NOVOTS KMS 词汇表 Glossary    联系我们 Contact Us
查询 Search  
   
按类别浏览 Browse by Category
NOVOTS KMS .: 病毒安全 .: 关于删除病毒步骤

关于删除病毒步骤

1、正常模式与安全模式删除病毒时的差异。2、删除病毒文件与病毒加载项的前后次序。

首先明确4个问题:
第1个问题:病毒在系统中的存在有两个:一是病毒文件,是子弹;一是注册表或autoruns.inf等其他途径的加载项,是撞针。两者缺一不可。只有病毒文件,没有加载项,好比子弹不上膛,没啥用。除非你非把子弹拿两个大石头砸着玩。只有启动项没有子弹,结果是打空枪。

第2个问题:如果能成功清除病毒的所有注册表加载项,即使不删除病毒文件,你的系统也即可恢复正常。反之,如果删除全部病毒文件,不清除病毒的注册表加载项,重启之后你的系统会报错。可能提示你XXX文件找不到或加载失败,或者留下系统错误日志。

第3个问题:安全模式,只加载病毒驱动(sys文件,如果有)。 
正常模式,加载病毒驱动项、服务项、启动项等等一切。

第4:病毒驱动和病毒进程一旦加载,会监视病毒文件和注册表保证自身和注册表启动项不被删除。

明确以上的问题后,得到的一般的查杀步骤如下:

1、可以进入安全模式:
对于病毒驱动文件来说,删除时在安全和正常模式都一样,但对于中毒较深,病毒进程较多的案例,一定要进入安全模式杀毒。这时没有病毒进程干扰和保护,系统不会被病毒拖慢甚至拖死,删除成功率高些,操作也顺当。
       但一定要先删除驱动文件。删除病毒驱动文件后,删除病毒注册表启动项和其他病毒文件前,要重启电脑。因为病毒驱动加载到system级别保护,不重启,我们对注册表的修改操作会失败。这个在清除 allxun/piaoxue等流氓时得到验证。

       在安全模式,在清除病毒驱动并重启之后,由于病毒的服务和进程没有加载,清除注册表和删除病毒文件的次序是无所谓前后的。

2、不能进入安全模式,删除病毒驱动后,可以有3种次序删除病毒:
A、停止病毒服务,终止病毒进程,如果能成功,再先删文件还是先删注册表就无所谓了。这是个理想的结果,实际操作时对于服务和进程比较单一的病毒有效。如果遇到病毒注入很多包括系统进程。这时你不可能把所有进程全部终止。不是万无一失的办法。除非使用冰刃。
B、先删除干净注册表,再重启删除病毒文件。这个在病毒进程没有监控注册表时可以成功。这也是个理想的状态。实际很多病毒进程是监控自己的注册表启动项的。被修改后马上自行修复。所以这个次序也不是万全之策。 除非使用冰刃。
C、 先删除干净病毒文件,然后重启,删除病毒启动项。这个办法是先卸子弹,再摘撞针。这时删除病毒文件需要使用删除工具,然后重启时,会提示XXX文件加载失败或找不到。继续删除注册表启动项,再重启就ok了。

必须的补充:1、我在上面两次提到“除非使用冰刃”。冰刃对于非驱动级别的病毒文件甚至部分驱动级别的病毒文件,都可以轻松删除,并能修改注册表成功,原因在于冰刃的功能强大,还有一个杀手锏:禁止进程和线程创建。这一点让病毒的任何修复操作都不能成功。即使病毒进程没有终止,我们也一样可以轻松删除病毒文件并修复注册表。但是冰刃对于一些驱动级别文件的删除有时力不从心。


这篇文章对你多有用?

相关文章

article 关于使用outlook的2个知识
 1.在

(No rating)  9-13-2012    Views: 928   
article 关于使用outlook的2个知识
1.在工具中,一般会有外出时的辅助程序,如果在工具

(No rating)  8-13-2012    Views: 997   
article 关于睡眠和休眠
     ...

(No rating)  6-29-2012    Views: 784   

用户评语

添加评语
当前还没有评语.


.: .: .: .: .:
[ 登陆 ]
北京护航科技有限公司 2006

Novots Technologies Limited