随着信息时代的发展, 尤其是网络快速化, 病毒已经无所不在。在层出不穷、变化多端的病毒袭击下, 中招基本上是不可避免的。那么中招以后我们改如何处理 (必须处理, 否则计算机没法替你工作) , 是格式化系统然后重装Windows, 还是请人帮忙……。因为数据的重要性, 我们不得不长期和计算机病毒进行较量, 并想尽一切办法铲除它, 所以逐步地积累了一些行之有效的办法, 在这里提出来和大家共勉。
1 如何诊断你的计算机中了病毒
我们可以从计算机中毒的表现来判断。其表现如下:
1) 经常死机:病毒打开了许多文件或占用了大量内存;不稳定 (如内存质量差, 硬件超频性能差等) ;运行了大容量的软件占用了大量的内存和磁盘空间;使用了一些测试软件 (有许多BUG) ;硬盘空间不够;运行网络上的软件时经常死机也许是由于网络速度太慢, 所运行的程序太大, 或者自己的工作站硬件配置太低等等。
2) 系统无法启动:病毒修改了硬盘的引导信息, 或删除了某些启动文件。如引导型病毒引导文件损坏;硬盘损坏或参数设置不正确;系统文件人为地误删除等。
3) 文件打不开:病毒修改了文件格式;病毒修改了文件链接位置;文件损坏;硬盘损坏;文件快捷方式对应的链接位置发生了变化;原来编辑文件的软件删除了;如果是在局域网中多表现为服务器中文件存放位置发生了变化, 而工作站没有及时涮新服器的内容 (长时间打开了资源管理器) 。
4) 经常报告内存不够:病毒非法占用了大量内存;打开了大量的软件;运行了内存资源的软件;系统配置不正确;内存本就不够 (目前基本内存要求为128M) 等。
5) 提示硬盘空间不够:病毒复制了大量的病毒文件 (好端端的近10G硬盘安装了一个WIN98或WINNT4.0系统就说没空间了, 一安装软件就提示硬盘空间不够) 。硬盘每个分区容量太小;安装了大量的大容量软件;所有软件都集中安装在一个分区之中;硬盘本身就小;如果是在局域网中系统管理员为每个用户设置了工作站用户的“私人盘”使用空间限制, 因查看的是整个网络盘的大小, 其实“私人盘”上容量已用完了。
6) 出现大量来历不明的文件:病毒复制文件;可能是一些软件安装中产生的临时文件;也或许是一些软件的配置信息及运行记录。
7) 启动黑屏:病毒感染 (记得最深的是98年的4.26, 我为CIH付出了好几千元的代价, 那天我第一次开机到了Windows画面就死机了, 第二次再开机就什么也没有了) ;显示器故障;显示卡故障;主板故障;超频过度;CPU损坏等等
8) 数据丢失:病毒删除了文件;硬盘扇区损坏;因恢复文件而覆盖原文件;如果是在网络上的文件, 也可能是由于其它用户误删除了。
9) 键盘或鼠标无端地锁死:病毒作怪, 特别要留意“木马”;键盘或鼠标损坏;主板上键盘或鼠标接口损坏;运行了某个键盘或鼠标锁定程序, 所运行的程序太大, 长时间系统很忙, 表现出按键盘或鼠标不起作用。
10) 系统运行速度慢:病毒占用了内存和CPU资源, 在后台运行了大量非法操作;硬件配置低;打开的程序太多或太大;系统配置不正确;如果是运行网络上的程序时多数是由于你的机器配置太低造成, 也有可能是此时网路上正忙, 有许多用户同时打开一个程序;还有一种可能就是你的硬盘空间不够用来运行程序时作临时交换数据用。
11) 统自动执行操作:病毒在后台执行非法操作;用户在注册表或启动组中设置了有关程序的自动运行;某些软件安装或升级后需自动重启系统。
2 中毒后我们可采用下列方法杀毒
使用正确的杀毒方法, 我们除了用杀毒软件进行病毒清除外, 对于一些顽固的病毒, 我们要采用特殊的方法来清除。
2.1 在安全模式或纯DOS模式下清除病毒
当计算机感染病毒的时候, 很多人都会图方便, 在正常模式下清除病毒, 但这种方法往往是不能干净清除病毒的。这里说的正常模式准确的说法应该是实模式 (Real Mode) 。其包括正常模式的Windows和正常模式的Windows下的"MS-DOS方式"或"命令提示符"。在正常模式下, 由于带毒的文件正在运行, 是无法对这些文件直接进行操作的。从现今的反病毒技术和病毒来看, 绝大部分病毒都不可能在正常模式下简单的就可以彻底清除了的。很多一些朋友误以为只要装上反病毒软件, 软件可以彻底清除计算机上的病毒, 当病毒无法彻底清除的时候就认为软件不好, 这是很错误的!建议在查杀病毒的时候, 要在安全模式 (Safe Mode) 或者纯DOS下进行清除。特别的, 对于现在大多数流行的病毒, 如蠕虫病毒、木马程序和网页代码病毒等, 都可以在安全模式下清除, 不必要像以前那样必须要用软盘启动杀毒;但对于一些引导区病毒和感染可执行文件的病毒才需要在纯DOS下杀毒 (建议用干净软盘启动杀毒) 。而且, 当计算机原来就感染了病毒, 那就更需要在安装反病毒软件后 (升级到最新的病毒库) , 在安全模式 (Safe Mode) 或者纯DOS下清除一遍病毒了!
关于如果进入安全模式请参见以下网址:
http://gz3.duba.net/secure_channel/defence_skill/2002/12/30/15443.htm
2.2 带毒文件存在于特定的目录或文件中的清除方法
这里所说的是由于某些目录和文件的特殊性, 无法直接清除 (包括安全模式下杀毒等一些方式杀毒) , 而需要某些特殊手段清除的带毒文件。以下所说的目录均包含其下面的子目录。
1) 带毒文件在Temporary Internet Files目录下, 由于这个目录下的文件, Windows会对此有一定的保护作用 (未经进一步确认) 。所以对这个目录下的带毒文件即使在安全模式下也不能进行清除, 对于这种情况, 请先关闭其他一些程序软件, 然后打开IE, 选择IE工具栏中的"工具""Internet选项", 选择"删除文件"删除即可, 如果有提示"删除所有脱机内容", 也请选上一并删除。
2) 带毒文件在_Restore目录下, *.cpy文件中这是系统还原存放还原文件的目录, 只有在装了Windows Me/XP操作系统上才会有这个目录, 由于系统对这个目录有保护作用。对于这种情况需要先取消"系统还原"功能, 然后将带毒文件删除, 甚至将整个目录删除也是可以的。
3) 带毒文件在.rar、.zip、.cab等压缩文件中现今能支持直接查杀压缩文件中带毒文件的反病毒软件还很少, 即使有也只能支持常用的一些压缩格式。所以, 对于绝大多数的反病毒软件来说, 最多只能检查出压缩文件中的带毒文件, 而不能直接清除。而且有些加密了的压缩文件就更不可能直接清除了。要清除压缩文件中的病毒, 建议解压缩后清除, 或者借助压缩工具软件的外挂杀毒程序的功能, 对带毒的压缩文件进行杀毒。
4) 病毒在引导区或者SUHDLOG.DAT或SUHDLOG.BAK文件中这种病毒一般是引导区病毒, 报告的病毒名称一般带有boot、wyx等字样。如果病毒只是存在于移动存储设备 (如软盘、闪存盘、移动硬盘) 上, 就可以借助本地硬盘上的反病毒软件直接进行查杀;如果这种病毒是在硬盘上, 则需要用干净的可引导盘启动进行查杀。对于这类病毒建议用干净软盘启动进行查杀, 不过在查杀之前一定要备份原来的引导区, 特别是原来装有别的操作系统的情况, 如Windows、Linux等。如果没有干净的可引导盘, 则可使用下面的方法进行应急杀毒: (1) 在别的计算机上做一张干净的可引导盘, 此引导盘可以在Windows95/98/ME系统上通过"添加/删除程序"进行制作, 但要注意的是, 制作软盘的操作系统须和自己所使用的操作系统相同; (2) 用这张软盘引导启动带毒的计算机, 然后运行以下命令:
A:>fdisk/mbr A:>sys a:c:
如果带毒的文件是在SUHDLOG.DAT或SUHDLOG.BAK文件中, 那么直接删除即可。这是系统在安装的时候对硬盘引导区做的一个备份文件, 一般作用不大, 病毒在其中不起作用。
5) 带毒文件的后缀名是.vir、.kav、.kbk等这些文件一般是一些防毒软件对原来带毒的文件做的备份文件, 一般情况下, 如果确认这些文件已经无用了, 那就将这些文件删除即可。
6) 带毒文件在一些邮件文件中, 如dbx、eml、box等有些防毒软件可以直接检查这些邮件文件中的文件是否带毒, 但往往不能对这些带毒的文件直接的进行操作, 对于一些邮箱中的带毒的信件, 可以根据防毒软件提供的信息找到那带毒的信件, 删除信件中的附件或者删除该信件;如果是eml、nws一些信件文件带毒, 可以用相关的邮件软件打开, 确认该信件及其附件, 然后删除相关内容。一般有大量的eml、nws的带毒文件的话, 都是病毒自动生成的文件, 建议都直接删除。
7) 文件中有病毒的残留代码这种情况比较多见的就是带有CIH、Funlove、宏病毒 (包括Word、Excel、Powerpoint和Wordpro等文档中的宏病毒) 和个别网页病毒的残留代码, 通常防毒软件对这些带有病毒残留代码的文件报告的病毒名称后缀通常是int、app等结尾, 而且并不常见, 如W32/Fun Love.app、W32.Funl-ove.int。一般情况下, 这些残留的代码不会影响正常程序的运行, 也不会传染, 如果需要彻底清除的话, 要根据各个病毒的实际情况进行清除。
8) 文件错误, 这种情况出现的并不多, 通常是某些防毒软件将原来带毒的文件并没有很干净地清除病毒, 也没有很好的修复文件, 造成文件无法正常使用, 同时造成别的防毒软件的误报。这些文件可以直接删除。
9) 加密的文件或目录, 对于一些加密了的文件或目录, 请在解密后再进行病毒查杀。
10) 共享目录这里包括两种情况:本地共享目录和网络中远程共享目录 (其中也包括映射盘) 。
遇到本地共享的目录中的带毒文件不能清除的情况, 通常是局域网中别的用户在读写这些文件, 杀毒的时候表现为无法直接清除这些带毒文件中的病毒, 如果是有病毒在对这些目录在写病毒操作, 表现为对共享目录进行清除病毒操作后, 还是不断有文件被感染或者不断生成病毒文件。以上这两种情况, 都建议取消共享, 然后针对共享目录进行彻底查杀, 恢复共享的时候, 注意不要开放太高的权限, 并对共享目录加设密码。对远程的共享目录 (包括映射盘) 查杀病毒的时候, 首先要保证本地计算机的操作系统是干净的, 同时对共享目录也有最高的读写权限。如果是远程计算机感染病毒的话, 建议还是直接在远程计算机进行查杀病毒。特别的, 如果在清除别的病毒的时侯都建议取消所有的本地共享, 再进行杀毒操作。在平时的使用中, 也应注意共享目录的安全性, 加设密码, 同时, 非必要的情况下, 不要直接读取远程共享目录中的文件, 建议拷贝到本地检查过病毒后再进行操作。
11) 光盘等一些存储介质对于光盘上带有的病毒, 不要试图直接清除, 这是神仙也做不到的事情。同时, 对另外一些存储设备查杀病毒的, 也需要注意其是否处于写保护或者密码保护状态。
通过以上的分析对比, 我们知道其实大多数故障都可能是由于人为或软、硬件故障造成的, 当我们发现异常后不要急于下断言, 在杀毒还不能解决的情况下, 应仔细分析故障的特征, 排除软、硬件及人为的可能性。总之, 计算机病毒千变万化, 我们要认真总结, 采取正确的杀毒方法。