清理病毒的终极方法.docVIP

清理病毒的终极方法 【摘 要】计算机病毒的泛滥与层出不穷，往往使普通用户深受其害，有时候更是束手无策，也使学生如临深渊，教材中也缺少系统的解决方案。寻找反击病毒的通用方法，尽最大可能恢复系统的正常，使普通用户也能在危机的时候凭最基本的操作能自己处理此类问题，为病毒防杀软件提供纯净平台。 【关键词】病毒 可疑进程 DOS 运行权 PE系统 釜底抽薪 备份 忠告 你已经明显的感觉到你的系统出现了问题，比如打开程序缓慢，移动鼠标困难，浏览网页不顺畅，莫明其妙的跳出些窗口，正常的程序不能运行，硬盘上出现了一些你不清楚的文件与目录，但是你却束手无策，因为你的杀毒软件已经不能正常运行，你的各种流氓软件清理工具也已经失灵，甚至你想登录到一些病毒防杀治理的网站都不可能。这个时候的病毒已经一手遮天，对它产生“危害”的程序及操作它都要想方设法阻止，它在大模大样的狞笑，怎么办？去找“高人”吗，好象也可以，但恰巧“高人”有事去了，你却心急如焚；去重装系统吗，好像绝大部分人不想这么做，恐怕你也不想这么做。怎么办？自己办！ 一点预备知识。病毒本质上也是一个计算机程序，它再厉害还不能达到你对它不能进行任何操作的程度，脱离了系统环境，它的一切功能就将消失，随你来“修理”它。得不到系统的支持它没有任何威胁，只要我们不让它运行，就为我们来清理它创造了有利的条件。 病毒要挟持系统，无外乎是在杀毒软件及流氓软件清理工具掌管系统之前优先占领系统，在系统的制高点上来狙击对它自身产生“危害”的程序及操作，从而获得系统至高无上的权利，使自己随时处于保护与传播及破坏的状态。要想抢先运行，无外乎依赖系统提供的方式，都要在系统启动的时候加载自己，尽可能的利用系统存在的漏洞，既要保证系统工作又要使自己隐身其中，都要在内存及系统的关键位置留下蛛丝马迹，这就为我们消灭它提供了线索。摧毁其“政权”，支解它的体系，反其道而行之就是我们来发现它、战胜它的途径。下面我们就来见招拆招，练就清理病毒的终极方法。 第一招，抢占制高点，终止可疑进程。不要被“进程”这个专用名词吓倒，你可以简单的理解为一个在计算机中运行的程序。打开“任务管理器”，可以看到很多计算机中运行的进程，查看可疑的进程，然后终止它。 什么是可疑进程需要经验来判断，一个通用的法则就是进程的名称很奇怪或者非常简单，或者进程对应的程序体处在特别的位置，为了炼成火眼金睛，不防在平时多看看你的系统在正常情况下到底有些什么进程在运行。 要知道进程对应的程序体放在硬盘的什么位置，可以依靠其它的进程管理软件，比如冰刀进程管理器、360安全卫士、金山清理专家或者其它的专用进程管理软件来查看，特别是金山清理专家的进程管理模块还对已知的进程进行简要说明、评价，非常直观，当然也可以利用系统提供的MSCONFIG及REGEDIT这两个配置命令。打开“注册表编辑器”查看系统注册表\Run这个子键值下的内容，\Run这个子键有多处，应进行“全字匹配”查找，总能发现一些线索。一个正常进程的程序体一般处在Windows\SYSTEM32下，或者是你安装的程序目录内，如果指向了一个莫名其妙的位置，或者更深的系统目录内，特别是指向了一个临时目录或者是隐藏目录，大致上可以怀疑为可疑的进程。不要害怕关闭了正常的系统进程，大不了系统重新启动而已。结束可疑进程后，如果幸运的话，你再去运行防杀病毒软件，如果它们能正常工作那就太好了，接下来的事你就按步就班的进行正常的病毒防杀治理，升级你安装的防杀病毒软件进行全面的杀毒处理。如果运行防杀病毒软件不成功，可以试着改变一下防杀病毒软件的主程序名称再运行，也许会有很好的效果。如果仍然不成功，多半病毒采用了“映像劫持”技术，追查劫持来源不失为较好的解决方案，但操作复杂一点，这里不作讨论。 第二招，取消病毒的优先运行权。使用第一招后往往效果不理想，因为你刚才终止的那些个可疑进程可能等不了几秒钟它们就又自动启动了，显然病毒们还采用了保护措施，有多个模块在相互帮忙，有很多暗贴、钩子，你不经意的操作就又中了招。如果能同时终止多个进程就好了，可惜“任务管理器”不支持，所以要在系统重新启动的时候取消它的优先运行权，切断系统资源对它的支持。取消病毒的优先运行权就是从系统的启动队列里将它们剔除出去，管理启动队列是系统提供的。得使用两个工具：MSCONFIG及REGEDIT(均在开始菜单的运行项里运行它们)，当然其它类似的可管理启动项的软件也行，比如前面提到的360安全卫士、金山清理专家等等。MSCONFIG是图示化的操作，每个启动项对应的程序存放的位置也显示得很清晰，你要做的就是将启动页里的那些可疑项的小对勾去掉就行了，如果去掉有误也不必太过操心，重启后有机会来重新启用。REGEDIT则要到HKEY_LOCAL_MACH