冰刃IceSword使用教程.doc

冰刃IceSword使用教程冰刃IceSword1.22中文版，实战清除病毒、木马流程（通用方法）这不是一篇简单的IceSword使用教程。类似教程看过很多，但对新手而言往往不知道该如何使用。本文将详细介绍清理隐藏进程、Rootkit类程序、强力删除文件与清理注册表的流程及方法，暂不解释原理术语。使用流程概括：设置IS-结束可疑进程-恢复SSDT-删除文件-删除病毒创建的“系统服务”-其它清理注意事项：如何退出IceSword：直接关闭，若你要防止进程被结束时，需要以命令行形式输入：IceSword.exe /c，此时需要Ctrl+Alt+D才能关闭（使用三键前先按一下任意键）。如果最小化到托盘时托盘图标又消失了：此时可以使用Ctrl+Alt+S将IceSword主界面唤出。因为偷懒没有重绘图标，将就用吧_。如果无法在正常模式下运行，那么请进入安全模式查杀。使用前请先断网！（一）设置IceSword运行IceSword.exe。如果无法运行，请先试着将文件名改成随即名字。如：188965.com点击左上角的“文件”，再选择“设置”，勾选最下面的三项，点“确定”。注意：这样设置后是无法再打开任何新的程序的。如果要配合SREng等软件扫描出的日志，请先打开文件再设置。（二）结束可疑进程红色项应全部结束（当然主程序IceSword.exe除外），是非正常的隐藏进程。系统默认是没有的。如果你确定哪些是正常的可以不关。顺便结束这些进程：Explorer.exe、iexplore.exe、rundll32.exe（三）恢复SSDT记下这里显示的文件位置以及文件名。具体看图吧。（四）清理文件首先应清理SSDT中显示的文件，还有第一步中红色进程的文件。为完全清理文件，可以右键文件夹，选“搜索文件”查找前面找到的文件。具体方法同注册表搜索有时强制删除文件会失败，请先使用“删除”。若你的分区格式是NTFS，在清理时请使用管理员权限账户登陆，并右键目录，选择“枚举ADS（不包含子目录）”（全部的话时间较长）。这样可以揪出利用NTFS交换数据流（Alternate Data Streams，简称ADS）隐藏的文件。IceSword中还有一些如“启动组”、“BHO”的功能，在这里可以检查可以启动项和浏览器劫持项（五）删除注册表相关信息系统服务所在位置：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHKEY_LOCAL_MACHINESYSTEMControlSet001ServicesHKEY_LOCAL_MACHINESYSTEMControlSet002Services常见启动项：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce有些可以直接删除主键注册表的清理可能会比较繁琐，需要你搜索文件所在的键值。方法如下：时间会比较长，可能出现假死，请耐心等待系统启动项Run的删除。示例：（六）最后的清理首先应该还原第一步中对IS的设置。建议先装个kis25，卡饭论坛里就有，杀完后可以卸载。装好后马上联网、升级、重启。启动后若发现病毒未清除干净，需重新来一遍，然后启动卡巴杀毒。若仍然不行，你可以进入“带网络连接的安全模式”，然后依次点开始-运行-输入“net shart avp”（不带引号），再启动卡巴进行全盘扫描。不能清除的文件用IS的“强制删除”！最后！用SREng修复一下关联文件，再用Windows优化大师的 ActiveX 清理-磁盘文件管理（扫描选项用“推荐”配置，扫描C盘，然后“全部删除”）-注册信息清理（勾选第13和倒数第2个即可，也是全部删除）。引用:结束语其实也就是写了一点很简单的东东，让老鸟、大侠见笑了个人实际操作就是这样的，配合SREng + 瑞星卡卡上网助手（一直装着就习惯用它了，主要是“隐藏微软已签名的项”和“隐藏瑞星已签名的项”用） + Google搜索文件，基本可以搞定病毒。如果重启后反弹，那么说明你在清理文件时没有搞好。主要是对文件的识别，特别是“系统驱动文件”的识别，这是一个难点。重点检查非微软签名项文件。什么样的是微软签名项？下面举一些SREng的例子|-|启动项目|注册表|HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon| (Verified)Microsoft Windows Component Publisher| (Verified)Microsoft Windows Publisher| (Verified)Microsoft Windows Publisher|(Verified)Microsoft Windows Publisher也就是通过验证的项了|=|正在运行的进程|PID: 10086 / SYSTEMSystemRootSystem32smss.exe Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)|后面这段Microsoft Corporation, 5.1.2600.2180 (xpsp