本文所说的不是用杀毒软件检测病毒,而是用你的眼睛去发现、识别病毒、木马。最直接的是从windows自带的任务管理器的进程表中查找可疑进程。所谓可疑进程就是非系统的进程、也非你所安装的应用软件的进程,当然首先你要熟悉有什么正常进程,不熟悉也没事,反正看到不象好人的就去网上搜索,系统进程、正常就用软件进程一般在网上都很容易找到对它们的解释,找不到就有嫌疑了。此类病毒或木马的文件名大多是采用字母数字随机生成的名字,看过去名字比较奇怪,没有特定的含义,比较容易识别(也有例外的,比如一个modem的驱动、还有雅虎的某个工具的文件看上去也类似于随机组合似的)。有的则有固定的名字,这种识别可能会比较困难,但正因为是固定名字的,就是明显特征,在网上比较能查到它的家谱,甚至祖宗三代。以上所说的是比较直接的,还有比较隐藏的。有一种是用与正常进程相近的名字来欺骗我们的眼睛。如svch0st.exe(中间是数字0,不是字母o),就是想伪装成svchost.exe,而且在大写状态下肉眼基本分辨不了的。识别这种就得要细心了。最直接简单的方法是查看进程的路径,如果不是在正常文件应该在的地方的,绝对有问题,如果在同一个地方的,按名称排个序,两人站一起就认出来了。第三种是直接顶替正常进程,名字一样的,但可能位置是在另一个文件夹中的,或正常文件被病毒替换的。前者一样是检查文件路径,后者有点麻烦,不过也是有迹可寻的,比如是否有安装过包括此进程的软件,如果你没装瑞星,进程中多出一个rav,当然可疑。最讨厌的是直接顶了系统文件的病毒文件,你很难一眼发现,不过用下面的方法还是可以解决的。上面说的都是直接从任务管理器进程表中看到,至于那些插入的进程、子进程、隐藏进程是不会从里面看到的。所以光用windows自带的任务管理器是不够用的,可以借用第三方工具,只要能详细把所有进程的文件名、路径、甚至版本号、公司等信息都列出来的工具就是好工具(这样就可以发现被替换的文件)。当然有比较狡猾的病毒会假冒公司名,经常假冒的就是微软(Microsoft),这时就要检查文件创建的时间,比如微软的文件一般是系统文件,不大可能是近期创建的,如果发现创建时间是比较新的,就要有所怀疑。修改时间也是一样,没有特殊情况,例如可执行文件、动态链接库文件(dll)等是不大可能被修改的,文档或配置文件倒可能。所以文件名、路径、创建时间、修改时间、公司、乃至版本号都是可以用来识别病毒的依据,但也不要一概而论,只能参考上面的方法,照搬后果自负。
本文所述的不是指杀毒软件自动删除病毒木马,而将从被感染的文件中清除病毒并修复文件,也不在本文讨论范围内,本文讨论的是个人如何手动删除病毒(含木马)文件,此类病毒文件不属于系统和就用软件所有,而是外来(生成、下载、复制)硬加到电脑中的。===================================================================插播广告:除了本文所述的纯手动删除方法外,我们可以借助工具软件来达到删除顽固病毒文件的目的,毕竟已经有高手做了那么多那么好的现成工具,我们为什么不用呢——请看《怎样删除病毒(工具篇)》=========================================================== 手动删除病毒文件最直接的方法就是右击文件,在弹出的菜单中选择“删除”,这与平常删除文件的方法是一样的。但病毒既然成为病毒就不可能这么容易消灭,经常遇到的情况是无法删除,或删除后再生(前者的原因要么是正在使用中,或插入系统进程中,后者一般是由于其它病毒进程还在监控着,我们重点说删除,具体原因不细究了)。因此我们要采取不同的手段来对付。 删除病毒文件的方法:1、直接删除。如上所述,有相当部分的病毒文件不会那么老实离开,就用第二步。2、修改权限。这个老实说,我没试过,但网上确实有这个说法,就是到文件的属性-安全中修改权限为everyone完全控制,就可以删除,不过如果硬盘分区格式为FAT32时,文件属性中是没有安全的选项页的,即使为NTFS格式,有时权限也为完全控制,但你仍不能控制,因为还有其它原因导致不能立即删除。3、结束进程和结束启动项。 特别是对正在使用中的文件是不能直接删除的,那么从任务管理器中结束它们的进程或它们相关的进程后,使文件处于非运行状态就可以删除了,还有一种插入系统进程的情况,结束系统进程,也可以使删除对象脱离运行,比如很多病毒会插入到explorer.exe进程中,从任务管理器中结束explorer.exe后,你就可以删除病毒文件了,当然结束了explorer.exe后桌面也消失了,只剩下任务管理器,不过我们可以从任务管理器的“文件”-“新任务”-“浏览”打开文件夹打到删除对象进行删除,然后要恢复桌面,再从“新任务”中运行explorer.exe,桌面就回来了。从注册表启动项、服务、驱动中找到启动的病毒文件,当然首先你要熟悉启动的项目有哪些,结束它们的启动,然后重启电脑,这样病毒文件不再启动,就可以任我们宰割。(有的时候这要反过来用,先删除文件后再重启才能删除启动项,灵活,运用一定要灵活。) 对这个删除方法,难点是找到它们的进程、相关进程或启动项,有时不那么好找或不那么好认,找到了也不一定结束的了,它们有同伙,或者自卫能力较强。4、安全模式。一般情况下,安全模式会跳过很多启动项,这时启动的系统相对干净,很多病毒没有被激活,在安全模式下可以很容易地直接删除它们。即便如此安全模式也不是真正安全,还是有很多顽固分子会牢牢抓紧系统,使你无法轻易得手如愿。 附安全模式启动方法:2000/XP系统:开机后按F8,在出现的菜单中选择安全模式(这里还有两个选项:一个是带网络的安全模式,可以联网的,另一个是带命令行的安全模式,用以命令操作的)。5、其它系统法。说通俗点就是本系统不能杀,用另一个系统来杀,杀毒也常用这招。比如用启动盘启动到纯DOS下,或用win PE光盘启动到PE系统(这种光盘的镜象文件网上有,有的还集成了许多必需工具,可以去下载,再刻成光盘),实在不行还可以把硬盘拆下来,挂到另一台电脑上,当然这得冒着挂接电脑也被感染的风险(具体要看什么病毒了,比如autorun病毒就比较可能感染挂接电脑)。因为是在另一个系统中,病毒再怎么牢固也无处发力了,前提是你别去激活它,比如那个autorun病毒(硬盘下含有autorun.inf的那种)。 这里多说下常用的DOS下的命令:前往某个硬盘分区,只要输入盘符加冒号,然后回车(如前往D盘):d:显示当前文件夹下文件:dir显示当前文件夹下所有文件(含隐藏文件):dir/a进入某个下级的文件夹(假设文件夹名为xxx):cd xxx返回上一级文件夹:cd ..删除文件(假设文件名为yyy.exe,文件名及扩展名要写全):del yyy.exe去掉文件隐藏属性、系统属性(假设文件名为zzz.dll):attrib zzz.dll –h –s
上次说了怎样在系统下手动删除病毒(木马)文件,实际操作中还是有一定难度,不过我们可以借用不少工具来完成我们的目标。能够强行删除文件的工具软件不少,我只说我用过的软件程序,这并不是说我没写的就不行。首先,我最早用的是killbox,它删除文件时会保留一个备份到删除文件所在分区的根目录下的!submit文件夹中,感觉它的删除原理就是先结束explorer.exe行程,然后删除文件,最后恢复桌面,所以仍然会遇到删除不了的情况,不知道现在的版本有没改进。 1111.jpg 然后我用的就是冰刃(icesword),虽然冰刃有其他的用处,比如监视进程等等,不过我用的最多的还是它的删除功能。运行冰刃后,从左边选择“文件”,然后选择硬盘分区和文件夹路径,该路径下的所有文件都会在右边显示出来,包括隐藏文件(即使你没选择显示所有文件或不能显示隐藏文件),找到要删除的文件,右击文件,强制删除。删除文件夹也是一样的。这个强制删除的能力还是不错的,我曾经用它删除了不少平常方法删除不了的文件,包括某些用非常规手段建立的文件夹,比如名称后带“..”的文件夹、用系统保留字作名称的文件夹。但是,有个一直弄不明白的问题是有的时候冰刃无法运行,会提示初始化失败,有时是在安全模式下会这样,到正常模式又正常,有时是在任何模式下都运行不了,网上查了半天也没找到确切的解释,有一种是说冰刃运行时会在系统驱动中加载自己的驱动(如isdrv120.sys),如果被其它杀软阻止就会出错,可是没有装任何杀软或没有任何安全工具启动的情况下,冰刃也会运行不了就无法解释了。 2222.jpg 在有时冰刃不能用的情况下,我就使用powerrmv。注意powerrmv有两个版本(我也不知道怎么分出两个来了)。一个是叫“数据病毒木马[屏蔽]灭杀天王”,下面注的是“版权所有萧云正”。点锁定目标就可以打开浏览窗口找到要删除的文件(注意这里和冰刃不同,如果你没有打开显示所有文件,那么你是看不到隐藏文件的,对于病毒影响不能显示隐藏文件的情况就有点麻烦了)。同时,它不能象冰刃那样删除文件夹,只能删除文件。有时文件不能立即删除时,会把文件对象改名,并在重启后删除。 3333.jpg 使用时还可以选上“抑制杀灭对象再次生成”,这样在删除文件的同时会生成一个同名(包括删除文件的扩展名在内)的文件夹,因为同一个位置,系统是不允许有相同名称的文件或文件夹存在的,这样就阻止了病毒的再生。可以说这是一个不错的功能,冰刃虽然能删除文件,但却不能抑制再生,即使你手工创建,可能赶不上病毒再生的速度。不过问题是新生成的文件夹没做任何保护,如果病毒增加一个检测功能,一检测到同名对象就先删除再创建自己的文件的话,那么抑制功能就失效了。在使用中我有发现有时删除时即使选上抑制选项,但仍没有建立同名文件夹,开始以为是否是因为能够直接删除的就不会创建文件夹,可是后来发现平常使用时只要选中选项就能够建立文件夹,怀疑是病毒干扰,还是程序本身的原因。再看另一个powerrmv,名称是“费尔木马强力清除助手”,说是费尔托斯特安全产品中的一个,好象是从中分离出来的。它和上面说的同名程序类似,也是先选要删除的文件(同样如果没打开显示所有文件选项,你是看不到隐藏文件的),然后有三个选项“清除”、“清除,并抑制文件再次生成”、“解除抑制”,除第三个选项外,另两个是删除时用的,抑制再次生成选项原理与上面的抑制原理相同,不过它建立的文件夹是带隐藏、只读、系统属性的,可以说多了点保护,不过并不是说就无敌了,要删除还是可以删除的,而“解除抑制”的功能就是删除这些文件夹。选定选项后,再点开始,会提示你是否创建一个邮件用来上报病毒样本,可以点否(我们只想删除),然后就可以开始删除了。有时会提示重启后删除,即使如此那个文件已经找不到了,可能是还在内存中吧,所以要重启。一般情况下都能实现我们的删除目标,可以说它的删除能力相当不错的。 4444.jpg 与上面的“灭杀天王”不同的是这个“费尔木马清除助手”可以一次删除多个文件,可以在选择时按ctrl或shift选择多个文件,或者手动输入路径和文件名,一个文件占用一行,按回车就另起一行输入新文件名和路径。可以说这种批量删除比冰刃和上面的同名伙计使用上方便多了。除了上述的几个软件外,还有其他的工具也是不错的,比如unlocker,比如xdelbox,不过我没具体用过,就不说了,以后有用过再补充。只要我们灵活运用手中的工具,是完全可以删除顽固的病毒文件的。
