篇一:个人分享木马病毒查杀总结
一、前言
《病毒木马查杀》系列以真实的病毒木马(或统称为恶意程序)为研究对象,通过现有的技术手段对其分析,总结出它的恶意行为,进而制定出相应的应对方法(如编写专杀工具),对其彻底查杀。当然,本系列更多地是讨论如何应对某一个特定的病毒,而不涉及广义的杀毒软件的编写。因为如今杀软的原理非常复杂,并不是一个人就能够完成的,加之我个人水平有限,因此不会涉及杀软编写的问题。不过,我会在以后的文章中在理论层面对此进行分析。
在本系列的文章中,对于某一个病毒或木马,我可能会从以下三个方面进行查杀:手动查杀、监测恶意行为编写专杀工具或通过逆向分析其反汇编代码进行彻底查杀。这几种方式通过对病毒的不断深入分析,从而更有效地对抗恶意程序。需要说明的是,手动查杀病毒是比较粗浅的,难以彻底清除病毒,但是有些时候却是快速而有效的。而通过行为对恶意程序进行监测,虽说比手动查杀的效果要好很多,但是有些时候往往也会有些遗漏。所以其实最好的还是通过逆向分析来了解恶意程序,只是这样往往耗时较多。
希望本系列的文章能够起到科普作用,让大家打消对病毒木马的恐惧感,使得每一位读者都能成为反病毒的专家。
二、病毒分析方法
一般来说,除非是感染型病毒,否则是不需要对病毒进行逆向分析的,只需要对病毒进行行为分析就可以编写专杀工具。而如果是感染型病毒,由于需要修复被病毒感染的文件,那么就不能仅仅简单地分析病毒的行为,而必须对病毒进行逆向分析,从而修复被病毒所感染的文件。因此,实际中的分析方法有以下两种:
1、行为分析。恶意程序为了达到目的,都有自己的一些特殊的行为,这些特殊的行为是正常的应用程序所没有的。比如把自己复制到系统目录下,或把自己添加进启动项,或把自己的某个DLL文件注入到其它进程中去……这些行为都不是正常的行为。我们拿到一个病毒样本后,通常就是将病毒复制到虚拟机中,然后打开监控工具,比如Process Monitor。将各种准备工作做好以后,在虚拟机中把病毒运行起来,看病毒对注册表、对文件进行了哪些操作,连接了哪个IP地址、创建了哪些进程等。通过观察这一系列的操作,就可以写一个程序。只要把它创建的进程结束掉,把它写入注册表的内容删除掉,把新建的文件删除掉,就等于把这个病毒杀掉了。这也是手动查杀病毒所惯用的方法。当然,这整个过程不会像说起来那么容易。
2、逆向分析。当恶意程序感染了可执行文件之后,所感染的内容是无法通过行为监控工具发现的。而病毒对可执行文件的感染,有可能是通过PE文件结构中的节与节之间的缝隙来存放病毒代码,也可能是添加一个新节来存放病毒代码。无论是哪种方式,都需要通过逆向的手段进行分析。常用的逆向分析工具有OllyDbg、IDA Pro以及WinDBG。
三、病毒查杀方法
病毒的查杀方法有很多种,在网络安全知识日益普及的今天,在各大杀软公司大力宣传的今天,想必大部分网络安全爱好者对于病毒查杀技术都有一定的了解。当今常见的主流病毒查杀技术有特征码查杀、启发式查杀、虚拟机查杀和主动防御等。
1、特征码查杀。特征码查杀是杀软厂商查杀病毒的一种较为原始的方法。它是通过从病毒体内提取病毒特征码,从而识别病毒。但是这种方法只能查杀已知病毒,对于未知病毒则无能为力。
2、启发式查杀。静态地通过一系列“带权规则组合”对文件进行判定,如果计算出的值高于某个界限则被认为是病毒,否则不认为是病毒。启发式查杀可以相对有效地识别出病毒,但
是往往也会出现误报的情况。
3、虚拟机查杀。在内存中虚拟一个运行环境用于病毒的运行,根据其行为或释放出的已知病毒特征码,来判断其是否为病毒程序。这个技术用来应对加壳和加密的病毒比较有效,因为这两类病毒在执行时最终还是要自身脱壳和解密的,这样,杀软可以在其现出原形之后进行查杀。
4、主动防御。基于程序行为自主分析判断的实时防护技术,不以病毒的特征码作为判断病毒的依据,而是从最原始的病毒定义出发,直接将程序的行为作为判断病毒的依据。主动防御是用软件自动实现了反病毒工程师分析判断病毒的过程,解决了传统安全软件无法防御未知恶意软件的弊端,从技术上实现了对木马和病毒的主动防御。
四、环境的配置
我们所有的病毒分析工作都会在虚拟机中进行,因此安装虚拟机是一个必须的步骤。虚拟机也是一个软件,用于模拟计算机的硬件系统,在虚拟机中可以安装操作系统,之后可以安装各种各样的应用程序,这与真实的计算机是没有区别的。在虚拟机中的操作完全不会对我们真实的系统产生影响。但是这里要特别说明的是,某些特别强的病毒能够绕出虚拟机,进而感染我们真实的系统。这种情况可能是因为我们的虚拟机中存在漏洞,而病毒正好利用了这个漏洞。因此一定要选择最新版本的虚拟机软件。除了对病毒进行分析需要使用虚拟机外,在进行双机调试系统内核时(比如使用WinDBG),往往也是要借助于虚拟机的。常用的虚拟机有VMware和Oracle公司的VM VirtualBox。我个人最喜欢使用VMware,因为它的功能非常强大,而且基本上所有的教程都会以这款软件作为讲解对象。但是Vmware在我的系统中总是会出现莫名的问题,所以在我的实验环境中,我选择使用开源且免费的VirtualBox。我的VirtualBox采用的是4.3.12版,虚拟机中安装的操作系统为Windows XP Professional SP3,为其虚拟1个处理器,1GB内存、10GB硬盘空间与128M显存。而我的真实系统采用的是Windows 8.1(64位),使用Intel Core i5-3230M 2.60GHz的CPU,4GB内存。如无特别说明,本系列所有的实验都会在这个配置中完成。
这里还需要说一下系统的备份,因为在分析病毒程序时,我们的虚拟系统或多或少地会被病毒所破坏,而备份功能则可以将系统很好地恢复到被破坏前的状态。在VirtualBox中,可以在“控制”菜单下选择“生成备份”,输入备份名称后保存。这样,以后如果想还原系统,可以选择“恢复备份”,至此,我们的实验环境基本配置完毕。
一、前言
作为本系列研究的开始,我选择“熊猫烧香”这个病毒为研究对象。之所以选择这一款病毒,主要是因为它具有一定的代表性。一方面它当时造成了极大的影响,使得无论是不是计算机从业人员,都对其有所耳闻;另一方面是因为这款病毒并没有多高深的技术,即便是在当时来讲,其所采用的技术手段也是很一般的,利用我们目前掌握的知识,足够将其剖析。因此,我相信从这个病毒入手,会让从前没有接触过病毒研究的读者打消对病毒的恐惧心理,在整个学习的过程中开个好头。
本篇文章先研究如何对“熊猫烧香”进行手动查杀。这里所说的手动查杀,主要是指不通过编写代码的方式对病毒进行查杀。说白了,基本上就是通过鼠标的指指点点,有时再利用几条DOS命令就能够实现杀毒的工作。但是不可否认的是,采用这种方法是非常粗浅的,往往不能够将病毒彻底查杀干净,但是从学习手动查杀病毒起步,有助于我们更好地理解反病毒的工作,从而为以后更加深入的讨论打下基础。
需要说明的是,手动查杀病毒并不代表在什么软件都不使用的前提下对病毒进行查杀,其实利用一些专业的分析软件对于我们的查杀病毒的还是很有帮助的,这些工具我会在对不同的
病毒的研究中进行讲解。另外,出于安全考虑,我的所有研究文章,都不会给大家提供病毒样本,请大家自行上网寻找,我只会给出我所使用的病毒样本的基本信息。
二、手动查杀病毒流程
手动查杀病毒木马有一套“固定”的流程,总结如下:
1、排查可疑进程。因为病毒往往会创建出来一个或者多个进程,因此我们需要分辨出哪些进程是由病毒所创建,然后删除可疑进程。
2、检查启动项。病毒为了实现自启动,会采用一些方法将自己添加到启动项中,从而实现自启动,所以我们需要把启动项中的病毒清除。
3、删除病毒。在*步的检查启动项中,我们就能够确定病毒主体的位置,这样就可以顺藤摸瓜,从根本上删除病毒文件。
4、修复被病毒破坏的文件。这一步一般来说无法直接通过纯手工完成,需利用相应的软件,不是我们讨论的重点。
三、查杀病毒
我这里研究的“熊猫烧香”病毒样本的基本信息如下:
MD5码:87551e33d517442424e586d25a9f8522,
Sha-1码:cbbab396803685d5de593259c9b2fe4b0d967bc7
文件大小:59KB
大家在网上搜索到的病毒样本可能与我的不同,但是基本上都是大同小异的,查杀的核心思想还是一样的。
这里我将病毒样本拷贝到之前配置好的虚拟机中(注意要备份),首先打开“任务管理器”查看一下当前进程:因为我的虚拟机系统中没有安装任何软件,是很纯净的,所以一共有18个进程(包含任务管理器进程),可以认为这18个进程是系统所必须的。有时我们就需要这样的一个纯净系统,来与疑似中毒的系统进行进程的对比操作。然后我们运行病毒,再次尝试打开“任务管理器”,发现它刚打开就立刻被关闭了,说明病毒已经对我们的系统产生了影响,而这第一个影响就是使得“任务管理器”无法打开。不过没关系,我们可以在cmd中利用“tasklist”命令进行查看:通过对比可见这里多出了一个名为spoclsv.exe的进程,那么我们可以通过命令“taskkill /f /im 1820”(强制删除PID值为1820的文件映像),从而将这个进程结束掉:这时就可以发现“任务管理器”可以被打开了,说明我们工作的第一步是成功的。然后需要对启动项进行排查,可以在“运行”中输入“msconfig”:
这里很快就能够锁定“spoclsv.exe”这一项,我们首先需要记下其文件位置:
C:\WINDOWS\system32\drivers\spoclsv.exe
然后是注册表位置:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
然后将这个启动项前面的对勾取消,来到注册表相应的位置,将Run中的“spoclsv.exe”删除,并且删除病毒文件本体:
以上工作完毕后,重启系统,再次打开“任务管理器”,可以被正常打开,说明我们的工作是成功的。然后打开“我的电脑”,用鼠标右键点击一下各个盘符(我的系统只有C盘):我们在手动查杀病毒的时候,就应该养成一个习惯,那就是使用右键来打开盘符,而不是通过双击左键的方式。在这里我们可以看到,鼠标右键菜单中多出来了一个“Auto”项,那么很明显C盘中存在autorun.inf的文件。可以在cmd中查看一下:因为我已经确定C盘中存在autorun.inf文件,而使用dir命令却没有看到,说明它应该是被隐藏了,所以这里要使用“dir
/ah”(查看属性为隐藏的文件和文件夹)命令。而我们也确实发现了autorun.inf与setup.exe这两个可疑文件(因为正常文件是不需要隐藏的,特别是EXE文件更加不需要隐藏自己,所以这个setup.exe属于可疑文件)。因为这两个可疑程序的属性是隐藏的,所以这里可以先去掉其隐藏属性,然后再进行删除:
重启系统后,所有手动查杀病毒的工作完毕,我们的系统就又恢复正常了。
四、小结
事实上,“熊猫烧香”对于我们的电脑的危害远不止于此,只是说在不使用任何辅助工具的前提下,我们能做的基本上就是这些了。对于“熊猫烧香”病毒的手动查杀部分就到这里,在以后对于别的病毒的研究中,由于它们比“熊猫”要强大,我们不得不使用一些专业工具作为辅助。也希望大家能够亲自去尝试,勤动手,由这里开始,不再惧怕病毒。
一、前言
为了分析“熊猫烧香”病毒的行为,我这里使用的是Process Monitor v3.10版。
行为分析的目的,是为了编写出病毒的专杀程序。当然,由于现实环境的种种限制,可能无法发现病毒的所有行为,这些我都会在文章中进行说明。
二、对“熊猫烧香.exe”进程树的监控分析
这里我将病毒和Process Monitor v3.10复制到之前配置好的虚拟机中,并做好备份。然后先打开Process Monitor,在筛选条件中将“熊猫烧香.exe”加入到筛选器的“Process Name”中,然后运行病毒,首先可以查看一下进程树:
图①
在进程树中可以发现,“熊猫烧香.exe”衍生出了“spoclsv.exe”。衍生出的进程又打开了两次“cmd.exe”。第一次运行的命令是“cmd.exe /c net share C$ /del /y”,它的意思是在命令行模式下删除C盘的网络共享,执行完后关闭cmd.exe。因为我的系统只有一个C盘,因此有理由相信,这个病毒应该是会关闭系统中所有的盘的网络共享。第二次运行的命令是“cmd.exe /c net share admin$ /del /y”,这里取消的是系统根目录的共享。那么由此就可以总结出病毒的两点行为:
病毒行为1:病毒本身创建了名为“spoclsv.exe”的进程,该进程文件的路径为“C:\WINDOWS\system32\drivers\spoclsv.exe”。
病毒行为2:在命令行模式下使用net share命令来取消系统中的共享。
三、对“熊猫烧香.exe”注册表监控分析
对于注册表的监控,我们发现只有一项需要注意:
注册表的这个位置主要用于随机数种子的生成,仅仅依靠这条信息是无法推测病毒的行为的,所以可以认为“熊猫烧香.exe”对于注册表没有什么实质的影响。
四、对“熊猫烧香.exe”文件监控分析
对于文件的监控,也只有一条需要注意:创建文件
可见,“熊猫烧香.exe”在“C:\WINDOWS\system32\drivers”中创建了“spoclsv.exe”,其它再无可疑操作,那么可以认为,这个病毒真正的破坏部分是由“spoclsv.exe”实现的,那么接下来的工作就是专门监控这个进程。
五、对“spoclsv.exe”注册表监控分析
这里需要将进程名为“spoclsv.exe”的进程加入筛选器进行分析。一般来说,病毒所产生的操作会比较多,所以我这里为了便于讨论,我每次只会列出几项操作进行显示,其它的操作就由筛选器排除掉。首先可以查看一下“Reg*Value”这个操作:
可见病毒程序将当时几乎所有的安全类工具的自启动项给删除了,就有:
病毒行为3:删除安全类软件在注册表中的启动项。
然后只保留“Reg*Key”与“RegSetValue”
可见,病毒程序为自身创建了自启动项,使得每次启动计算机就会执行自身,则有:
病毒行为4:在注册表“HKCU\Software\Microsoft\Windows\CurrentVersion\Run”中创建“svcshare”,用于在开机时启动位于“C:\WINDOWS\system32\drivers\spoclsv.exe”的病毒程序。 对注册表的这个位置进行设置,能够实现文件的隐藏。此处进行设置后,即便在“文件夹选项”中选择“显示所有文件和文件夹”,也无法显示隐藏文件,则有:
病毒行为5:修改注册表,使得隐藏文件无法通过普通的设置进行显示,该位置为:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,病毒将CheckedValue的键值设置为了0。
至此,注册表部分就基本分析完毕了。
六、对“spoclsv.exe”文件监控分析
文件的监控,主要看的是病毒是否将自己复制到其他目录,或者创建删除了哪些文件等,监控如下所示:
图二在图中可以看到,病毒文件在“C:\WINDOWS\system32\drivers”中创建了“spoclsv.exe”这个文件,在C盘根目录下创建了“setup.exe”与“autorun.inf”,并且在一些目录中创建了“Desktop_.ini”这个文件。由于创建这些文件之后就对注册表的SHOWALL项进行了设置,使得隐藏文件无法显示,那么有理由相信,所创建出来的这些文件的属性都是“隐藏”的,于是有:
病毒行为6:将自身拷贝到根目录,并命名为“setup.exe”,同时创建“autorun.inf”用于病毒的启动,这两个文件的属性都是“隐藏”。
病毒行为7:在一些目录中创建名为“Desktop_.ini”的隐藏文件。
七、对“spoclsv.exe”网络监控分析
现在只进行网络监控,来查看病毒是否有联网动作:从监控结果可以看到,病毒会向“124.16.31.148”发送并接收信息,并不断尝试连接“10.0.2.X”即局域网中的其它计算机,于是有:
病毒行为8:向外发包,连接局域网中其他机器。
八、小结
至此,我们已总结出病毒的8点行为,在分析的过程中,我基本上是一语带过,主要是因为病毒比较简单,加上它在Process Monitor面前也是无所遁形。但是请大家注意,以上8点不代表就是病毒的所有行为,因为更加详细的结论是要通过逆向分析才能得出的。而通过上述的分析结果,我们就可以着手专杀工具的编写了,这将会在*文章中详述。
一、前言
为了分析“熊猫烧香”病毒的行为,我这里使用的是Process Monitor v3.10版。
行为分析的目的,是为了编写出病毒的专杀程序。当然,由于现实环境的种种限制,可能无法发现病毒的所有行为,这些我都会在文章中进行说明。
篇二:电脑中了顽固木马如何解决
电脑中了顽固木马如何解决
工具/材料:
腾讯电脑管家
对于顽固木马很多人都比较害怕,因为这种病毒怎么都无法彻底清理,哪怕是重装系统,这种病毒依然会悄悄的再次出现,让人感觉无可奈何,其实这种顽固木马查杀并不是特别难,只要我们学会使用对应的方法即可,前段时间我就遇到过一次顽固木马,最后顺利解决了,今天写一篇经验就是教大家怎么去对付顽固木马。
【进入安全模式】
1,因为顽固木马很多都是蠕虫病毒的一种,寄宿在一些核心文件内,我们一般正常情况下
杀毒软件也很难将其找出清理
2,最理想的办法就是进入安全模式杀毒,因为安全模式下,第三方驱动无法自动运行,病毒也只能等待被杀毒软件检测出来了
3,首先我们重启电脑,在重启电脑的过程中,不断按F8键,进入windows系统的菜单,WIN8
除外,然后菜单选择
4,在菜单中,我们选择安全模式即可,如果电脑上没杀毒软件,可以选择进入网络安全模式也可以的
【查杀顽固木马】
1,接下来就是对电脑中的顽固木马查杀了,可以选择用腾讯电脑管家,然后打开其中的病
毒查杀这个功能,对电脑病毒进行清理
2,杀毒完成后,正常重启电脑,你会发现病毒神奇的没有了,以后电脑使用的时候一定要保持杀毒软件处于开启状态,就可以避免电脑中毒情况发生。
篇三:干净地清除电脑中的木马病毒
一、使用正确的杀毒方法
1、在安全模式或纯DOS模式下清除病毒
当计算机感染病毒的时候,很多人都会图方便,在正常模式下清除病毒,但这种方法往往是不能干净清除病毒的。
这里说的正常模式准确的说法应该是实模式(Real Mode),这里通俗点说了。其包括正常模式的Windows和正常模式的Windows下的"MS-DOS方式"或"命令提示符"。
在正常模式下,由于带毒的文件正在运行,是无法对这些文件直接进行操作的。从现今的反病毒技术和病毒来看,绝大部分病毒都不可能在正常模式下简单的就可以彻底清除了的。很多一些朋友误以为只要装上反病毒软件,软件可以彻底清除计算机上的病毒,当病毒无法彻底清除的时候就认为软件不好,这是很错误的!
建议在查杀病毒的时候,要在安全模式(Safe Mode)或者纯DOS下进行清除。对于现在大多数流行的病毒,如蠕虫病毒、木马程序和网页代码病毒等,都可以在安全模式下清除,不必要像以前那样必须要用软盘启动杀毒;但对于一些引导区病毒和感染可执行文件的病毒才需要在纯DOS下杀毒(建议用干净软盘启动杀毒)。而且,当计算机原来就感染了病毒,那就更需要在安装反病毒软件后(升级到最新的病毒库),在安全模式(Safe Mode)或者纯DOS下清除一遍病毒了!
2、不要使用网页在线杀毒
我想这也是很多朋友使用的杀毒方法,其实这种方法也是和上述的一样,同样无法彻底清除病毒,同时,由于利用了IE的特殊功能,会带来更多的安全隐患,而且一般反病毒厂商也不会提供全面的病毒库文件,所以这种方法充其量只能查出计算机上是否感染流行的病毒,而不能实际的进行清除病毒。而且,换个角度来看,如果这样就能干净清除病毒的话,那么厂商就没必要销售反病毒软件了。^o^
二、带毒文件存在于特定的目录或文件中的清除方法
这里所说的是由于某些目录和文件的特殊性,无法直接清除(包括安全模式下杀毒等一些方式杀毒),而需要某些特殊手段清除的带毒文件。以下所说的目录均包含其下面的子目录。
1、带毒文件在Temporary Internet Files目录下
由于这个目录下的文件,Windows会对此有一定的保护作用(未经证实)。所以对这个目录下的带毒文件即使在安全模式下也不能进行清除,对于这种情况,请先关闭其他一些程序软件,然后打开IE,选择IE工具栏中的"工具""Internet选项",选择"删除文件"删除即可,如果有提示"删除所有脱机内容",也请选上一并删除。
2、带毒文件在\_Restore目录下,*.cpy文件中
这是系统还原存放还原文件的目录,只有在装了Windows Me/XP操作系统上才会有这个目录,由于系统对这个目录有保护作用。
对于这种情况需要先取消"系统还原"功能,然后将带毒文件删除,甚至将整个目录删除也是可以的。
3、带毒文件在.rar、.zip、.cab等压缩文件中
现今能支持直接查杀压缩文件中带毒文件的反病毒软件还很少,即使有也只能支持常用的一些压缩格式;所以,对于绝大多数的反病毒软件来说,最多只能检查出压缩文件中的带毒文件,而不能直接清除。而且有些加密了的压缩文件就更不可能直接清除了。
要清除压缩文件中的病毒,建议解压缩后清除,或者借助压缩工具软件的外挂杀毒程序的功能,对带毒的压缩文件进行杀毒。
4、病毒在引导区或者SUHDLOG.DAT或SUHDLOG.BAK文件中
这种病毒一般是引导区病毒,报告的病毒名称一般带有boot、wyx等字样。如果病毒只是存在于移动存储设备(如软盘、闪存盘、移动硬盘)上,就可以借助本地硬盘上的反病毒软件直接进行查杀;如果这种病毒是在硬盘上,则需要用干净的可引导盘启动进行查杀。 对于这类病毒建议用干净软盘启动进行查杀,不过在查杀之前一定要备份原来的引导区,特别是原来装有别的操作系统的情况,如日文Windows、Linux等。
如果没有干净的可引导盘,则可使用下面的方法进行应急杀毒:
(1) 在别的计算机上做一张干净的可引导盘,此引导盘可以在Windows 95/98/ME系统上通过"添加/删除程序"进行制作,但要注意的是,制作软盘的操作系统须和自己所使用的操作系统相同;
(2) 用这张软盘引导启动带毒的计算机,然后运行以下命令:
A:>fdisk/mbr
A:>sys a: c:
如果带毒的文件是在SUHDLOG.DAT或SUHDLOG.BAK文件中,那么直接删除即可。这是系统在安装的时候对硬盘引导区做的一个备份文件,一般作用不大,病毒在其中已经不起作用了。
5、带毒文件的后缀名是.vir、.kav、.kbk等
这些文件一般是一些防毒软件对原来带毒的文件做的备份文件,一般情况下,如果确认这些文件已经无用了,那就将这些文件删除即可。
6、带毒文件在一些邮件文件中,如dbx、eml、box等
有些防毒软件可以直接检查这些邮件文件中的文件是否带毒,但往往不能对这些带毒的文件直接的进行操作,对于一些邮箱中的带毒的信件,可以根据防毒软件提供的信息找到那带毒的信件,删除信件中的附件或者删除该信件;如果是eml、nws一些信件文件带毒,可
以用相关的邮件软件打开,确认该信件及其附件,然后删除相关内容。一般有大量的eml、nws的带毒文件的话,都是病毒自动生成的文件,建议都直接删除。
7、文件中有病毒的残留代码
这种情况比较多见的就是带有CIH、Funlove、宏病毒(包括Word、Excel、Powerpoint和Wordpro等文档中的宏病毒)和个别网页病毒的残留代码,通常防毒软件对这些带有病毒残留代码的文件报告的病毒名称后缀通常是int、app等结尾,而且并不常见,如
W32/FunLove.app、W32.Funlove.int。一般情况下,这些残留的代码不会影响正常程序的运行,也不会传染,如果需要彻底清除的话,要根据各个病毒的实际情况进行清除。
8、文件错误
这种情况出现的并不多,通常是某些防毒软件将原来带毒的文件并没有很干净地清除病毒,也没有很好的修复文件,造成文件无法正常使用,同时造成别的防毒软件的误报。这些文件可以直接删除。
9、加密的文件或目录
对于一些加密了的文件或目录,请在解密后再进行病毒查杀。
10、共享目录
这里包括两种情况:本地共享目录和网络中远程共享目录(其中也包括映射盘)。 遇到本地共享的目录中的带毒文件不能清除的情况,通常是局域网中别的用户在读写这些文件,杀毒的时候表现为无法直接清除这些带毒文件中的病毒,如果是有病毒在对这些目录在写病毒操作,表现为对共享目录进行清除病毒操作后,还是不断有文件被感染或者不断生成病毒文件。以上这两种情况,都建议取消共享,然后针对共享目录进行彻底查杀,恢复共享的时候,注意不要开放太高的权限,并对共享目录加设密码。
对远程的共享目录(包括映射盘)查杀病毒的时候,首先要保证本地计算机的操作系统是干净的,同时对共享目录也有最高的读写权限。如果是远程计算机感染病毒的话,建议还
是直接在远程计算机进行查杀病毒。
特别的,如果在清除别的病毒的时侯都建议取消所有的本地共享,再进行杀毒操作。在平时的使用中,也应注意共享目录的安全性,加设密码,同时,非必要的情况下,不要直接读取远程共享目录中的文件,建议拷贝到本地检查过病毒后再进行操作。
11、光盘等一些存储介质
对于光盘上带有的病毒,不要试图直接清除,这是神仙也做不到的事情。同时,对另外一些存储设备查杀病毒的,也需要注意其是否处于写保护或者密码保护状态。
免费论文网友情提示:本网站所有内容为共享上传提供,不涉及任何商业利益,本站对此不承担任何保证责任!
Copyright © www.csmayi.cn Corporation, All Rights Reserved 共享时代 共享你我他 版权所有