Vitty'S Blog

   :: 首页 :: 新随笔 :: 联系 :: 聚合  :: 管理 ::
  43 随笔 :: 221 文章 :: 215 评论 :: 0 Trackbacks
从以前的BLOG转过来的。
=============================================

近期,网络上出现了一大堆病毒,而且,SAV只能查到病毒原体生成的病毒文件并隔离,无法清除病毒原体,是个很讨厌的问题!

这一点,使我对于一向推崇的SAV倍感失望,甚至,我已经认为,电脑并非所有人都能使用的设备了

近期处理了大量这样的问题,全部用手工清除。现将一些感想摘录如下:

近期出现的病毒,大多借用了流氓软件的伎俩,或者说,它们是一些“流氓软件”,但是,比普能的流氓软件则理进一步,因为它们释放的是病毒,如WINLOGON.EXE,svchost32.exe,explore.com,rundl132.exe等

对于这种类型的病毒,像SAV这样的杀毒软件只能不段地隔离或删除病毒文件,无法根除!

这类病毒,一般是在注册表中加入某些启动项,以启动病毒原体,然后释放病毒文件,其后可能有两种方式,一种是继续运行,另一种则是退出。

一般的清除结果如下:

1、需要查看系统进程,强制结束不正常的进程。

    在这里,有很多进程无法关闭,所以需要想办法,如关闭ie或explorer这些进程(如果关闭了explorer进程的话,可以使用ie或命令行方式删除文件)

2、打开注册表,查找启动项,删除不正常的键值。目前我查找到的病毒很有可能出现的位置有如下几个:

    A、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

    B、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    C、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    D、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

3、删除在进程及注册表中出现的不正常的文件。

4、查看%WindDir%,%System32%,%Common Filess%以及IE的Plugins目录下是否有不正常的文件及目录,如有,删之(这是为了防止查看注册表时的遗漏)。

5、确认一下系统是否有不正常的进程,如有,说明没有完全清除病毒原体,继续查找。

6、重启电脑(我一般直接reset),确认是否有未清除的病毒,如有问题,需要重头再来,如没说,说明清除完毕。

不过,感染病毒的途径至今没有找到,估计是利用了MS系统或软件的漏洞。

注:某些病毒会更改可执行文件的注册表项,杀完毒后会导致exe文件不可运行,请参考:http://zhidao.baidu.com/question/11269100.html

对于exe文件可以执行,某些功能不能运行,如桌面的ie图标,这时,请分析杀毒过程,将注册表中的病毒文件名更改为正确的文件名。

以上仅是个人经验,谬误在所难免,大家自己判断其正误,毕竟,尽信书不如无书,何况,这还不是书

posted on 2007-04-30 09:37 Vitty 阅读(217) 评论(0)  编辑 收藏 引用 所属分类: 1.电脑网络
只有注册用户登录后才能发表评论。