|
從系統中剔除病毒
從系統中剔除病毒
一、讓病毒從目錄中消失
我們先得從病毒所在的目錄入手,如果病毒像正常的軟件一樣有自己獨立的目錄,那么我們可以略微的笑笑了——這個(gè)病毒比較弱。檢查目錄的創(chuàng )建時(shí)間就可以知道您是什么時(shí)候染的毒,并可能發(fā)現毒從何來(lái)。如果它沒(méi)有自己?jiǎn)为毜哪夸,而是存在于系統目錄,那也比較好辦,這種病毒的破壞性一般不是很大,您就直接查看它的屬性就可以了解到一切必要的信息。如果它存在于您計算機上的每個(gè)目錄,那這時(shí)候Windows自帶的文件搜索功能就派上用場(chǎng)了。
盡管它復制的到處都是,但這種病毒都只有一個(gè)主程序文件,且都是一個(gè)娘胎生的,文件大小必然一致。打開(kāi)文件搜索的高級功能,填入EXE文件類(lèi)型并把文件的大小輸入,然后按下回車(chē)鍵,接著(zhù)藏在您硬盤(pán)每個(gè)角落的病毒就會(huì )被暴露無(wú)疑。利用創(chuàng )建時(shí)建排序,您可以發(fā)現第一個(gè)攻擊您機器的病毒了,F在所有的病毒數據文件幾本都在眼前了,至少是病毒能對你發(fā)動(dòng)攻擊的主要成分,那么就請大開(kāi)殺戒吧,把您找到的與任何與病毒相關(guān)的EXE、DLL、數據全部刪除。不過(guò)別做的太絕,留上至少一個(gè)EXE作為標本,將其擴展名改為DAT并用RAR打包,我們以后還用的上。
另外還是請您非常的小心謹慎,別把不是病毒的文件給誤刪了,那可是致命的錯誤!在處理完硬盤(pán)病毒后,千萬(wàn)不要重起計算機,那可能會(huì )導致前功盡棄,因為有的病毒的正身我們并不能如此輕易的找到。如果有些病毒不以EXE的身份出現,而是其它的比如COM、RAR等,我們的文件尺寸搜索法一樣適用,換個(gè)擴展名就行了。不過(guò)我還是要告訴您一件不幸的事,主程序文件尺寸不一樣的病毒現在還沒(méi)有但并不代表以后不會(huì )有,到那時(shí)我們只能用關(guān)鍵數據匹配搜索了。
二、對病毒最后的陣地發(fā)動(dòng)總攻
硬盤(pán)上的病毒雖然已被我們斬草除根,但更麻煩的事還在等著(zhù)我們,要知道負隅頑抗的敵人才是最可怕的。病毒的最后陣地在哪呢?無(wú)疑就是那傳說(shuō)中的注冊表。因為系統服務(wù)的信息都存儲在注冊表理,我就把服務(wù)的內容歸類(lèi)在這一節了。首先應該做的事是仔細檢查你的服務(wù)列表,仔細核對每一個(gè)沒(méi)有描述的服務(wù),看是否和你剛結束掉的進(jìn)程有關(guān)。對于中文版Windows的用戶(hù)來(lái)說(shuō),查出病毒服務(wù)是有一定優(yōu)勢的,原因說(shuō)來(lái)比較可笑,那就是國外寫(xiě)病毒的程序員不懂中文,因此他們不會(huì )用中文的描述來(lái)將自己偽裝成系統服務(wù)。因此對于一切英文描述的服務(wù)也應該格外注意。
我還見(jiàn)過(guò)更狠的病毒,它將系統正常的進(jìn)程干掉,然后將那個(gè)進(jìn)程的描述、名稱(chēng)等信息套用在自己身上,偽裝的真是天衣無(wú)縫。但最終還是露出了馬腳,它所對應的EXE文件是完全不對路的。當確保進(jìn)程是安全的,那我們就可以直接進(jìn)入注冊表了,先檢查系統起動(dòng)時(shí)自動(dòng)運行的注冊項,看有沒(méi)有可疑的程序。我的經(jīng)驗是在系統啟動(dòng)時(shí)基本不運任何程序,真的要運行就放在開(kāi)始菜單的啟動(dòng)項里,這樣不僅安全,而且可以為你發(fā)現病毒帶來(lái)極大的便利。
事實(shí)上,長(cháng)期以來(lái)的無(wú)數次實(shí)踐證明,將所有的自動(dòng)啟動(dòng)項都刪除對于機器是沒(méi)有任何不良影響的。系統本身不會(huì )把關(guān)鍵的啟動(dòng)程序放在那里,對于系統運行最關(guān)鍵的其實(shí)是服務(wù)。不過(guò)當你在這里發(fā)現病毒時(shí)先不要急于刪除鍵值,您應該將它記錄下來(lái),看看它對應的程序是否已被你備案。然后將病毒程序可能的名字都復制下來(lái),逐個(gè)在注冊表中搜索,把找到的所有的匹配項全部刪掉。不過(guò)這樣做還是有一定的危險性,我強烈建議您在刪除前導出鍵值以做備份。在注冊表的查殺和掃描工作結束后,我們終于可以長(cháng)噓一口氣了,因為病毒及其家人很可能已經(jīng)被我們殘忍的屠殺凈了。在您再次檢查進(jìn)程列表確保無(wú)誤后,就可以重起計算機看看病毒是否會(huì )再次發(fā)作了。
三、真正可怕的對手
還記得上面的內容中層經(jīng)提到過(guò)的寄生在瀏覽器進(jìn)程或系統服務(wù)進(jìn)程中的病毒嗎?它們當之無(wú)愧是我們最可怕的敵人。然而隨著(zhù)您將他們藏在注冊表里的信息清除掉,它們中的大多數在您重起機器后就不會(huì )再附加在系統進(jìn)程上了,這時(shí)就可以按照上面的方法將它們清除,這聽(tīng)起來(lái)并不很復雜是嗎?但更加令人恐怖的病毒還在后面,那就是病毒在運行的時(shí)候對注冊表實(shí)施了監控,一旦發(fā)現它在注冊表里的注冊信息被破壞,將會(huì )立即復原,使你對注冊表的操作無(wú)效。對于這樣的病毒,我們只能用干凈的DOS啟動(dòng)盤(pán)啟動(dòng)機器,然后將它的程序文件刪掉,再啟動(dòng)進(jìn)入Windows,刪除它在注冊表里的信息。
有的朋友會(huì )問(wèn),為什么不進(jìn)入安全模式殺毒。當然,在安全模式下絕大多數無(wú)用的服務(wù)和進(jìn)程不會(huì )被啟動(dòng),然而這對于那些喪心病狂的特殊病毒這是無(wú)效的,甚至于當它們發(fā)現您的機器進(jìn)入了安全模式后會(huì )立即發(fā)動(dòng)最后猛攻,使您的機器徹底癱瘓。雖然這么狠的病毒對于一般的朋友來(lái)說(shuō)是百年難遇的。 |
|