网页资讯视频图片知道文库贴吧地图采购
进入贴吧全吧搜索
javran吧 关注:7贴子:154
  • 3回复贴,共1

[Javran][原创][Work]关于流氓软件和病毒的一般解决方法

只看楼主收藏回复

关于流氓软件和病毒的一般解决方法
By Javran
1. 充分利用网络资源
除非是未知病毒,一般的病毒都有名称,可以利用google或者baidu的搜索功能,查找此类病毒是否有通用的解决方法或者专杀工具,有的工具甚至能修复被病毒破坏的文件,所以,如果是破坏性病毒,专杀工具一般能达到最好的修复效果.另外,例如Trojan.Win32.Agent.vfw,最后的vfw可能是病毒的变种代号,如果这种病毒在网络上搜索不到,可以试着去掉最后一段文字再搜索,得到的信息一般有一定参考价值.
2. 自己动手,丰衣足食~
以上的方法只能算治标不治本,能总结经验,举一反三才是王道^_^
2.1自启动
2.1.1 regedit
开机自启动时会加载注册表中的某些启动项,这也是病毒常用的伎俩,利用windows自代的regedit可以编辑注册表中的信息,启动的方法是按win+r后输入regedit.
以下是常见的自启动位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify

键值:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor\AutoRun


1楼2007-09-06 11:51回复
    2.1.2Windows服务
    这是windows开启时会自动加载的东西
    例如灰鸽子,会将自己注册为服务,在注册表中,服务的位置如下:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
    Windows的服务管理软件的运行:
    Win+r,输入services.msc
    注意一些敏感的服务,不要开着:
    Indexing Serivce
    Remote Registry
    Shell HardWare Detection
    Telnet
    Terminal Serivces
    Messenger
    还有这些,我认为重要的服务如下:
    DHCP Client
    Event Log
    Plug And Play
    RPC
    Windows Audio
    你要在services.msc里做的就是看一看有没有陌生的服务,没有说明的服务,对”注册表”,”远程”这类词要有极高的警觉意识.
    2.1.3驱动程序
    所谓的驱动级病毒就是将自己伪装成驱动而自动加载的病毒,这种病毒在任务管理器中找不到,而你无法完全删除它.
    据说在运行或者命令行中运行regsvc32 /u <文件绝对路径>可以卸载驱动,不过我没有用过 (= = |||||||)
    我的方法是Win+PauseBreak,调出系统属性,硬件,设备管理器,查看,显示隐藏设备,之后可以看到非即插即用设备,展开,看看有没有那个无法删除文件的身影,有的话卸载掉,就可以把那个病毒挂在驱动里的”救命稻草”over了,接着和删除一般的文件一样对待它吧.
    2.1.4启动文件夹
    这个人人都知道,如果病毒放在这个地方那也太搞笑了~
    2.1.5AutoRun.inf
    当打开每一个文件夹的时候,autorun中的信息就被加载,此文件可以放在任意位置,并且这个文件能在你打开文件夹或驱动器时自动加载程序,解决方法就是用cmd或者command查看被怀疑的文件夹中的autorun.inf,如果里面有加载病毒的位置…呵呵,把要autorun.inf中描述的程序删了吧.
    2楼2007-09-06 11:51
    回复
      @echo off
      echo 请确认你是在资源管理器中打开U盘以后才在U
      echo 盘目录下双击打开这个文件的.如果是,请继
      echo 续,否则按CTRL+C退出以后再重新打开.
      echo.
      echo 确定?
      pause
      attrib autorun.inf -h -s -r -a >nul 2>nul
      del /f /q autorun.inf >nul 2>nul
      rd /s /q autorun.inf >nul 2>nul
      if exist autorun.inf goto BAD >nul 2>nul
      if not exist autorun.inf md autorun.inf >nul 2>nul
      cd autorun.inf >nul 2>nul
      md AntiDEL..\ >nul 2>nul
      cd\ >nul 2>nul
      attrib autorun.inf +h +s +r +a >nul 2>nul
      echo OK!
      goto END
      :BAD
      echo Failed!
      :END
      pause
      IP属地:北京4楼2007-09-06 12:20
      回复
        LS发的是对付autorun.inf的BAT/CMD文件
        意义应该很清晰吧

        不想搞全自动的
        菜鸟们就让开
        5楼2007-09-06 14:45
        回复

          扫二维码下载贴吧客户端

          下载贴吧APP
          看高清直播、视频!
          • 3回复贴,共1
          发表回复
          发贴请遵守贴吧协议及“七条底线”贴吧投诉
          内  容:
            查看全部
          发 表
          保存至快速回贴

          发布成功
          去贴吧APP订阅抽奖结果通知
          扫码进入贴吧APP
          ···········
          开奖后第一时间站内信通知
          ···········
          中奖结果全员公示