|
病毒,是个永久的话题,就像人会生病一样,不过不同的是,电脑病毒都是由人为的特意编写而成,现在的电脑病毒和原来的也有着很大的差别,记得90年代的病毒,大多是以破坏为主,破坏文件,破坏引导,破坏系统,甚至破坏硬件,而如今的病毒已发展到另一个层面,是以控制为主,传播为主,所以他对个人用户的破坏能力已经比较低了,而晋升到多网络的其它计算机的破坏,潜伏性强,不易被发现,攻击能力强,现在的病毒大多是在Windows平台上运行,进入系统进程,更难被发现的是进入到类似于系统外壳这种系统进程里面去,使得很多杀毒软件也对这些病毒无能为力,能够查出来,但处于被系统使用的状态,所以不能清除,可能很多的朋友都遇到过,很多病毒,杀毒软件查出来了,要重起后才能清除,但是重起后病毒依然存在,那么作为普通用户的我们,应该怎么处理这种问题呢,哪么就需要我们手动进行剥离,把病毒文件从系统的进程中剥离出来,那么首先你要做的就是,记忆住那些不能被杀掉的病毒的文件名,然后进入注册表,按文件的名称查找并删除,重新启动计算机后,就可以了,不过这是手动清除病毒的入门,咱们按照比较严重的一种病毒状态去一步一步阐述病毒的处理方法,这种方法同样适合流氓软件的清楚
首先要先观察现象,假设无法被杀毒软件清除的病毒名称为setup.dll和setup.exe,系统环境,WindowsXP 专业版,对于比较了解计算机的人都知道,要先看系统进程中是否有这个文件的名称,那么按CTRL+ALT+DEL调出任务管理器,选择进程页,但是发现任务管理器突然自己关闭了,再次打开任务管理器,同样的现象再次发生,这就是病毒在作祟,试者打开注册表regedit,同样的现象发生了,自动关闭,没有办法了,只能进入DOS了,开始,运行中输入cmd回车,进入DOS,然后输入Tasklist > d:\list.txt(?)回车,然后返回桌面,打开D盘的list.txt文件,看到里面果然有个Setup.exe的进程,咱们现在把它干掉进入DOS输入taskkill /f /im setup.exe回车,提示进程被终止,然后再回到桌面,再次调出资源管理器和注册表,发现可以正常操作了,这时打开注册表,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,查看里面是否有键值在调用SETUP.EXE这个文件,然后再找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,查看里面是否有键值在调用SETUP.EXE这个文件,以上两个注册表位置是系统启动时调用的文件的项目,一般在这两个地方可以找到,记得,两个地方都要看,找到后,删除含有Setup.exe的键值,并查看其文件的所在位置,一般都是系统目录,删除后重新启动计算机,再次调用任务管理器,发现又自动关闭了,看来病毒文件不仅仅只是这一个,是两个以上的文件配合作祟~,那么首先的任务是终止SETUP.EXE的进程,然后再次进入注册表,删除SETUP.EXE键,但是发现,按f5刷新后,键值再次出现,呵呵,有意思,我喜欢挑战,上面说道,杀毒软件查到还有个叫setup.dll的病毒,这个病毒很有可能就是它的合作伙伴,那么怎么找呢,它一定是在进程里的,要不然也不会出现上面的现象,接着进入DOS,输入tasklist /m > d:\list.txt回车,然后打开D盘的LIST.TXT这个文件,查找setup.dll这个文件,我们输入tasklist /m > d:\list.txt的意思就是查看每个进程所调用的文件都有哪些,并写到list.txt这个文件中去,经查找,发现在EXPLORER.EXE这个进程模块下,大家都知道,Explorer.exe是系统的外壳,要删掉这个文件,就要先终止这个进程,那么一狠心,终止EXPLORER.EXE,这个时候,桌面上所有的东西都消失了,不过还好,有任务管理器在,先在任务管理器的文件中选择运行,输入regedit打开注册表,搜索名字为setup.dll的文件,搜到,删除,按F3继续搜索,又搜到,再删,反复多次,直到完成,再在运行中输入CMD,进入DOS ,然后,首先的目的是先找到这个SETUP.DLL文件的所在位置,输入dir setup.dll /s /a /w 然后回车,紧接着发现文件的位置,位于C:\WINDOWS\SYSTEM32下,然后进入目录,输入 cd \windows\system32回车,然后del setup.dll回车,这时系统提示没有找到该文件,呵呵,看来是有属性的了,先把属性解开 attrib setup.dll -r -h -a -s回车,然后DEL SETUP.DLL回车,OK,提示成功了,然后再用同样的方法找到 setup.exe 并且删除,大功告成,再打开任务管理器的文件里面的运行,输入explorer.exe回车,桌面上所有的东西又都回来了,这个时候提示找不到setup.exe 哦,对了,我们再进入注册表,找到管启动的两个注册表的位置,找到含有SETUP.EXE的键值,删掉,重新启动计算机,起来后,打开任务管理器和注册表,发现一切正常,由此,该病毒被彻底清除了
我只是举了一个简单的例子,目前大多的病毒都或流氓程序是按照这种类型的方式运行的,理解上面的内容,相信你可以解决60%以上的类似的病毒了,可能有朋友要问了,如果是杀毒软件查不出的病毒,要怎么处理呢,其实方法一样,只是平时要多观察进程,找出可疑的文件就好处理了,包括3721等软件,直接无法删除,通过以上的方法都可以顺利的把3721从系统中剥离开,只要多观察,相信你能做的更好.
|
