看到本文的网友,大部分机子上都会装有杀毒软件或防火墙,比如360、金山毒霸、瑞星等等,而且感觉一切都工作正常。殊不知很多病毒木马插件早已潜伏到用户的机子上去了,而杀毒软件却视若无睹,听之任之。不信就按照本文方法测试一遍看看。除非您的系统是刚刚安装或安全意识比较强的用户会定期检查之外,可以肯定在大部分用户的机子上都能查出一二。 一、手动观察卸载首先观察IE工具栏有哪些可疑的插件。对于不使用IE的用户也并非IE工具栏上没有,插件等照样会安装上去,打开IE看看工具栏顶部位置是否有所谓的百度、搜狗、GOOGLE等一切非IE原带的东西,除了正常的FLASHGET下载图标、迅雷下载图标、金山等杀毒软件图标之外,如果不常使用这些助手,请把它们全部卸载掉。 方法是:先删除防火墙规则中所有可疑的网络连接许可或直接禁止访问网络。然后在控制面板——添加删除程序里卸载掉这些插件。当然也有些比较流氓的插件一点卸载就工作不正常了,总是无法卸载,也没关系,先卸载,卸载过程严禁某些特色的插件软件访问网络,诸如提意见、卸载原因反馈之类的都要禁止访问网络,如果弹出网页窗口,在未打开之前就关闭掉,或者干脆把网线先拔了。卸载“完”后再使用下文的方法再次清理。 二、使用第三方软件查杀大家机子上几乎都装着杀毒软件或防火墙,请大家现在就检查一下是否工作正常(包括:托盘图标是否正常、某些功能模块是否被禁用),使用自身卸载的清理大师能否查到流氓插件或病毒等等。如果这些杀毒软件在你的机子上总是查不到病毒,天缘推荐你最好更换一款杀毒软件。 如大家感觉机子启动突然特别慢,并且连接网络时会经常弹出广告,而这些广告似乎跟正在浏览的网页关系不大(比如迅雷广告、搜易弹窗等等),这些广告插件的卸载只能凭借良心了,大部分都是无法彻底卸载的,只能使用清理大师手动方法把这些鬼请走,恶意软件清理大师的下载地址:http://www.tommsoft.com/View.aspx?type=product&ID=18 下载后无需安装,只需要解压出来,然后先升级到最新的病毒库,接着开始扫描并卸载,如果在WINDOWS界面下卸载不彻底,请使用DOS模式(程序包中有这个DOS清理程序) 这个时候已基本可以清理大部分流氓软件,如已经清理完毕,再重新扫描一次确定没有发现可疑的病毒木马,重新启动计算机,然后到系统盘的Program file和软件安装目录下,把软件商卸载后遗留的走鬼文件夹手动删除掉即可。 如果再次扫描仍然发现一些插件没有清理完毕,说明这些插件有守护进程,这时候可以尝试以下方法: 1、重启进入安全模式后,再次使用清理大师进行清理一次,然后再次扫描检查 1、更换清理软件,国内的杀毒软件一般都有清理恶意软件功能,比如使用金山毒霸的清理专家等。这个时候让它们同时检查并清理,有时候效果特别明显。 2、使用冰刃、Unlocker等强杀工具,进行检查获知病毒木马的文件或目录,强杀后一定要再次使用清理专家等检查一遍,防止进程或程序被还原。 当然还有可能难以搞定,现在很多垃圾插件最喜欢搞驱动级病毒,就因为驱动级病毒最厉害,驱动级程序是操作系统内优先级最高的程序,它可以获得内核级的系统优先权,可以先于普通应用程序启动并获得系统控制权,目前常采用的方法:包括ROOTKIT技术、内核级HOOK技术、进程注入、文件加密存放等等,只要这些病毒木马感染到机子上,第一份工作就是先干掉当前的主流杀毒软件,然后开始部署病毒程序,部署完毕就绪后可能还会帮你把杀毒软件打开,但是已经无法再次发现这些病毒了。 驱动级病毒一般都有交叉守护功能,也就是同时有两个或以上的病毒程序同时运行且互相检测异常,一旦发现其中一个进程或程序被杀死,那么另外一个程序马上会帮对方再生,并且破坏系统的安全模式并禁止进入,屏蔽显示隐藏文件,对于普通的用户或杀毒软件几乎很难清除。 驱动级病毒的尝试处理方法如下(只提供普通用户的简单方法,驱动病毒的清理方式较多并且过程也相对复杂不太适宜普通用户,天缘不再介绍): 1、跨系统清理,也就是说如果查出某个驱动文件为病毒,可以在另外的操作系统(双系统、PE或外挂硬盘等都可以)中删除此驱动。本来就是垃圾插件“假”驱动,删除一般不会造成系统无法启动现象,天缘也没有遇到过,但是还是要注意一下数据安全。 2、如果杀毒软件无法启动,请到杀毒软件目录下,把可执行程序名字改掉,比如金山毒霸的kav32.exe,修改成kk32.exe,然后双击运行一般都可运行,再来查杀。 再次使用清理大师之类的软件进行查询清理一次,基本可以搞定。 三、没有办法的办法,还原或重装当然这个没有办法是相对的,如果您认为杀这些东西太麻烦了,而且屡试屡败,那么就一键还原或重装系统吧。还是天缘一贯提示风格,一定要先记得备份数据。 并且最好能或重装之前,检查并确认其余驱动器下没有类似autorun的自启动程序,如果有请先清理掉,还原或重装系统之后,再次进入系统时,先不要用鼠标双击打开驱动器,而是要采用在驱动器上鼠标右键,在弹出菜单上选择打开,包括目录也是如此打开方式,这样是为了避免某些自动运行程序加载。再次使用清理大师之类的软件进行查询清理一次,就可以了。
温馨提示: ——良好的使用计算机习惯,备份数据并GHOST系统,且需要把GHOST的GHO镜像扩展名改掉,需要还原的时候再修改过来。 ——养成良好的使用杀毒软件和防火墙习惯,即:每个弹出窗口都要仔细查看并快速的判断,切不可随意“确认”、“OK” ——为了您的计算机安全、尤其是账户安全,请您定期使用本文的方法进行计算机病毒检查。 |