如何手动清除常见的小病毒
在本文中涉及的软件
1、Process Explorer
一个进程管理器,比系统中的任务管理器强点。
2、Autoruns
自启动项管理器,可以查看系统中地自启动项目,扫描很全面。
病毒确实是一个令人头痛的问题,特别对于那些对系统不是太熟悉的人。本文针对这一部分人,尝试着教会他们如何应对。如果您是大虾,请莫笑话,如果您有兴致,欢迎阅读并指正不当之处。
一、保持敏感的“嗅觉”
所谓嗅觉敏感,就是中招了要自己感觉得到,并且从中招到你发现的时间间隔不至于太长。要是过了两三个月你才发现,那么这个发现我认为是毫无成就感可言的。
最可靠的方法是从进程出发开始查找。这也将有助于您认识并熟悉系统进程。下图是我没有开启其他任何程序时进程:
我不敢保证这些已经少到不可再少了。不过对于一般人来说,我想已经足够少了。图中的这些进程您应该慢慢的熟悉它。当然不是说熟悉到给你一个名字就说出它的用途的地步,至少,当您下一次看到它的时候,您知道这些是系统进程,这样就够了。
除了这些,您还应该熟悉您机子上正在运行的其他软件(如驱动程序、杀毒软件)的进程名。
我们再来看一张图:
除了给出说明的那些进程,我们可以看到还有一个 virus_sample.exe。在这里,这个当然是我故意运行起来的,我想用于表示您的系统中一些其他进程。您如果不认识这个进程,您就大可以关闭它,虽然我们无法武断地说它是病毒。
关闭它很简单,只要选中它并按“结束进程”即可。
有时候您可能关闭不了,会提示“这是系统关键进程”,那么如果您确定您不认识它,它就很有可能是病毒,并且是个比较善于伪装的病毒。这时候您可以用一开始提到的 Process Explorer 来结束这个进程,不管是不是系统关键进程,一般是可以结束得了的。
也有时候您结束了它,它也确实消失了,可是没过几秒钟它又出来了。这时您也可以比较有把握的断定是病毒了。您可以先看看有没有别的不认识的进程,尝试先结束别的进程然后来对付它。
刚才说的是从进程来判断是否中招。
有时候您也可以从别的一些方面感觉出来,比如开机自启动项很多,奇慢无比,等等。
二、中招后的解决办法
首先不必慌张,病毒其实没什么的,不过是千方百计地想留在我们的系统中而已。至于它的最终目的是什么,这个。。。。。可以不用管它。只要不是感染型病毒,一般不大会对我们造成实质性的伤害。
一般来说,稍微有点生存能力的病毒是不会很容易被结束进程的,像上文提到的,它可能会重新冒出来。并且自启动项也不会被轻易删除的——它会监视它的自启动项。所以如果您不是很有信心的话,您可以转战安全模式。
我们可以从自启动项入手。进入安全模式后,打开 Autoruns。如果是第一次运行的话,先按 ESC 取消扫描,然后把 Option 菜单下的三个都勾上,如图:
这样不至于把太多正常的系统进程都扫描出来。
然后按 F5 刷新,等待扫描结果(等到状态栏出现 Ready)。好了,如图:
对于这些结果,您也应该知道哪些是正常的,比如您的驱动程序。在排除这些正常的之后,再逐项处理那些不认识的。
比如上图中,我么找到一个 virus_sample,在右边有它的路径。在安全模式下一般他不会处于运行中,可以删除的。如果它在运行中,您需要先结束它(方法如前文所述)。在这个例子中,我们发现它在 C:/ 下,于是到 C:/ 下删除这个文件,然后再在 Autoruns 里右击这个项目,并选择“Delete”。这样,我们就清楚了一项。
接着,您可以如此一项一项的处理。
在删除文件的过程中,您可能遇到些问题,比如文件找不到。您可能没有显示出所有的隐藏文件。
打开文件夹选项:
除了“显示所有的文件和文件夹”之外,还要去掉“隐藏受保护的操作系统文件”前面的勾勾。
然后要看仔细,不要漏过,建议按类型排列文件。如果在 System32 下,文件很多,您可以这么做:随便选择一个文件,连续地按下文件名的前几个字母,这时候一般会看到您要找的文件了。
三、误操作之后的挽救
有时候您可能会出现误操作,比如误删正常的自启动项。如果严格按上文来做的话,一般不会(但我不敢确保),因为已经隐藏了系统的项目。如果仅仅是自启动项目被误删的话,重启的时候按 F8,选择“最后一次正确的配置”(恢复上次正常启动时的注册表数据),一般会没事了的。
如果误删文件的话,可能没什么好办法了。虽然有文件恢复软件,可是 C 盘经常被读写,不一定恢复得了。在这里提醒大家按下 Shift+Delete 之前一定要谨慎,可以看看文件的公司、创建时间等等。
四、最彻底的办法
一般不是很顽固的病毒都能通过以上方法清除,但是不一帆风顺的时候也是有的。如果您确实没有信心了,那么,重装系统吧,这将会是最好的选择。方法参见:dispbbs.asp?boardID=226&ID=970595
五、其他说明
特别指出,本文不适用于感染型病毒(如维金)。因为它会感染其它文件,在处理的同时要确保被感染的其他文件没有被运行。而做到这一点往往是比较困难的。
好了,就写到这里吧,见笑了
2006-11-23
(原发表于浙江大学 CC98 论坛软件使用版块)
(原发表于 CSDN:https://blog.csdn.net/cnStreamlet/article/details/1648221)