(1)殺毒軟件到底該怎麽用
關於使用殺毒軟件保護係統安全的問題,目前存在著兩種極端:一種認為殺毒軟件的實時監控會占用大量係統資源,影響係統運行速度,所以幹脆不安裝任何殺毒軟件以換取係統性能;一種則是把計算機安全環境考慮得過於嚴峻,於是把殺毒軟件、防火牆、反木馬程序、隱私保護程序一股腦的安裝到係統中,惟恐係統保護得不夠嚴密。但草木皆兵不但耗費了大量的係統資源,多少還會影響使用電腦的心情。其實我們完全可以采用功能強大,係統資源占用少的防病毒軟件,再加以合理的設置,這樣既可以保證係統的安全,又能解決係統資源占用過多的矛盾。
選擇優秀的殺毒軟件
功能強大和占用資源少一直是殺毒軟件的一對矛盾,好像既要馬兒跑,又要馬兒不吃草的味道。不過目前的殺毒軟件都兼顧到了這兩點,如卡巴斯基和江民的KV係列殺毒軟件,對於係統內存的占用在大多數情況下隻有數百KB到數MB之間,這麽少的係統資源消耗對於目前的絕大多數電腦來說都開銷得起。
合理設置實時監控
現有的網絡病毒十分猖獗,對安全的威脅來自多方麵,這就需要殺毒軟件具備多項實時監控能力。以KV2006為例,它的實時監控就包括了文件監視、郵件監視、隱私保護、木馬/注冊表監視、網頁監視等七項(如圖1),如果把它們全部打開的話資源消耗自然小不了。一般來說,文件監視和網頁監視是必不可少的,而像郵件監視這樣的項目,如果很少收發郵件或隻使用Web方式收發郵件,完全可以關閉它。其它的監視項目可以根據自己的實際情況來取舍。
優化殺毒速度
現在的硬盤堪稱海量,存儲的數據量也十分龐大,殺毒軟件全麵掃描一次耗時很長(如卡巴斯基),讓人覺得等起來很累,這也是許多人不願意用殺毒軟件的原因。其實,隻要我們留意一下殺毒軟件的選項,就可以發現殺毒速度是可以提高的。
在KV2006的“江民殺毒軟件方案編輯器”中有一個“掃描目標”選項卡(如圖2),我們可以把“解壓檢查”取消,因為軟件檢查壓縮包的耗時非常長。即使壓縮包中有病毒,病毒也不會發作,當把病毒解壓出來的時候也會被實時監控檢測到,對係統安全不會構成威脅。基於同樣的道理,我們還可以在“文件過濾”選項中,增加一些掃描排除文件類型,如ISO鏡像文件,MPG、AVI等視頻文件,MP3等音頻文件,JPG等圖像文件,這些文件在電腦中為數不少,而帶毒的可能性卻比較小。經過這樣的設置,殺毒軟件的掃描速度會得到大幅的提高。
選擇合適的查毒時機
對任何殺毒軟件來說,殺毒都是一項費時費力的活兒,而很多殺毒軟件在安全上考慮得比較保守,默認設置大都是一天查一次病毒。對普通用戶來說,這確實有些多餘,一周查一次就足夠了。另外,像KV2006和金山毒霸等軟件,都具備屏保查毒功能(如圖3),我們不妨開啟這項功能,讓軟件在電腦空閑的時候自動查殺病毒,這樣可做到工作殺毒兩不誤。KV2006還有“智能提速”功能,開啟該功能後在第一次掃描病毒時會花較多時間,但以後就可以大幅提高掃描速度了,因為殺毒軟件會自動跳過一些它認為不會感染病毒的文件,速度自然就快了。
當然,殺毒軟件還有很多個性化的功能,限於篇幅它們的優化設置我們不可能一一涉及,不管怎樣,隻要我們遵循足夠合理的原則,秉持中庸之道,既不“過”,也避免“不及”,就可以讓殺毒軟件高效地工作,使電腦得到合理的保護。
(2)木馬萬能查殺法
“木馬”程序會想盡一切辦法隱藏自己,主要途徑有:在任務欄中隱藏自己,這是最基本的辦法。隻要把Form的Visible屬性設為False,ShowInTaskBar設為False,程序運行時就不會出現在任務欄中了。在任務管理器中隱形:將程序設為“係統服務”可以很輕鬆地偽裝自己。當然它也會悄無聲息地啟動,黑客當然不會指望用戶每次啟動後點擊“木馬”圖標來運行服務端,“木馬”會在每次用戶啟動時自動裝載。Windows係統啟動時自動加載應用程序的方法,“木馬”都會用上,如:啟動組、Win.ini、System.ini、注冊表等都是“木馬”藏身的好地方。
下麵具體談談“木馬”是怎樣自動加載的。在Win.ini文件中,在WINDOWS]下麵,“run=”和 “load=” 是可能加載“木馬”程序的途徑,必須仔細留心它們。一般情況下,它們的等號後麵應該什麽都沒有,如果發現後麵跟有路徑與文件名不是你熟悉的啟動文件,你的計算機就可能中“木馬”了。當然你也得看清楚,因為好多“木馬”,如“AOL Trojan木馬”,它把自身偽裝成 command.exe(真正的係統文件為command.com)文件,如果不注意可能不會發現它不是真正的係統啟動文件(特別是在Windows窗口下)。
在System.ini文件中,在[BOOT]下麵有個“shell=文件名”。正確的文件名應該是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe程序名”,那麽後麵跟著的那個程序就是“木馬”程序,就是說你已經中“木馬”了。注冊表中的情況最複雜,通過regedit命令打開注冊表編輯器,在點擊至:“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目錄下,查看鍵值中有沒有自己不熟悉的自動啟動文件,擴展名為EXE,這裏切記:有的“木馬”程序生成的文件很像係統自身文件,想通過偽裝蒙混過關,如“Acid Battery v1.0木馬”,它將注冊表“HKEY-LOCAL-MACHINESO FTWAREMicrosoftWindowsCurrentVersionRun”下的Explorer鍵值改為Explorer= “C:WINDOWSexpiorer.exe”,“木馬”程序與真正的Explorer之間隻有“i”與“l”的差別。當然在注冊表中還有很多地方都可以隱藏“木馬”程序,如:“HKEY-CURRENTUSERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun”的目錄下都有可能,最好的辦法就是在“HKEY-
LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木馬”程序的文件名,再在整個注冊表中搜索即可。
知道了“木馬”的工作原理,查殺“木馬”就變得很容易,如果發現有“木馬”存在,最有效的方法就是馬上將計算機與網絡斷開,防止黑客通過網絡對你進行攻擊。然後編輯win.ini文件,將[WINDOWS]下麵,“run=“木馬”程序”或“load=“木馬”程序”更改為“run=”和“load=”;編輯system.ini文件,將[BOOT]下麵的“shell=‘木馬’文件”,更改為:“shell=explorer.exe”;在注冊表中,用regedit對注冊表進行編輯,先在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木馬”程序的文件名,再在整個注冊表中搜索並替換掉“木馬”程序,有時候還需注意的是:有的“木馬”程序並不是直接 將“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下的“木馬”鍵值刪除就行了,因為有的“木馬”如:BladeRunner“木馬”,如果你刪除它,“木馬”會立即自動加上,你需要的是記下“木馬”的名字與目錄,然後退回到MS-DOS下,找到此“木馬”文件並刪除掉。重新啟動計算機,然後再到注冊表中將所有“木馬”文件的鍵值刪除。至此,我們就大功告成了。
發現病毒, 無法清除怎麽辦?
Q:發現病毒,但是無論在安全模式還是Windows下都無法清除怎麽辦?
A:由於某些目錄和文件的特殊性,無法直接清除(包括安全模式下殺毒等一些方式殺毒),而需要某些特殊手段清除的帶毒文件。以下所說的目錄均包含其下麵的子目錄。
1、帶毒文件在Temporary Internet Files目錄下。
由於這個目錄下的文件,Windows會對此有一定的保護作用(未經證實)。所以對這個目錄下的帶毒文件即使在安全模式下也不能進行清除,對於這種情況,請先關閉其他一些程序軟件,然後打開IE,選擇IE工具欄中的"工具""Internet選項",選擇"刪除文件"刪除即可,如果有提示"刪除所有脫機內容",也請選上一並刪除。
2、帶毒文件在_Restore目錄下,或者System Volume Information目錄下。
這是係統還原存放還原文件的目錄,隻有在裝了Windows Me/XP操作係統上才會有這個目錄,由於係統對這個目錄有保護作用。對於這種情況需要先取消"係統還原"功能,然後將帶毒文件刪除,甚至將整個目錄刪除也是可以的。 關閉係統還原方法。WindowsMe的話,禁用係統還原,DOS下刪除。XP關閉係統還原的方法:右鍵單擊“我的電腦”,選“屬性”--“係統還原”--在“在所有驅動器上關閉係統還原”前麵打勾--按“確定”退出。
3、帶毒文件在.rar、.zip、.cab等壓縮文件中。
現今能支持直接查殺壓縮文件中帶毒文件的反病毒軟件還很少,即使有也隻能支持常用的一些壓縮格式;所以,對於絕大多數的反病毒軟件來說,最多隻能檢查出壓縮文件中的帶毒文件,而不能直接清除。而且有些加密了的壓縮文件就更不可能直接清除了。
要清除壓縮文件中的病毒,建議解壓縮後清除,或者借助壓縮工具軟件的外掛殺毒程序的功能,對帶毒的壓縮文件進行殺毒。
4、病毒在引導區或者SUHDLOG.DAT或SUHDLOG.BAK文件中。
這種病毒一般是引導區病毒,報告的病毒名稱一般帶有boot、wyx等字樣。如果病毒隻是存在於移動存儲設備(如軟盤、閃存盤、移動硬盤)上,就可以借助本地硬盤上的反病毒軟件直接進行查殺;如果這種病毒是在硬盤上,則需要用幹淨的可引導盤啟動進行查殺。
對於這類病毒建議用幹淨軟盤啟動進行查殺,不過在查殺之前一定要備份原來的引導區,特別是原來裝有別的操作係統的情況,如日文Windows、Linux等。
如果沒有幹淨的可引導盤,則可使用下麵的方法進行應急殺毒:
(1) 在別的計算機上做一張幹淨的可引導盤,此引導盤可以在Windows 95/98/ME係統上通過"添加/刪除程序"進行製作,但要注意的是,製作軟盤的操作係統須和自己所使用的操作係統相同;
(2) 用這張軟盤引導啟動帶毒的計算機,然後運行以下命令:
A:>fdisk/mbr
A:>sys a: c:
如果帶毒的文件是在SUHDLOG.DAT或SUHDLOG.BAK文件中,那麽直接刪除即可。這是係統在安裝的時候對硬盤引導區做的一個備份文件,一般作用不大,病毒在其中已經不起作用了。
5、帶毒文件的後綴名是.vir、.kav、.kbk等。
這些文件一般是一些防毒軟件對原來帶毒的文件做的備份文件,一般情況下,如果確認這些文件已經無用了,那就將這些文件刪除即可。
6、帶毒文件在一些郵件文件中,如dbx、eml、box等。
有些防毒軟件可以直接檢查這些郵件文件中的文件是否帶毒,但往往不能對這些帶毒的文件直接的進行操作,對於一些郵箱中的帶毒的信件,可以根據防毒軟件提供的信息找到那帶毒的信件,刪除信件中的附件或者刪除該信件;如果是eml、nws一些信件文件帶毒,可以用相關的郵件軟件打開,確認該信件及其附件,然後刪除相關內容。一般有大量的eml、nws的帶毒文件的話,都是病毒自動生成的文件,建議都直接刪除。
7、文件中有病毒的殘留代碼。
這種情況比較多見的就是帶有CIH、Funlove、宏病毒(包括Word、Excel、Powerpoint和Wordpro等文檔中的宏病毒)和個別網頁病毒的殘留代碼,通常防毒軟件對這些帶有病毒殘留代碼的文件報告的病毒名稱後綴通常是int、app等結尾,而且並不常見,如W32/FunLove.app、W32.Funlove.int。一般情況下,這些殘留的代碼不會影響正常程序的運行,也不會傳染,如果需要徹底清除的話,要根據各個病毒的實際情況進行清除。
8、文件錯誤。
這種情況出現的並不多,通常是某些防毒軟件將原來帶毒的文件並沒有很幹淨地清除病毒,也沒有很好的修複文件,造成文件無法正常使用,同時造成別的防毒軟件的誤報。這些文件可以直接刪除。
9、加密的文件或目錄。
對於一些加密了的文件或目錄,請在解密後再進行病毒查殺。
10、共享目錄。
這裏包括兩種情況:本地共享目錄和網絡中遠程共享目錄(其中也包括映射盤)。遇到本地共享的目錄中的帶毒文件不能清除的情況,通常是局域網中別的用戶在讀寫這些文件,殺毒的時候表現為無法直接清除這些帶毒文件中的病毒,如果是有病毒在對這些目錄在寫病毒操作,表現為對共享目錄進行清除病毒操作後,還是不斷有文件被感染或者不斷生成病毒文件。以上這兩種情況,都建議取消共享,然後針對共享目錄進行徹底查殺,恢複共享的時候,注意不要開放太高的權限,並對共享目錄加設密碼。對遠程的共享目錄(包括映射盤)查殺病毒的時候,首先要保證本地計算機的操作係統是幹淨的,同時對共享目錄也有最高的讀寫權限。如果是遠程計算機感染病毒的話,建議還是直接在遠程計算機進行查殺病毒。特別的,如果在清除別的病毒的時侯都建議取消所有的本地共享,再進行殺毒操作。在平時的使用中,也應注意共享目錄的安全性,加設密碼,同時,非必要的情況下,不要直接讀取遠程共享目錄中的文件,建議拷貝到本地檢查過病毒後再進行操作。
11、光盤等一些存儲介質。
對於光盤上帶有的病毒,不要試圖直接清除,這是神仙也做不到的事情。同時,對另外一些存儲設備查殺病毒的,也需要注意其是否處於寫保護或者密碼保護狀態。
關於使用殺毒軟件保護係統安全的問題,目前存在著兩種極端:一種認為殺毒軟件的實時監控會占用大量係統資源,影響係統運行速度,所以幹脆不安裝任何殺毒軟件以換取係統性能;一種則是把計算機安全環境考慮得過於嚴峻,於是把殺毒軟件、防火牆、反木馬程序、隱私保護程序一股腦的安裝到係統中,惟恐係統保護得不夠嚴密。但草木皆兵不但耗費了大量的係統資源,多少還會影響使用電腦的心情。其實我們完全可以采用功能強大,係統資源占用少的防病毒軟件,再加以合理的設置,這樣既可以保證係統的安全,又能解決係統資源占用過多的矛盾。
選擇優秀的殺毒軟件
功能強大和占用資源少一直是殺毒軟件的一對矛盾,好像既要馬兒跑,又要馬兒不吃草的味道。不過目前的殺毒軟件都兼顧到了這兩點,如卡巴斯基和江民的KV係列殺毒軟件,對於係統內存的占用在大多數情況下隻有數百KB到數MB之間,這麽少的係統資源消耗對於目前的絕大多數電腦來說都開銷得起。
合理設置實時監控
現有的網絡病毒十分猖獗,對安全的威脅來自多方麵,這就需要殺毒軟件具備多項實時監控能力。以KV2006為例,它的實時監控就包括了文件監視、郵件監視、隱私保護、木馬/注冊表監視、網頁監視等七項(如圖1),如果把它們全部打開的話資源消耗自然小不了。一般來說,文件監視和網頁監視是必不可少的,而像郵件監視這樣的項目,如果很少收發郵件或隻使用Web方式收發郵件,完全可以關閉它。其它的監視項目可以根據自己的實際情況來取舍。
優化殺毒速度
現在的硬盤堪稱海量,存儲的數據量也十分龐大,殺毒軟件全麵掃描一次耗時很長(如卡巴斯基),讓人覺得等起來很累,這也是許多人不願意用殺毒軟件的原因。其實,隻要我們留意一下殺毒軟件的選項,就可以發現殺毒速度是可以提高的。
在KV2006的“江民殺毒軟件方案編輯器”中有一個“掃描目標”選項卡(如圖2),我們可以把“解壓檢查”取消,因為軟件檢查壓縮包的耗時非常長。即使壓縮包中有病毒,病毒也不會發作,當把病毒解壓出來的時候也會被實時監控檢測到,對係統安全不會構成威脅。基於同樣的道理,我們還可以在“文件過濾”選項中,增加一些掃描排除文件類型,如ISO鏡像文件,MPG、AVI等視頻文件,MP3等音頻文件,JPG等圖像文件,這些文件在電腦中為數不少,而帶毒的可能性卻比較小。經過這樣的設置,殺毒軟件的掃描速度會得到大幅的提高。
選擇合適的查毒時機
對任何殺毒軟件來說,殺毒都是一項費時費力的活兒,而很多殺毒軟件在安全上考慮得比較保守,默認設置大都是一天查一次病毒。對普通用戶來說,這確實有些多餘,一周查一次就足夠了。另外,像KV2006和金山毒霸等軟件,都具備屏保查毒功能(如圖3),我們不妨開啟這項功能,讓軟件在電腦空閑的時候自動查殺病毒,這樣可做到工作殺毒兩不誤。KV2006還有“智能提速”功能,開啟該功能後在第一次掃描病毒時會花較多時間,但以後就可以大幅提高掃描速度了,因為殺毒軟件會自動跳過一些它認為不會感染病毒的文件,速度自然就快了。
當然,殺毒軟件還有很多個性化的功能,限於篇幅它們的優化設置我們不可能一一涉及,不管怎樣,隻要我們遵循足夠合理的原則,秉持中庸之道,既不“過”,也避免“不及”,就可以讓殺毒軟件高效地工作,使電腦得到合理的保護。
(2)木馬萬能查殺法
“木馬”程序會想盡一切辦法隱藏自己,主要途徑有:在任務欄中隱藏自己,這是最基本的辦法。隻要把Form的Visible屬性設為False,ShowInTaskBar設為False,程序運行時就不會出現在任務欄中了。在任務管理器中隱形:將程序設為“係統服務”可以很輕鬆地偽裝自己。當然它也會悄無聲息地啟動,黑客當然不會指望用戶每次啟動後點擊“木馬”圖標來運行服務端,“木馬”會在每次用戶啟動時自動裝載。Windows係統啟動時自動加載應用程序的方法,“木馬”都會用上,如:啟動組、Win.ini、System.ini、注冊表等都是“木馬”藏身的好地方。
下麵具體談談“木馬”是怎樣自動加載的。在Win.ini文件中,在WINDOWS]下麵,“run=”和 “load=” 是可能加載“木馬”程序的途徑,必須仔細留心它們。一般情況下,它們的等號後麵應該什麽都沒有,如果發現後麵跟有路徑與文件名不是你熟悉的啟動文件,你的計算機就可能中“木馬”了。當然你也得看清楚,因為好多“木馬”,如“AOL Trojan木馬”,它把自身偽裝成 command.exe(真正的係統文件為command.com)文件,如果不注意可能不會發現它不是真正的係統啟動文件(特別是在Windows窗口下)。
在System.ini文件中,在[BOOT]下麵有個“shell=文件名”。正確的文件名應該是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe程序名”,那麽後麵跟著的那個程序就是“木馬”程序,就是說你已經中“木馬”了。注冊表中的情況最複雜,通過regedit命令打開注冊表編輯器,在點擊至:“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目錄下,查看鍵值中有沒有自己不熟悉的自動啟動文件,擴展名為EXE,這裏切記:有的“木馬”程序生成的文件很像係統自身文件,想通過偽裝蒙混過關,如“Acid Battery v1.0木馬”,它將注冊表“HKEY-LOCAL-MACHINESO FTWAREMicrosoftWindowsCurrentVersionRun”下的Explorer鍵值改為Explorer= “C:WINDOWSexpiorer.exe”,“木馬”程序與真正的Explorer之間隻有“i”與“l”的差別。當然在注冊表中還有很多地方都可以隱藏“木馬”程序,如:“HKEY-CURRENTUSERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun”的目錄下都有可能,最好的辦法就是在“HKEY-
LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木馬”程序的文件名,再在整個注冊表中搜索即可。
知道了“木馬”的工作原理,查殺“木馬”就變得很容易,如果發現有“木馬”存在,最有效的方法就是馬上將計算機與網絡斷開,防止黑客通過網絡對你進行攻擊。然後編輯win.ini文件,將[WINDOWS]下麵,“run=“木馬”程序”或“load=“木馬”程序”更改為“run=”和“load=”;編輯system.ini文件,將[BOOT]下麵的“shell=‘木馬’文件”,更改為:“shell=explorer.exe”;在注冊表中,用regedit對注冊表進行編輯,先在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木馬”程序的文件名,再在整個注冊表中搜索並替換掉“木馬”程序,有時候還需注意的是:有的“木馬”程序並不是直接 將“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下的“木馬”鍵值刪除就行了,因為有的“木馬”如:BladeRunner“木馬”,如果你刪除它,“木馬”會立即自動加上,你需要的是記下“木馬”的名字與目錄,然後退回到MS-DOS下,找到此“木馬”文件並刪除掉。重新啟動計算機,然後再到注冊表中將所有“木馬”文件的鍵值刪除。至此,我們就大功告成了。
發現病毒, 無法清除怎麽辦?
Q:發現病毒,但是無論在安全模式還是Windows下都無法清除怎麽辦?
A:由於某些目錄和文件的特殊性,無法直接清除(包括安全模式下殺毒等一些方式殺毒),而需要某些特殊手段清除的帶毒文件。以下所說的目錄均包含其下麵的子目錄。
1、帶毒文件在Temporary Internet Files目錄下。
由於這個目錄下的文件,Windows會對此有一定的保護作用(未經證實)。所以對這個目錄下的帶毒文件即使在安全模式下也不能進行清除,對於這種情況,請先關閉其他一些程序軟件,然後打開IE,選擇IE工具欄中的"工具""Internet選項",選擇"刪除文件"刪除即可,如果有提示"刪除所有脫機內容",也請選上一並刪除。
2、帶毒文件在_Restore目錄下,或者System Volume Information目錄下。
這是係統還原存放還原文件的目錄,隻有在裝了Windows Me/XP操作係統上才會有這個目錄,由於係統對這個目錄有保護作用。對於這種情況需要先取消"係統還原"功能,然後將帶毒文件刪除,甚至將整個目錄刪除也是可以的。 關閉係統還原方法。WindowsMe的話,禁用係統還原,DOS下刪除。XP關閉係統還原的方法:右鍵單擊“我的電腦”,選“屬性”--“係統還原”--在“在所有驅動器上關閉係統還原”前麵打勾--按“確定”退出。
3、帶毒文件在.rar、.zip、.cab等壓縮文件中。
現今能支持直接查殺壓縮文件中帶毒文件的反病毒軟件還很少,即使有也隻能支持常用的一些壓縮格式;所以,對於絕大多數的反病毒軟件來說,最多隻能檢查出壓縮文件中的帶毒文件,而不能直接清除。而且有些加密了的壓縮文件就更不可能直接清除了。
要清除壓縮文件中的病毒,建議解壓縮後清除,或者借助壓縮工具軟件的外掛殺毒程序的功能,對帶毒的壓縮文件進行殺毒。
4、病毒在引導區或者SUHDLOG.DAT或SUHDLOG.BAK文件中。
這種病毒一般是引導區病毒,報告的病毒名稱一般帶有boot、wyx等字樣。如果病毒隻是存在於移動存儲設備(如軟盤、閃存盤、移動硬盤)上,就可以借助本地硬盤上的反病毒軟件直接進行查殺;如果這種病毒是在硬盤上,則需要用幹淨的可引導盤啟動進行查殺。
對於這類病毒建議用幹淨軟盤啟動進行查殺,不過在查殺之前一定要備份原來的引導區,特別是原來裝有別的操作係統的情況,如日文Windows、Linux等。
如果沒有幹淨的可引導盤,則可使用下麵的方法進行應急殺毒:
(1) 在別的計算機上做一張幹淨的可引導盤,此引導盤可以在Windows 95/98/ME係統上通過"添加/刪除程序"進行製作,但要注意的是,製作軟盤的操作係統須和自己所使用的操作係統相同;
(2) 用這張軟盤引導啟動帶毒的計算機,然後運行以下命令:
A:>fdisk/mbr
A:>sys a: c:
如果帶毒的文件是在SUHDLOG.DAT或SUHDLOG.BAK文件中,那麽直接刪除即可。這是係統在安裝的時候對硬盤引導區做的一個備份文件,一般作用不大,病毒在其中已經不起作用了。
5、帶毒文件的後綴名是.vir、.kav、.kbk等。
這些文件一般是一些防毒軟件對原來帶毒的文件做的備份文件,一般情況下,如果確認這些文件已經無用了,那就將這些文件刪除即可。
6、帶毒文件在一些郵件文件中,如dbx、eml、box等。
有些防毒軟件可以直接檢查這些郵件文件中的文件是否帶毒,但往往不能對這些帶毒的文件直接的進行操作,對於一些郵箱中的帶毒的信件,可以根據防毒軟件提供的信息找到那帶毒的信件,刪除信件中的附件或者刪除該信件;如果是eml、nws一些信件文件帶毒,可以用相關的郵件軟件打開,確認該信件及其附件,然後刪除相關內容。一般有大量的eml、nws的帶毒文件的話,都是病毒自動生成的文件,建議都直接刪除。
7、文件中有病毒的殘留代碼。
這種情況比較多見的就是帶有CIH、Funlove、宏病毒(包括Word、Excel、Powerpoint和Wordpro等文檔中的宏病毒)和個別網頁病毒的殘留代碼,通常防毒軟件對這些帶有病毒殘留代碼的文件報告的病毒名稱後綴通常是int、app等結尾,而且並不常見,如W32/FunLove.app、W32.Funlove.int。一般情況下,這些殘留的代碼不會影響正常程序的運行,也不會傳染,如果需要徹底清除的話,要根據各個病毒的實際情況進行清除。
8、文件錯誤。
這種情況出現的並不多,通常是某些防毒軟件將原來帶毒的文件並沒有很幹淨地清除病毒,也沒有很好的修複文件,造成文件無法正常使用,同時造成別的防毒軟件的誤報。這些文件可以直接刪除。
9、加密的文件或目錄。
對於一些加密了的文件或目錄,請在解密後再進行病毒查殺。
10、共享目錄。
這裏包括兩種情況:本地共享目錄和網絡中遠程共享目錄(其中也包括映射盤)。遇到本地共享的目錄中的帶毒文件不能清除的情況,通常是局域網中別的用戶在讀寫這些文件,殺毒的時候表現為無法直接清除這些帶毒文件中的病毒,如果是有病毒在對這些目錄在寫病毒操作,表現為對共享目錄進行清除病毒操作後,還是不斷有文件被感染或者不斷生成病毒文件。以上這兩種情況,都建議取消共享,然後針對共享目錄進行徹底查殺,恢複共享的時候,注意不要開放太高的權限,並對共享目錄加設密碼。對遠程的共享目錄(包括映射盤)查殺病毒的時候,首先要保證本地計算機的操作係統是幹淨的,同時對共享目錄也有最高的讀寫權限。如果是遠程計算機感染病毒的話,建議還是直接在遠程計算機進行查殺病毒。特別的,如果在清除別的病毒的時侯都建議取消所有的本地共享,再進行殺毒操作。在平時的使用中,也應注意共享目錄的安全性,加設密碼,同時,非必要的情況下,不要直接讀取遠程共享目錄中的文件,建議拷貝到本地檢查過病毒後再進行操作。
11、光盤等一些存儲介質。
對於光盤上帶有的病毒,不要試圖直接清除,這是神仙也做不到的事情。同時,對另外一些存儲設備查殺病毒的,也需要注意其是否處於寫保護或者密碼保護狀態。
