病毒查杀的一般方法

病毒查杀的一般方法

恶意软件,木马程序,病毒程序.他们的区分界限怎样定义呢?

恶意软件：又称为流氓软件，由于其捆绑在其它软件上，强制安装，无法卸载或卸载不彻底，占用系统资源，降低电脑性能，影响系统运行速度，乱弹广告等，但一般不会自我复制且不破坏其他软件。

木马程序：是指潜伏在电脑中，受外部用户控制以窃取本机信息或者控制权的程序，其危害本机信息安全：木马程序多数有恶意企图，例如窃取QQ帐号、游戏帐号甚至银行帐号，将本机作为工具来攻击其他的设备等。木马一般不像电脑一样大量自我繁殖，也不可以感染其他程序。

病毒程序以大量传播为乐趣，而木马程序以侵入特定电脑并获得权限为目的。病毒程序最大的特点是具有”主动传染性”。病毒可以侵入到整个系统使其受到感染，而每个受感染的程序又可能成为一个病毒，继续将病毒传染给其他程序，并且具有传染性。这使它有别于同样具有隐藏性、激发性和攻击性的逻辑炸弹、特洛伊木马等。相对于”恶作剧邮件”而言，这种传染性是主动的，而恶作剧邮件是欺骗收件人，让收件人利用邮件工具发送的，程序本身并不具有主动传播的特性，因而不是病毒。因此传染性成为判定一个程序是否为病毒的首要条件，甚至可以成为充分条件。因为有的病毒大量传播，却对宿主机不会造成任何破环，比如前一段时间发现的SARS病毒。

病毒传播的方式多种多样，传统的病毒一般通过感染可执行程序传播，通常称之为文件性病毒，这类病毒名前缀一般为Win32, Win95等等。文件型病毒感染文件后，会将病毒代码添加到正常程序的代码中。杀毒软件清除这些插入的代码就可以修复文件，但有的病毒是用病毒代码覆盖可执行程序的正常代码，杀毒软件清除病毒后很难拿知道程序被感染之间的代码是什么，也就意味着，清除这类病毒后，不能保证程序完全被修复，一般就需要找一个正常的备份文件来恢复。因此，我们知道，清除病毒并不等同修复文件。通常修复被病毒破坏的文件，特别是可执行程序是困难的。

而木马程序通常并不感染文件，木马一般会修改注册表的启动项，或者修改带开文件的关联而获得运行机会。正是由于这个特点，使得我们了解某个木马的入侵特征后，可以相对容易地使用手工方法将其清除。杀毒软件清除木马的方法一般就是删除木马生成的文件，因此在你使用杀毒软件扫描后，发现最终是删除了这个带毒文件，也不用感到奇怪，这个程序本来就不是系统的正常文件，把它删除了不会对系统产生任何不良影响。

处理方法：恶意软件一般使用超级兔子魔法设置、360安全卫士等软件即可删除。木马程序一般使用专门的木马查杀工具来杀除木马程序，例如木马克星、ewido、费尔托斯特等软件。目前的杀毒软件多数也可以查杀大量木马，但在杀除木马方面没有上述软件更专业，因而推荐两者配合使用。 对于最新出现的木马，有时也可以到网络搜寻特定的查杀工具来处理。

防范：

使用防火墙软件可以有效降低被木马攻击的危险性，例如安装ZoneAlarm、天网等。 

木马与远程控制程序的区别：远程控制程序公开、善意地控制其他电脑，以完成某些工作；木马程序则是潜伏的、恶意的程序。

Procexp和Autoruns,这两个工具对付一般的木马程序比较有效，使用这两个工具，大家可以自己手动找到木马并删除它。

两个工具可以从官方网站www.sysinternals.com下载
URL地址：
http://www.sysinternals.com/Files/ProcessExplorerNt.zip
http://www.sysinternals.com/Files/Autoruns.zip

这两个工具并不是针对某一木马的专杀工具，只是对进程，启动项的分析使使用者找到并手动删除的辅助软件工具。

一、Procexp:（完全可以替换windows自带的任务管理器）
此工具可以查看当前运行的程序（包括一些windows任务管理器不能看到的隐藏的进程），杀掉运行进程。

直接运行图：

图中进程分为两种：一种是服务程序，一种是普通程序
普通程序可以用windows自带的任务管理器关闭，而服务程序只能通过服务管理器才能关闭，Procexp可以杀掉服务和普通进程，杀进程的方法：直接右键单击右键菜单中选择Kill Process项：（功能比较强大，连Winlogon.exe都可以杀掉，若你杀掉它，系统自动当机了，有兴趣的同志可以试试)。

使用其识别木马程序的方法：
首先查看是否有可疑进程，一些木马使用了windows系统程序名，例如：services.exe,svchost.exe,（这些文件在windowssystem32目录下，一般木马会放在磁盘根目录下，或是windows目录下，）另一种情况是某一进程占CPU占有比较大
看到可疑程序直接在列表中选中，右键查看属性，或直接双击

 

 

看程序的描述信息，微软程序描述信息和版本信息一般都很详细，若没有版本信息则可能是木马程序，也有一些木马写了跟微软类似的信息，此时可以使用数字签名校验功能，点击Verify按钮，若是微软的程序会提示(verified)
如图：

对于一般的程序，Explorer.exe启动的程序都可以杀掉的，一般不会引起系统问题
有时电脑会突然弹出消息框或错误框，但又不知道是那个程序弹出的，可以选择
如图按钮

按住鼠标左键，把鼠标放在弹出的对话框上，抬起鼠标左键工具会自动定位当运行的程序上。

在程序的属性对话框的TCP/IP属性页还可以看到程序访问的网络情况，木马一般都会打开端口向外发送数据包。

当删除某一文件，提示文件正在使用时可以通过
发现是那个进程使用这个文件。

可以查看进程使用了那些动态库

 

 

发现可疑程序，不能确认，在右键菜单上点击Google则可以直接打开ＩＥ帮你搜索网上关于此程序的信息，这样可以确认程序是否是木马。
此工具也支持日志导出功能:

此工具可以替换Windows任务管理器，选择Options->Replace Task Manager，则每次通过CTRL+ALT+DEL或在Explorer任务栏里启动任务管理器时则启动此程序.

二． Autoruns
木马的特性之一时随系统一起启动，所以木马要在操作系统中写启动项，Autoruns就是一个查看清除启动项的工具，此工具将启动项分页签显示，运行界面如下:

 

 

删除某项启动项，只要去掉项前面的复选框即可，这样如果下次想把它置成自启动项，再选择即可.

想永久删除某项启动项，只要选择右键单击，在右键菜单中删除即可

若不确定是否此项有问题则可以点击”Google”在网上搜索此项

补充：点击菜单的Jump to项则自动打开注册表并定位到指定项
若全部显示所有启动项则比较多，查看起来不便，可以选择隐藏微软  项，这是将不显示微软的自启动项

 

 

 

 

 

 

此工具也支持日志导出功能，并且支持比较功能，你可以与以前的日志进行比较. 新加启动项它会以不同的颜色显示