按图索骥查杀顽固病毒

按图索骥查杀顽固病毒

流氓怕武术

有那么多的杀毒软件，为什么还要手工查杀呢？其实杀毒软件一直非常被动，总是等新病毒出现（甚至出现很久）之后，它才能想办法查杀，而在这个时间差中，我们的电脑就处在了高度风险之中。而一旦掌握了手工查杀的方法，就能即时保护好自己的系统。注意：本文所说的病毒，泛指病毒、木马、流氓软件等恶意程序。 　　 　　第1步 常用方法显示病毒文件 　　首先要做的是确认病毒文件确实存在。打开Windows资源管理器，依次点击“工具→文件夹选项→查看”，点击勾选高级设置中的“显示系统文件夹的内容”和“显示所有文件和文件夹”两项，再点击去掉“隐藏已知文件类型的扩展名”和“隐藏受保护的操作系统文件”前面的对钩。 　　 　　第2步 巧用WinRAR打回病毒文件原形 　　经过上面的操作后应该可以看到所有文件了吗？未必，有时中毒之后，这些设置会被禁止，或者设置后马上失效。还有些病毒文件，即使成功完成以上设置，还是看不到。但是不用着急，借用WinRAR（下载地址：http://www./soft/5.htm）可以看到所有文件。 　　举个例子，每个盘符下都有RECYCLED（回收站）这个文件夹。当你右键清空后，里面什么文件也没了。但是打开WinRAR再看看这个文件夹，就有可能找到病毒文件，比如我在自己的电脑中，通过WinRAR在回收站中发现了INFO2和desktop.ini这两个病毒文件。还有一个特殊的文件夹“D:\WINDOWS\Downloaded Program Files\”，这个文件夹常被病毒利用。你用Windows资源管理器和用WinRAR分别打开看看，比较一下内容是不是有所不同？ 　　 　　第3步 强制终止病毒进程 　　确认病毒文件确实存在了，接下来就是想办法删除它。如果病毒文件正被恶意进程调用，用普通方法是无法删除的，这时先要终止病毒进程。终止进程最简单的方法就是使用Windows的任务管理器，按Ctrl+Alt+Del组合键即可调出它，再点选“进程”选项卡，选中相应进程再单击“结束进程”即可。 　　不过大多数病毒进程针对Windows任务管理器做过处理，通过上面的方法可能无法终止它，这时可借助第三方工具来完成，比如瑞星卡卡的进程管理，Windows杀毒助手、冰刃IceSword和SYSCHECK等。其中的冰刃IceSword（下载地址：http://www./soft/4523.htm）和SYSCHECK（下载地址：http://work./cfan/200715/syscheck.rar）具有禁止进程创建功能，可以防止病毒进程和服务在终止后重新加载，这里强烈推荐。 　　如果能够进入安全模式我们就省事多了。安全模式下病毒的常规启动项和服务项不会加载，我们就可以顺利删除病毒文件并修复注册表，这是个理想的境界。比较顽固的病毒发作后会破坏系统进入安全模式的相关注册表项，导致不能进入安全模式，比如3448和最近很流行的AV终结者等。还有一些驱动级的病毒、木马、流氓软件，即使安全模式也会加载并保护病毒文件和注册表项不被删除。所以不能完全依赖安全模式。 　　火速链接： 　　★本刊今年第6期《病毒，看你往哪里跑！》一文中，有更多关于查找隐含病毒进程的方法，大家可以找来参考一下。 　　 　　第4步 使用费尔强制删除工具 　　如果上一步中没能成功删除病毒，这时可借助其他强力删除工具来完成，我推荐大家试试费尔强制删除工具。这款工具小巧玲珑，使用方便，可批量输入要删除的病毒文件的路径，即使隐藏文件不可显示也能删之，并可抑制文件再生。 　　首先从http:///soft/down/feier%202.0.rar下载费尔木马强力清除助手。使用这个工具时，可以在输入框中直接输入文件路径，也可以点击右侧“...”浏览按钮查找，选中找到的病毒文件，点选“清除”或“清除，并抑制文件再次生成”项，再单击“开始”就可以了（见图1）。对有些病毒文件，可能会提示在重启后删除。 　　 　　图1 　　 　　第5步 第6步 马来杀马，毒来杀毒的Unlocker 　　对Unlocker这款软件，我们已多有介绍，这里只简单说一下它的使用。Unlocker安装后会自动集成到右键菜单中，在资源管理器中直接右击要删除的病毒文件，选择“Unlocker”打开一个简单的对话框，在左侧下拉菜单中选择“删除”，确定即可。有些文件的删除，会要求重新启动才能最终完成。 　　火速链接： 　　★关于Unlocker的使用方法，本刊今年第8期《擒毒要擒“王”》一文也有介绍，大家可找来参考。 　　 　　第7步 第8步 断绝病毒后路再删除 　　现在的病毒比较“智能”，当删除某个病毒文件后，它又会自动创建进程再生新的病毒文件。为了断绝病毒再生的后路，可启动IceSword，执行“文件→设置”（File→Setting），选中“禁止所有进/线程创建”（Forbid all process/thread creating）项，确定即可。然后，继续使用Unlocker删除。 　　 　　第9步 金蝉脱壳彻底杀病毒 　　如果按以上步骤操作后还是失败了，可考虑进入另外的操作系统再进行删除。如果安装了双系统，直接进入另一个系统即可，如果没有安装双系统，可如本刊第14期中所介绍的方法，制作WinPE光盘启动电脑。 　　 　　第10步 给系统打一剂“免疫针” 　　通过上面的方法成功杀掉病毒文件后，为了避免病毒“死而复活”，可在资源管理器同一目录下，建立和病毒文件同名（包括扩展名，如果有的话）的文件夹，这样可达到免疫功能，然后再继续删除其他病毒文件。 　　注意：等病毒完全清除后，这些免疫文件夹可以删除。虽然可以永久保留这些免疫文件夹，但这样有可能会被360安全卫士等软件识别为流氓软件残留。 　　 　　小知识:为何WinRAR看到而Windows却看不到 　　大家可能奇怪，为什么一些隐藏的病毒文件，使用Windows资源管理器（即使打开了显示所有文件的选项）看不到，而使用IceSword，甚至使用WinRAR和Total Command等软件时却能看到。原来Windows资源管理器在查看文件信息时，调用的是一些标准API函数，如：GetFileTitle（返回文件名）、GetFullPathName（返回文件的路径名）、GetFileInformationByHandle（返回文件信息）等，病毒可以通过钩子程序截获这些函数中传递的信息，一旦发现其中包含了病毒文件自身的信息，就会偷偷将它清除，等于说资源管理器中的文件信息已被病毒先“过滤”了一遍。但是IceSword、WinRAR、Total Command等获取文件信息的方法有些特殊（非标准API调用），病毒无法过滤，所以才会原形毕露了。 　　 　　小知识:什么是进程？ 　　每调用一个程序，比如启动Word，Windows就会为它创建一个进程。但进程并不等于程序，它更像是个大容器，把程序代码，以及运行程序所需要的东西（如各种DLL文件等）都统统装到进程里，它实际是程序运行的一个环境或场地。 　　 　　Windows中的每个应用程序都必然有一个进程，病毒程序也同样如此。不过病毒程序可以截获Windows任务管理器所调用的函数并进行篡改，使得我们用正常方法可能无法查看到病毒进程，但是IceSword等第三方软件会采用特殊方法，比如直接内存块数据读取的方法来显示进程，病毒进程就不容易隐藏了。 　　 　　小提示:偷梁换柱杀病毒 　　因为冰刃IceSword的名声太大了，最近有很多病毒在发作后，把冰刃和其他杀软都作为攻击目标，导致带“冰刃”、“IceSword”这个名字的文件都不能下载，更不能打开。这时可采用偷梁换柱的方法，下载使用现在还不太有名的SYSCHECK来替代IceSword，以应一时之急。 　　 　　小提示:借用杀毒软件找出元凶 　　有些病毒虽然杀毒软件杀不掉，但是却能够侦测出病毒文件的位置、文件名甚至进程等信息，而这些信息正是使用本文介绍的工具的基础。 　　 　　小提示:查找病毒文件的另类方法 　　建立与病毒同名的文件夹，这一方法可起到免疫功能，还可以附带检查出隐藏的病毒文件来。假设你已经知道了某流行病毒的常驻目录及其文件名称，可进入该目录，在空白处右击，选择“新建→文件夹”，以病毒文件名（带扩展名）建立文件夹，这时如果提示：“重命名文件或文件夹时出错，指定的文件与现有文件重名....”，那就可以肯定病毒文件是存在的了。