转贴自微风论坛..

前言
当然，简单操做而已。如果有更好的意见欢迎提出。

Autoruns 介绍
下载点
Autoruns为一款管理开机的软体，可以用来查找开机自动运行的程式。此软体最大的特色为在系统干净的情况下可以备份日志，等到系统中木马时，再拿出来比对。

1.下载执行后产生如下图所示


2.找到File，下拉SAVE，备份一干净系统开机日志，软体预设存档档名为AutoRuns.txt。
当然如果你不确定系统是否干净或根本确认有毒，也可以将日志贴出，供版友检查。



3.当系统发生疑似有木马时拿出来比对。
点选File，下拉Compare。



找到原先备份的档案以作比对。此处备份的档案为AutoRuns.txt


4.软体比对前后档案后，将异动的项目以绿色标示出。



5.如确定为恶意项目，滑鼠游标移至该项目，右键点选该项目，按下"Delete"，删除该项目。



6.如果不确定是否为恶意项目，也可以通过Google寻找相关讯息。
  滑鼠游标移至该项目，右键点选该项目，按下"Goolge"。


System Repair Engineer
System Repair Engineer(SREng)为一款强大的系统修复工具。其扫描日志远较hijackthis来的详细。更详尽的介绍请点我
官方下载点
使用此工具会自动连上官网检查是否有更新的版本，仍能正常运作。

以下仅做些基本介绍。
1.     对系统做扫描，切换到smart scan页签，勾选"Verify the digital signature of process modules"，之后 按下scan进行扫描。


2.     扫瞄完成后，按下Save report输出日志。如不确定哪些项目为危险项目，可以将日志贴出供版上大大查看。


3.     如不确定是否为可疑项目，可以右键点击该项目，使用Google查找。
如确定为可疑项目，可以删除或修改该项目，按下Edit或是Delete。


4.     我们在使用防毒软体扫毒时，往往删除病毒后，却留下后遗症，造成exe等文件无法开启，这个软体正好可以解决此问题。切换到System repair页面、找到File Assocation、勾选select all，按下Repair。如果System Repair engireer无法执行，请将其副档名改为com。


5.     有些病毒可能会造成您的防毒软体无法正常更新病毒码或是您无法使用线上扫毒扫描电脑。请按照以下步骤检查host文件，切换到System repair页面、在上方页签中选择Host file，正常Host应该只有这行叙述：
127.0.0.1     localhost
  如有多余叙述，除非您确定知道那是什么，否则请选择该项叙述，按下delete。
 
 
6.     当工作管理员无法执行、无法使用windows自带的登录编辑器、无法使用控制台时等可以按照以下方法解决。切换到System Repair engireer，选择windows shell页签，勾选select all、按下repair修复。


Icesword
对岸号称斩杀木马的利器，在国外也是很有名的一款软体。主要功用为结束进程、查找后门、Rookit、强制删除登录机码。建议使用英文版。

下载页面

使用木马样本测试，该木马会在C:/womdows/system/ 生成service.exe


1..     使用icesword可以查看正在执行的程序。

windows自带的工作管理员没有显示程序



切换到process页面，icesword侦测到执行中隐藏的木马程式，以红色标示。右键点选此程式，选择Terminate process可以中止此木马程式。



2.使用icesword 观察隐藏中毒档案
   
即使打开windows 隐藏档案属性，在C:/womdows/system/，仍然没有办法看到service.exe这支木马。


使用icesword 切换到File，在C:/womdows/system/，找到service.exe这支隐藏木马，右键点选delete即可删除。


3.     强制删除登录机码。切换到registry，找寻欲删除的机码，右键点选delete。

                                                                     

4.     Sometime,我们会碰到防毒软体警报 *dll 文件无法清除，可以使用process explorer来找出挂钩的程序，当然如果不是系统进程，直接结束再删掉dll 就好了，可是process explorer 往往会告诉我们寄宿的程序为svchost.exe, explorer.exe,winlogon.exe这些系统程序，此时我们可以使用icesword来卸载 dll文件。在process页中找到系统进程，点选右键"Moudle Information"，查看讯息。注意有时候卸载*dll会造成系统当机，此时就必须请出system safety monitor来禁止*dll文件的载入

选择欲卸载的*dl，点选unload卸载或是unload(force)来强制卸载。l






5.   可以i监看一些隐藏服务。隐藏服务icesword会以红色标示。


RookitReveal
下载点
检查Rookit。

下载RookitReveal，执行后按照下图所示，可以扫描及输出日志。




Unlocker
下载点

解除程序占用，让恶意程式能顺利移除。


LSP-Fix、WinsockxpFix
WinsockxpFix下载点
LSP-Fix下载点

1.使用LSP-Fix修复hijackthis 010项

2.修复后如果无法上线，请使用WinsockxpFix修复网路。

3.LSPFix、WinsockxpFix务必同时下载在进行步骤1的修复动作，以免因为修复造成网路无法连线。