杀毒技巧系列--详细了解查杀病毒的技巧

中国IT动力,最新最全的IT技术教程

最新100篇 | 推荐100篇 | 专题100篇 | 排行榜 | 搜索 | 在线API文档

当前位置：> 硬件维修 > 综合技术

杀毒技巧系列--详细了解查杀病毒的技巧

作者:未知时间:2005-09-13 20:15 出处:ChinaUnix.net 责编:chinaitpower

摘要：杀毒技巧系列--详细了解查杀病毒的技巧

有人认为杀毒是一件简单的事情，不就是点击杀毒软件的“杀毒”按钮就行了吗？

　　不错，杀毒的确要借助杀毒软件，但是不是说一点击杀毒就万事大吉的。这就是为什么有的人一次性就将病毒杀尽，有的人机子内的病毒永远也杀不完的原因了。杀毒也要讲技巧！

　　对于杀毒的设置本文就不做介绍了。

　　杀毒要讲环境。其实说真的，杀毒最好的环境就是用干净引导盘启动的DOS。但是如果每次出现病毒都到DOS下杀是不科学的！即费时间，有减少DOS杀毒盘的寿命。那么，该怎么判断该在什么环境下杀毒呢？

　　一、被激活的非系统文件内的病毒

　　杀这种病毒很简单，只需要在一般的Windows环境下杀就行了。一般都能将其歼灭。

　　二、已经被激活或发作的非系统文件内的病毒

　　如果在一般Windows环境下杀毒，效果可能会大打折扣。虽然，现在的反病毒软件都能查杀内存病毒，但是此技术毕竟还未成熟，不一定能歼灭病毒。

　　因此，杀此类病毒应在Windows安全模式下进行。在Windows安全模式下，这些病毒都不会在启动时被激活。因此，我们就能放心的杀毒了。

　　三、系统文件内病毒

　　这类病毒比较难缠，所以在操作前请先备份。杀此类病毒一定要在干净的DOS环境下进行。有时候还要反复查杀才能彻底清除。

　　四、网络病毒（特别是通过局域网传播的病毒）

　　此类病毒必须在断网的情况下才能清除，而且清除后很容易重新被感染！要根除此类病毒必需靠网络管理员的努力了！

　　五、感染杀毒厂家有提供专用杀毒工具的病毒

　　杀灭此类病毒好办，只需下载免费的专用杀毒工具就行了。专用杀毒工具杀毒精确性相对较高，因此我推荐在条件许可的情况下使用专用杀毒工具。

杀毒很讲究技巧，所以，选择适合自己的反病毒软件和时刻开启监控很重要，还有千万别忘了升级哦！

杀毒技巧系列－－手工清除隐藏的病毒和木马
检查注册表

　　注册表一直都是很多木马和病毒“青睐”的寄生场所，注意在检查注册表之前要先给注册表备份。

　　1、检查注册表中HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runserveice，查看键值中有没有自己不熟悉的自动启动文件，扩展名一般为EXE，然后记住木马程序的文件名，再在整个注册表中搜索，凡是看到了一样的文件名的键值就要删除，接着到电脑中找到木马文件的藏身地将其彻底删除。

　　2、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的几项(如Local Page)，如果发现键值被修改了，只要根据你的判断改回去就行了。恶意代码(如“万花谷”)就经常修改这几项。

　　3、检查HKEY_CLASSES_ROOT\inifile\shell\open\command和HKEY_CLASSES_ROOT\txtfile\shell\open\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来，很多病毒就是通过修改.txt、.ini等的默认打开程序而清除不了的。

　　检查你的系统配置文件

　　其实检查系统配置文件最好的方法是打开Windows“系统配置实用程序”(从开始菜单运行msconfig.exe)，在里面你可以配置Config.sys、Autoexec.bat、system.ini和win.ini，并且可以选择启动系统的时间。

　　1、检查win.ini文件(在C:\windows\下)，打开后，在?WINDOWS?下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。在一般情况下，在它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。比如攻击QQ的“GOP木马”就会在这里留下痕迹。

　　2、检查system.ini文件(在C:\windows\下)，在BOOT下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，然后你就要在硬盘找到这个程序并将其删除了。

杀毒技巧系列－－坚决把 “邮件病毒” 消灭
邮件病毒”其实和普通的电脑病毒一样，只不过由于它们的传播途径主要是通过电子邮件，所以才被称为“邮件病毒”，它们一般是通过邮件中“附件”夹带的方法进行扩散。现在就告诉大家把“邮件病毒”消灭在邮箱之中应用八招。
　　1、选择一款正版的防毒软件。借杀毒软件中的邮件监视功能，在邮件接收过程中对其进行病毒扫描过滤
　　2、及时升级病毒库。病毒软件厂商天天都会更新病毒库，提供的升级服务是非常周到，如果用户不及时升级，就很难对新病毒进行查杀。
3、打开实时监控防火墙。防火墙最重要的功能就是邮件监视功能。
4、不要轻易打开陌生人的邮件附件，如果发现邮件中无内容，无附件，邮件自身的大小又有几十K或者更大，那么此邮件中极有可能包含有病毒；如果附件为可执行文件（.exe、.com）或word文档时，要选择用杀毒软件的扫描查毒察看；如果发现收到的邮件对方地址非常陌生，域名对极不像正常的国内邮箱，那就很有可能是收到病毒了；如果是双后缀那么极有可能是病毒，因为邮件病毒会选择隐藏在附件中，直接册除即可。
5、尽量不在“地址薄”中设置联系名单。因为一但被病毒感染，病毒会通过邮件“地址薄”中的联系人来传播。
6、少使用信纸模块。信纸模块都是一些脚本文件，如果模块感染了脚本病毒例如VBS/KJ、欢乐时光等，那用户使用信纸发出去的邮件都带有病毒了。
7、设置邮箱自动过滤功能。这样不仅能够防止垃圾邮件，还可以过滤掉一些带病毒邮件。
8、不使用邮件软件邮箱中的HTML预览功能。当今，一些传播与破坏力比较大的病毒，往往都是通过邮件预览时进行感染，并不需要打开邮件。

恶意网页病毒十三种症状分析及
恶意网页病毒十三种症状分析及简单修复方法

一、对IE浏览器产生破坏的网页病毒：
　　
　　（一）.默认主页被修改
　　
　　1.破坏特性：默认主页被自动改为某网站的网址。
　　
　　2.表现形式：浏览器的默认主页被自动设为如********.COM的网址。
　　
　　3.清除方法：采用手动修改注册表法，开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按顺序依次打开：HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main　分支，找到Default_Page_URL键值名(用来设置默认主页)，在右窗口点击右键进行修改即可。按F5键刷新生效。
　　
　　危害程度：一般
　　
　　（二）.默认首页被修改
　　
　　1.破坏特性：默认首页被自动改为某网站的网址。
　　
　　2.表现形式：浏览器的默认主页被自动设为如********.COM的网址。
　　
　　3.清除方法：采用手动修改注册表法，开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main分支，找到StartPage键值名(用来设置默认首页)，在右窗口点击右键进行修改即可。按F5键刷新生效。
　　
　　危害程度：一般
　　
　　（三）.默认的微软主页被修改
　　
　　1.破坏特性：默认微软主页被自动改为某网站的网址。
　　
　　2.表现形式：默认微软主页被篡改。
　　
　　3.清除方法：
　　
　　(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main　分支，找到Default_Page_URL键值名(用来设置默认微软主页)，在右窗口点击右键，将键值修改为 http://www.microsoft.com/windows/ie_intl/cn/start/ 即可。按F5键刷新生效。
　　
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。
　　
　　REGEDIT4
　　
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
　　"default_page_url"="http://www.microsoft.com/windows/ie_intl/cn/start/"
　　
　　危害程度：一般
　　
　　（四）.主页设置被屏蔽锁定，且设置选项无效不可更改
　　
　　1.破坏特性：主页设置被禁用。
　　
　　2.表现形式：主页地址栏变灰色被屏蔽。
　
　　3.清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\分支，新建“ControlPanel”主键，然后在此主键下新建键值名为“HomePage”的DWORD值，值为“00000000”，按F5键刷新生效。
　　
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。
　　
　　REGEDIT4
　　
　　[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
　　"HomePage"=dword:00000000
　　
　　危害程度：轻度
　　
　　（五）.默认的IE搜索引擎被修改
　　
　　1.破坏特性：将IE的默认微软搜索引擎更改。
　　
　　2.表现形式：搜索引擎被篡改。
　　
　　3.清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，第一，按如下顺序依次打开：HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search分支，找到“SearchAssistant”键值名，在右面窗口点击“修改”，即可对其键值进行输入为： http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm ，然后再找到“CustomizeSearch”键值名，将其键值修改为： http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm ，按F5键刷新生效。
　　
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。
　　
　　REGEDIT4
　　
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search]
　　"SearchAssistant"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"
　　"CustomizeSearch"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"
　　
　　危害程度：一般
　　
　　（六）.IE标题栏被添加非法信息
　　1.破坏特性：通过修改注册表，使IE标题栏被强行添加宣传网站的广告信息。
　　
　　2.表现形式：在IE顶端蓝色标题栏上多出了一些不知名网站信息。
　　
　　3.清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，第一，按如下顺序依次打开：HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main分支，找到“Window Title”键值名，输入键值为Microsoft Internet Explorer，按F5刷新。
　　
　　第二，按如下顺序依次打开：HKEY_CURRENT_MACHINE\Software\Microsoft\InternetExplorer\Main分支，找到“Window Title”键值名，输入键值为Microsoft Internet Explorer，按F5刷新生效。
　　
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。
　　
　　REGEDIT4
　　
　　[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
　　"Window Title"="Microsoft Internet Explorer"
　　
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
　　"Window Title"="Microsoft Internet Explorer"
　　
　　危害程度：一般
　　
　　（七）.OE标题栏被添加非法信息破坏特性：
　　
　　破坏特性：通过修改注册表，在微软的集成电子邮件程序Microsoft Outlook顶端标题栏添加宣传网站的广告信息br]
　　表现形式：在顶端的Outlook Express蓝色标题栏添加非法信息。
　　
　　清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_USER\Software\Microsoft\Outlook Express分支，找到WindowTitle以及Store Root键值名，将其键值均设为空。按F5键刷新生效。
　　
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。
　　
　　REGEDIT4
　　
　　[HKEY_CURRENT_USER\Software\Microsoft\Outlook Express]
　　"WindowTitle"=""
　　"Store Root"=""
　　
　　危害程度：一般
　　
　　（八）.鼠标右键菜单被添加非法网站链接：
　　
　　1.破坏特性：通过修改注册表，在鼠标右键弹出菜单里被添加非法站点的链接。
　　
　　2.表现形式：添加“网址之家”等诸如此类的链接信息。
　　
　　3.清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\MenuExt分支，在左边窗口凡是属于非法链接的主键一律删除，按F5键刷新生效。
　　
　　4.危害程度：一般
　　
　　（九）.鼠标右键弹出菜单功能被禁用失常：
　　
　　1.破坏特性：通过修改注册表，鼠标右键弹出菜单功能在IE浏览器中被完全禁止。
　　
　　2.表现形式：在IE中点击右键毫无反应。
　　
　　3.清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions分支，找到“NoBrowserContextMenu”键值名，将其键值设为“00000000”，按F5键刷新生效。
　　
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。
　　
　　REGEDIT4
　　
　　[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]
　　"NoBrowserContextMenu"=dword:00000000
　　
　　危害程度：轻度
　　
　　（十）.IE收藏夹被强行添加非法网站的地址链接
　　
　　破坏特性：通过修改注册表，强行在IE收藏夹内自动添加非法网站的链接信息。
　　
　　表现形式：躲藏在收藏夹下。
　　
　　清除方法：请用手动直接清除，用鼠标右键移动至该非法网站信息上，点击右键弹出菜单，选择删除即可。
　　
　　危害程度：一般
　　
　　（十一）.在IE工具栏非法添加按钮
　　
　　破坏特性：工具栏处添加非法按钮。
　　
　　表现形式：有按钮图标。
　　
　　清除方法：直接点击鼠标右键弹出菜单，选择“删除”即可。
　　
　　危害程度：一般
　　
　　（十二）.锁定地址栏的下拉菜单及其添加文字信息
　　
　　破坏特性：通过修改注册表，将地址栏的下拉菜单锁定变为灰色。
　　
　　表现形式：不仅使下拉菜单消失，而且在其上覆盖非法文字信息。
　　
　　清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Toolbar分支，在右边窗口找到“LinksFolderName”键值名，将其键值设为“链接”，多余的字符一律去掉，按F5键刷新生效。
　　
　　危害程度：轻度
　　
　　（十三）.IE菜单“查看”下的“源文件”项被禁用
　　
　　破坏特性：通过修改注册表，将IE菜单“查看”下的“源文件”项锁定变为灰色。
　　
　　表现形式：“源文件”项不可用。
　　
　　清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，第一，按如下顺序依次打开：HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions分支，找到"NoViewSource"键值名，将其键值设为“00000000”，按F5键刷新生效。
　　
　　按如下顺序依次打开：HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions分支，找到"NoViewSource"键值名，将其键值设为“00000000”，按F5键刷新生效。
　　
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。
　　
　　REGEDIT4
　　
　　[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]
　　"NoViewSource"=dword:00000000
　　
　　[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions]
　　"NoViewSource"=dword:00000000
　　
　　危害程度：轻度

秋意正浓回复于：2004-11-07 01:17:18

中毒了，俺一般的做法是ghost恢复系统，数据另外备份，又快又好。

uuhs_hiei 回复于：2004-11-12 11:55:34

ghost太累，还是预防大于修复的好

zninghao 回复于：2004-11-13 20:29:59

----------------------
　　三、系统文件内病毒

　　这类病毒比较难缠，所以在操作前请先备份。杀此类病毒一定要在干净的DOS环境下进行。有时候还要反复查杀才能彻底清除。

--------------------------反复查杀？？？？？？

Nicole Chan 回复于：2004-11-14 23:53:14

:em21: :em21: :em21:

要是我能早点看到这篇文章该多好呀。。。

秋意正浓回复于：2004-11-15 00:00:21

[quote:9a2e8ea760="Nicole Chan"]:em21: :em21: :em21:

要是我能早点看到这篇文章该多好呀。。。[/quote:9a2e8ea760]

:roll: 以后多来看看咯。

Nicole Chan 回复于：2004-11-15 00:12:58

[quote:da3bedcadb="秋意正浓"] :roll: 以后多来看看咯。[/quote:da3bedcadb]

:oops: :oops:

知道了

好尽职的斑竹啊，这么晚了还在。。。 :mrgreen:

gunguymadman 回复于：2004-11-15 10:15:23

[quote:8ca1c29c01="uuhs_hiei"]ghost太累，还是预防大于修复的好[/quote:8ca1c29c01] :shock:  :shock:
十分不同意你的话啊
做冗余备份和数据同步是充要的
预防？？  怎么预防   win下面数以万记的漏洞和蝗虫般的病毒  你怎么防？

pcas400 回复于：2004-11-17 12:43:50

我是自己手动杀毒，一般不用杀毒软件杀毒。有许多人自称非常牛B，但只知道FORMAT，然后再安装系统。

caoshangfei 回复于：2004-11-17 13:31:26

[quote:ab6af97b4e="pcas400"]我是自己手动杀毒，一般不用杀毒软件杀毒。有许多人自称非常牛B，但只知道FORMAT，然后再安装系统。[/quote:ab6af97b4e]

牛！

狼毒回复于：2004-11-22 11:44:46

[quote:621b8a82e4="pcas400"]我是自己手动杀毒，一般不用杀毒软件杀毒。有许多人自称非常牛B，但只知道FORMAT，然后再安装系统。[/quote:621b8a82e4]

小母牛，呵呵 :em02:

狼寅回复于：2004-11-24 09:02:19

[quote:f565b4406d="秋意正浓"]中毒了，俺一般的做法是ghost恢复系统，数据另外备份，又快又好。[/quote:f565b4406d]
我也是这样~~~~~~~~

关闭本页