论文部分内容阅读
摘 要:本文针对病毒,结合工具,提出一些清除病毒的方法,供大家參考。
关键词:常用病毒木马; 清除方法
中图分类号:TP309.5 文献标识码:A 文章编号:1006-3315(2012)01-174-001
电脑普及千家万户,相当人群对电脑病毒恨之入骨,仅靠杀毒软件难以实现干净的天空。我们在实际工作中经常遇到电脑系统崩溃或不稳定,大多原因都是因为病毒木马。
一、必备工具
System Repair Engineer(SREng)、HijackThis(备用)、Windows清理助手、unlocker (用于删除病毒文件)、IceSword、July、纯DOS系统For 2000/xp(unlocker删除不成功时必备)如MaxDOS、(查找病毒文件须知:打开我的电脑,点击工具-点文件夹选项-点击查看-然后在找到隐藏文件和文件夹选项那里-点上“显示所有文件和文件夹”;取消“隐藏受保护的系统文件”前面的勾勾;取消“隐藏已知文件类型的扩展名”前面的勾勾,再点确认。)
若隐藏文件不能正常显示:运行regedit,HKEY_LOCAL_MACHINESoftwareMicrosoft
windowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL,将CheckedValue键值修改为1。
二、清除病毒文件的步骤
1.删除病毒驱动文件
由于此类sys文件在系统启动时最先加载,并加入到system进程,即时在安全模式也无法删除。必须依靠删除工具或瑞星的碎甲技术专杀工具(或者先利用NTFS权限控制或者unlock,hijackthis,killbox等的重启删除)。在删除前建议关闭所有正在运行的程序和窗口,如IE浏览器,QQ,BT,杀毒软件等,以确保删除成功。
没有专杀或专杀无效时,建议使用unlocker,这是目前发现的最简单有效的删除工具。建议使用unlocker 把病毒文件改名,(注释:改名字和删除文件的效果是一样的,还可以恢复);必须先使用unlocker解锁。
如果unlocker改名失败,需要进DOS改名,可进实模式DOS后直接输入批处理文件名,回车即可搞定。
2.删除病毒驱动注册表项
此项进行时必须重启到安全模式。如果不重启,病毒驱动还加载在内存中,修改注册表会失败;如果只能重启到正常模式,不能进入安全模式,我们必须在上一步做一个免疫的文件夹,防止还没有删除病毒的其他启动文件可能会修复我们删除的sys驱动文件。
重启到安全模式之后,我们先检查一下刚才删除的sys病毒文件是否删除成功,再删除注册表项。
方法一:手动删除,点开始——运行——输入“regedit”打开注册表编辑器,点编辑——查找——搜索病毒文件名(带扩展名,不带扩展名的有些项直接删不掉,留下没关系,做个纪念),删除注册表左栏 的加载键。删除后要按F3一直查找完。再查下一个。
方法二:使用瑞星卡卡上网安全助手3.0:点系统启动项管理——点驱动——可以看到他们。我们要右键点右侧栏,把“包含空项”选上两个“隐藏xx已签名的项”前面的勾勾去掉,会看到全部加载的驱动。我们右键点病毒的服务项,然后选“删除当前选中的项”,可以删除。
方法三:使用System Repair Engineer(SREng):点“启动项目”——服务——驱动程序——选中找到的病毒驱动-我们可以点选“删除服务”,然后点“设置”即可。
方法四:使用AutoRuns:点“驱动”——右键点病毒驱动-删除。
3.停用注册的服务
此项我们还需要在安全模式进行。这些服务在安全模式不会加载,我们可以顺利清除。
右键点我的电脑,选管理——服务和应用程序——服务;查找我们查到的病毒服务,双击打开属性对话框,停止此服务并修改启动类型为“已禁用”。
4.删除注册的服务项和将病毒文件改名
这些文件一般是exe或dll文件,在安全模式不会加载。如果不在安全模式,需要使用unlocker将病毒文件改名。
方法一:手动删除:在注册表搜索文件名,删除在注册表左边栏注册的服务项,在注册表里一般会加载到两个以上位置,都要删除。
方法二:使用瑞星卡卡上网安全助手:点系统启动项管理-点服务项——可以看到他们。我们右键点病毒的服务项,然后选“删除当前选中的项”,可以删除。
方法三:使用SREng:点“启动项目”——服务——win32服务应用程序(同第2步)
方法四:使用AutoRuns:点“服务”——右键点病毒服务-删除。
5.删除注册的病毒启动项和启动文件
方法一:手动删除:在注册表搜索病毒文件名,删除在注册表右边栏包含文件名的那一行注册的启动项。(如果不在安全模式,改名可能需要使用unlocker,然后可能需要重启,然后才能清注册表)。
方法二:使用瑞星卡卡上网安全助手:点系统启动项管理-点登录项-可以看到他们。点包含空项可以看到所有此类病毒的可能的藏身之处。我们右键点病毒的启动项,然后选“删除当前选中的项”,可以删除。
方法三:使用SREng:点“启动项目”-“注册表”
方法四:使用AutoRuns:点“登录”-右键点病毒启动-删除。
三、补充说明
以上步骤是按照病毒文件加载的层次和次序,从底层开始清理的,一般不要颠倒进行。当某项清除失败,即使重启也不能成功,可以闪过进行下一步。这时需要unlocker掉一个,做一个同名文件夹,步步为营,攻掉一个算一个,差不多了再重启,再删。
删除文件后一定要记得清除注册表项,否则重新扫描系统报告时还会出现在系统报告里,360的报告还看不出文件是不是真的存在,给我们继续诊断带来麻烦,切记切记!!清除注册表的工作建议使用修复工具如瑞星卡卡上网安全助手和SREng,AutoRuns,省事。
如果以上提到的文件都已处理,就重起到正常模式看看。
一般发现中毒比较深,比较厉害的,最好保存SREng或HijackThis的日志,一个是记录,一个是以后分析之用。
关键词:常用病毒木马; 清除方法
中图分类号:TP309.5 文献标识码:A 文章编号:1006-3315(2012)01-174-001
电脑普及千家万户,相当人群对电脑病毒恨之入骨,仅靠杀毒软件难以实现干净的天空。我们在实际工作中经常遇到电脑系统崩溃或不稳定,大多原因都是因为病毒木马。
一、必备工具
System Repair Engineer(SREng)、HijackThis(备用)、Windows清理助手、unlocker (用于删除病毒文件)、IceSword、July、纯DOS系统For 2000/xp(unlocker删除不成功时必备)如MaxDOS、(查找病毒文件须知:打开我的电脑,点击工具-点文件夹选项-点击查看-然后在找到隐藏文件和文件夹选项那里-点上“显示所有文件和文件夹”;取消“隐藏受保护的系统文件”前面的勾勾;取消“隐藏已知文件类型的扩展名”前面的勾勾,再点确认。)
若隐藏文件不能正常显示:运行regedit,HKEY_LOCAL_MACHINESoftwareMicrosoft
windowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL,将CheckedValue键值修改为1。
二、清除病毒文件的步骤
1.删除病毒驱动文件
由于此类sys文件在系统启动时最先加载,并加入到system进程,即时在安全模式也无法删除。必须依靠删除工具或瑞星的碎甲技术专杀工具(或者先利用NTFS权限控制或者unlock,hijackthis,killbox等的重启删除)。在删除前建议关闭所有正在运行的程序和窗口,如IE浏览器,QQ,BT,杀毒软件等,以确保删除成功。
没有专杀或专杀无效时,建议使用unlocker,这是目前发现的最简单有效的删除工具。建议使用unlocker 把病毒文件改名,(注释:改名字和删除文件的效果是一样的,还可以恢复);必须先使用unlocker解锁。
如果unlocker改名失败,需要进DOS改名,可进实模式DOS后直接输入批处理文件名,回车即可搞定。
2.删除病毒驱动注册表项
此项进行时必须重启到安全模式。如果不重启,病毒驱动还加载在内存中,修改注册表会失败;如果只能重启到正常模式,不能进入安全模式,我们必须在上一步做一个免疫的文件夹,防止还没有删除病毒的其他启动文件可能会修复我们删除的sys驱动文件。
重启到安全模式之后,我们先检查一下刚才删除的sys病毒文件是否删除成功,再删除注册表项。
方法一:手动删除,点开始——运行——输入“regedit”打开注册表编辑器,点编辑——查找——搜索病毒文件名(带扩展名,不带扩展名的有些项直接删不掉,留下没关系,做个纪念),删除注册表左栏 的加载键。删除后要按F3一直查找完。再查下一个。
方法二:使用瑞星卡卡上网安全助手3.0:点系统启动项管理——点驱动——可以看到他们。我们要右键点右侧栏,把“包含空项”选上两个“隐藏xx已签名的项”前面的勾勾去掉,会看到全部加载的驱动。我们右键点病毒的服务项,然后选“删除当前选中的项”,可以删除。
方法三:使用System Repair Engineer(SREng):点“启动项目”——服务——驱动程序——选中找到的病毒驱动-我们可以点选“删除服务”,然后点“设置”即可。
方法四:使用AutoRuns:点“驱动”——右键点病毒驱动-删除。
3.停用注册的服务
此项我们还需要在安全模式进行。这些服务在安全模式不会加载,我们可以顺利清除。
右键点我的电脑,选管理——服务和应用程序——服务;查找我们查到的病毒服务,双击打开属性对话框,停止此服务并修改启动类型为“已禁用”。
4.删除注册的服务项和将病毒文件改名
这些文件一般是exe或dll文件,在安全模式不会加载。如果不在安全模式,需要使用unlocker将病毒文件改名。
方法一:手动删除:在注册表搜索文件名,删除在注册表左边栏注册的服务项,在注册表里一般会加载到两个以上位置,都要删除。
方法二:使用瑞星卡卡上网安全助手:点系统启动项管理-点服务项——可以看到他们。我们右键点病毒的服务项,然后选“删除当前选中的项”,可以删除。
方法三:使用SREng:点“启动项目”——服务——win32服务应用程序(同第2步)
方法四:使用AutoRuns:点“服务”——右键点病毒服务-删除。
5.删除注册的病毒启动项和启动文件
方法一:手动删除:在注册表搜索病毒文件名,删除在注册表右边栏包含文件名的那一行注册的启动项。(如果不在安全模式,改名可能需要使用unlocker,然后可能需要重启,然后才能清注册表)。
方法二:使用瑞星卡卡上网安全助手:点系统启动项管理-点登录项-可以看到他们。点包含空项可以看到所有此类病毒的可能的藏身之处。我们右键点病毒的启动项,然后选“删除当前选中的项”,可以删除。
方法三:使用SREng:点“启动项目”-“注册表”
方法四:使用AutoRuns:点“登录”-右键点病毒启动-删除。
三、补充说明
以上步骤是按照病毒文件加载的层次和次序,从底层开始清理的,一般不要颠倒进行。当某项清除失败,即使重启也不能成功,可以闪过进行下一步。这时需要unlocker掉一个,做一个同名文件夹,步步为营,攻掉一个算一个,差不多了再重启,再删。
删除文件后一定要记得清除注册表项,否则重新扫描系统报告时还会出现在系统报告里,360的报告还看不出文件是不是真的存在,给我们继续诊断带来麻烦,切记切记!!清除注册表的工作建议使用修复工具如瑞星卡卡上网安全助手和SREng,AutoRuns,省事。
如果以上提到的文件都已处理,就重起到正常模式看看。
一般发现中毒比较深,比较厉害的,最好保存SREng或HijackThis的日志,一个是记录,一个是以后分析之用。