|
病毒����,是個(gè)永久的話題,就像人會生病一樣�����,不過不同的是���,電腦病毒都是由人為的特意編寫而成,現(xiàn)在的電腦病毒和原來的也有著很大的差別����,記得90年代的病毒���,大多是以破壞為主,破壞文件���,破壞引導(dǎo)�����,破壞系統(tǒng)��,甚至破壞硬件����,而如今的病毒已發(fā)展到另一個(gè)層面,是以控制為主���,傳播為主�����,所以他對個(gè)人用戶的破壞能力已經(jīng)比較低了,而晉升到多網(wǎng)絡(luò)的其它計(jì)算機(jī)的破壞�����,潛伏性強(qiáng),不易被發(fā)現(xiàn)����,攻擊能力強(qiáng),現(xiàn)在的病毒大多是在Windows平臺上運(yùn)行���,進(jìn)入系統(tǒng)進(jìn)程����,更難被發(fā)現(xiàn)的是進(jìn)入到類似于系統(tǒng)外殼這種系統(tǒng)進(jìn)程里面去�����,使得很多殺毒軟件也對這些病毒無能為力�����,能夠查出來�,但處于被系統(tǒng)使用的狀態(tài),所以不能清除���,可能很多的朋友都遇到過�,很多病毒,殺毒軟件查出來了���,要重起后才能清除�����,但是重起后病毒依然存在��,那么作為普通用戶的我們����,應(yīng)該怎么處理這種問題呢��,哪么就需要我們手動進(jìn)行剝離�����,把病毒文件從系統(tǒng)的進(jìn)程中剝離出來����,那么首先你要做的就是,記憶住那些不能被殺掉的病毒的文件名�����,然后進(jìn)入注冊表,按文件的名稱查找并刪除�,重新啟動計(jì)算機(jī)后����,就可以了,不過這是手動清除病毒的入門�,咱們按照比較嚴(yán)重的一種病毒狀態(tài)去一步一步闡述病毒的處理方法,這種方法同樣適合流氓軟件的清楚
首先要先觀察現(xiàn)象�,假設(shè)無法被殺毒軟件清除的病毒名稱為setup.dll和setup.exe,系統(tǒng)環(huán)境,WindowsXP 專業(yè)版,對于比較了解計(jì)算機(jī)的人都知道�,要先看系統(tǒng)進(jìn)程中是否有這個(gè)文件的名稱,那么按CTRL+ALT+DEL調(diào)出任務(wù)管理器�,選擇進(jìn)程頁,但是發(fā)現(xiàn)任務(wù)管理器突然自己關(guān)閉了����,再次打開任務(wù)管理器,同樣的現(xiàn)象再次發(fā)生��,這就是病毒在作祟�����,試者打開注冊表regedit����,同樣的現(xiàn)象發(fā)生了��,自動關(guān)閉�,沒有辦法了����,只能進(jìn)入DOS了,開始����,運(yùn)行中輸入cmd回車,進(jìn)入DOS��,然后輸入Tasklist > d:\list.txt(?)回車����,然后返回桌面,打開D盤的list.txt文件�����,看到里面果然有個(gè)Setup.exe的進(jìn)程���,咱們現(xiàn)在把它干掉進(jìn)入DOS輸入taskkill /f /im setup.exe回車����,提示進(jìn)程被終止,然后再回到桌面�����,再次調(diào)出資源管理器和注冊表��,發(fā)現(xiàn)可以正常操作了���,這時(shí)打開注冊表,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run�,查看里面是否有鍵值在調(diào)用SETUP.EXE這個(gè)文件,然后再找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run�����,查看里面是否有鍵值在調(diào)用SETUP.EXE這個(gè)文件,以上兩個(gè)注冊表位置是系統(tǒng)啟動時(shí)調(diào)用的文件的項(xiàng)目��,一般在這兩個(gè)地方可以找到���,記得�����,兩個(gè)地方都要看����,找到后,刪除含有Setup.exe的鍵值�,并查看其文件的所在位置,一般都是系統(tǒng)目錄�����,刪除后重新啟動計(jì)算機(jī)�,再次調(diào)用任務(wù)管理器,發(fā)現(xiàn)又自動關(guān)閉了�����,看來病毒文件不僅僅只是這一個(gè)�����,是兩個(gè)以上的文件配合作祟~��,那么首先的任務(wù)是終止SETUP.EXE的進(jìn)程��,然后再次進(jìn)入注冊表��,刪除SETUP.EXE鍵,但是發(fā)現(xiàn)���,按f5刷新后�����,鍵值再次出現(xiàn)��,呵呵,有意思�,我喜歡挑戰(zhàn),上面說道����,殺毒軟件查到還有個(gè)叫setup.dll的病毒,這個(gè)病毒很有可能就是它的合作伙伴�,那么怎么找呢,它一定是在進(jìn)程里的��,要不然也不會出現(xiàn)上面的現(xiàn)象�����,接著進(jìn)入DOS�����,輸入tasklist /m > d:\list.txt回車,然后打開D盤的LIST.TXT這個(gè)文件���,查找setup.dll這個(gè)文件�����,我們輸入tasklist /m > d:\list.txt的意思就是查看每個(gè)進(jìn)程所調(diào)用的文件都有哪些�����,并寫到list.txt這個(gè)文件中去����,經(jīng)查找�����,發(fā)現(xiàn)在EXPLORER.EXE這個(gè)進(jìn)程模塊下��,大家都知道�����,Explorer.exe是系統(tǒng)的外殼,要刪掉這個(gè)文件�����,就要先終止這個(gè)進(jìn)程�����,那么一狠心�,終止EXPLORER.EXE,這個(gè)時(shí)候��,桌面上所有的東西都消失了��,不過還好��,有任務(wù)管理器在����,先在任務(wù)管理器的文件中選擇運(yùn)行�����,輸入regedit打開注冊表,搜索名字為setup.dll的文件�����,搜到��,刪除����,按F3繼續(xù)搜索,又搜到�,再刪,反復(fù)多次���,直到完成��,再在運(yùn)行中輸入CMD����,進(jìn)入DOS ��,然后��,首先的目的是先找到這個(gè)SETUP.DLL文件的所在位置����,輸入dir setup.dll /s /a /w 然后回車�,緊接著發(fā)現(xiàn)文件的位置����,位于C:\WINDOWS\SYSTEM32下,然后進(jìn)入目錄�,輸入 cd \windows\system32回車,然后del setup.dll回車�����,這時(shí)系統(tǒng)提示沒有找到該文件�,呵呵,看來是有屬性的了����,先把屬性解開 attrib setup.dll -r -h -a -s回車,然后DEL SETUP.DLL回車���,OK,提示成功了����,然后再用同樣的方法找到 setup.exe 并且刪除,大功告成,再打開任務(wù)管理器的文件里面的運(yùn)行�,輸入explorer.exe回車,桌面上所有的東西又都回來了���,這個(gè)時(shí)候提示找不到setup.exe 哦�����,對了����,我們再進(jìn)入注冊表�,找到管啟動的兩個(gè)注冊表的位置,找到含有SETUP.EXE的鍵值�����,刪掉�,重新啟動計(jì)算機(jī)��,起來后���,打開任務(wù)管理器和注冊表��,發(fā)現(xiàn)一切正常���,由此��,該病毒被徹底清除了
我只是舉了一個(gè)簡單的例子�,目前大多的病毒都或流氓程序是按照這種類型的方式運(yùn)行的����,理解上面的內(nèi)容,相信你可以解決60%以上的類似的病毒了���,可能有朋友要問了,如果是殺毒軟件查不出的病毒�,要怎么處理呢����,其實(shí)方法一樣�����,只是平時(shí)要多觀察進(jìn)程,找出可疑的文件就好處理了���,包括3721等軟件,直接無法刪除���,通過以上的方法都可以順利的把3721從系統(tǒng)中剝離開��,只要多觀察�,相信你能做的更好.
|
