飞雪散花
对病毒木马进行查杀,只是万里长征第一步,接下来,我们还有太多的康复工作要做。
1、防止死灰复燃,斩尽一切鬼魅
病毒木马被查杀后,许多文件会残留在系统文件和磁盘引导区中,如果不能将其一网打尽、斩草除根,它们极有可能死灰复燃。所以恶意程序被查杀后,我们要做的第一件事就是清除漏网之鱼。
1.清理系统还原点
系统还原点是微软为防止因用户安装第三方应用程序导致系统出现问题而提供的一种保障措施。这样,当系统出现问题时,我们可方便地使用先前建立的还原点恢复系统。
默认情况下,Windows系统会在指定的时间或发现用户安装了新软件后,自动建立一个还原点,该还原点往往保存有病毒木马,因此,在查杀病毒后,我们务必要对磁盘保存的还原点进行清除。
以Win 8.1为例。
右击“开始”按钮,在弹出的右键菜单中选择“控制面板”,打开控制面板,依次选择“系统安全”、“系统”项,进入相应的窗口。选择左侧的“系统保护”项(如图1)。
在出现的“系统属性”对话框中切换到“系统保护”标签,单击“配置”按钮,打开“系统保护”对话框,单击“删除”按钮(如图2),系统建立的所有还原点即会被清除。
2.清理系统临时文件
临时文件夹也是病毒、木马余孽最容易藏身的地方。其中的道理很简单,任何程序安装和运行时,都会将一些必要的文件释放到临时文件夹中,以便适时调用,病毒、木马当然也不例外。
默认情况下,系统临时文件夹位于“C:\Users\用户名\AppData\Local\Temp”目录下(其中C为系统所在分区,下同),进入该目录,将文件全部删除即可(如图3)。如果有些文件因为正在被占用,无法被清除,可用光盘引导PC并进入WinPE系统,然后将其清除。
| Tips |
AppData为系统属性的隐藏文件,需要在Windows资源管理器中切换到“查看”标签,然后勾选“隐藏的项目”项才能显示。而对于Win 8以前的操作系统来说,可通过在资源管理器的工具栏中单击“组织/文件夹和搜索选项”,打开“文件夹选项”对话框,切换到“查看”标签,在“高级设置”列表中选择“显示隐藏的文件、文件夹和驱动器”项,单击“确定”按钮才能显示。
3.清理注册表
除了经常会在临时文件夹中留下足迹外,不少病毒木马在系统中运行时,还会在注册表中加入相应键值,并生成大量的垃圾文件。这些文件的存在,不仅会大大增加系统再次被感染的几率,同时,还会占用硬盘空间,对此,我们可用“360安全卫士”等工具清除。
在360安全卫士的主界面中,切换到“电脑清理”标签,勾选“电脑中的垃圾”和“注册表中的多余项目”项,单击“一键清理”按钮(如图4),上述文件即会被清除。
4.清理磁盘引导区
为了达到被用户查杀后能快速还原的目的,许多病毒喜欢将自己附身于磁盘引导区中,由于磁盘引导区是先于系统运行的,所以即使我们已对硬盘进行过全盘查杀,病毒也会在我们再次启动PC后,自动释放到内存中,最终达到再次感染系统的目的。对于此类病毒,目前最好的办法是利用DiskGenius等磁盘管理工具重建MBR(电脑硬盘的主引导记录)。
用本刊提供的光盘引导PC进入Win PE系统,单击“开始/所有程序/系统工具/DiskGenius”,进入DiskGenius主界面,单击菜单“磁盘/重建主引导记录(MBR)”(如图5),然后在弹出的确认对话框中单击“是”按钮,程序即会用自带的MBR重建主引导记录。重建主引导记录后,隐藏在主引导区的病毒就会被彻底清除了。
| Tips |
重建MBR具有一定风险。为防止重建后引起硬盘数据丢失,重建前,应对重要数据进行备份。
2、收复失地,解决杀毒后遗症
查杀病毒木马后,系统中很多文件可能已遭到破坏,而这些文件,我们可以通过手工的方法修复。
1.修复被破坏的文件关联
为了达到隐藏自身,肆意为祸的目的。病毒木马往往会对系统默认的关联文件进行修改,比如,有的病毒会将文本文件的关联程序修改为病毒文件,这样,当用户试图打开文本文件时,病毒、木马就可以自动运行了。而有的病毒则会窜改EXE可执行文件的关联程序,以便达到让杀毒工具无法运行的目的。
一般来说,修复被破坏的关联文件的方法有两种,一是借助系统提供的assoc命令来实现,二是利用软件实现,由于前一种方法操作起来比较麻烦,需要具有一定的命令基础才行,所以这里我们主要讲一下后一种方式。
进入http://www.onlinedown.net/softdown/25562_2.htm页面,下载System Repair Engineer文件,解压后,将SREngLdr.EXE文件重命名为SREngLdr.com并运行(这里之所以要文件修改后缀名,主要是为了防止EXE文件被病毒篡改而导致无法正常运行)。程序运行后,在其主界面的左侧选择“系统修复”项,同时在右侧切换到“文件关联”标签。如果系统中有被窜改的关联项,程序就会在列表的“状态”列中以“错误”的字样显示出来。选择错误的项目,单击“修复”按钮,程序即会自动将其修复(如图6)。
2.修复被窜改的Hosts文件
同样,在如图6所示的界面中切换到HOSTS标签,单击“重置”按钮,可以修复被窜改的Hosts文件(如图7)。
Hosts是Windows系统中一个非常重要的文件,其作用是在常用的网址域名与其对应的IP地址之间建立一个关联的“数据库”,这样,当我们使用浏览器访问网站时,系统就会自动从Hosts文件中寻找对应的IP地址,从而迅速打开对应的网页。
病毒木马之所以会对该文件情有独钟,原因主要有两个:一是通过修改相应的IP地址,黑客可随心所欲地将我们引向指定的钓鱼网站,最终达到盗取网银账号、密码及QQ、游戏账号等目的;二是通过修改相应的IP地址,可阻止杀毒软件更新病毒库或连接到云端服务器,以便能更好地保护自己。
3.修复快捷方式和被强行隐藏的文件
一些病毒和恶意软件会隐藏PC中的所有文件,或者恶意删除开始菜单中的项目,如果查杀病毒后,我们发现这种情况依旧,可以使用Hide Unhide将其修复(下载地址:http://www.onlinedown.net/softdown/36703_2.htm)。
下载后运行程序,在出现的主界面中单击Show All(显示所有)按钮(如图9),程序即会取消所有文件的隐藏属性,并将任务栏和开始菜单中的项目恢复到原来的位置。
4.修复映像劫持
映像劫持是许多病毒和木马都会使用的伎俩,通过该方法,病毒、木马会将杀毒软件和360安全卫士等防护工具的进程劫持到自己的进程中,或者无中生有,虚拟一个进程,将杀毒软件等的进程劫持,其目的和修改文件关联类似,都是为了隐藏自身,躲避查杀。
借助一款名为PC Hunter的工具(下载地址:http://www.greenxf.com/soft/37205.html#down),我们可轻松地对此类劫持进行修复。
PC Hunter是一款绿色工具,解压后,我们可以根据当前系统的版本是32位还是64位,双击PCHunter32.exe或PCHunter64.exe令其运行。程序运行后,会自动检测当前是否有未知的线程插入到其他进程中。如果有,说明系统里面还有病毒残留,此时,程序会给出提示,同时会询问是否要杀掉这些插入线程,我们只需单击“是”按钮,即可将其从系统中清除。
当然,如果我们觉得这样查杀有可能造成误杀,也可单击“否”按钮,进入程序主界面(如图10),依次选择“系统杂项\映像劫持”项,切换到相应标签。在这里,我们可以看到所有已被映像劫持的信息。
选中要清除的劫持内容并右击,在弹出的右键菜单中选择“删除IFEO(注册表和文件)”(如图11),注册表中的映像劫持项目即会被清除,同时与劫持有关的病毒文件也会被清除。
| Tips |
默认情况下,Hosts文件位于C:\Windows\System32\drivers\etc目录下,如果你不喜欢通过软件修复它,也可进入该目录,用记事本打开它(如图8),将内容全部删除并保存。这样,系统重启后,会自动重写内容,从而达到修复文件的目的。