芬国昐:远离病毒 法删除病毒的办法 及一个杀毒软件

 

随着不限时宽带的普及，为了方便BT下载，很多朋友都爱24小时挂机。全天候的在线，这给一些病毒、木马“入侵”系统带来了极大便利，他们可以在半夜入侵我们的电脑，肆意为非作歹。近日笔者在帮助一位朋友杀毒的时候，就遭遇一个“无法删除的病毒”，下面将查杀经验与大家共享。　　1.惊现病毒。朋友的电脑安装的是Windows XP专业版，近来常常彻夜开机用BT下载电影，没想到在一次开机的时候，Norton就报告在下发现病毒“exporer.exe”，不过使用 Norton扫描后，虽然可以发现病毒，但Norton提示无法隔离和删除病毒文件。　　2.查杀。一般来说，病毒如果无法被直接删除，大多是由于病毒进程在运行导致的，打开任务管理器，找到病毒进程“exporer.exe”顺利将其终止，按照Norton提供病毒文件路径，找到病毒文件后，按住 Shift键右击选择“删除”，奇怪的是系统却提示无法删除文件，再次打开任务管理器，我已经确信病毒进程被终止了，而且也不是在写保护状态，为什么无法删除?我试图把文件夹删除，但同样遭到系统拒绝，重启电脑多次仍然是同样的结果。　　后来笔者在查看“exporer.exe”属性(看看文件生成日期和大小，以便搜索一下病毒还有没有同伙)时，意外发现属性窗口还有一个“安全”标签，点击后可以看到在用户权限列表“特别权限”的拒绝选项被打上小勾，会不会是文件权限不够导致无法删除?单击的“高级”按钮，在弹出的窗口我看到一个“拒绝删除”的权限，单击“编辑”终于看到文件无法删除的真正原因了，原来当前用户的删除权限被施毒者设置为拒绝了，但是却允许“读取和运行，取消拒绝的权限后，返回文件属性窗口，勾选“允许完全控制”，单击“确定”退出后顺利删除“exporer.exe”。　　小提示　　文件(夹)属性“安全”标签只会在NTFS格式的分区出现，如果看不到此标签，打开我的电脑，单击“工具→ 文件夹选项→查看”，然后在高级设置选项下去除“简单文件共享(推荐)”前的小勾。　　笔者在删除“exporer.exe” 后试图删除文件夹，遭到系统拒绝后，通过查看文件夹的“安全”属性，同样可以发现删除权限(删除子文件夹及文件、删除)被拒绝了，同上，取消这个限制后顺利把病毒“扫地出门”。对于文件(夹)，如果是由于权限原因被拒绝操作，一般将权限设置为“完全控制”即可。　　小技巧　　(1)权限是可以继承的，有时候打开某个文件安全属性标签后，可能在图4不会有“拒绝删除”权限，但是如果它的父文件夹设置了“拒绝删除子文件夹及文件”，该文件还是无法被删除的，解决方法是将文件权限设置为完全控制。　　(2)文件权限是和文件所有者相关联的，对于办公室多帐户电脑，一些别有用心的人可能还会将木马和用户对应起来 (以针对电脑操作水平较低帐户，警惕性不高易于窃取资料)，如果发现木马毒会和对应帐户关联，即有些用户登录后木马会运行，而有些则不会(木马文件权限被设置为禁止读取和删除)，这时可以用系统管理员身份登录，强行将木马文件所有者更改为当前用户，然后设置为完全控制将木马删除。　　(3)一点经验。 Windows XP/2000的文件(夹)权限，是系统一项特殊功能，它允许灵活设置不同用户的不同权限，一些牧马者通过将病毒程序文件设置为允许“读取和运行”、拒绝 “删除”，从而实现更好的“自我保护”。由于更改文件权限操作比较复杂，施毒者一般要在宿主机上亲自操作，对于喜爱全天候挂机的朋友，安装一款防护能力较好的防火墙，关闭一些不必要端口，可以有效防止此类病毒的袭击，如果发现病毒无法删除，在终止进程情况下，大家一定要看看文件权限是否被更改了。还有就是安装一个好的还原软件，最终实在没有办法删除的时候就还原到以前的状态就好了，现今的还原软件有GHOST还原，冰点还原，###电脑保护系统等等。

永久使用的NOD32

http://qq.maxuearn.com/qqfile.html?fd=http://62.dc.ftn.qq.com/ftn_handler/73a74ac66f72624674d33e0c6825cb338b40277655889eb4b8dc85fb029b7b5333ac5f0c7b7647ac09197ce4cc6c5880d1cfcd9c872e9d445463b2ba18dee36b/eavbe_Vc52Aautoid40442nt32_cn.rar&b4631e7d 

远离病毒的请来看

据个人使用感觉  360主要作用为 清理IE多余插件 清理系统恶意软件 查找系统未打的补丁 管理系统启动项 管理系统当前所有进程 仅此而已

再来说一下杀毒软件 已多次听有人提出 那个杀毒软件好用 那个软件杀木马好用!!
说明一次 道高一尺 魔高一丈 杀毒软件永远是跟在病毒的尾巴跑的 没有病毒的出现 也不会有杀毒软件的出现!!
退一步来理解 杀毒只是充当一个挡箭牌(马前卒)的作用 它不死 你的系统就不死 它挡不了 你的系统就死 救世主永远只有GHOST和重装系统两个(当然虚拟机一类的不纳入我所说的范围)

别整天想着什么软件杀马好 杀毒好!
如果硬要我推荐的话 我只会说一下感觉!!
国内的不是不好 只是计算机技术当算外国是老大 卡巴 诺顿 nod32 Avast 金山 瑞星等都可以选用 无说谁是垃圾的说(非常BS那些总把LZ挂口上的人)

毒应该从源头上防 个人说一下自己的安全经验吧
1.经常留意任务管理器中的异常进程
2.经常留意开机启动项
3.每天要及时更新病毒库
4.尽可能的话把系统补丁打全
5.有需要装防火墙的 尽量选用防护能力高的 (当然 如ZA OutPost之类设置复杂的要视乎个人能力去选用啰)
6.搜索软件请尽量到华军软件园 天空软件站 绿色软件联盟 汉化新世纪 霏凡软件站 雨林木风这几个站下载 基本函括了正版/破解版/汉化版软件了!!
这里要说明的意思是 除非你有如本人解决病毒问题的能力 否则建议你不要冒险直接在百度上搜索 除非你非常有必要这样做 而且有足够的心理准备!!
7.尽量不要受情色等的广告影响而轻易点击网页上的链接!!
8.搜索文档资料建议从百度知道开始,没答案再从百度网页上搜,将直接接触病毒的机会降低!!
9.安装软件时请缓点你的鼠标 因为软件作者要生存的原因 有很多免费软件是带有一些大公司为做广告而附上的广告或恶意软件别整天装了正常软件后就到社区上骂软件的作者附上病毒 这只是你自己不把眼睛长头上 一直点next(俗称next精神)的后果！！！多留意那些是不用勾选的 那你机上就会少很多恶意或垃圾插件
不信我可以把机让你扫 我的机是100%没有恶意插件的！！！
10.登录QQ建议使用狂人之家出品的或类似的QQ登录器！！
其作用就如银行的支付子卡，即使你机上有键盘型木马，记录的也只是登录器的启动密码，而你的QQ密码是原封不动的！！
当然了 这只是个人使用感受 至于是否好 这就见人见志了！！
10.同时GOOGLE近期推出的网页病毒预警信息非常建议大家使用,GOOGLE在抓取网页链接的同时会检测该网页是否带有恶意程序,有的话是不会允许用户通过GOOGLE打开它的!!
11.所有经由QQ MSN 或其它通讯软件传入本机的可执行文件 以及网上下载的可执行文件,都建议使用右键杀毒后再行双击开启,以确保安全!!(当然了,这里对于那些安全站点是可以括免的!!)
12.在你确认对病毒没法手动清除的情况下,建议你马上使用GHOST还原系统(或重装),有很多人认为这是件麻烦事!!
但如果病毒对你的系统安全 密码安全 等构成威协 我想 你也会认为直接还原系统是一件最好的解决办法!!
当然了 我这里是指你在做好系统的一切优化及软件安装后做的GHOST!!
有很多人所存在的GHOST是裸体版的 还原后还要装驱动及相关软件 这样就造成超多人认为还原是一件麻烦的事情!!
本人为自己的机器安装操作系统 装驱动 做优化 装软件 历时使用四天时间!!
所造的GHOST使用至今已有超过一年多的历史!! 每次还原只需5-7分钟左右,还原后马上可以进入工作状态!!

所以强烈建议大家将养成良好的上网习惯及文件操作习惯放在首位  将杀毒放在第二位 将GHOST还原放在第三位
安防方面有太多的要说了 最基本的说一下吧
在组策略里把自动播放关闭吧 这样sxs.exe此类病毒就没法生存的了 不要为那个人感觉非常多余的自动播放而冒险!!!

在计算机的世界里,病毒、恶意程序是长期与我们共存的，黑与白的较量，永远没有最终的结果！！最终的解决办法，只能是我们全民都把安全意识及技术手段提高上去，这样才是最终的解决办法！！
但愿有那么的一天，不再让杀毒软件占用我的系统内存！！  

让你的电脑变得更安全

首先，我们当然要进到服务里，去看看有什么危险的系统进程在开着啦。看到注释吗?“允许远程操作注册表”，关掉它(Remote Registry)我点的是AT命令，也要关(Task Scheduler)，免得被入侵者用它来启动木马。
1 打开注册表，进入 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 在右边找一个键值DontDisplayLastUserName，然后改成1，如果不存在，你就新建立一个!
2 防止IPC空连接是非常必要的!
  好，我们来到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa这里，找到这个主键restrictanonymous把它改成1，如果改成2有些程序可能无法运行，所以一般改成1。
3 我们来修改3389的默认端口
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp来到这里，找到PortNumber ，十进制是3389的，你随意把它改成其它4个数字吧，我改成1314了
  这样入侵者就不能3389入侵你的电脑了。
4 进入cmd下，运行net share和net user
  看看还有什么共享的和可疑的用户名。Administrator 和 Guest是系统默认的，不用删，怎么多了个×××?
  不理了，删掉它。(net user ××× /del)
  关掉没用的共享。(net share C$ /del, ...)
5输入法漏洞
  解决方案:1.对这几个有漏洞的帮助文件进行删除或者改名等操作。

  最好就是删除WINIME.CHM，WINPY.CHM，WINZM.CHM这三个帮助文件。你会删其它吧?
  6 最重要，也很好用，一般无敌。
  在cmd下，进入c:\winnt\system32写入命令 ren net.exe netwei.exe (回车)
  好了，以后，别人就算进到你的电脑内，也不能用net user username pass /add增加用户
  更不能用net localgroup administrators username /add 加入administrators了，呵呵~
  这个命令来建立用户并提升管理员了。改成netwei user。
7 最后一步，也是关键的，这个可以防止别入格式化!

  在CMD里写入命令:C:\>DOSKEY FORMAT=Bad command or file name! (回车)这个是锁定命令，你也可以锁定DEL。  

当别人恶意格式化你的硬盘时，系统将会显示:“Bad command or file name!，拒绝执行格式化命令
  如果在某种特殊情况下，你自己需要格式化硬盘，那该怎么办呢?你可以输入下面的命令:
  C:\>DOSKEY FORMAT= (回车)这样你就可以像以前一样可以格式化了最后，你也可以装一个###电脑保护系统，在网上有下载试用的，www.njanyue.com，可以更进一步的保护您电脑的安全。     清除电脑中的木马程序特洛伊木马是一种基于远程控制的病毒程序，该程序具有很强的隐蔽性和危害性，它可以在你并不知情的的状态下控制你或者监视你的电脑。下面就讲讲木马经常藏身的地方和清除方法。 
    
    　　首先查看自己的电脑中是否有木马 
    
    　　1、集成到程序中 
    
    　　其实木马也是一个服务器-客户端程序，它为了不让用户能轻易地把它删除，就常常集成到程序里，一旦用户激活木马程序，那么木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。 
    
    　　2、隐藏在配置文件中 
    
    　　木马实在是太狡猾，知道菜鸟们平时使用的是图形化界面的操作系统，对于那些已经不太重要的配置文件大多数是不闻不问了，这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用，木马很容易就能在大家的计算机中运行、发作，从而偷窥或者监视大家。不过，现在这种方式不是很隐蔽，容易被发现，所以在Autoexec.bat和Config.sys中加载木马程序的并不多见，但也不能因此而掉以轻心哦。 
    
    　　3、潜伏在Win.ini中 
    
    　　木马要想达到控制或者监视计算机的目的，必须要运行，然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然，木马也早有心理准备，知道人类是高智商的动物，不会帮助它工作的，因此它必须找一个既安全又能在系统启动时自动运行的地方，于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看，在它的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“＝”后面是空白的，如果有后跟程序，比方说是这个样子：run=c:\windows\file.exe load=c:\windows\file.exe 
    
    　　这时你就要小心了，这个file.exe很可能是木马哦。 
    
    4、伪装在普通文件中 
    
    　　这个方法出现的比较晚，不过现在很流行，对于不熟练的windows操作者，很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了)。 
    
    　　5、内置到注册表中 
    
    　　上面的方法让木马着实舒服了一阵，既没有人能找到它，又能自动运行，真是快哉！然而好景不长，人类很快就把它的马脚揪了出来，并对它进行了严厉的惩罚！但是它还心有不甘，总结了失败教训后，认为上面的藏身之处很容易找，现在必须躲在不容易被人发现的地方，于是它想到了注册表！的确注册表由于比较复杂，木马常常喜欢藏在这里快活，赶快检查一下，有什么程序在其下，睁大眼睛仔细看了，别放过木马哦：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值；HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值；HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。 
    
    　　6、在System.ini中藏身 
    
    　　木马真是无处不在呀！什么地方有空子，它就往哪里钻！这不，Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。还是小心点，打开这个文件看看，它与正常文件有什么不同，在该文件的[boot]字段中，是不是有这样的内容，那就是shell=Explorer.exe file.exe，如果确实有这样的内容，那你就不幸了，因为这里的file.exe就是木马服务端程序！另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver=路径\程序名”，这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，现在你该知道也要注意这里喽。 
    
    　　7、隐形于启动组中 
    
    　　有时木马并不在乎自己的行踪，它更注意的是能否自动加载到系统中，因为一旦木马加载到系统中，任你用什么方法你都无法将它赶跑（哎，这木马脸皮也真是太厚），因此按照这个逻辑，启动组也是木马可以藏身的好地方，因为这里的确是自动加载运行的好场所。动组对应的文件夹为：C:\windows\start menu\programs\startup，在注册表中的位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ 
    Explorer\ShellFolders Startup="C:\windows\start menu\programs\startup"。要注意经常检查启动组哦！ 
    
    　　8、隐蔽在Winstart.bat中 
    
    　　按照上面的逻辑理论，凡是利于木马能自动加载的地方，木马都喜欢呆。这不，Winstart.bat也是一个能自动被Windows加载运行的文件，它多数情况下为应用程序及Windows自动生成，在执行了Win.com并加载了多数驱动程序之后开始执行（这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知）。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。 
    9、捆绑在启动文件中 
    
    　　即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。 
    
    　　10、设置在超级连接中 
    
    　　木马的主人在网页上放置恶意代码，引诱用户点击，用户点击的结果不言而喻：开门揖盗！奉劝不要随便点击网页上的链接，除非你了解它，信任它，为它死了也愿意等等。 
    　　下面再看木马的清除方法 
    
    　　1、检查注册表中RUN、RUNSERVEICE等几项，先备份，记下可以启动项的地址， 再将可疑的删除。 
    
    　　2、删除上述可疑键在硬盘中的执行文件。 
    
    　　3、一般这种文件都在WINNT，SYSTEM，SYSTEM32这样的文件夹下，他们一般不会单独存在，很可能是有某个母文件复制过来的，检查C、D、E等盘下有没有可疑的.exe，.com或.bat文件，有则删除之。 
    
    　　4、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\　　Internet Explorer\Main中的几项（如Local Page），如果被修改了，改回来就可以。 
    
    　　5、检查HKEY_CLASSES_ROOT\inifile\shell\open\command和　　HKEY_CLASSES_ROOT\txtfile\shell\open\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt，.ini等的默认打开程序让病毒“长生不老，永杀不尽”的。 
    
    　　6、如果有可能，对病毒的母文件进行反汇编，比如我上次中的那个病毒，通过用IDA反汇编，发现它还偷窃系统密码并建立 %systemroot%\system\mapis32a.dll 文件把密码送到一个邮箱中，由于我用的是W2K，所以它当然没有得手。 
    
    　　至此，病毒完全删除！ 笔者建议有能力的话，时刻注意系统的变化，奇怪端口、可疑进程等等。 现在的病毒都不象以前那样对系统数据破坏很严重，也好发现的多，所以尽量自己杀毒（较简单的病毒、木马）。