本站原创
【摘 要】手工清除病毒是杀毒软件的补充措施,掌握了手工清除病毒的一些技能和方法,在电脑的维护使用中可获得良好的效果。及时发现电脑是否染上了新的未知的病毒,对电脑的维护工作起着非常重要的作用,及时清除病毒可使我们的电脑正常运行,减少损失。
【关键词】病毒;杀毒软件;进程;文件;注册表
自从上世纪80年代以来,计算机病毒就伴随着计算机产业的发展而发展,特别进入了网络时代以后,它就象恶魔一样的侵蚀着我们的电脑,让我们饱受着它的侵蚀之苦,给我们的社会经济以及工作学习娱乐造成了具大的损失。那么如何防范和清除病毒是我们需要具备的一些知识和技能,除了安装正常的杀毒软件外,还应掌握手工发现并清除病毒的能力,这样才能让我们享受计算机及网络给我们的工作和生活带来的便利。下面就来叙述一下如何进行手工清除病毒的一些方法。
经进程发现病毒,就必需搞清两个问题:1、为什幺杀毒软件并不能全面的查找和杀掉病毒?病毒防火墙是通过对程序进行反汇编,然后与自己的病毒库进行对比来查找病毒,如果病毒较新,而杀毒软件又未能及时升级便不能识别病毒。其次,杀毒软件在发现病毒后,如果是独立的可执行病毒程序,会选择直接删除的处理方式,而病毒如果被当作进程执行了,杀毒软件就无能为力了,因为它没有功能和权限先停止掉系统的这些进程,被当作进程执行的程序是不能被删除的(这也是大家在删除一个程序时,提示该程序正在被使用不能删除的原因)。所以在使用杀毒软件杀毒时,才会有杀毒完成后,又出现病毒提示的原因。
①svchost.exe进程
常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着windows系统怎么写作不断增多,为了节省系统资源,微软把很多怎么写作做成共享方式,交由svchost.exe进程来启动。在windowsxp中,则一般有4个左右svchost.exe怎么写作进程。如果svchost.exe进程的数量多于5个,就要小心了,很可能是病毒检测冒的,检测方法也很简单,使用一些进程管理工具,例如windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“c:\windows\system32”目录外,那么就可以判定是病毒了。
②explorer.exe
③iexplore.exe
常被病毒冒充的进程名iexplorer.exe.iexploer.exe.其实iexplorer.exe是microsoft internet explorer所产生的进程,也就是我们平时使用的ie浏览器。iexplore.exe进程对应的可执行程序位于c:\programfiles\internetexplorer目录中,存在于其他目录则为病毒。此外,有时我们会发现没有打开ie浏览器的情况下,系统中仍然存在iexplore.exe进程,这要分两种情况:1.病毒检测冒iexplore.exe进程名。
常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统怎么写作“print spooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此怎么写作被停用, spoolsv.exe进程就会从计算机上消失。停止并关闭怎么写作后,如果系统中还存在spoolsv.exe进程,这就一定是病毒伪装的了。
通过以上的描述,我们平时在检查进程的时候如果发现有可疑,只要根据两点来判断:1.仔细检查进程的文件名;2.检查其路径。通过这两点,一般的病毒进程就会暴露无疑了。在这里我们最好使用一个专业的进程管理工具,例如procexp。procexp可以区分系统进程和一般进程,并且以不同的颜色进行区分,让检测冒系统进程的病毒进程无处可藏。这样就大大简化了我们查找病毒的难度了。
三、杀毒
首先对病毒进程以Suspend(挂起)操作而非简单的Kill(杀死)是非常必要的,因为挂起后它将不能执行任何计算机指令,对于您的机算机暂时是完全安全的。ProcessExplorer提供批处理的供能,我们就可把疑是病毒的进程全给他Suspend,然后有条不紊的打开进程属性,对这些病毒进程进行彻底解剖。先看看它调用了那些DLL,这里就很有可能存在它的同伙。有时可能很难辨认到底哪些DLL是系统的,哪些是病毒,这里提供两个方法:第一种方法,查看DLL的属性,着重查看版本信息。如果是系统DLL,公司一定会是Microsoft,并且会有详细的版本信息。第二种方法,上Google搜索DLL的文件名,如果那是系统DLL一定可以搜到,并且你可以得到关于这个DLL的详细信息。如果搜不到的话,它很有可能是问题DLL,尤其是在Windows目录下或System32目录下的DLL,那十有都是病毒!如果确认了DLL,您可能需要将这些DLL和EXE的文件名在ProcessExplorer的FindHandel功能里搜索一下,看看还有没有正藏在其它系统进程后。通过以上二步将病毒进程及其同伙的所有信息都掌握,并记录下来后,此时就可以来个批处理,把进程中的病毒统统杀死。这时电脑的内存中就暂时是无毒的了。
其次,我们先得从病毒进程所在的目录入手,这时病毒进程存放地有两种可能①像正常的软件一样有自己独立的目录,那么这个病毒比较弱。检查目录的创建时间就可以知道您是什么时候染的毒,并可能发现毒从何来。②存在于系统目录,这种病毒的破坏性一般不是很大,直接查看它的属性就可以了解到一切必要的信息。如果它存在于计算机上的每个目录,那这时候Windows自带的文件搜索功能进行搜索,再打开文件搜索的高级功能,填入EXE文件类型并把文件的大小输入,然后按下回车键,接着藏在硬盘每个角落的病毒就会被暴露无疑。利用创建时建排序,就可以发现第一个攻击机器的病毒了。把找到的与任何与病毒相关的EXE、DLL、数据全部删除。这样电脑磁盘中病毒文件就基本删除掉了。
第三、在注册表中完成对病毒的最后清理:硬盘上的病毒虽然已被删除,但远远还没有结束,还要进入注册表进行彻底删除。当确保进程是安全的,那我们就可以直接进入注册表了,先检查系统起动时自动运行的注册项,看有没有可疑的程序。当你在这里发现病毒时先不要急于删除键值,应该将它记录下来,看看它对应的程序是否已被你备案。然后将病毒程序可能的名字都复制下来,逐个在注册表中搜索,把找到的所有的匹配项全部删掉(建议在删除前导出键值以做备份)。在注册表的查杀和扫描工作结束后,。再次检查进程列表确保无误后,就可以重启计算机了。
参考文献:
史美林《计算机操作系统》,清华大学出版社,2005年
马宜兴《网络安全与病毒防范》,上海交通大学,2012年
[3] 杜晔《网络攻防技术》,武汉大学出版社, 2011年
【关键词】病毒;杀毒软件;进程;文件;注册表
自从上世纪80年代以来,计算机病毒就伴随着计算机产业的发展而发展,特别进入了网络时代以后,它就象恶魔一样的侵蚀着我们的电脑,让我们饱受着它的侵蚀之苦,给我们的社会经济以及工作学习娱乐造成了具大的损失。那么如何防范和清除病毒是我们需要具备的一些知识和技能,除了安装正常的杀毒软件外,还应掌握手工发现并清除病毒的能力,这样才能让我们享受计算机及网络给我们的工作和生活带来的便利。下面就来叙述一下如何进行手工清除病毒的一些方法。
一、了解进程
什么是进程?是指一个具有独立功能的程序对某个数据集在处理机上的执行过程(动态)和分配资源的基本单位。通俗的说:它就是我们电脑中操作系统当前运行的执行程序。在系统当前运行的执行程序里包括:系统管理计算机个体和完成各种操作所必需的程序;用户开启、执行的额外程序,当然也包括用户不知道,而自动运行的非法程序(它们就有可能是病毒程序),那幺及时查看并准确杀掉非法进程对于“手工杀毒有起着关键性的作用。经进程发现病毒,就必需搞清两个问题:1、为什幺杀毒软件并不能全面的查找和杀掉病毒?病毒防火墙是通过对程序进行反汇编,然后与自己的病毒库进行对比来查找病毒,如果病毒较新,而杀毒软件又未能及时升级便不能识别病毒。其次,杀毒软件在发现病毒后,如果是独立的可执行病毒程序,会选择直接删除的处理方式,而病毒如果被当作进程执行了,杀毒软件就无能为力了,因为它没有功能和权限先停止掉系统的这些进程,被当作进程执行的程序是不能被删除的(这也是大家在删除一个程序时,提示该程序正在被使用不能删除的原因)。所以在使用杀毒软件杀毒时,才会有杀毒完成后,又出现病毒提示的原因。
2、必需搞清系统中正常的程序进程系列,才能识别病毒进程从而对其进行清杀。
二、识别进程中的病毒进程。
任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,就要靠我们准确的识别它们把病毒从中挖出来 ,下面就介绍病毒在进程中的表现形式。1.替换形式
系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。仔细对比一下,发现了什么?系统中正常进程名的o改为0,l改为i,i改为j,或者多一个字母或少一个字母,然后成为自己的进程名,仅仅一字之差,意义却完全不同。另一种就是和正常进程名一样,但是病毒进程运行的目录和正常进程运行的目录不一样。如正常的进程svchost.exe运行在“c:\windows\system32”目录下,而非法的svchost.exe进程运行在“c:\windows\”目录下2、嵌入形式
病毒采用了进程嵌入技术,将病毒运行所需的dll文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,这时我们就需借助专业的进程检测工具进行检测了。下面我们来分析几种常见的,容易被病毒所改的进程。①svchost.exe进程
常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着windows系统怎么写作不断增多,为了节省系统资源,微软把很多怎么写作做成共享方式,交由svchost.exe进程来启动。在windowsxp中,则一般有4个左右svchost.exe怎么写作进程。如果svchost.exe进程的数量多于5个,就要小心了,很可能是病毒检测冒的,检测方法也很简单,使用一些进程管理工具,例如windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“c:\windows\system32”目录外,那么就可以判定是病毒了。
②explorer.exe
源于:毕业生论文网www.udooo.com
常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。explorer.exe进程的作用就是让我们管理计算机中的资源。explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“c:\windows”目录,除此之外则为病毒。③iexplore.exe
常被病毒冒充的进程名iexplorer.exe.iexploer.exe.其实iexplorer.exe是microsoft internet explorer所产生的进程,也就是我们平时使用的ie浏览器。iexplore.exe进程对应的可执行程序位于c:\programfiles\internetexplorer目录中,存在于其他目录则为病毒。此外,有时我们会发现没有打开ie浏览器的情况下,系统中仍然存在iexplore.exe进程,这要分两种情况:1.病毒检测冒iexplore.exe进程名。
2.病毒偷偷在后台通过iexplore.exe干坏事。
④rundll32.exe
常被病毒冒充的进程名有:rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行dll文件中的内部函数,系统中存在多少个rundll32.exe进程,就表示rundll32.exe启动了多少个的dll文件rundll32.exe的路径为“c:\windows\system32”,在别的目录则可以判定是病毒。研究生论文www.udooo.com
⑤spoolsv.exe常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统怎么写作“print spooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此怎么写作被停用, spoolsv.exe进程就会从计算机上消失。停止并关闭怎么写作后,如果系统中还存在spoolsv.exe进程,这就一定是病毒伪装的了。
通过以上的描述,我们平时在检查进程的时候如果发现有可疑,只要根据两点来判断:1.仔细检查进程的文件名;2.检查其路径。通过这两点,一般的病毒进程就会暴露无疑了。在这里我们最好使用一个专业的进程管理工具,例如procexp。procexp可以区分系统进程和一般进程,并且以不同的颜色进行区分,让检测冒系统进程的病毒进程无处可藏。这样就大大简化了我们查找病毒的难度了。
三、杀毒
首先对病毒进程以Suspend(挂起)操作而非简单的Kill(杀死)是非常必要的,因为挂起后它将不能执行任何计算机指令,对于您的机算机暂时是完全安全的。ProcessExplorer提供批处理的供能,我们就可把疑是病毒的进程全给他Suspend,然后有条不紊的打开进程属性,对这些病毒进程进行彻底解剖。先看看它调用了那些DLL,这里就很有可能存在它的同伙。有时可能很难辨认到底哪些DLL是系统的,哪些是病毒,这里提供两个方法:第一种方法,查看DLL的属性,着重查看版本信息。如果是系统DLL,公司一定会是Microsoft,并且会有详细的版本信息。第二种方法,上Google搜索DLL的文件名,如果那是系统DLL一定可以搜到,并且你可以得到关于这个DLL的详细信息。如果搜不到的话,它很有可能是问题DLL,尤其是在Windows目录下或System32目录下的DLL,那十有都是病毒!如果确认了DLL,您可能需要将这些DLL和EXE的文件名在ProcessExplorer的FindHandel功能里搜索一下,看看还有没有正藏在其它系统进程后。通过以上二步将病毒进程及其同伙的所有信息都掌握,并记录下来后,此时就可以来个批处理,把进程中的病毒统统杀死。这时电脑的内存中就暂时是无毒的了。
其次,我们先得从病毒进程所在的目录入手,这时病毒进程存放地有两种可能①像正常的软件一样有自己独立的目录,那么这个病毒比较弱。检查目录的创建时间就可以知道您是什么时候染的毒,并可能发现毒从何来。②存在于系统目录,这种病毒的破坏性一般不是很大,直接查看它的属性就可以了解到一切必要的信息。如果它存在于计算机上的每个目录,那这时候Windows自带的文件搜索功能进行搜索,再打开文件搜索的高级功能,填入EXE文件类型并把文件的大小输入,然后按下回车键,接着藏在硬盘每个角落的病毒就会被暴露无疑。利用创建时建排序,就可以发现第一个攻击机器的病毒了。把找到的与任何与病毒相关的EXE、DLL、数据全部删除。这样电脑磁盘中病毒文件就基本删除掉了。
第三、在注册表中完成对病毒的最后清理:硬盘上的病毒虽然已被删除,但远远还没有结束,还要进入注册表进行彻底删除。当确保进程是安全的,那我们就可以直接进入注册表了,先检查系统起动时自动运行的注册项,看有没有可疑的程序。当你在这里发现病毒时先不要急于删除键值,应该将它记录下来,看看它对应的程序是否已被你备案。然后将病毒程序可能的名字都复制下来,逐个在注册表中搜索,把找到的所有的匹配项全部删掉(建议在删除前导出键值以做备份)。在注册表的查杀和扫描工作结束后,。再次检查进程列表确保无误后,就可以重启计算机了。
参考文献:
史美林《计算机操作系统》,清华大学出版社,2005年
马宜兴《网络安全与病毒防范》,上海交通大学,2012年
[3] 杜晔《网络攻防技术》,武汉大学出版社, 2011年