1.查毒
发现机器出现异常情况,就要查找问题所在。如果怀疑有病毒程序,我一般都是用下面方法查看:
>隐藏系统文件
>隐藏进程
>启动项
>可疑模块
>本地连接
>网络流量
具体内容:
a.隐藏系统文件
一般病毒为了隐藏自己,会把本身属性设置成系统隐藏(system、hide)属性。例如黑防版灰鸽子。而病毒的藏身地一般都在c:\\windows、c:\\windows\\system32等文件夹下。所以,用一个自己写的批处理dir.bat(主要命令为 dir /ah),查看一下以上目录下是否有系统隐藏文件即可发现病毒嫌疑的程序。如图:
图中,exe
格式
pdf格式笔记格式下载页码格式下载公文格式下载简报格式下载
的文件一般为病毒。manifest格式一般是正常文件。$文件名$这类文件夹是系统打补丁后的还原备份文件,无毒无害。严格查找exe文件(可执行文件)。
上图的muma.exe就明显是木马。有些会把名称改成system.exe、windows.exe、system32.com等等,一般也是病毒!
查看隐藏文件很多工具也可以,比如icesword等等,不再赘述。
b.隐藏进程
一般用icesword查看,隐藏进程自动显示为红色。有些进程不能直接结束进程,结束会导致重启。那就要先删除该进程的启动信息,重启后删除文件。
c.启动项
查看启动项有很多方法,在“开始-运行”里输入“msconfig”。弹出的是系统自动的配置程序,可以查看是否有可疑程序。具体什么是可疑文件,可以上网搜索。
下图是系统服务。有个小技巧就是先把“隐藏所有Microsoft服务”选中。剩下的都不是微软出的服务,便于查找非法启动项。(需要注意的是,标明microsoft的也有可能是非法程序伪装。本操作只是便于快速查找。)
其他工具查看启动信息:
Autoruns 这个工具非常精悍。几百K的程序,可以查看很多方面的启动信息。使用时着重查看非Microsoft公司的启动信息。
HijackThis 这个是很著名的浏览器反劫持软件。用此工具要求先掌握哪些是本机正常安全程序
SREng2 这个也是出名的反劫持工具。有很多功能。可以查看启动信息,该程序会自动标明可疑程序(用蓝色字体)。
ViewService 40多K。小巧的查看系统服务工具。可以显示该服务程序的路径和参数,便于查看是否有正常服务被篡改。
d.可疑模块
木马清道夫 可以自动排除系统自带模块,显示可疑模块信息。(本人删除无关组件,只剩主程序。)一般使用“探测可疑模块功能”,可以自动列出可疑模块。在模块上右键,有相关的查找注册表、查找文件、删除文件、强制结束等等操作。
e.本地连接
Active Ports 200多k的小程序。可以显示网络连接,以及ip、端口和调用程序的路径。一般根据路径判断是否为可疑程序访问网络。
f.网络流量
TrayMeter 可以实时监控网络流量。在关闭正常网络程序的情况下,查看是否有其他可疑程序连接网络,产生流量。
2.杀毒
发现可疑程序后,就要删除。但很多病毒都有自我保护功能,不能直接删除。可以试试下面的方法:
a.工具删除
可以直接用杀毒软件杀毒,也可以用用SReng自动修复。(SReng自动删除启动信息,即使病毒存在,无法运行。重启后可手工清理。)
Unlocker 强力删除工具。安装后在程序上右键,点“Unlocker”。在弹出的窗口可以有移动、删除等功能
b.手工
一般可以先在任务管理器里结束“explorer.exe”的进程,然后在cmd下删除。
遇到特别难以删除的文件,可以安装dos系统,在纯dos下删除。(因为windows有文件保护,不能在Windows系统下删除)。我一般是安装矮人dos,然后在dos下delete文件。常用命令:
cd 文件夹路径+名称 //这个是进入指定文件夹,如果文件路径包含空格,要把文件夹路径和名称用双引号括起来
attrib -s -h 文件夹路径+名称 //取消指定文件的隐藏文件属性
delete 文件夹路径+名称 //删除文件
rd //removedir 就是删除文件夹