从对知识的苛求,对病毒的清晰认识这方面出发,当我们遇到一个病毒时,首先要做的事是杀毒吗?不是!首先是要知道这是个什么病毒,通过在搜索引擎查你的不正常现象就能知道(比如你发现你的图标变成了熊猫,自然会查出是熊猫烧香)。
然后要做的,是通过搜索引擎查病毒名,尽可能多的掌握这个病毒的基本特点,包括:
·它会生成哪些文件,每个文件在什么目录下,是什么属性……
·它会造成哪些破坏,比如会不会删除你的数据,会不会感染你的可执行文件……
·它会通过哪些方式来在开机时启动自己,在使用过程中再次激活自己……
·它是否会修改注册表、HOSTS文件……
·是否有手工清除的完善方案
当你了解到以上信息时,无论你的技术水平如何,我认为你都应该首选以手工方式来杀毒,杀毒软件是下一步的选择。对照上面你找到的信息,我们来看一下如何手工处理。
·它会生成哪些文件,每个文件在什么目录下,是什么属性……删除每一个文件!可执行文件如果不让删,就结束掉其进程再删;dll文件如果不让删,就注销掉(regsvr32 /u dll文件名)这个dll然后再删除,注销不掉的到安全模式下去删;sys文件如果删不掉,到安全模式下去删。
·它会造成哪些破坏,比如会不会删除你的数据,会不会感染你的可执行文件……如果删除了数据,如果没有备份则可以尝试使用finaldata等数据恢复工具恢复,如果数据被修改就只有用备份恢复了。如果感染了可执行文件,那么这些被感染的可执行文件当然不能再执行它们,要么用备份或剥离工具来恢复,要么全部删除,在杀毒后再重新安装它们。
·它会通过哪些方式来在开机时启动自己,在使用过程中再次激活自己……修改注册表、修改autoexec.bat、修改%userprofile%\程序\启动、增加类型为“自动”的服务……都是病毒常见的伎俩,利用这些修改来使自己在开机时获得启动机会,你要做的自然是删除它们!在每个盘跟目录下增加autorun.inf、修改文件关联,则成为最常见的在使用电脑过程中再次激活病毒的方式,删除和修复也是必需的!
·它是否会修改注册表、HOSTS文件……几乎所有的病毒都会修改注册表,RUN项是最常光顾的地方,所以你必须要很熟悉这个地方!当然还有其他一些莫名其妙的地方(不常见的)也会被病毒修改来达到自己的目的。修改HOST的目的通常是想让你在访问正常网站(比如baidu)时跳到含有病毒的页面上,或者让你在访问瑞星等杀毒软件站点的页面时也跳到含有病毒的页面上。你只需要打开HOSTS文件看看其中的内容就知道了,正常情况下除了localhost 127.0.0.1这句外,其他的都可能是病毒修改的,删除它们!
·是否有手工清除的完善方案……实际上以上这些就是完善的解决方案了,当然如果在你查到的资料里直接有12345一样的步骤告诉你怎么做更好。
