关于流氓软件和病毒的一般解决方法By Javran
1.
充分利用网络资源除非是未知病毒,
一般的病毒都有名称,
可以利用google
或者baidu
的搜索功能,
查找此类病毒是否有通用的解决方法或者专杀工具,
有的工具甚至能修复被病毒破坏的文件,
所以,
如果是破坏性病毒,
专杀工具一般能达到最好的修复效果.
另外,
例如Trojan.Win32.Agent.vfw,最后的vfw可能是病毒的变种代号,如果这种病毒在网络上搜索不到,可以试着去掉最后一段文字再搜索,得到的信息一般有一定参考价值.2.
自己动手,丰衣足食~以上的方法只能算治标不治本,能总结经验,举一反三才是王道^_^2.1自启动2.1.1 regedit
开机自启动时会加载注册表中的某些启动项,
这也是病毒常用的伎俩,
利用windows
自代的regedit
可以编辑注册表中的信息,
启动的方法是按win+r
后输入regedit.
以下是常见的自启动位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify
键值:
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\LoadHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CommandProcessor\AutoRun
2.1.2Windows
服务这是windows
开启时会自动加载的东西例如灰鸽子,
会将自己注册为服务,在注册表中,服务的位置如下:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Windows
的服务管理软件的运行:
Win+r,
输入services.msc
注意一些敏感的服务,
不要开着:
Indexing Serivce
Remote Registry
Shell HardWare Detection
Telnet
Terminal Serivces
Messenger
还有这些,
我认为重要的服务如下:
DHCP Client
Event Log
Plug And Play
RPC
Windows Audio
你要在services.msc
里做的就是看一看有没有陌生的服务,
没有说明的服务,
对”
注册表”,”
远程”
这类词要有极高的警觉意识.
2.1.3
驱动程序所谓的驱动级病毒就是将自己伪装成驱动而自动加载的病毒,
这种病毒在任务管理器中找不到,
而你无法完全删除它.
据说在运行或者命令行中运行regsvc32/u <
文件绝对路径>
可以卸载驱动,
不过我没有用过 (= = |||||||)
我的方法是Win+PauseBreak,
调出系统属性,
硬件,
设备管理器,
查看,
显示隐藏设备,
之后可以看到非即插即用设备,
展开,
看看有没有那个无法删除文件的身影,
有的话卸载掉,
就可以把那个病毒挂在驱动里的”
救命稻草”over
了,
接着和删除一般的文件一样对待它吧.
2.1.4
启动文件夹这个人人都知道,
如果病毒放在这个地方那也太搞笑了~
2.1.5AutoRun.inf
当打开每一个文件夹的时候,autorun
中的信息就被加载,
此文件可以放在任意位置,
并且这个文件能在你打开文件夹或驱动器时自动加载程序,
解决方法就是用cmd
或者command
查看被怀疑的文件夹中的autorun.inf,
如果里面有加载病毒的位置…
呵呵,
把要autorun.inf
中描述的程序删了吧.
2.1.6IFEO
劫持全称Image FileExecution Options,
位于下列位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options
原理是用相应的文件代替正常文件的运行,
就比如你在一堆人中叫张三,
张三会答复你.
如果张三在IFEO
中被李四代替了,
那么你喊张三时候,
张三是听不见的,
而回应你的人是李四.
解决方法很简单,
把以上的键值整个删掉就可以了.
2.1.7
使用一些第三方软件比如Hijackthis,sreng,
Autoruns什么的,可以查看各种奇怪的自启动方法.多多利用.2.2披着羊皮的狼病毒可都是藏猫猫的高手,
就比如rundl132.exe(
注意,
最后一位是1
而不是L)
这种程序一定带有不良企图.
常被用来当替罪羊的有以下文件,
下面列出这些文件正常的位置:
%windir%\explorer.exe(windows
通用外壳和资源管理器)
%windir%\notepad.exe(
记事本)
%windir%\system32\shell32.dll(shell,
有一堆的图标什么的)
%windir%\system32\svchost.dll(
服务加载用的,
因为有很多个,
所以常被菜鸟当病毒….)
%windir%\system32\spoolsv.exe(
想不通打印机服务怎么老被人用….)
etc……
大家自己去探索吧.
2.3
关于删除文件软件推荐两个软件unlocker
和xdelbox,
前者会在windows
删除文件失败时列出调用该文件的进程后者是在纯dos
下删除文件,
几乎没有病毒能逃过纯dos.
2.4
打造病毒防线首先,
使用一个好的防火墙是不错的选择,
个人推荐Jetico Firewall Personal Ver1.0
这是一个很好的防火墙,
有很多规则,
不过是英文的.
安装之后记得配置一下,
打开主界面,Options->General->AutomaticallySave Changes,
以后就不要反复配置了,
如果需要还原到最初配置,
可以使用File->Revert To FactorySettings.
不过Jetico
安装后会打开几个风险端口,
大家可以去www.firewallleaktester.com下载一个wwdc.exe,
关掉端口.
杀毒方面,
如果机器配置好,kaspersky
是很好的选择,
配置差的或者老机子,
推荐NOD32.
防流氓软件的工具很多,
没有什么好坏之分,
学会灵活运用,
比如用用360safe
免费升级补丁什么的^_^.
另外,
大家不要吝啬时间,windows
漏洞是连firewall
也防不了的,
必须打补丁.
同样的,
学会定期更新软件,
没有害处.
个人觉得ie
太可怕了,
不要或少用ie,
用用firefox+ietab
是个好习惯.
本文到这里完了,
希望大家学会探索,
尝试,
遇到问题才能找到满意的解决方法.
初次发表长篇大论,
大家多指教,
有技术补充或者错误纠正欢迎提出,
本人定期更新.
p.s.
谁有rootkit
和anti-rootkit
的资料?….
简
2008-12 
