中病毒后的一些基本处理方法
病毒这东西... 说恐怖, 也蛮恐怖的, 轻则系统变慢广告满天飞, 重则死机重启还是死机, 甚至硬件损坏.
即使装了防火墙杀毒软件, 可病毒还是有机会钻到你的电脑里的. 你的好奇心就可能导致这种灾难.
灾难来临了, 怎么办?
但, 其实病毒也是程序, 只是比一般正常程序隐蔽了点. 所以, 不要慌张, 按照我下面说的做, 也许, 你会挽救你的爱机.
首先, 不要指望杀毒软件能完全清理干净您的系统. 而且很多新的病毒更是根深地固的埋藏在您电脑的深处. 但也不要完全抛开杀毒软件和其它一些辅助工具.
下面, 开始和病毒较量吧.
准备工作: 请进入安全模式, 打开显示隐藏文件和系统文件
一. 病毒的启动
起码要明白一点, 病毒是程序(不要笑. 我遇到的很多人都把病毒当作是个很神秘的东西. ), 没什么奇怪的, 只是一行行的代码编译出来的而已. 它要达到破坏您的系统的目的, 就得想法设法的启动. 当然不可能光指望用户主动的双击运行它. 有几种常见方法它会去尝试:
1. 最常见的, 就是在注册表中建立自动运行项, 有两处:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
请检查这里的项值, 发现异常, 马上清除. 正常状态下, 除去杀毒软件的自动运行项, 这里只会出现ctfmon.exe(C:\WINDOWS\system32\ctfmon.exe)一个系统项.
注意, 可能一些异常项删掉后还会出现, 不要紧张, 是病毒在作怪. 这在后文会讲到.
2. 随文件关联启动,常见的又有两种可能:
2.1 与.exe文件关联启动
这种方式比较恶心, 只要运行任何程序, 同时就会运行病毒.
解决方法:
打开注册表, 找到
HKEY_CLASSES_ROOT\exefile\shell\open\command
检查默认键值是否为["%1" %*](中括号中的部分,包含引号), 如果不是请改正.
2.2 与.txt文件关联启动
病毒程序与TXT文件关联, 只要打开文本文件, 就会触发病毒运行.
解决方法:
打开注册表, 找到
HKEY_CLASSES_ROOT\txtfile\shell\open\command
检查默认键值是否为[%SystemRoot%\system32\NOTEPAD.EXE %1], 如果不是请改正.
3. 2000/XP/2003中注册为系统服务
打开控制面板, 打开"管理工具", 双击运行"服务", 这里要判断是否有病毒生成的服务, 如果您对系统服务和一些程序建立的服务不太熟悉, 一个简单的方法, 看服务的"描述", 如果是空白的, 那十有八九是病毒. 双击它, 点"停止"按钮, 并将启动类型设为"已禁用". 当然也有些服务的描述也是空白的, 比如"Removable Storage", 这是正常的, 请注意区分. 注册表中的位置为
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
4. Autorun.ini文件启动
这个也很常见, 病毒会在每个硬盘分区的根目录下建立一个autorun.ini的文件, 里面的内容大致如下:
引用内容
[AUTORUN]
OPEN=*.exe
ICON=icon(图标文件).ico
这样, 只要双击打开某个盘, 就会触发"Open"项中指引的病毒文件.
二. 寻找病毒主体
如今的病毒并不仅仅就一个程序, 它可能会有很多附体, 以实现一个进程被结束后还能再次启动. 我们要把它们全部找出来清理掉.
病毒在我们的电脑里面最喜欢呆的地方有几处:
1. 各个磁盘分区的根目录
2. C:\WINDOWS
3. C:\WINDOWS\system32
在上面我们讲了注册表里病毒会建立自启动项, 我们需要记录下病毒的文件名和路径, 以便于我们清理它. 可能在删除的时候会发现删除不了, 是因为病毒在运行, 尽管在安全模式下. 那我们得先结束掉病毒的进程, 右键点任务栏, 选择"任务管理器", 转到"进程"页. 找到病毒进程, 结束它.
注意, 如果发现结束掉病毒进程后发现它又启动了, 那表明有两个甚至三个病毒进程在相互监视, 一旦发现一个结束了, 它就会马上再启动. 遇到两个病毒进程在运行, 我们可以手快点, 连续的将他们结束掉, 如果遇到三个甚至更多的, 光靠"任务管理器"就没办法实现同时结束多个进程了. 那就用"安全卫士360"吧. 关于他的使用方法, 这里就不赘述了.
结束掉病毒进程后, 我们就可以清除病毒文件了. 进入上面说的那三个目录, 见到异常文件就删除.
您可能要问了, 系统文件夹中那么多那么多的文件, 我哪知道谁是病毒谁是正常文件啊. 别急, 教你一个小窍门, 首先从文件名来初步判断, 发现和系统文件名字相近的, 比如"expl0rer.exe" "h0st.exe"等, 马上删除, 毫不犹豫. 因为很多病毒文件都会利用小写字母"o"和数字"0"相近来命名的, 发现一些奇怪的文件名, 比如一连串的随机数字/字母/符号, 也需要怀疑是否病毒. 还有一个方法, 如果是Windows的系统文件, 在文件的"属性"对话框中, 其"版权"描述肯定是"(C) Microsoft Corporation. All rights reserved." 而病毒在这里一般都会是空白(不排除有病毒会伪装, 但我还没遇到过). 还有就是看文件的创建日期, 病毒文件的创建日期就是你中毒的那天...... 按照创建日期(注意, 不是修改日期)来排序, 把已经确定为病毒文件的那个日期当天同时创建的文件全部删除(保险一点的可以放到回收站).
好了, 以上就是一般遇到病毒的基本处理方法, 很简单的介绍了一下, 但这些还远远不够, 很多东西都必须在实践中积累经验. 总之一点, 按照我上面说的一些思路去实践, 你会发现, 病毒其实并不可怕.
