清理病毒的终极方法

清理病毒的终极方法【摘 要】计算机病毒的泛滥与层出不穷，往往使普通用户深受其害，有时候更是束手无策，也使学生如临深渊，教材中也缺少系统的解决方案。寻找反击病毒的通用方法，尽最大可能恢复系统的正常，使普通用户也能在危机的时候凭最基本的操作能自己处理此类问题，为病毒防杀软件提供纯净平台。【关键词】病毒 可疑进程 DOS 运行权 PE系统 釜底抽薪 备份 忠告 你已经明显的感觉到你的系统出现了问题，比如打开程序缓慢，移动鼠标困难，浏览网页不顺畅，莫明其妙的跳出些窗口，正常的程序不能运行，硬盘上出现了一些你不清楚的文件与目录，但是你却束手无策，因为你的杀毒软件已经不能正常运行，你的各种流氓软件清理工具也已经失灵，甚至你想登录到一些病毒防杀治理的网站都不可能。这个时候的病毒已经一手遮天，对它产生“危害”的程序及操作它都要想方设法阻止，它在大模大样的狞笑，怎么办？去找“高人”吗，好象也可以，但恰巧“高人”有事去了，你却心急如焚；去重装系统吗，好像绝大部分人不想这么做，恐怕你也不想这么做。怎么办？自己办！一点预备知识。病毒本质上也是一个计算机程序，它再厉害还不能达到你对它不能进行任何操作的程度，脱离了系统环境，它的一切功能就将消失，随你来“修理”它。得不到系统的支持它没有任何威胁，只要我们不让它运行，就为我们来清理它创造了有利的条件。病毒要挟持系统，无外乎是在杀毒软件及流氓软件清理工具掌管系统之前优先占领系统，在系统的制高点上来狙击对它自身产生“危害”的程序及操作，从而获得系统至高无上的权利，使自己随时处于保护与传播及破坏的状态。要想抢先运行，无外乎依赖系统提供的方式，都要在系统启动的时候加载自己，尽可能的利用系统存在的漏洞，既要保证系统工作又要使自己隐身其中，都要在内存及系统的关键位置留下蛛丝马迹，这就为我们消灭它提供了线索。摧毁其“政权”，支解它的体系，反其道而行之就是我们来发现它、战胜它的途径。下面我们就来见招拆招，练就清理病毒的终极方法。第一招，抢占制高点，终止可疑进程。不要被“进程”这个专用名词吓倒，你可以简单的理解为一个在计算机中运行的程序。打开“任务管理器”，可以看到很多计算机中运行的进程，查看可疑的进程，然后终止它。什么是可疑进程需要经验来判断，一个通用的法则就是进程的名称很奇怪或者非常简单，或者进程对应的程序体处在特别的位置，为了炼成火眼金睛，不防在平时多看看你的系统在正常情况下到底有些什么进程在运行。要知道进程对应的程序体放在硬盘的什么位置，可以依靠其它的进程管理软件，比如冰刀进程管理器、360安全卫士、金山清理专家或者其它的专用进程管理软件来查看，特别是金山清理专家的进程管理模块还对已知的进程进行简要说明、评价，非常直观，当然也可以利用系统提供的MSCONFIG及REGEDIT这两个配置命令。打开“注册表编辑器”查看系统注册表Run这个子键值下的内容，Run这个子键有多处，应进行“全字匹配”查找，总能发现一些线索。一个正常进程的程序体一般处在WindowsSYSTEM32下，或者是你安装的程序目录内，如果指向了一个莫名其妙的位置，或者更深的系统目录内，特别是指向了一个临时目录或者是隐藏目录，大致上可以怀疑为可疑的进程。不要害怕关闭了正常的系统进程，大不了系统重新启动而已。结束可疑进程后，如果幸运的话，你再去运行防杀病毒软件，如果它们能正常工作那就太好了，接下来的事你就按步就班的进行正常的病毒防杀治理，升级你安装的防杀病毒软件进行全面的杀毒处理。如果运行防杀病毒软件不成功，可以试着改变一下防杀病毒软件的主程序名称再运行，也许会有很好的效果。如果仍然不成功，多半病毒采用了“映像劫持”技术，追查劫持来源不失为较好的解决方案，但操作复杂一点，这里不作讨论。 第二招，取消病毒的优先运行权。使用第一招后往往效果不理想，因为你刚才终止的那些个可疑进程可能等不了几秒钟它们就又自动启动了，显然病毒们还采用了保护措施，有多个模块在相互帮忙，有很多暗贴、钩子，你不经意的操作就又中了招。如果能同时终止多个进程就好了，可惜“任务管理器”不支持，所以要在系统重新启动的时候取消它的优先运行权，切断系统资源对它的支持。取消病毒的优先运行权就是从系统的启动队列里将它们剔除出去，管理启动队列是系统提供的。得使用两个工具：MSCONFIG及REGEDIT(均在开始菜单的运行项里运行它们)，当然其它类似的可管理启动项的软件也行，比如前面提到的360安全卫士、金山清理专家等等。MSCONFIG是图示化的操作，每个启动项对应的程序存放的位置也显示得很清晰，你要做的就是将启动页里的那些可疑项的小对勾去掉就行了，如果去掉有误也不必太过操心，重启后有机会来重新启用。REGEDIT则要到HKEY_LOCAL_MACHINE_SOFTWAREMicrosoftWindowsCurrentVersionRun这个子键里找到那些可疑的启动项，删除它们。这时一定要重新启动电脑，启动后的操作当然你也会了，安装或者使用你的病毒防杀软件，进行正常的病毒防杀治理，清理带毒的文件。第三招，釜底抽薪。头都大了，好烦人，进行了上面的操作可那些垃圾在还欢歌，怎么回事？显然前面进行的取消优先运行权没有成功，可能你在清除，而躲在暗处的病毒却在重写，因为我们没有脱离病毒环境。既然当前的系统带毒了，不启用它不就没事了，没办法我只好请出“DOS爷爷”或者用光碟进入迷你的PE系统。管不了那么多了，我要直接将病毒体文件干掉了。重新启动电脑，进入DOS状态（怎么进入那又是一个话题）。通过前面的操作我们基本知道病毒文件的藏身处了，进入DOS后就是要去删除它们。记住三个命令：CD、ATTRIB、DEL。CD用于切换磁盘与目录，ATTRIB用来改变文件的属性。病毒为了保护自己往往是隐藏自己的，所以要用这个命令来清除这些文件的系统、隐藏、只读等属性，将病毒文件显影；DEL用来删除文件，它可不管被删者是不是病毒程序（所以是有危险性的），这些个命令通常都有即时的帮助，运行命令时加上/?帮助文件就出来了，虽然是英文，但简单的几句话，你当然能搞得定。好在现在很多工具光碟启动进入DOS的时候已经是中文状态了，当然就非常方便了。切换到病毒文件的藏身之处，将它们删除好了。当然用光碟进入迷你PE系统也可以来删除它们，而且方便得多，但由于后述的原因，你操作的时候要谨慎，而且最好也将System Volume Information目录下的文件也删了。如果你的系统是双系统那这样的操作就易如反掌了。 可千万不要以为删除病毒文件就万事大吉了，在系统启动后它们相互之间有保护，在静态状态下也有可能有保护陷井，通常都是借助AUTOEXE.BAT及AUTORUN.INF文件。AUTOEXE.BAT是从DOS时代起就有的文件，系统启动的时候会自动执行里面配置的命令行；AUTORUN.INF是WINDOWS时代的产物，例如我们插入光碟的时候会自动打开光碟或者运行光碟里配置的使命，使用的就是这个AUTORUN.INF文件。当然这个文件放在硬盘的根目录下也是可以被执行的。这两个文件实质上都是一个普通的文本形式的配置文件，可以通过命令来查看其里面的内容，文件本身也并不具备特别的威力，只是为配置系统提供了灵活的方式，但里面配置的命令行却是可以非常强大的，也可能是极具危害甚至是致命的。所以，删除病毒文件后你还要查看启动盘根目录下的AUTOEXE.BAT，清理掉可疑的运行命令及对应的程序体，甚至是AUTOEXE.BAT这个文件本身；每个磁盘根目录下的AUTORUN.INF文件通常都是陷井，当你打开了系统中的磁盘自动运行设置时，你双击磁盘查看内容的时候可能触发的就是病毒的保护及传播模块，当你插入U盘时也可能执行病毒的保护及传播模块，所以你一样的要删除它及对应的程序文件。相同的道理，这些文件也极有可能是隐藏的。出于安全的目的，建议你一定要关闭系统默认的开启自动运行设置。再次启动系统，病毒通常都会不复存在，接下来就是恢复你的防病毒体系，清除病毒的残余部队了，如果不是运气太差的话通常都如秋风扫落叶般的容易，好心情马上就回来了。第四招，没病先备药。前面所述的方法可能对于不是太注重电脑使用知识的朋友觉得操作性差，要结合很多知识与经验，也许还会操作出错，达不到最终的目的。有没有更简单的方法呢？当然是有的，那就是当系统很正常的时候就没病先备药。很多人使用“一键还原”，事实上有很多品牌电脑已经在销售电脑的时候已装上了它，但你也不要太过迷信，备份文件要占用很大空间不说，有些病毒干的第一件事就是查找硬盘上的GHO文件并干掉它，然后再使你的防病毒系统失效，你下次恢复的时候可能已经睌了。事实上最需要备份的是系统的注册表信息，并不是某个盘下的全部内容。病毒要控制系统绕不开系统注册表，所以将系统注册表备份好是不失为最简单且行之有效的办法。这里并不需要特别的工具软件，你也不必去搞清楚注册表到底是什么，要做的就是将这些信息复制存放到你自定义的一个安全目录内。先将系统盘Documents and Settings你的用户名下的“NTUSER.DAT”复制到你定义的目录内，再将系统盘WINDOWSsystem32下的“config”目录及其目录内的文件也复制过来。不过在系统工作的时候你并不能通过系统提供的复制方式来拷贝这些文件，因为在系统工作的时候这些文件很多是独占运行的。虽然进入DOS可以完成这些工作，但很繁琐，因为这些文件往往是隐藏的，且还有8.3格式文件名与长文件名的麻烦，最好的方式是用光碟进入迷你的PE系统，打开“显示所有文件及文件夹”，然后用WINDOWS方式来复制这些文件。下次当你的电脑遇到麻烦的时候，你只要将这些文件复制回去，保证会有极好的效果。当然复制回去的时候也应该进入迷你的PE系统。一点忠告。良好的电脑使用习惯，定期的给自己的电脑体检，保持自己的防毒系统处于最新状态，是我们战胜病毒、少受感染的最佳方式。所以经常修补系统漏洞，清理乱七八糟的插件，不运行你毫不知情的程序，不轻易打开充满诱惑力的网页，谨慎使用你的邮件及聊天软件，把自己创建的任何文档放到除系统盘外的其它地方，是我们远离病毒、减少缺失的终极方法。如果仍然不行，你就去问医生，晚期的癌症患者怎么办？名医告诉你，亮出倚天重剑，重新来过，转世投胎。不过要选个好人家，把自己一些优秀的东西放在安全的位置，重获新生的你把自己那些优秀的东西重新装备起来，我又成了武功高手，乘着酒剑仙的狂啸去找逍遥大哥。【参考文献】段海新 杨波 王德强译计算机病毒防范艺术 机械工业出版社 2007 年1月秦志光 张凤荔计算机病毒原理与防范 人民邮电出版社 2007 年8月张仁斌 李钢 侯整风计算机病毒与反病毒技术清华大学出版社 2006-8-1王建轻松玩转WIN95/98/NT注册表重庆大学出版社 2000年1月电脑报社2003电脑应用精华本云南科技出版社 2003年5月