第六,介绍某些病毒的保护方法及其对策
1、隐藏文件
这个最简单的一种,对于初级菜鸟特别有用,理论我不说大家也应该知道。只不过论坛有些人喊找不到文件的时候,我还以为预见了自身保护型病毒,结果就是此原因,让我郁闷半天。
解决方法:
打开我的电脑,点击工具——文件夹选项——查看,选择显示所有文件和文件夹,而且要去除“隐藏受保护的操作系统文件(推荐)”项目前面的对勾,如果无用,请看病毒后遗症,里面有具体解决方法。
2、EXE文件关联
典型病毒:密西木马(落雪、Trojan.PSW.Misc.*)
具体现象:清除病毒后,点击任何EXE文件,一定是任何,不是单一的病毒都会死灰复燃,且注册表项HKEY_CLASSES_ROOT\exefile\shell\open\command和HKEY_CLASSES_ROOT\.exe被修改(具体默认值参看清除病毒后遗症)。
解决方法:参看清除病毒后遗症
说明:此种保护方法比较厉害,但是很容易被发现,要和下面的第4项区分开来,现象差不多,但是处理方法不一样
3、autorun.inf保护
典型病毒:熊猫烧香(Worm.Nimaya.*)、U盘破坏者(Worm.vb.hy)等等
具体现象:在分区根目录或者移动硬盘、MP3、U盘根目录产生autorun.inf和一个病毒文件,达到传播病毒和保护病毒的作用。
解决方法:参看第二中的第五项
说明:一种常见的保护方法,应用也非常普遍,也有一种防护措施,参看第七的第一项。这种保护防止一些菜鸟重新安装系统来清除病毒,若重新安装系统后又运行带有此文件的分区,病毒会立马出现
4、文件保护
典型病毒:威金(Worm.Viking.*)、熊猫烧香(Worm.Nimaya.*)、过去的劳拉、CIH
具体想象:某一类文件被修改,在文件头或者文件的尾部加上病毒代码,以便日后运行此文件的时候释放病毒,达到病毒传播和保护的目的,而且一般被修改的文件图标也会被修改。
解决办法:少量文件高手可以自行解决,对于新手来说可以利用专杀、杀毒软件等清除代码
说明:最棘手的保护之一,删除非常困难。最可怕就是大量EXE文件被修改,数据丢失而且无法回复。
5、IE浏览器保护
就是利用桌面上的IE图标,桌面上的IE图标是通过注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command\的(默认)项来控制的,这里面的键值,就是双击桌面IE的连接。
解决方法:
第一种方法:打开注册表编辑器(c:\windows\regedit.exe),直接找到HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command\项目,修改默认为"C:\Program Files\Internet Explorer\iexplore.exe" %1即可。
第二种方法:编辑记事本文件,导入注册表即可,内容如下:
REGEDIT4
(空一行)
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command]
@=” "C:\Program Files\Internet Explorer\iexplore.exe" %1”
6、应用软件保护
这个最开始是被QQ盗号程序利用,病毒修改QQ安装文件夹里面的一个文件,让QQ启动后会自动检查病毒是否存在,如果不存在就会恢复,比如Trojan.Clicker.Agent.*的部分变种就有这个特性。
解决方法:参看第三项里面的第三种情况
7、自身保护自身
这个是最难处理的一种,有少量病毒,如Trojan.Agent.bfm、Trojan.EliteBar.*就是这一种,如果病毒进程在运行,那么此病毒的文件、注册表添加项、进程等明显部分都被隐藏了,利用多种软件无法查看(Windows基本软件、SRE、HJ、瑞星听诊器等),我用的软件只有冰刃可以看到这些进程等内容。
处理方法:利用冰刃,查看启动组、进程、服务是否有可疑项目,尤其是进程,然后按照第一种情况删除。
8、多进程木马
这个早年就有,一个病毒进程,一个保护进程,非常简单。
9、COM文件的保护
这种保护不容易发现,主要就是在windows文件夹下建立一个与某文件同名的.com文件。比如:regedit.exe是注册表编辑器,那么病毒就建立一个regedit.com,一般人利用windows里面的运行功能来执行这个文件,仅输入regedit,那么就会运行病毒。
处理方法:删除病毒后,删除那个保护文件即可。