廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 3516 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] 找到病毒文件後,根據病毒文件類型,清除病毒的詳細步驟
找到病毒文件後,根據病毒文件類型,清除病毒的詳細步驟。


必備工具:
System Repair Engineer(SREng) 點此下載 (掃描工具,本站推薦)
使用sreng(System Repair Engineer)掃描係統的教程
AutoRuns v8.53 漢化版II下載地址 及 導出掃描報告的注意事項 (備用掃描工具)
瑞星卡卡上網安全助手3.0 下載及導出掃描報告的方法
unlocker 下載和使用說明 (用於刪除病毒文件)
純DOS係統 For 2000/xp 下載安裝及使用教程 (unlocker刪除不成功時必備)
(查找病毒文件須知,給菜鳥:打開我的電腦,點擊工具--點文件夾選項--點擊查看~~然後在找到隱藏文件和文件夾選項那裏--點上“顯示所有文件和文件夾”;取消“隱藏受保護的係統文件”前面的勾勾;取消“隱藏已知文件類型的擴展名”前面的勾勾,再點確認。)
清除病毒文件的步驟:
★1、刪除病毒驅動文件:
由於此類sys文件在係統啓動時最先加載,並加入到system進程,及時在安全模式也無法刪除。必須依靠刪除工具或瑞星的碎甲技術專殺工具。在刪除前建議關閉所有正在運行的程序和窗口,如ie浏覽器,qq,bt,殺毒軟件等,以確保刪除成功。
沒有專殺或專殺無效時,建議使用unlocker,這是目前發現的最簡單有效的刪除工具。建議使用unlocker 把病毒文件改名,(注釋:改名字和刪除文件的效果是一樣的,還可以恢複);必須先使用unlocker解鎖。
如果unlocker改名失敗,需要進dos改名,可按照本站提供的批處理文件制作方法,進dos後直接輸入批處理文件名,回車即可搞定。
下一步我們要重啓進入安全模式了,如果你中了不能進入安全模式的病毒,可以在刪除病毒文件後,在原處建立一個同名帶擴展名(.sys)的文件夾,因爲電腦的任何操作係統都不允許同名的文件和文件夾存在,這樣可以防止重啓後病毒文件的自我修複。爲報萬無一失和防止以後的複發,建議都做一個文件夾放在那裏。
(我現在急需找到一個unlocker也刪不掉的病毒樣本,如果誰有請上傳到病毒樣本區,謝謝。)
--------------------------
★2、刪除病毒驅動注冊表項:
此項進行時必須重啓到安全模式。如果不重啓,病毒驅動還加載在內存中,修改注冊表會失敗;如果只能重啓到正常模式,不能進入安全模式,我們必須在上一步做一個免疫的文件夾,防止還沒有刪除病毒的其他啓動文件可能會修複我們刪除的sys驅動文件。
重啓到安全模式之後,我們先檢查一下剛才刪除的sys病毒文件是否刪除成功,再刪除注冊表項。
方法一: 手動刪除 :點開始-運行-輸入“regedit"打開注冊表編輯器,點編輯-查找-搜索病毒文件名(帶擴展名,不帶擴展名的有些項直接刪不掉,留下沒關係,做個紀念),刪除注冊表 左欄 的加載鍵。刪除後要按F3一直查找完。再查下一個。
方法二:使用 瑞星卡卡上網安全助手3.0 :點係統啓動項管理-點驅動-可以看到他們。我們要右鍵點右側欄,把“包含空項”選上,把兩個“隱藏xx已簽名的項”前面的鈎鈎去掉,會看到全部加載的驅動。我們右鍵點病毒的服務項,然後選“刪除當前選中的項”,可以刪除。
方法三:使用 System Repair Engineer(SREng) :點“啓動項目”-服務-驅動程序-選中找到的病毒驅動-我們可以點選“刪除服務”,然後點“設置”即可。對於一些不明的驅動,我們爲了避免冤枉好同志,可以修改啓動類型爲disabled(禁止),然後點選“修改啓動類型”,然後點“設置”,即可。(做此項時,隱藏已認證的微軟項目,查找會更快捷。)
方法四:使用 AutoRuns :點“驅動”-右鍵點病毒驅動-刪除。
此項如果不做,係統啓動時會形成錯誤日志。但不會有明確提示,也不會對我們的係統有任何不良影響了。自項如果做不成功,說明還有病毒程序的保護,就先進行下一步,清理完病毒後,在回來修複注冊表。
--------------------------
★3、停用注冊的服務: 此項我們還需要在安全模式進行。這些服務在安全模式不會加載,我們可以順利清除。
右鍵點我的電腦,選管理-服務和應用程序-服務;查找我們查到的病毒服務,雙擊打開屬性對話框,停止此服務並修改啓動類型爲“已禁用”。
(此項在安全模式其實可以不必再做,因爲病毒服務並沒有加載,我們可以直接清理注冊表。但我們必須養成一個按部就班的習慣。這是一個確保萬無一失的步驟。關鍵是,對於一些不能進入安全模式的病毒如類似3448的清除,此項就必須先做了。 使用修複工具如 瑞星卡卡上網安全助手SREng AutoRuns ,等等,此項可以閃,直接到 下一步。)
--------------------------
★4、刪除注冊的服務項和將病毒文件改名: 這些文件一般是exe或dll文件,在安全模式不會加載。如果不在安全模式,需要使用unlocker將病毒文件改名。
方法一: 手動刪除 :在注冊表搜索文件名,刪除在注冊表左邊欄注冊的服務項,在注冊表裏一般會加載到兩個以上位置,都要刪除。
(服務項是在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下。在ControlSet001\Services   ControlSet002\Services   ControlSet003\Services等下面也會有,都刪除。)
方法二:使用 瑞星卡卡上網安全助手 :點係統啓動項管理-點服務項-可以看到他們。我們右鍵點病毒的服務項,然後選“刪除當前選中的項”,可以刪除。
方法三:使用 SREng :點“啓動項目”-服務-win32服務應用程序(同第2步)
方法四:使用 AutoRuns :點“服務”-右鍵點病毒服務-刪除。
--------------------------
★5、刪除注冊的病毒啓動項和啓動文件: 這些文件一般是exe或dll文件,在安全模式不會加載。如果不在安全模式,需要使用unlocker將病毒文件改名,然後進行注冊表清理:
方法一: 手動刪除 :在注冊表搜索病毒文件名,刪除在注冊表右邊欄包含文件名的那一行注冊的啓動項。(如果不在安全模式,改名可能需要使用unlocker,然後可能需要重啓,然後才能清注冊表)。
方法二:使用 瑞星卡卡上網安全助手 :點係統啓動項管理-點登陸項-可以看到他們。點包含空項可以看到所有此類病毒的可能的藏身之處。我們右鍵點病毒的啓動項,然後選“刪除當前選中的項”,可以刪除。
方法三:使用 SREng :點“啓動項目”-“注冊表”
方法四:使用 AutoRuns :點“登錄”-右鍵點病毒啓動-刪除。
注冊表的病毒啓動項如果不刪除,係統啓動可能會提示找不到相關文件或相關文件加載失敗。但不會有什麽其他不良影響。
--------------------------
★6、補充說明:
以上步驟是按照病毒文件加載的層次和次序,從底層開始清理的,一般不要顛倒進行。當某項清除失敗,即使重啓也不能成功,可以閃過進行下一步。這時需要unlocker掉一個,做一個同名文件夾,步步爲營,攻掉一個算一個,差不多了再重啓,再刪。
刪除文件後一定要記得清除注冊表項,否則重新掃描係統報告時還會出現再係統報告裏,360的報告還看不出文件是不是真的存在,給我們繼續診斷帶來麻煩,切記切記!!清除注冊表的工作建議使用修複工具如 瑞星卡卡上網安全助手SREng AutoRuns ,省事。
--------------------------
如果以上提到的文件都已處理,就重起到正常模式看看。
問題沒有解決,請再發個掃描報告上來。如果已解決,請修改標題加注“已解決”,謝謝!
歡迎提出補充意見



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2007-01-16 02:49 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.071711 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言