【转帖】冰刃IceSword1.22中文版，实战清除病毒、木马流程（通用方法）

边缘男子 · 发表于 2008-2-11 16:36

作者：SunnyBoy
这不是一篇简单的IceSword使用教程。类似教程看过很多，但对新手而言往往不知道该如何使用。本文将详细介绍清理隐藏进程、Rootkit类程序、强力删除文件与清理注册表的流程及方法，暂不解释原理术语。

使用流程概括：设置IS-->结束可疑进程-->恢复SSDT-->删除文件-->删除病毒创建的“系统服务”-->其它清理
注意事项：如何退出IceSword：直接关闭，若你要防止进程被结束时，需要以命令行形式输入：IceSword.exe /c，此时需要Ctrl+Alt+D才能关闭（使用三键前先按一下任意键）。
如果最小化到托盘时托盘图标又消失了：此时可以使用Ctrl+Alt+S将IceSword主界面唤出。因为偷懒没有重绘图标，将就用吧^_^。
如果无法在正常模式下运行，那么请进入安全模式查杀。使用前请先断网！！！

（一）设置IceSword

运行IceSword.exe。如果无法运行，请先试着将文件名改成随即名字。如：188965.com
点击左上角的“文件”，再选择“设置”，勾选最下面的三项，点“确定”。注意：这样设置后是无法再打开任何新的程序的。如果要配合SREng等软件扫描出的日志，请先打开文件再设置。

（二）结束可疑进程

红色项应全部结束（当然主程序IceSword.exe除外），是非正常的隐藏进程。系统默认是没有的。如果你确定哪些是正常的可以不关。
顺便结束这些进程：Explorer.exe、iexplore.exe、rundll32.exe

（三）恢复SSDT

记下这里显示的文件位置以及文件名。具体看图吧。。。

（四）清理文件

首先应清理SSDT中显示的文件，还有第一步中红色进程的文件。
为完全清理文件，可以右键文件夹，选“搜索文件”查找前面找到的文件。具体方法同注册表搜索
有时强制删除文件会失败，请先使用“删除”。

若你的分区格式是NTFS，在清理时请使用管理员权限账户登陆，并右键目录，选择“枚举ADS（不包含子目录）”（全部的话时间较长）。这样可以揪出利用NTFS交换数据流（Alternate Data Streams，简称ADS）隐藏的文件。

IceSword中还有一些如“启动组”、“BHO”的功能，在这里可以检查可以启动项和浏览器劫持项

（五）删除注册表相关信息

系统服务所在位置：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001Services\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002Services\

常见启动项：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

有些可以直接删除主键

注册表的清理可能会比较繁琐，需要你搜索文件所在的键值。方法如下：

时间会比较长，可能出现假死，请耐心等待

系统启动项Run的删除。示例：

（六）最后的清理

首先应该还原第一步中对IS的设置。
建议先装个kis7.0.0.125，论坛里就有，杀完后可以卸载。
装好后马上联网、升级、重启。启动后若发现病毒未清除干净，需重新来一遍，然后启动卡巴杀毒。
若仍然不行，你可以进入“带网络连接的安全模式”，然后依次点开始---运行---输入“net shart avp”（不带引号），再启动卡巴进行全盘扫描。不能清除的文件用IS的“强制删除”！

最后！用SREng修复一下关联文件，再用Windows优化大师的 ActiveX 清理--->磁盘文件管理（扫描选项用“推荐”配置，扫描C盘，然后“全部删除”）--->注册信息清理（勾选第1~3和倒数第2个即可，也是全部删除）。

[ 本帖最后由边缘男子于 2008-2-11 16:39 编辑 ]

边缘男子 · 发表于 2008-2-11 16:44

冰刃IceSword1.22中文版
下载地址：目前失效

[ 本帖最后由边缘男子于 2008-3-15 16:56 编辑 ]

冷吻封唇 · 发表于 2008-2-12 12:39

:sm41: :sm41: :sm41: :sm41:
呵呵，这样的帖子多发些哦

txg · 发表于 2008-2-12 18:27

厉害啊 .你真厉害，你比刘翔都厉害

defani · 发表于 2008-8-29 20:13

用冰刃手动杀毒还是比较彻底滴。。。支持

defani · 发表于 2008-11-8 19:26

中毒用冰刃手杀最方便，可是最近我的电脑无法使用冰刃，我也没弄明白是为什么

defani · 发表于 2008-11-8 19:27

厄。。。。什么时候我已经回过一次了，汗

zhancigao · 发表于 2009-1-30 18:05

提示: 作者被禁止或删除内容自动屏蔽

nopq474 · 发表于 2009-3-11 18:13

湛杰虹 · 发表于 2009-4-17 09:14

提示: 作者被禁止或删除内容自动屏蔽

阿波罗18号 · 发表于 2009-4-24 20:25

提示: 作者被禁止或删除内容自动屏蔽

寻觅桃花岛 · 发表于 2009-6-26 15:47

下载地址目前失效？？
没得用喽？？！！……~~~~~~~~~~~~~~~~~~~~~~~··哎:-0

zhancigao zhancigao 当前离线 UID 38358 禁止发言积分 1005 经验点数油豆荣誉在线时间小时注册时间 2009-1-20 最后登录 1970-1-1 头像被屏蔽该用户从未签到	发表于 2009-1-30 18:05 \| 显示全部楼层 � 提示: 作者被禁止或删除内容自动屏蔽
	免责声明：用户在本平台发表的内容(如有图片或视频亦包括在内)仅表明其个人观点，不代表本平台观点，本平台亦不承担任何法律及连带责任，本平台仅提供信息存储服务；本平台发布的信息仅为传递、参考之用，不构成任何投资、使用等行为的建议。任何后果均由用户自行承担；转载文章的版权归原作者所有，如有侵权，请与我们取得联系，我们将立即整改或删除相关内容。
	回复支持反对使用道具举报

湛杰虹湛杰虹当前离线 UID 47018 禁止发言积分 2012 经验点数油豆荣誉在线时间小时注册时间 2009-4-10 最后登录 1970-1-1 头像被屏蔽该用户从未签到	发表于 2009-4-17 09:14 \| 显示全部楼层 � 提示: 作者被禁止或删除内容自动屏蔽
	免责声明：用户在本平台发表的内容(如有图片或视频亦包括在内)仅表明其个人观点，不代表本平台观点，本平台亦不承担任何法律及连带责任，本平台仅提供信息存储服务；本平台发布的信息仅为传递、参考之用，不构成任何投资、使用等行为的建议。任何后果均由用户自行承担；转载文章的版权归原作者所有，如有侵权，请与我们取得联系，我们将立即整改或删除相关内容。
	回复支持反对使用道具举报

阿波罗18号阿波罗18号当前离线 UID 14761 禁止发言积分 4305 经验点数油豆荣誉在线时间小时注册时间 2008-3-20 最后登录 1970-1-1 头像被屏蔽该用户从未签到	发表于 2009-4-24 20:25 \| 显示全部楼层 � 提示: 作者被禁止或删除内容自动屏蔽
	免责声明：用户在本平台发表的内容(如有图片或视频亦包括在内)仅表明其个人观点，不代表本平台观点，本平台亦不承担任何法律及连带责任，本平台仅提供信息存储服务；本平台发布的信息仅为传递、参考之用，不构成任何投资、使用等行为的建议。任何后果均由用户自行承担；转载文章的版权归原作者所有，如有侵权，请与我们取得联系，我们将立即整改或删除相关内容。
	回复支持反对使用道具举报

【转帖】冰刃IceSword1.22中文版，实战清除病毒、木马流程（通用方法）

龙卷风旋风扫０⑤⑦⑨-⑧⑦③⑥⑧③⑤⑦

使用高级回帖 (可批量传图、插入视频等)快速回复

【转帖】冰刃IceSword1.22中文版，实战清除病毒、木马流程（通用方法）

龙卷风旋风扫 ０⑤⑦⑨-⑧⑦③⑥⑧③⑤⑦

使用高级回帖 (可批量传图、插入视频等)快速回复

龙卷风旋风扫０⑤⑦⑨-⑧⑦③⑥⑧③⑤⑦