入查找窗口。搜索文件*.*，搜索范围定在c:/winnt（这是Win2000的系统安装目录，如果是XP的话就是c:/windows），限定日期在9.20－－9.21。

这种做法的用处是：木马病毒之类通常都是在c:/winnt跟c:/winnt/system32下，所以查找该目录下的修改过的文件就可以迅速定位到疑点。

2.OK，查找的结果有十多个，重点看exe　dll pif等文件。检查后发现了四个疑点

c:/winnt/systems.exec:/winnt/system32/netstart.exec:/winnt/system32/regshell.exec:/winnt/system32/winpub.reg

这四个文件的修改时间都是9.21，说明是早上新进入系统的，嗯，应该就是病毒了。

最后一个winpub.reg，打开看了一下（注意，不要直接点击，否则就直接导入注册表了，可以使用notepad或者ultraedit等文本编辑器来查看），干，居然发现了下面这行字：

[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System]

"DisableRegistryTools"=dword:00000001

也就是说，regedit.exe（注册表编辑器）被禁用了。我居然没有注意到。

3.OK，现在可以开始手动杀毒了。推荐进入安全模式或者DOS下删除，这样比较确保，不过比较麻烦。我偶尔这么做，通常情况下直接就在正常模式下删除。

开始－运行－cmd，进入命令行模式。

cd c:/winnt 进入系统文件夹。

attrib -s -a -h -r /d /s *.* 　attrib就是修改文件属性，因为在dos下是看不到隐藏跟系统文件的（Windows下可以看，不过通常情况下我们选择不看了）。这个命令的用处就是把系统文件夹下面所有的文件的属性都去掉，包括子文件夹。

del systems.exedel system32/netstart.exedel system32/regshell.exedel system32/winpub.reg

很正常，都删除掉了。注意这里有时候我们会遇到一些比较麻烦的病毒在启动时候就运行了，当你试图删除的时候会提示你说文件无法删除。不要紧，按照下面的做法。

按CTRL+ALT+DEL进入进程管理器，查看该进程的PID，记下来。

然后在cmd中运行　ntsd -c q -p PID ，强行杀掉该进程，就可以删除文件了。

4.　既然该病毒还修改了注册表，我们无法直接通过注册表编辑器来恢复了，这个时候如果直接运行regedit.exe，系统提示被禁止。如果是高手（高手也就是肚脐眼长毛装逼的那些人）可以直接编写reg文件导入来修复。不过我们没必要这么麻烦，直接用hijackthis来修复就可以了。然后再用Upiea把被劫持的IE给修复回来。重新启动，OK一切正常了。

从上面的做法我们可以看到，装了杀毒软件不是万能的，毕竟道高一尺魔高一丈。自己动手丰衣足食。当然我们也没必要去怕这些木马病毒，至今为止，我没有遇到过不能手动查杀的，所需要的只是耐心与一点技巧。