论文部分内容阅读
有那么多的杀毒软件,为什么还要手工查杀呢?其实杀毒软件一直非常被动,总是等新病毒出现(甚至出现很久)之后,它才能想办法查杀,而在这个时间差中,我们的电脑就处在了高度风险之中。而一旦掌握了手工查杀的方法,就能即时保护好自己的系统。注意:本文所说的病毒,泛指病毒、木马、流氓软件等恶意程序。
第1步 常用方法显示病毒文件
首先要做的是确认病毒文件确实存在。打开Windows资源管理器,依次点击“工具→文件夹选项→查看”,点击勾选高级设置中的“显示系统文件夹的内容”和“显示所有文件和文件夹”两项,再点击去掉“隐藏已知文件类型的扩展名”和“隐藏受保护的操作系统文件”前面的对钩。
第2步 巧用WinRAR打回病毒文件原形
经过上面的操作后应该可以看到所有文件了吗?未必,有时中毒之后,这些设置会被禁止,或者设置后马上失效。还有些病毒文件,即使成功完成以上设置,还是看不到。但是不用着急,借用WinRAR(下载地址:http://www.newhua.com/soft/5.htm)可以看到所有文件。
举个例子,每个盘符下都有RECYCLED(回收站)这个文件夹。当你右键清空后,里面什么文件也没了。但是打开WinRAR再看看这个文件夹,就有可能找到病毒文件,比如我在自己的电脑中,通过WinRAR在回收站中发现了INFO2和desktop.ini这两个病毒文件。还有一个特殊的文件夹“D:\WINDOWS\Downloaded Program Files\”,这个文件夹常被病毒利用。你用Windows资源管理器和用WinRAR分别打开看看,比较一下内容是不是有所不同?
第3步 强制终止病毒进程
确认病毒文件确实存在了,接下来就是想办法删除它。如果病毒文件正被恶意进程调用,用普通方法是无法删除的,这时先要终止病毒进程。终止进程最简单的方法就是使用Windows的任务管理器,按Ctrl+Alt+Del组合键即可调出它,再点选“进程”选项卡,选中相应进程再单击“结束进程”即可。
不过大多数病毒进程针对Windows任务管理器做过处理,通过上面的方法可能无法终止它,这时可借助第三方工具来完成,比如瑞星卡卡的进程管理,Windows杀毒助手、冰刃IceSword和SYSCHECK等。其中的冰刃IceSword(下载地址:http://www.newhua.com/soft/4523.htm)和SYSCHECK(下载地址:http://work.newhua.com/cfan/200715/syscheck.rar)具有禁止进程创建功能,可以防止病毒进程和服务在终止后重新加载,这里强烈推荐。
如果能够进入安全模式我们就省事多了。安全模式下病毒的常规启动项和服务项不会加载,我们就可以顺利删除病毒文件并修复注册表,这是个理想的境界。比较顽固的病毒发作后会破坏系统进入安全模式的相关注册表项,导致不能进入安全模式,比如3448和最近很流行的AV终结者等。还有一些驱动级的病毒、木马、流氓软件,即使安全模式也会加载并保护病毒文件和注册表项不被删除。所以不能完全依赖安全模式。
火速链接:
★本刊今年第6期《病毒,看你往哪里跑!》一文中,有更多关于查找隐含病毒进程的方法,大家可以找来参考一下。
第4步 使用费尔强制删除工具
如果上一步中没能成功删除病毒,这时可借助其他强力删除工具来完成,我推荐大家试试费尔强制删除工具。这款工具小巧玲珑,使用方便,可批量输入要删除的病毒文件的路径,即使隐藏文件不可显示也能删之,并可抑制文件再生。
首先从http://bark.net.cn/soft/down/feier%202.0.rar下载费尔木马强力清除助手。使用这个工具时,可以在输入框中直接输入文件路径,也可以点击右侧“...”浏览按钮查找,选中找到的病毒文件,点选“清除”或“清除,并抑制文件再次生成”项,再单击“开始”就可以了(见图1)。对有些病毒文件,可能会提示在重启后删除。
图1
第5步 第6步 马来杀马,毒来杀毒的Unlocker
对Unlocker这款软件,我们已多有介绍,这里只简单说一下它的使用。Unlocker安装后会自动集成到右键菜单中,在资源管理器中直接右击要删除的病毒文件,选择“Unlocker”打开一个简单的对话框,在左侧下拉菜单中选择“删除”,确定即可。有些文件的删除,会要求重新启动才能最终完成。
火速链接:
★关于Unlocker的使用方法,本刊今年第8期《擒毒要擒“王”》一文也有介绍,大家可找来参考。
第7步 第8步 断绝病毒后路再删除
现在的病毒比较“智能”,当删除某个病毒文件后,它又会自动创建进程再生新的病毒文件。为了断绝病毒再生的后路,可启动IceSword,执行“文件→设置”(File→Setting),选中“禁止所有进/线程创建”(Forbid all process/thread creating)项,确定即可。然后,继续使用Unlocker删除。
第9步 金蝉脱壳彻底杀病毒
如果按以上步骤操作后还是失败了,可考虑进入另外的操作系统再进行删除。如果安装了双系统,直接进入另一个系统即可,如果没有安装双系统,可如本刊第14期中所介绍的方法,制作WinPE光盘启动电脑。
第10步 给系统打一剂“免疫针”
通过上面的方法成功杀掉病毒文件后,为了避免病毒“死而复活”,可在资源管理器同一目录下,建立和病毒文件同名(包括扩展名,如果有的话)的文件夹,这样可达到免疫功能,然后再继续删除其他病毒文件。
注意:等病毒完全清除后,这些免疫文件夹可以删除。虽然可以永久保留这些免疫文件夹,但这样有可能会被360安全卫士等软件识别为流氓软件残留。
小知识:为何WinRAR看到而Windows却看不到
大家可能奇怪,为什么一些隐藏的病毒文件,使用Windows资源管理器(即使打开了显示所有文件的选项)看不到,而使用IceSword,甚至使用WinRAR和Total Command等软件时却能看到。原来Windows资源管理器在查看文件信息时,调用的是一些标准API函数,如:GetFileTitle(返回文件名)、GetFullPathName(返回文件的路径名)、GetFileInformationByHandle(返回文件信息)等,病毒可以通过钩子程序截获这些函数中传递的信息,一旦发现其中包含了病毒文件自身的信息,就会偷偷将它清除,等于说资源管理器中的文件信息已被病毒先“过滤”了一遍。但是IceSword、WinRAR、Total Command等获取文件信息的方法有些特殊(非标准API调用),病毒无法过滤,所以才会原形毕露了。
小知识:什么是进程?
每调用一个程序,比如启动Word,Windows就会为它创建一个进程。但进程并不等于程序,它更像是个大容器,把程序代码,以及运行程序所需要的东西(如各种DLL文件等)都统统装到进程里,它实际是程序运行的一个环境或场地。
Windows中的每个应用程序都必然有一个进程,病毒程序也同样如此。不过病毒程序可以截获Windows任务管理器所调用的函数并进行篡改,使得我们用正常方法可能无法查看到病毒进程,但是IceSword等第三方软件会采用特殊方法,比如直接内存块数据读取的方法来显示进程,病毒进程就不容易隐藏了。
小提示:偷梁换柱杀病毒
因为冰刃IceSword的名声太大了,最近有很多病毒在发作后,把冰刃和其他杀软都作为攻击目标,导致带“冰刃”、“IceSword”这个名字的文件都不能下载,更不能打开。这时可采用偷梁换柱的方法,下载使用现在还不太有名的SYSCHECK来替代IceSword,以应一时之急。
小提示:借用杀毒软件找出元凶
有些病毒虽然杀毒软件杀不掉,但是却能够侦测出病毒文件的位置、文件名甚至进程等信息,而这些信息正是使用本文介绍的工具的基础。
小提示:查找病毒文件的另类方法
建立与病毒同名的文件夹,这一方法可起到免疫功能,还可以附带检查出隐藏的病毒文件来。假设你已经知道了某流行病毒的常驻目录及其文件名称,可进入该目录,在空白处右击,选择“新建→文件夹”,以病毒文件名(带扩展名)建立文件夹,这时如果提示:“重命名文件或文件夹时出错,指定的文件与现有文件重名....”,那就可以肯定病毒文件是存在的了。
第1步 常用方法显示病毒文件
首先要做的是确认病毒文件确实存在。打开Windows资源管理器,依次点击“工具→文件夹选项→查看”,点击勾选高级设置中的“显示系统文件夹的内容”和“显示所有文件和文件夹”两项,再点击去掉“隐藏已知文件类型的扩展名”和“隐藏受保护的操作系统文件”前面的对钩。
第2步 巧用WinRAR打回病毒文件原形
经过上面的操作后应该可以看到所有文件了吗?未必,有时中毒之后,这些设置会被禁止,或者设置后马上失效。还有些病毒文件,即使成功完成以上设置,还是看不到。但是不用着急,借用WinRAR(下载地址:http://www.newhua.com/soft/5.htm)可以看到所有文件。
举个例子,每个盘符下都有RECYCLED(回收站)这个文件夹。当你右键清空后,里面什么文件也没了。但是打开WinRAR再看看这个文件夹,就有可能找到病毒文件,比如我在自己的电脑中,通过WinRAR在回收站中发现了INFO2和desktop.ini这两个病毒文件。还有一个特殊的文件夹“D:\WINDOWS\Downloaded Program Files\”,这个文件夹常被病毒利用。你用Windows资源管理器和用WinRAR分别打开看看,比较一下内容是不是有所不同?
第3步 强制终止病毒进程
确认病毒文件确实存在了,接下来就是想办法删除它。如果病毒文件正被恶意进程调用,用普通方法是无法删除的,这时先要终止病毒进程。终止进程最简单的方法就是使用Windows的任务管理器,按Ctrl+Alt+Del组合键即可调出它,再点选“进程”选项卡,选中相应进程再单击“结束进程”即可。
不过大多数病毒进程针对Windows任务管理器做过处理,通过上面的方法可能无法终止它,这时可借助第三方工具来完成,比如瑞星卡卡的进程管理,Windows杀毒助手、冰刃IceSword和SYSCHECK等。其中的冰刃IceSword(下载地址:http://www.newhua.com/soft/4523.htm)和SYSCHECK(下载地址:http://work.newhua.com/cfan/200715/syscheck.rar)具有禁止进程创建功能,可以防止病毒进程和服务在终止后重新加载,这里强烈推荐。
如果能够进入安全模式我们就省事多了。安全模式下病毒的常规启动项和服务项不会加载,我们就可以顺利删除病毒文件并修复注册表,这是个理想的境界。比较顽固的病毒发作后会破坏系统进入安全模式的相关注册表项,导致不能进入安全模式,比如3448和最近很流行的AV终结者等。还有一些驱动级的病毒、木马、流氓软件,即使安全模式也会加载并保护病毒文件和注册表项不被删除。所以不能完全依赖安全模式。
火速链接:
★本刊今年第6期《病毒,看你往哪里跑!》一文中,有更多关于查找隐含病毒进程的方法,大家可以找来参考一下。
第4步 使用费尔强制删除工具
如果上一步中没能成功删除病毒,这时可借助其他强力删除工具来完成,我推荐大家试试费尔强制删除工具。这款工具小巧玲珑,使用方便,可批量输入要删除的病毒文件的路径,即使隐藏文件不可显示也能删之,并可抑制文件再生。
首先从http://bark.net.cn/soft/down/feier%202.0.rar下载费尔木马强力清除助手。使用这个工具时,可以在输入框中直接输入文件路径,也可以点击右侧“...”浏览按钮查找,选中找到的病毒文件,点选“清除”或“清除,并抑制文件再次生成”项,再单击“开始”就可以了(见图1)。对有些病毒文件,可能会提示在重启后删除。
图1
第5步 第6步 马来杀马,毒来杀毒的Unlocker
对Unlocker这款软件,我们已多有介绍,这里只简单说一下它的使用。Unlocker安装后会自动集成到右键菜单中,在资源管理器中直接右击要删除的病毒文件,选择“Unlocker”打开一个简单的对话框,在左侧下拉菜单中选择“删除”,确定即可。有些文件的删除,会要求重新启动才能最终完成。
火速链接:
★关于Unlocker的使用方法,本刊今年第8期《擒毒要擒“王”》一文也有介绍,大家可找来参考。
第7步 第8步 断绝病毒后路再删除
现在的病毒比较“智能”,当删除某个病毒文件后,它又会自动创建进程再生新的病毒文件。为了断绝病毒再生的后路,可启动IceSword,执行“文件→设置”(File→Setting),选中“禁止所有进/线程创建”(Forbid all process/thread creating)项,确定即可。然后,继续使用Unlocker删除。
第9步 金蝉脱壳彻底杀病毒
如果按以上步骤操作后还是失败了,可考虑进入另外的操作系统再进行删除。如果安装了双系统,直接进入另一个系统即可,如果没有安装双系统,可如本刊第14期中所介绍的方法,制作WinPE光盘启动电脑。
第10步 给系统打一剂“免疫针”
通过上面的方法成功杀掉病毒文件后,为了避免病毒“死而复活”,可在资源管理器同一目录下,建立和病毒文件同名(包括扩展名,如果有的话)的文件夹,这样可达到免疫功能,然后再继续删除其他病毒文件。
注意:等病毒完全清除后,这些免疫文件夹可以删除。虽然可以永久保留这些免疫文件夹,但这样有可能会被360安全卫士等软件识别为流氓软件残留。
小知识:为何WinRAR看到而Windows却看不到
大家可能奇怪,为什么一些隐藏的病毒文件,使用Windows资源管理器(即使打开了显示所有文件的选项)看不到,而使用IceSword,甚至使用WinRAR和Total Command等软件时却能看到。原来Windows资源管理器在查看文件信息时,调用的是一些标准API函数,如:GetFileTitle(返回文件名)、GetFullPathName(返回文件的路径名)、GetFileInformationByHandle(返回文件信息)等,病毒可以通过钩子程序截获这些函数中传递的信息,一旦发现其中包含了病毒文件自身的信息,就会偷偷将它清除,等于说资源管理器中的文件信息已被病毒先“过滤”了一遍。但是IceSword、WinRAR、Total Command等获取文件信息的方法有些特殊(非标准API调用),病毒无法过滤,所以才会原形毕露了。
小知识:什么是进程?
每调用一个程序,比如启动Word,Windows就会为它创建一个进程。但进程并不等于程序,它更像是个大容器,把程序代码,以及运行程序所需要的东西(如各种DLL文件等)都统统装到进程里,它实际是程序运行的一个环境或场地。
Windows中的每个应用程序都必然有一个进程,病毒程序也同样如此。不过病毒程序可以截获Windows任务管理器所调用的函数并进行篡改,使得我们用正常方法可能无法查看到病毒进程,但是IceSword等第三方软件会采用特殊方法,比如直接内存块数据读取的方法来显示进程,病毒进程就不容易隐藏了。
小提示:偷梁换柱杀病毒
因为冰刃IceSword的名声太大了,最近有很多病毒在发作后,把冰刃和其他杀软都作为攻击目标,导致带“冰刃”、“IceSword”这个名字的文件都不能下载,更不能打开。这时可采用偷梁换柱的方法,下载使用现在还不太有名的SYSCHECK来替代IceSword,以应一时之急。
小提示:借用杀毒软件找出元凶
有些病毒虽然杀毒软件杀不掉,但是却能够侦测出病毒文件的位置、文件名甚至进程等信息,而这些信息正是使用本文介绍的工具的基础。
小提示:查找病毒文件的另类方法
建立与病毒同名的文件夹,这一方法可起到免疫功能,还可以附带检查出隐藏的病毒文件来。假设你已经知道了某流行病毒的常驻目录及其文件名称,可进入该目录,在空白处右击,选择“新建→文件夹”,以病毒文件名(带扩展名)建立文件夹,这时如果提示:“重命名文件或文件夹时出错,指定的文件与现有文件重名....”,那就可以肯定病毒文件是存在的了。