很多不幸中招的朋友一般会到百度知道、新浪爱问及其它一些反病毒及安全论坛寻求帮助,一般张口就问:
1. xxxx文件怎么删不掉?
2. xxx.xxx.xxx是什么病毒,怎么清除?
3. 某某病毒怎么杀了重启还有?
4. 双击盘怎么打不开?
5. auto病毒怎么杀?
6. 我机器的时间被改了,怎么办?
7. 杀毒软件不能启动了(或者杀毒软件不能安装)
8. 我的安全模式进不去了
... ...
这些问题在在专业人士眼里看来有点可笑,透露着忙乱、慌张和不知所措,其实反映的是网友普遍缺乏解决病毒问题的一般思路。而且,泛泛描述的问题现象根本不利于问题的解决,收到的也只能是泛泛的回答。本文就来谈谈这个问题,希望对中招的朋友们有些帮助。
一、基本的准备工作和求助以前应该做的事情
很多网友发现有病毒一般是通过电脑的异常现象:系统或应用软件变慢、密码丢失等。寻求帮助前,首先应该想到要做的就是杀毒软件,您装杀毒软件了吗?杀毒软件升级到最新版本了吗?是否全盘扫描过?有没有到安全模式下扫描?
其实,也只有做了这些,也才可以去寻求帮助,因为答案的第一步,也往往就是要求您做这些。
误区1:没有装杀毒软件,还在裸奔的朋友,在现在的互联网环境下,中招是必然的。希望去好好认识一下病毒传播的方式有多么快捷隐蔽,危害性有多大,然后您就不会那么自信了。
误区2:装了杀毒软件了,但是长时间没升级,或者根本就不知道要升级。对这个我要说,您的杀毒软件如果一个月没有升级,基本就是一个摆设,根本无法跟上病毒变种或新品种出现的速度,会中招也是预料中的事。朋友们在选择杀毒软件时经常很慎重,比较来比较去,哪个是最好的,世界排名如何,国内排名如何,有多少病毒库等等,其实,一个不升级的一流品牌,还比不上最新的任何一款三流品牌。这是没办法的事,目前以特征码扫描为基础的病毒查杀技术总是落在病毒的后面,期待更先进好用的主动防御软件。
误区3:什么?不知道安全模式?
辨析:很大一部分网友面临的困扰就是发现有病毒,但是杀不干净。对这种情况,要做的第一件事就是用升级到最新版的杀毒软件到安全模式下进行全盘扫描杀毒。为什么?现代的病毒在后台都有系统服务和驱动一级保护,安全模式下系统只加载基本的服务和驱动,这样失去了驱动和服务保护的病毒才能彻底被杀毒软件清干净。其实这时比的就是杀毒软件和病毒谁先进入内存,谁先进入内存,谁就有优先的发言权,很多杀软有开机扫描功能,好好利用该功能,是彻底剿灭顽固病毒的利器之一。
基本知识:重新启动,开机后在windows加载前按F8,就会出来一个选项列表,可选的有安全模式、命令行安全模式、带网络功能的安全模式等,一般选安全模式就可以了。
高级知识:有些病毒会破坏安全模式,使得不能进入。这种就是中了比较难缠的病毒了,可以去针对性地去找一些专杀,或者使用一些手工工具比如SREng修复安全模式。
二、关于重装系统的解决办法
首先要说明,重装系统是能够解决病毒问题的。从原理上将,只要将系统盘重新装过,这时您的系统注册表、系统盘分区表都是全新的,病毒缺少了自动进入电脑内存的途径。至少重装完的那时系统是干净的。即时系统其它盘没有重装,带毒文件还存在,那也是死的,比较容易杀掉。那么,为什么很多朋友重装了系统,发现原来的病毒还在呢?可能有下面的原因:
1. 那个著名的autorun.inf的存在。autorun.inf本来是被用来在光盘或移动盘上自动播放运行软件安装程序的,现在被病毒利用来自动感染您的系统。该文件被放在磁盘的根目录下,双击盘符或者右键菜单中执行某命令时,会按照autorun.inf的设置去运行它指向的病毒程序(常常是个病毒安装程序,在你的系统中装上病毒的服务或驱动并启动进入内存,修改注册表以便下次启动运行)。如果重装完后又不小心双击了某个有autorun.inf的盘符,那么,瞬间又感染上了。而很多对电脑操作不是很熟悉的朋友,也就知道双击打开文件夹一种办法,那么病毒就“野火烧不尽,春风吹又生”,生生不息了。
2. 重装后运行点击了某个带毒的应用软件,或者该软件本身就是启动运行的。很多朋友重装采用一键还原的办法,这种办法是比较方便,原来的软件都不用重装可以继续使用。但是,如果您配置的是那个软件启动自动运行,而该软件已经被病毒感染了(不在系统盘,没有被重装覆盖),那么它启动时也就帮助病毒重生了。所以,解决病毒问题是不推荐一键还原的。
3. 病毒渗透进了你硬盘上的还原备份,或者你重装的安装盘本身带毒。
4. 安装过程中使用过U盘的,而U盘带毒,还是那个autorun.inf捣的鬼。
那么,重装系统正确的解决步骤是什么呢?
首先,强烈建议使用干净的Windows安装光盘,并用光盘启动,重装系统。如果电脑上没有什么重要数据,建议重新分区,将所有分区格式化。这是解决问题最干脆利落的办法,浴火重生!
如果有重要数据,用移动硬盘备份出来,再这样重装最好。不过完了后要记得对移动硬盘杀毒,而且注意双击运行那个autorun的问题。
如果又没有备份的移动硬盘或U盘,只能重装系统盘,需要的注意事项如下:
1、首先,还是要用干净安装盘启动,要是你的安装盘都有毒那就没办法了。
2、安装过程中将C盘格了,装完后不要双击打开任何盘,也不要先运行任何程序。
3、到朋友机器上制作一份最新杀毒软件的硬盘安装版,用干净的U盘拷过来。注意要确实保证U盘上没毒。
4、重新启动,到安全模式,插入U盘,还是不要双击任何盘。最好用下述方法运行杀毒软件安装程序:开始/运行/Cmd.exe,到DOS方式,[U盘盘符]:\[杀毒安装程序].exe
5、安装完毕后,进行全面扫描
注:如果一时找不到杀毒软件,在第2步后,点“开始/运行/CMD.exe”,到DOS方式,执行下面的命令:
attrib -s -h d:\autorun.inf
del d:\autorun.inf
... (对C盘外的每个盘执行一下上述两个命令)
另外,重装一定要在断网的情况下进行,重装完尽快安装杀毒软件,对U盘或移动硬盘杀毒(也可先用上面的方法删除可能存在的autorun.inf)。并打齐系统补丁。
注:关于autorun的更详细信息,请参阅资料:http://hi.baidu.com/sanluxia/blog/item/d8798d544a49e25ad1090600.html
三、关于现象诊断与问题描述
误区4:朋友经常会问——xxx文件是什么病毒?
辨析:这种问法没有任何意义。病毒生成的文件名一般都是随机的,如果仅从病毒名就可以知道是什么病毒,那还要杀毒软件公司干什么?网上开个公告栏,将病毒的文件名都列上去就好了。一般发现某文件是病毒,一定是杀毒软件告诉您的,杀毒软件报的那个病毒名更有意义。当然,您也可以将感染的文件作为一个附加的信息列出来。
误区5:xxx.xxx.xxx(杀软报的病毒名)是什么病毒?
辨析:没有意义,您的目的是想解决这个病毒,不是知道该病毒的细节内容。如果非要知道,到那个杀软网站的病毒资料库查就是了。遇到这样的问题,我的回答也只能是升级您的杀毒软件,到安全模式下杀毒。所以正确的是列出什么杀软(最好包含版本号),报的什么病毒,哪些文件感染了,自己做了什么步骤还没杀掉。
误区6:关于auto病毒
辨析:网友们说的auto病毒就是指那个autorun.inf,前面提到了一些。其实autorun.inf本身只是一个文本文件,举个autorun.inf的例子:
[AutoRun]
open=cbkhqby.exe
shell\open=打开(&O)
shell\open\Command=cbkhqby.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=cbkhqby.exe
该文件如果被放到磁盘的根目录下,双击盘符时,就会运行cbkhqby.exe(是一个病毒可执行程序),这是第2行指定的;第4行指定了点盘符右键菜单的“打开”时运行cbkhqby.exe;第7行指定点右键菜单的“资源管理器”项时运行cbkhqby.exe。
需要指出的是,autorun.inf只是一个表象,它背后指定的那个可执行文件才是真正的东西,而该可执行文件释放出的东西才是病毒的实际存活形态。关于auto病毒的说法实际上是一个错误的概念,没有一个特定的所谓auto病毒,能够生成autorun.inf的病毒很多,不甚枚举,也没有针对auto病毒的特定专杀工具。网上所谓的U盘杀毒工具也是一个误区,它一般能够对U盘的autorun.inf文件进行处理,但是,如果机器本身就染了病毒,或者对产生autorun.inf的新的病毒种类,它是无能为力的。那么,我们可以依靠的是什么呢?对广大普通的电脑用户来说,最值得依靠的还是最新版的杀毒软件!
这里要提到衍生的另一个误区,“头痛医头,脚痛医脚”,U盘有病毒杀U盘,移动硬盘有了病毒杀移动硬盘。电脑系统是一个整体,如果电脑本身中了毒,光杀U盘或移动硬盘是杀不干净的。
误区7:对病毒杀不干净的认识
辨析:当某个病毒杀不干净时,网上最流行的回答就是,某某杀毒软件不行,建议你换这个换那个。其实这是当前最大的误区。杀毒软件是有好坏的区别,但是最重要的能力还是它的防范能力。一个病毒,只要你的杀毒软件能报出病毒名,那么说明它具有杀出该病毒的能力,关键是要方法得当。因此,在没有做出足够的尝试前,对某款杀毒软件下出否定判断是不公平的,对问题的解决也没有什么好处,因为在相同的条件下,一款杀毒软件不行,往往是另一款也不行。为什么一个病毒不能彻底查杀?可能的原因如下——
1. 该病毒有服务和驱动保护,不停掉它的保护服务及驱动,杀完它又会再生,或者根本就在系统底层阻止对它所保护的文件及注册表项的修改删除。
2. 多个病毒或木马的互相作用。比如杀毒软件报的某个脚本病毒(Trojan.DL.JS或Trojan-Downloader.JS之类),提示重启删除,结果发现重启还有,可能就是还有其它的木马上网重新下来的。
3. 杀毒软件没有更新到最新版,它虽然报毒了,但实际上是一个新的变种,老的版本当然无法将它完全清除了。
4. 重复感染。你的网络邻居、访问的网页、使用的U盘、下载的软件、你没有彻底查杀的压缩包中的病毒都是杀完后重新感染的来源。
5. 系统垃圾箱或还原区等受操作系统保护的区域藏身的病毒。
所以,对杀不干净的顽固病毒,最基本的自救行为还是:升级杀毒软件,配置开机扫描或到安全模式扫描,辅助的措施还有清空浏览器临时文件,禁用系统还原,设置杀毒软件的扫描选项等。如果做到这些,还是不能完全清除,再去寻求帮助。
四、寻求帮助的方法
中了招,网友们到网上寻求解决办法,是很自然的事,网上也有很多热心的朋友帮助解决问题。问题是,我们应该采取什么态度才能得到更快更好的解决呢?
1. 自己做出足够的努力。包括自己先试图解决问题的努力,提问时详细描述问题的努力。对自己所做步骤和现象的详细描述有助于帮助者尽快明了问题的原因所在,以便于给出更明确的回答。这是对无偿帮助者劳动的最大尊重。
2. 注意提问表达的方式。什么“跪求”、“大侠帮帮我啦”之类只能让人反感,谁也不是冲着这个来帮你的。简单粗糙的提问,甚至错别字都不改,只能说明你对问题漫不经心,你自己都不重视,谁帮你?
3. 关于对问题的准确描述,无论你说得多清楚,也不比一个相关软件的扫描报告。建议经过自己努力还是不能解决问题的朋友,用SREng到安全模式下扫描一份报告,并将该报告发布到网上寻求帮助,这能提供对你电脑问题的较准确描述。SREng下载地址:http://www.kztechs.com/sreng/download.html
五、解决了问题的善后
当你通过艰苦的努力,或重装系统,或在网友的指导下杀毒,终于把系统弄干净了,那么是不是就万事大吉了呢?不是,所谓“防范于未然”,怎么尽量减少下次中招的机会呢?至少还有下面的工作要做——
1. 打齐系统补丁。所谓系统补丁(主要是指微软的),就是微软针对操作系统和IE等应用软件漏洞提供的修补程序。
误区8:漏洞不补无所谓
辨析:所谓漏洞就是软件设计上的缺陷,由于大家普遍使用windows系统,所以漏洞经常专指windows操作系统和IE浏览器等的设计缺陷。 设计缺陷的软件可以使得未经用户授权的恶意代码在你的机器上运行,而且经常是在用户不知情的情况下。 比如,最近暴露的著名的微软动态光标漏洞,又称ANI漏洞(MS07-17),当用户访问有恶意代码的网页时,网页设计的动态光标是经过精心设计的包含病毒代码的光标图片,本来该图片只是一个静态的数据,但是由于漏洞的存在,IE下载该图片时形成了一个溢出(内存的覆盖),导致图片中的恶意代码在本机以当前用户的权限执行。该恶意代码就可以为所欲为,包括远程下载木马,修改你的系统注册表,安装服务、驱动,感染破坏或删除文件。于是,你的系统就感染上病毒了。这一切都是在你毫不知情下自动执行的。 目前通过恶意网页利用系统漏洞传播是病毒的主要传播方式,危害很大。 因此,作为普通用户,为了保护自己的系统,必须打好系统补丁。
2.保持杀毒软件的最新状态(这就要求用正版的杀软,以获得及时可靠的升级权限),保证杀毒软件监控的一直开启。这实际上是普通用户为保证自己电脑安全要做的有限但最重要的工作之一。
3. 总结上次中毒的教训,“吃一堑,长一智”;熟悉自己杀软的使用,帮助文件至少看一遍吧;学习一些必要的安全知识。
This document is written by Sanluxia, all Copyrights reserved. You may copy it to other place, but you must reserved this copyright information.
