威金病毒手动查杀

前言

运行环境：windows2003

2006年一种国内常见的、令人厌恶的、臭名昭著的熊猫烧香的亲戚——威金病毒，该病毒集是文件型病毒、蠕虫病毒、病毒下载器于一身，传播能力非常强。

“威金蠕虫”是一个能在WIN9X/NT/2000/XP等系统上运行的蠕虫病毒，通过感染文件、局域网以及其他病毒下载传播。

该病毒还会自动在后台下载并运行“QQ通行证”等其他病毒，窃取用户QQ及网络游戏的账号和密码并发送给黑客。

好，我们先运行一下威金病毒，运行之前，我们先看一下c盘

        运行之后，c盘多了一个文件

这个是威金病毒产生的autorun.inf文件，这个文件就是蠕虫文件，我们插上u盘之后，只要加载了u盘驱动，那么这个文件会自动调用，自动会将该文件和该文件中指定的一些病毒程序拷贝到u盘中，并且下次插入u盘的时候，通过相同的手段将病毒传播到电脑上，并且这个文件只要存在我们的c盘中，我们双击该盘符时，这个文件也会自动执行，我们打开这个文件看看内容：

        这几行的意思是运行system32中的DLLHOST.exe文件，这个文件就是病毒文件，真正的攻击动作都是这个程序搞的。

        并且我们在system32文件中看不到该文件，是隐藏的。

并且他还会在c:windowssystem32目录下生成rundll132.exe文件，这也是病毒文件之一。我们怎么知道它生成了这样的文件呢，就对某台电脑进行监控，监控它的每个磁盘，当它中毒时，看它磁盘中的文件发生了哪些变动。

接下来我们来分析如何解决这个病毒，解决这个病毒之前，我们先重启一下这个虚拟机。重启之后再看c盘。

        右键，多了个Auto。

        查看进程：发现进程增加了一个DLLHOST.exe进程，说明病毒已运行：

        该进程可以被结束，但是重启电脑之后，这个进程又回来了。

        那么我们如何杀掉它呢？

第一步：进入安全模式(这里我们没有进入)

正常来讲，应该重启系统，进入到安全模式下去进行病毒的查杀，因为有些病毒在自身程序运行的状态下是不能被删除的，或者它的程序文件不能被删除，而系统安全模式启动的话，只会加载运行系统所需的基本系统程序，病毒、木马、其他第三方软件程序都不会被运行，所以我们删除病毒就更方便一些，我们有其他的手段，所以就不用安全模式来搞了，那么如何进入安全模式呢，重启电脑按F8键就能进入安全模式，但是win10不是这么进入安全模式，大家可以自行百度一下。

        启动了安全模式之后，还可以加载安全模式桌面。

第二步：删除进程并查看系统配置

删除进程：

如果你的电脑上看到了一个大写的一个小写的进程，那就都删掉，一般就只能看到一个大写的，删除即可。

        开始--运行--输入msconfig 确认进入系统配置实用程序，找到启动选项

关闭它的启动项：将DLLHOST启动项目取消勾选，点击应用，然后点击关闭，会提示你重启，我们稍后重启

在上面系统配置的图中，我们看到，命令那一列中没有看到该启动项的程序绝对路径，这是因为病毒使用了windows系统环境变量路径来加载病毒的，只要在环境变量下面的程序都可以不用文件路径来启动。

查看环境变量：

第三步：查找病毒注册表开机启动调用项

如何找注册表中的开机启动项所在位置，我们上节课已经告诉给大家了。然后经过查找，我们找到了下面这个注册表位置：

win+R --> regedit

HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows 找到load字符串，直接删除、刷新注册表。这样启动项的病毒就会马上消失。

        修改它，然后将字符串删除

        删除之后就不会开启自启动DLLHOST.exe程序了

查看启动项，如果发现它还是勾选了，那么再次取消勾选，点击应用之后点击关闭即可

第四步：删除病毒源文件

1.删除DLLHOST.exe文件

我们通过上面的步骤发现，DLLHOST.exe是个隐藏文件，可以通过win+R --> cmd --> del /ah /f DLLHOST.exe 就可以删除隐藏DLLHOST.exe病毒，其中 /ah 是只删除所有隐藏文件的意思。

怎么办？我们可以去看一下是不是这个文件的进程处于运行状态，先将进程停止，再手动删除，如果还是删除不了，那么打开xuetr工具，删除顽固的隐藏文件，先标记一下阻止文件再生，然后点击强制删除。

        镜像劫持：如果发现你的XueTr不好用了，那么很有可能是病毒将它禁用了，是因为镜像劫持，现在只需要将XueTr关闭，然后将XueTr.exe的名称改一下：

        再双击打开，再强制删除即可。你会看到DLLHOST.exe上面还有一个dllhost.exe，小写字母的，也一并删掉。

        这样就删掉了。如果删除之后我们在命令行又看到了

那么和下面删除rundll32.exe文件一样，写个批处理的bat文件，同时删除这两个文件，其中有个文件可能提示你删不了，那就不用管它了。

        比如通过命令 dir /s rundll32.exe。

看到有如下两个文件，在两个不同的目录中，dllcache目录存放的是system32的备份文件，这是系统自我保护使用到的目录，由于system32目录下存放的多是系统运行需要的dll动态库文件，所以为了防止必要的dll文件丢失，会将system32下的文件全部备份一份到dllcache目录中，如果丢失了系统会自动去dllcache目录中拷贝一个回来。

这也是病毒文件喜欢放到system32目录中的原因，不信大家删除一下system中的这个rundll32.exe文件试试效果：

删除 del rundll32.exe ，过一小会之后查看，又回来了

        那么我们如果想同时删除这两个文件该怎么办，需要写一个脚本程序来同时执行两个目录的文件删除动作。如何来做，下面步骤中会有学习。

2.删除dllhost.exe文件

方式如下：

比如我们现在桌面创建一个1.txt文件，写上如下代码

cd c:windowssystem32dllcache
del dllhost.exe
del /ah /f dllhost.exe
cd c:windowssystem32
del rundll32.exe
del /ah /f dllhost.exe

删除dllhost.exe
cd c:windowssystem32dllcache
del dllhost.exe
del /ah /f dllhost.exe

cd c:windowssystem32
del dllhost.exe
del /ah /f dllhost.exe

        注意，下面里面的rundll32.exe改写为dllhost.exe。

        然后将文件改名为1.bat，.bat文件是windows运行指令的文件，然后将.bat文件拖动到cmd窗口

        然后回车运行，就ok了。看到如下提示，点击取消

        在看到如下提示，点击是

        然后我们再搜索一下，就看不到该文件了

第五步：删除相应盘符下的autorun.inf

删除相应盘符下的autorun.inf，以防双击运行盘符再次调用病毒运行，不然我们重启电脑之后，会看到在盘符上点击右键时，看到一个auto选项

        这个auto选项其实就是病毒的自行执行程序，我们直接双击磁盘就会触发这个auto动作，病毒还会再次被运行。

        所以我们通过右键->打开，来打开盘符，如下，右键打开和双击打开对操作系统来讲，它做的事情都是打开磁盘，但是启动的手段、方式不同，病毒的自动执行就和双击动作关联了。

        找到文件删掉

        然后清空回收站：

        如果找不到这个文件，那么可能是隐藏的比较好，通过xuetr来删除即可。

第七步：重启电脑

重启电脑，威金病毒彻底删除完成。

后言

祝愿大家在网络安全领域越走越深，终能柳暗花明又一村！！