计算机病毒越来越猖獗。我到朋友家串门,进门后被要求做的第一件事,往往就是帮他们杀病毒,极少发现没有病毒的机器:)
现在的病毒往往非常狡诈。即使找到了病毒进程,有时候也杀不掉,因为有的病毒是两个进程同时运行、相互掩护,一旦一个被终止,另一个立即启动新的进程。另外,病毒往往是由注册表自启动项来启动的,但你一旦删除启动项,病毒进程可能马上给你重新写入。还有的病毒,给操作系统挂了个hook,能识别杀毒软件,致使杀毒软件根本就打不开运行不了。
我通常采用最简单的办法:找出最近几天更新的exe或dll文件,然后删除。
可以用资源管理器鼠标右键菜单“搜索”按指定日期搜索文件名“*.dll,*.exe”。病毒文件属性有时是系统+隐藏,应在“资源管理器/工具/文件夹选项/查看”中选中“显示所有文件和文件夹”项,关闭“隐藏受保护的操作系统文件”项,这样才能在资源管理器中看到这些文件。病毒文件通常很小,一般在100KB之内;通常在windows/system32目录下,但要注意有可能有多个文件分布在不同目录(比如在Program Files\Common Files),一旦一处病毒文件被删,另一处的病毒文件仍可启动后再恢复被删除的文件。正常软件安装的文件往往有多个,日期相同;而病毒往往只有一个和其他文件的日期不同的文件。
病毒文件通常禁止删除。阳明说可以用Icesword,我没有用过。可以在机器上安装两套系统,有问题时启动另一套来删除(安装两套系统还有其他的好处:一套崩溃了,可以用另一套来启动抢救)。也可以在硬盘上安装“Windows故障恢复控制台”,机器启动时选择“故障恢复控制台”启动项目;或者用Windows XP安装盘或启动盘,启动后选“故障恢复控制台”。“故障恢复控制台”启动后进入命令提示行,cd进入相应目录,用del删除病毒文件。如果怕误删,可用ren改名。
如何安装和使用 Windows XP 的故障恢复控制台,见:
http://support.microsoft.com/kb/307654/zh-cn预防办法,当然是安装病毒防火墙,并随时更新病毒库。简单的办法是经常打开Windows任务管理器(Ctrl+Alt+Del弹出),看看运行的进程中有没有以前没有见过的进程(但要注意病毒有时会起一个跟正常进程差不多的名字);经常看看system32下面有没有新的exe或dll文件;经常看看有没有新的启动项。可以用下面两个工具:
Process Explorer
http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/ProcessExplorer.mspxAutoRuns
http://www.microsoft.com/technet/sysinternals/Security/Autoruns.mspx