惡意軟件清除手冊(cè)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

無(wú)論是在家還是在工作中，對(duì)于系統(tǒng)使用者來(lái)說(shuō)最大的困擾似乎是恢復(fù)被惡意軟件感染的系統(tǒng)。實(shí)際上，對(duì)我們SearchWindowsSecurity.com的專家答疑來(lái)說(shuō)這是個(gè)最普通不過(guò)的問(wèn)題?；蚨嗷蛏偎鼈兌紩?huì)產(chǎn)生一些破壞，某些廣告軟件，病毒，(禁止)木馬程序需要花費(fèi)一定的時(shí)間將之從系統(tǒng)中除去。

這些年來(lái)我遇到各種各樣的騙局，它們實(shí)際上清除不了任何東西，同時(shí)還將你的清除努力，和安全力降至最低。當(dāng)對(duì)感染做出反應(yīng)時(shí)，確保你考慮到以下每一個(gè)步驟:

使用多種工具來(lái)清除病毒，偵查軟件和木馬程序。許多惡意軟件清除工具工作方式不一樣，有的的確要優(yōu)于其它，所以如果你遇到問(wèn)題要清理系統(tǒng)，就要確保使用工具二至三，四，甚至更多。以保你能找到有效的工具。一些我曾使用過(guò)并經(jīng)證明真實(shí)的選項(xiàng)如下:

http://vil.nai.com/vil/stinger
http://www.spybot.info/en/index.html
http://www.microsoft.com/athome/security/spyware/software/default.mspx
http://www.sysinternals.com/Utilities/RootkitRevealer.html
http://greatis.com/unhackme
http://www.f-secure.com/blacklight
嘗試使用免費(fèi)工具可用于網(wǎng)上掃描。來(lái)自Google 免費(fèi)防毒軟件的一個(gè)提示將能指引你正確的方向。這里有我和他人過(guò)去使用效果不錯(cuò)的工具:

http://www.pestpatrol.com/prescan.htm
http://www.ewido.net/en/onlinescan
http://housecall.trendmicro.com
http://www.pandasoftware.com/products/activescan
3.檢查所有明顯的地方比如你的Windows 啟動(dòng)文件夾，在 msconfig的啟動(dòng)符號(hào),任意注冊(cè)按鈕涉及到在注冊(cè)表編輯器HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/Run下的程序。而且，你也不能低估位于一個(gè)表面上正常的目錄例如Windows 臨時(shí)目錄下的malware. 因此整個(gè)系統(tǒng)的掃描是很重要的。

4.挖深一點(diǎn)。嘗試裝載內(nèi)部的進(jìn)程檢測(cè)來(lái)觀察加載程序和應(yīng)用軟件，這樣才可能追捕到在運(yùn)轉(zhuǎn)的malware。你也能夠運(yùn)行Findstone的想象力來(lái)尋找基于當(dāng)?shù)豑CP和UDP端口的malware。你也能夠用你自己防火墻的應(yīng)用軟件保護(hù)特征(如果支持的話)或者是網(wǎng)絡(luò)分析器，例如CommView或者Ethereal來(lái)看在現(xiàn)場(chǎng)背后到底發(fā)生了什么。這個(gè)能幫你展現(xiàn)不可信的草案和輸入的通信量以及當(dāng)你離開(kāi)你的電腦時(shí)其他方式不能見(jiàn)的東西。

5.卸載任何你認(rèn)為被感染的軟件然后重起你的電腦，這可能是你的軟件有文件開(kāi)著的阻斷任何的清潔或隔離你的malware移動(dòng)軟件的嘗試。

6.嘗試恢復(fù)損壞的系統(tǒng)和導(dǎo)入安全模式(這是一個(gè)好例子)，然后運(yùn)行你的病毒偵查軟件測(cè)試工具，同時(shí)你也能夠運(yùn)行光盤啟動(dòng)的抗病毒程序。

7.你可能有軟件毛病或者是硬件問(wèn)題勝于malware感染。重新設(shè)置你的windows或者是有效的應(yīng)用軟件。如果那樣還是沒(méi)有用，嘗試取消你最近所做的任何硬件改變比如加了一條內(nèi)存，一個(gè)電視卡等等。你可能有壞的內(nèi)存，一個(gè)不好的PCI卡或者是其他的常常用來(lái)斷定的觀點(diǎn)除非你在那個(gè)標(biāo)準(zhǔn)下及時(shí)發(fā)現(xiàn)并修理故障或者是讓一個(gè)有資格技術(shù)員看看。

8。不要全部依賴google或是你喜愛(ài)的搜索引擎來(lái)尋找如何清理你系統(tǒng)的細(xì)節(jié)問(wèn)題.直接點(diǎn)擊賣主的網(wǎng)頁(yè)那里尋找答案.我已經(jīng)多次瀏覽關(guān)于殺毒和殺毒軟件的網(wǎng)頁(yè)(symantec,trend micro,sophos,等等)來(lái)尋找正確的答案.symantec安全回復(fù)網(wǎng)址和ca's spyware百科全書網(wǎng)址都包含了很多好的信息.而且點(diǎn)擊google groups也會(huì)得到從任何別的地方得不到的有價(jià)值的信息.

9。殺毒和殺毒軟件的買主也許會(huì)有專業(yè)的移除工具,這些也許是你從未聽(tīng)說(shuō)過(guò)的,但是仍然對(duì)殺毒有幫助.放心使用賣主提供的工具,而不要輕易使用現(xiàn)今流行的殺毒或殺毒軟件的賣主.即使你已經(jīng)安裝了很有競(jìng)爭(zhēng)能力的一個(gè)產(chǎn)品,有時(shí)他們的工具仍然會(huì)起到作用,當(dāng)然這僅供選擇.

10。使用hashcalc這個(gè)工具或是相近的工具來(lái)檢測(cè)非常值得懷疑的文件,比較得到的結(jié)果會(huì)了解安裝傳媒中的完善的文件和清潔的系統(tǒng).

11。如果還有懷疑,請(qǐng)重新安裝.如果你的windows系統(tǒng)甚至在安全模式下都不能安裝--它被鎖上或是在某點(diǎn)持續(xù)重新啟動(dòng)--你可以采取強(qiáng)硬的手段來(lái)恢復(fù)你的系統(tǒng).但是在你那樣做之前,你應(yīng)該試一下winternal的erd指令來(lái)使電腦有足夠的時(shí)間保存那些你不想丟失的文件.在那之前,你可以保存?zhèn)浞莼蚴歉袷交缓笾匦麻_(kāi)始.這個(gè)聽(tīng)起來(lái)也許很強(qiáng)硬,但是它和直接解決問(wèn)題相比占用很少的時(shí)間,這樣你就可以啟動(dòng)一個(gè)沒(méi)有病毒的系統(tǒng)了.

12。站在一個(gè)企業(yè)的角度,你真的需要一個(gè)正式的安全回復(fù)計(jì)劃.這是把不安全軟件從一個(gè)或兩個(gè)系統(tǒng)中清理出去的方法,但不是一個(gè)可以運(yùn)用在全部網(wǎng)絡(luò)都癱瘓的方法.以下的網(wǎng)址是很好的開(kāi)始:

http://csrc.nist.gov/publications/nistpubs/800-83/SP800-83.pdf
http://csrc.nist.gov/publications/nistpubs/800-61/sp800-61.pdf
http://www.first.org/resources/guides
http://cirt.rutgers.edu/tools.php
(techtarget)