按图索骥查杀顽固病毒 - 副本.docx

按图索骥查杀顽固病毒 有那么多的杀毒软件，为什么还要手工查杀呢？其实 杀毒软件一直非常被动， 总是等新病毒出现 （甚至出现很久）之后，它才能想办法查杀，而在这个时间差中，我们的电脑 就处在了高度风险之中。而一旦掌握了手工查杀的方法，就能即时保护好自己的系统。注意：本文所说的病毒，泛指病毒、木马、流氓软件等恶意程序。 第 1 步 常用方法显示病毒文件 首先要做的是确认病毒文件确实存在。打开Windows 资源管理器，依次点击“工具→文件夹选项→查看” ，点击勾选高级设置中的“显示系统文件夹的内容”和“显示所有 文件和文件夹”两项，再点击去掉“隐藏已知文件类型的扩展名”和“隐藏受保护的操作系统文件”前面的对钩。 第 2 步 巧用 WinRAR 打回病毒文件原形 经过上面的操作后应该可以看到所有文件了吗？未必， 有时中毒之后，这些设置会被禁止，或者设置后马上失效。还有些病毒文件，即使成功完成以上设置，还是看不到。但是不用着急，借用 WinRAR（下载地址： /soft/5.htm ）可以看到所有文件。 举个例子，每个盘符下都有 RECYCLED（回收站） 这个文 件夹。当你右键清空后，里面什么文件也没了。但是打开 WinRAR 再看看这个文件夹，就有可能找到病毒文件，比如 我在自己的电脑中，通过 WinRAR 在回收站中发现了 INFO2 和 desktop.ini 这两个病毒文件。还有一个特殊的文件夹 “ ”，这个文件夹常 被病毒利用。 你用 Windows 资源管理器和用 WinRAR 分别打开看看，比较一下内容是不是有所不同？ 第 3 步 强制终止病毒进程 确认病毒文件确实存在了，接下来就是想办法删除它。 如果病毒文件正被恶意进程调用，用普通方法是无法删除的，这时先要终止病毒进程。终止进程最简单的方法就是使用 Windows 的任务管理器， 按 Ctrl+Alt+Del 组合键即可调出它， 再点选“进程”选项卡，选中相应进程再单击“结束进程” 即可。 不过大多数病毒进程针对 Windows 任务管理器做过处 理，通过上面的方法可能无法终止它，这时可借助第三方工 具来完成，比如瑞星卡卡的进程管理， Windows 杀毒助手、 冰刃  IceSword  和  SYSCHECK等。其中的冰刃  IceSword（下载 地址：  /soft/4523.htm  ）和  SYSCHECK （下载地址： /cfan/200715/syscheck.rar ）具有禁止 进程创建功能，可以防止病毒进程和服务在终止后重新加载，这里强烈推荐。 如果能够进入安全模式我们就省事多了。安全模式下病毒的常规启动项和服务项不会加载，我们就可以顺利删除病毒文件并修复注册表，这是个理想的境界。比较顽固的病毒发作后会破坏系统进入安全模式的相关注册表项，导致不能 进入安全模式，比如 3448 和最近很流行的 AV 终结者等。还有一些驱动级的病毒、木马、流氓软件，即使安全模式也会 加载并保护病毒文件和注册表项不被删除。所以不能完全依赖安全模式。 火速链接： ★本刊今年第 6 期《病毒，看你往哪里跑！ 》一文中，有更多关于查找隐含病毒进程的方法，大家可以找来参考一下。 第 4 步 使用费尔强制删除工具 如果上一步中没能成功删除病毒，这时可借助其他强力 删除工具来完成，我推荐大家试试费尔强制删除工具。这款 工具小巧玲珑，使用方便，可批量输入要删除的病毒文件的 路径，即使隐藏文件不可显示也能删之， 并可抑制文件再生。 首先从 /soft/down/feier%202.0.rar 下载 费尔木马强力清除助手。使用这个工具时，可以在输入框中 直接输入文件路径，也可以点击右侧“ ...”浏览按钮查找，选中找到的病毒文件，点选“清除”或“清除，并抑制文件 再次生成”项，再单击“开始”就可以了（见图 1）。对有些病毒文件，可能会提示在重启后删除。 图 1 第 5 步 第 6 步 马来杀马，毒来杀毒的 Unlocker 对 Unlocker 这款软件，我们已多有介绍，这里只简单说一下它的使用。 Unlocker 安装后会自动集成到右键菜单中， 在资源管理器中直接右击要删除的病毒文件，选择“Unlocker” 打开一个简单的对话框，在左侧下拉菜单中选择“删除” ，确定即可。 有些文件的删除， 会要求重新启动才能最终完成。 火速链接： ★关于 Unlocker 的使用方法，本刊今年第 8 期《擒毒要 擒“王”》一文也有介绍，大家可找来参考。 第 7 步 第 8 步 断绝病毒后路再删除 现在的病毒比较“智能” ，当删除某个病毒文件后，它 又会自动创建进程再生新的病毒文件。为了断绝病毒再生的 后路，可启动 IceSword，执行“文件→设置”（ File→ Setti