查杀病毒
如今網絡上病毒肆虐,讓電腦用戶在應付病毒上花費了不少精力。當你使用殺毒軟件查殺病毒時,是否遇到查出了病毒,但是殺不掉的情況,原因何在?該如何處理呢?以下筆者對此略作介紹。
◆系統還原文件
_restore文件夾是Windows Me/XP系統特有的系統還原文件夾,隱藏在該文件夾中的病毒是不能直接清除的。當然這些病毒也不能直接發揮作用。要清除這些病毒,可以關閉Windows系統的“系統還原”功能,清理系統還原點,或者直接刪除_restore文件夾的內容。
◆疑似電腦病毒
有時殺毒軟件會出現提示:unknown.com.tsr.virus。該提示中,unknown是“不明的”意思,tsr是內存駐留的意思,本信息一般提示的是純DOS環境下的可執行文件,表明殺毒軟件在該文件中發現了可疑代碼,類似病毒,但是沒有確定是什么病毒。
如果疑似病毒提示涉及Type-Win32代碼,則表示可疑的32位代碼的意思,是指Windows環境下可疑的可執行代碼。對于疑似病毒,可以直接刪除該文件,或者將這些“疑似”的病毒文件發送給反病毒軟件公司,請求幫助。
◆exe 文件感染病毒
以.exe為擴展名稱的文件是軟件安裝程序的部分文件,其中的病毒不能直接清除。只有在軟件完全安裝成功后,方可清除。這有點類似于在COPY文件時發現了病毒的處理方法。
◆在DOS下清除病毒
對于在引導區發現的病毒,如POLYBOOT/WYX.b病毒,請使用干凈的系統盤啟動系統到DOS,然后在DOS下殺毒即可清除。如果可感染引導區的病毒存在于文件中,可以直接刪除該文件。
◆系統初始文件中引用病毒
殺毒時出現如下提示:
-----------------------------------------------------------------------------------------------
QUOTE:
C:\Windows\brasil.pif worm.win32.opasoft.a病毒 已刪除
C:\Windows\instit.bat worm.win32.opasoft.a病毒 已刪除
C:\Windows\alevir.exe worm.win32.opasoft.a病毒 已刪除
C:\Windows\marco.scr worm.win32.opasoft.a病毒 已刪除
C:\Windows\SCRSVR.exe worm.win32.opasoft.a病毒 已刪除
------------------------------------------------------------------------------------------------
殺毒后,重啟動電腦時出現很多找不到文件的信息,而且再次殺毒時提示依舊,病毒還是存在。這些頑固病毒的引用應該是在win.ini文件中,請單擊“開始→運行”,鍵入“sysedit”,按下回車鍵,編輯win.ini,刪除對病毒的引用行。
◆病毒最新變種
殺毒軟件查出的是其病毒庫中不存在的新型病毒,請將殺毒軟件的病毒庫升級到最新,然后再查殺。
--------------------
一款好的防火墻并不能發現所有病毒;一個好的殺毒軟件并不能殲滅所有的帶毒程序!遇到這些情況我們該做何處理呢?很簡單——手工殺毒。而要論到手工殺毒,就不能不提到系統進程的妙用了。
進程、病毒?
書上說:“進程為應用程序的運行實例,是應用程序的一次動態執行。”看似高深,我們可以簡單地理解為:它是操作系統當前運行的執行程序。在系統當前運行的執行程序里包括:系統管理計算機個體和完成各種操作所必需的程序;用戶開啟、執行的額外程序,當然也包括用戶不知道,而自動運行的非法程序(它們就有可能是病毒程序)。
危害較大的可執行病毒同樣以“進程”形式出現在系統內部(一些病毒可能并不被進程列表顯示,如“宏病毒”),那么及時查看并準確殺掉非法進程對于“手工殺毒有起著關鍵性的作用。
操作系統如何打開進程列表?
要通過進程列表查看系統是否染毒,必須打開當前的執行程序進程列表,Microsoft的每種系統都有相應的打開方法,但能夠顯示的能力卻因(系統)不同,有所差異:
1.Windows 98 /Me系統
打開系統進程的方式很簡單,快捷鍵“Ctrl+Alt+Delete”(如圖1),這個窗口大家應該比較熟悉,使用Windows系統的用戶都知道用這個方法來關閉程序,不過它同樣用于顯示系統進程,只是Windows 98系統較初級,對進程的顯示局限于名稱,且里面所顯示的還有打開的文件及目錄名,查看時易混淆。Windows Me的進程打開方式和Windows 98相同。
Windows 9x系統打開的進程列表混亂且不完全,顯然不便于查看系統的具體進程狀況,所以建議使用一些工具程序來為Windows 9x系統顯示進程,如“Windows優化大師”,在“優化大師”的“系統安全優化”項內打開“進程管理”,在圖2所示的“Windows 進程管理”窗口內,可以詳細查看當前計算機所運行的所有進程,及具體程序所在的位置,這樣更方便完成后面要介紹的如何利用進程進行查毒、殺毒。
2.Windows 2000/ XP/2003系統
Windows 2000、Windows XP、Windows 2003打開進程窗口的方式與Windows 9x系統相同,只是三鍵后打開的是“Windows 任務管理器”窗口,需要選擇里面的“進程”項。Windows 2000系統只顯示具體進程的全名,占用的內存量;Windows XP、Windows 2003系統相比Windows 2000會顯示該進程歸屬于那個用戶下,如操作系統所必須的基礎程序,會在后面的“用戶名”內顯示為“SYSTEM”,由用戶另外開啟的程序則用戶名為當前的系統登錄用戶名。
通過進程發現、處理病毒
在介紹具體的查毒和殺毒前,筆者先回答開篇提出的兩個問題。為什么殺毒軟件并不能全面的查找和殺掉病毒?首先,病毒防火墻是通過對程序進行反匯編,然后與自己的病毒庫進行對比來查找病毒,如果病毒較新,而殺毒軟件又未能及時升級便不能識別病毒。其次,殺毒軟件在發現病毒后,如果是獨立的可執行病毒程序,會選擇直接刪除的處理方式,而病毒如果被當作進程執行了,殺毒軟件就無能為力了,因為它沒有功能和權限先停止掉系統的這些進程,被當作進程執行的程序是不能被刪除的(這也是大家在刪除一個程序時,提示該程序正在被使用不能刪除的原因)。所以在使用殺毒軟件殺毒時,才會有殺毒完成后,又出現病毒提示的原因。
回到原來話題上!通過進程如何發現和殺掉病毒呢?由前面的知識介紹可知,Windows 9X和Windows 2000系統只能顯示進程的名稱,這對判斷該進程是否是病毒還不夠,如果要準確的斷定病毒,最好使用前面介紹的“Windows優化大師”來查看進程程序的源路徑,如果是“C:\windows\system”下的一些未知的“EXE”那便極有病毒的可能性了。Windows XP和Windows 2003系統,進程后會有“用戶名”的顯示,病毒是不可能獲得“SYSTEM”權限的,所以應注意“用戶名”是當前登錄用戶的進程,一旦發現是病毒,可以立即“殺掉”。這里
介紹兩個技巧:
1.發現可疑進程后,利用Windows的查找功能,查找該進程所在的具體路徑,通過路徑可以知道該進程是否合法,譬如由路徑“C:\Program Files\3721\assistse.exe”知道該程序是3721的進程,是合法的。 2.在對進程是否病毒拿不定主意時,可以復制該進程的全名,如:“xxx.exe”到googl.com或baidu.com這樣的全球搜查引擎上進行搜查,如果是病毒會有相關的介紹網頁。
確定了該進程是病毒,首先應該殺掉該進程,對于Windows 9x系統,選中該進程后,點擊下面的“結束任務”按鈕,Windows 2000、Windows XP、Windows 2003系統則在進程上單擊右鍵在彈出菜單上選擇“結束任務”。“殺掉”進程后找到該進程的路徑刪除掉即可,完成后最好在進行一次殺毒,這樣就萬無一失了。
一次利用進程殺毒的具體過程是這樣的:“通過進程名及路徑判斷是否病毒→殺掉進程→刪除病毒程序”,為了讓讀者更好的判斷進程,在這里補充一些Windows的進程資料給大家:
QUOTE:
進程名 描述
smss.exe Session Manager
csrss.exe 子系統服務器進程
winlogon.exe 管理用戶登錄
services.exe 包含很多系統服務
lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序。
svchost.exe Windows 2000/XP 的文件保護系統
SPOOLSV.EXE 將文件加載到內存中以便遲后打印。
explorer.exe 資源管理器
internat.exe 托盤區的拼音圖標
mstask.exe 允許程序在指定時間運行。
regsvc.exe 允許遠程注冊表操作。(系統服務)→remoteregister
tftpd.exe 實現 TFTP Internet 標準。該標準不要求用戶名和密碼。
llssrv.exe 證書記錄服務
ntfrs.exe 在多個服務器間維護文件目錄內容的文件同步。
RsSub.exe 控制用來遠程儲存數據的媒體。
locator.exe 管理 RPC 名稱服務數據庫。
clipsrv.exe 支持“剪貼簿查看器”,以便可以從遠程剪貼簿查閱剪貼頁面。
問:我的系統進程里有四個svchost.exe,聽說有些木馬就是偽裝成系統的進程,不知道這個是不是?
答:svchost.exe 存在 %windir%\system32\wins 下。
如果懷疑svchost.exe是病毒可以通過以下方法來證實是不是病毒:
1.可以去 wins 目錄找找有無多余,
2.可以搜搜windows文件夾中 svchost.exe 看看有幾個(應為1個),
3.tlist -s察看,
4.也可以下載一個可以看帶路徑名的進程的瀏覽工具。
[補充:SVCHOST.EXE-********.pf這個文件不列入上面的搜索目標范圍,如:SVCHOST.EXE-3530F672.pf]
問:svchost.exe是起什么作用的進程?
答:Svchost.exe文件對那些從動態連接庫中運行的服務來說是一個普通的主機進程名。
Svhost.exe文件定位在系統的%systemroot%\system32文件夾下。在啟動的時候,
Svchost.exe檢查注冊表中的位置來構建需要加載的服務列表。這就會使多個Svchost.exe在同一時間運行。每個Svchost.exe的回話期間都包含一組服務,以至于單獨的服務必須依*Svchost.exe怎樣和在那里啟動。這樣就更加容易控制和查找錯誤。
Svchost.exe 組是用下面的注冊表值來識別。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost每個在這個鍵下的值代表一個獨立的Svchost組,并且當你正在看活動的進程時,它顯示作為一個單獨的例子。每個鍵值都是REG_MULTI_SZ類型的值而且包括運行在Svchost組內的服務。每個Svchost組都包含一個或多個從注冊表值中選取的服務名,這個服務的參數值包含了一個ServiceDLL值。HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service msdtc.exe ---并列事務,是分布于兩個以上的數據庫,消息隊列,文件系統或其他事務保護資源管理器。
grovel.exe ---掃描零備份存儲(SIS)卷上的重復文件,并且將重復文件指向一個數據存儲點,以節省磁盤空間(只對 NTFS 文件系統有用)。
snmp.exe ---包含代理程序可以監視網絡設備的活動并且向網絡控制臺工作站匯報。
以上這些進程都是對計算機運行起至關重要的,千萬不要隨意“殺掉”,否則可能直接影響系統的正常運行。
◆系統還原文件
_restore文件夾是Windows Me/XP系統特有的系統還原文件夾,隱藏在該文件夾中的病毒是不能直接清除的。當然這些病毒也不能直接發揮作用。要清除這些病毒,可以關閉Windows系統的“系統還原”功能,清理系統還原點,或者直接刪除_restore文件夾的內容。
◆疑似電腦病毒
有時殺毒軟件會出現提示:unknown.com.tsr.virus。該提示中,unknown是“不明的”意思,tsr是內存駐留的意思,本信息一般提示的是純DOS環境下的可執行文件,表明殺毒軟件在該文件中發現了可疑代碼,類似病毒,但是沒有確定是什么病毒。
如果疑似病毒提示涉及Type-Win32代碼,則表示可疑的32位代碼的意思,是指Windows環境下可疑的可執行代碼。對于疑似病毒,可以直接刪除該文件,或者將這些“疑似”的病毒文件發送給反病毒軟件公司,請求幫助。
◆exe 文件感染病毒
以.exe為擴展名稱的文件是軟件安裝程序的部分文件,其中的病毒不能直接清除。只有在軟件完全安裝成功后,方可清除。這有點類似于在COPY文件時發現了病毒的處理方法。
◆在DOS下清除病毒
對于在引導區發現的病毒,如POLYBOOT/WYX.b病毒,請使用干凈的系統盤啟動系統到DOS,然后在DOS下殺毒即可清除。如果可感染引導區的病毒存在于文件中,可以直接刪除該文件。
◆系統初始文件中引用病毒
殺毒時出現如下提示:
-----------------------------------------------------------------------------------------------
QUOTE:
C:\Windows\brasil.pif worm.win32.opasoft.a病毒 已刪除
C:\Windows\instit.bat worm.win32.opasoft.a病毒 已刪除
C:\Windows\alevir.exe worm.win32.opasoft.a病毒 已刪除
C:\Windows\marco.scr worm.win32.opasoft.a病毒 已刪除
C:\Windows\SCRSVR.exe worm.win32.opasoft.a病毒 已刪除
------------------------------------------------------------------------------------------------
殺毒后,重啟動電腦時出現很多找不到文件的信息,而且再次殺毒時提示依舊,病毒還是存在。這些頑固病毒的引用應該是在win.ini文件中,請單擊“開始→運行”,鍵入“sysedit”,按下回車鍵,編輯win.ini,刪除對病毒的引用行。
◆病毒最新變種
殺毒軟件查出的是其病毒庫中不存在的新型病毒,請將殺毒軟件的病毒庫升級到最新,然后再查殺。
--------------------
一款好的防火墻并不能發現所有病毒;一個好的殺毒軟件并不能殲滅所有的帶毒程序!遇到這些情況我們該做何處理呢?很簡單——手工殺毒。而要論到手工殺毒,就不能不提到系統進程的妙用了。
進程、病毒?
書上說:“進程為應用程序的運行實例,是應用程序的一次動態執行。”看似高深,我們可以簡單地理解為:它是操作系統當前運行的執行程序。在系統當前運行的執行程序里包括:系統管理計算機個體和完成各種操作所必需的程序;用戶開啟、執行的額外程序,當然也包括用戶不知道,而自動運行的非法程序(它們就有可能是病毒程序)。
危害較大的可執行病毒同樣以“進程”形式出現在系統內部(一些病毒可能并不被進程列表顯示,如“宏病毒”),那么及時查看并準確殺掉非法進程對于“手工殺毒有起著關鍵性的作用。
操作系統如何打開進程列表?
要通過進程列表查看系統是否染毒,必須打開當前的執行程序進程列表,Microsoft的每種系統都有相應的打開方法,但能夠顯示的能力卻因(系統)不同,有所差異:
1.Windows 98 /Me系統
打開系統進程的方式很簡單,快捷鍵“Ctrl+Alt+Delete”(如圖1),這個窗口大家應該比較熟悉,使用Windows系統的用戶都知道用這個方法來關閉程序,不過它同樣用于顯示系統進程,只是Windows 98系統較初級,對進程的顯示局限于名稱,且里面所顯示的還有打開的文件及目錄名,查看時易混淆。Windows Me的進程打開方式和Windows 98相同。
Windows 9x系統打開的進程列表混亂且不完全,顯然不便于查看系統的具體進程狀況,所以建議使用一些工具程序來為Windows 9x系統顯示進程,如“Windows優化大師”,在“優化大師”的“系統安全優化”項內打開“進程管理”,在圖2所示的“Windows 進程管理”窗口內,可以詳細查看當前計算機所運行的所有進程,及具體程序所在的位置,這樣更方便完成后面要介紹的如何利用進程進行查毒、殺毒。
2.Windows 2000/ XP/2003系統
Windows 2000、Windows XP、Windows 2003打開進程窗口的方式與Windows 9x系統相同,只是三鍵后打開的是“Windows 任務管理器”窗口,需要選擇里面的“進程”項。Windows 2000系統只顯示具體進程的全名,占用的內存量;Windows XP、Windows 2003系統相比Windows 2000會顯示該進程歸屬于那個用戶下,如操作系統所必須的基礎程序,會在后面的“用戶名”內顯示為“SYSTEM”,由用戶另外開啟的程序則用戶名為當前的系統登錄用戶名。
通過進程發現、處理病毒
在介紹具體的查毒和殺毒前,筆者先回答開篇提出的兩個問題。為什么殺毒軟件并不能全面的查找和殺掉病毒?首先,病毒防火墻是通過對程序進行反匯編,然后與自己的病毒庫進行對比來查找病毒,如果病毒較新,而殺毒軟件又未能及時升級便不能識別病毒。其次,殺毒軟件在發現病毒后,如果是獨立的可執行病毒程序,會選擇直接刪除的處理方式,而病毒如果被當作進程執行了,殺毒軟件就無能為力了,因為它沒有功能和權限先停止掉系統的這些進程,被當作進程執行的程序是不能被刪除的(這也是大家在刪除一個程序時,提示該程序正在被使用不能刪除的原因)。所以在使用殺毒軟件殺毒時,才會有殺毒完成后,又出現病毒提示的原因。
回到原來話題上!通過進程如何發現和殺掉病毒呢?由前面的知識介紹可知,Windows 9X和Windows 2000系統只能顯示進程的名稱,這對判斷該進程是否是病毒還不夠,如果要準確的斷定病毒,最好使用前面介紹的“Windows優化大師”來查看進程程序的源路徑,如果是“C:\windows\system”下的一些未知的“EXE”那便極有病毒的可能性了。Windows XP和Windows 2003系統,進程后會有“用戶名”的顯示,病毒是不可能獲得“SYSTEM”權限的,所以應注意“用戶名”是當前登錄用戶的進程,一旦發現是病毒,可以立即“殺掉”。這里
介紹兩個技巧:
1.發現可疑進程后,利用Windows的查找功能,查找該進程所在的具體路徑,通過路徑可以知道該進程是否合法,譬如由路徑“C:\Program Files\3721\assistse.exe”知道該程序是3721的進程,是合法的。 2.在對進程是否病毒拿不定主意時,可以復制該進程的全名,如:“xxx.exe”到googl.com或baidu.com這樣的全球搜查引擎上進行搜查,如果是病毒會有相關的介紹網頁。
確定了該進程是病毒,首先應該殺掉該進程,對于Windows 9x系統,選中該進程后,點擊下面的“結束任務”按鈕,Windows 2000、Windows XP、Windows 2003系統則在進程上單擊右鍵在彈出菜單上選擇“結束任務”。“殺掉”進程后找到該進程的路徑刪除掉即可,完成后最好在進行一次殺毒,這樣就萬無一失了。
一次利用進程殺毒的具體過程是這樣的:“通過進程名及路徑判斷是否病毒→殺掉進程→刪除病毒程序”,為了讓讀者更好的判斷進程,在這里補充一些Windows的進程資料給大家:
QUOTE:
進程名 描述
smss.exe Session Manager
csrss.exe 子系統服務器進程
winlogon.exe 管理用戶登錄
services.exe 包含很多系統服務
lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序。
svchost.exe Windows 2000/XP 的文件保護系統
SPOOLSV.EXE 將文件加載到內存中以便遲后打印。
explorer.exe 資源管理器
internat.exe 托盤區的拼音圖標
mstask.exe 允許程序在指定時間運行。
regsvc.exe 允許遠程注冊表操作。(系統服務)→remoteregister
tftpd.exe 實現 TFTP Internet 標準。該標準不要求用戶名和密碼。
llssrv.exe 證書記錄服務
ntfrs.exe 在多個服務器間維護文件目錄內容的文件同步。
RsSub.exe 控制用來遠程儲存數據的媒體。
locator.exe 管理 RPC 名稱服務數據庫。
clipsrv.exe 支持“剪貼簿查看器”,以便可以從遠程剪貼簿查閱剪貼頁面。
問:我的系統進程里有四個svchost.exe,聽說有些木馬就是偽裝成系統的進程,不知道這個是不是?
答:svchost.exe 存在 %windir%\system32\wins 下。
如果懷疑svchost.exe是病毒可以通過以下方法來證實是不是病毒:
1.可以去 wins 目錄找找有無多余,
2.可以搜搜windows文件夾中 svchost.exe 看看有幾個(應為1個),
3.tlist -s察看,
4.也可以下載一個可以看帶路徑名的進程的瀏覽工具。
[補充:SVCHOST.EXE-********.pf這個文件不列入上面的搜索目標范圍,如:SVCHOST.EXE-3530F672.pf]
問:svchost.exe是起什么作用的進程?
答:Svchost.exe文件對那些從動態連接庫中運行的服務來說是一個普通的主機進程名。
Svhost.exe文件定位在系統的%systemroot%\system32文件夾下。在啟動的時候,
Svchost.exe檢查注冊表中的位置來構建需要加載的服務列表。這就會使多個Svchost.exe在同一時間運行。每個Svchost.exe的回話期間都包含一組服務,以至于單獨的服務必須依*Svchost.exe怎樣和在那里啟動。這樣就更加容易控制和查找錯誤。
Svchost.exe 組是用下面的注冊表值來識別。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost每個在這個鍵下的值代表一個獨立的Svchost組,并且當你正在看活動的進程時,它顯示作為一個單獨的例子。每個鍵值都是REG_MULTI_SZ類型的值而且包括運行在Svchost組內的服務。每個Svchost組都包含一個或多個從注冊表值中選取的服務名,這個服務的參數值包含了一個ServiceDLL值。HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service msdtc.exe ---并列事務,是分布于兩個以上的數據庫,消息隊列,文件系統或其他事務保護資源管理器。
grovel.exe ---掃描零備份存儲(SIS)卷上的重復文件,并且將重復文件指向一個數據存儲點,以節省磁盤空間(只對 NTFS 文件系統有用)。
snmp.exe ---包含代理程序可以監視網絡設備的活動并且向網絡控制臺工作站匯報。
以上這些進程都是對計算機運行起至關重要的,千萬不要隨意“殺掉”,否則可能直接影響系統的正常運行。
總結
- 上一篇: 25 个你可能不知道的 Linux 真相
- 下一篇: centos7.x物理机升级lt内核后