未知病毒意思就是没有被杀毒软件查出的病毒。你可能会说我每天更新病毒定义库,不可能有未知病毒。但是我要告诉你,我已经遇到诺顿、瑞星都杀不了的病毒了,其实应该说是木马类病毒。这类病毒传播范围小,诺顿、瑞星病毒监控中心都不可能在短时间内遇到病毒样本,也就不可能会把这个病毒加入最新定义库中了。
当然在查找病毒之前,请更新windows和杀毒软件,这是基本原则。
其实病毒的藏匿地点还是很好找的。
1.藏在管理工具-->服务中。仔细察看每个服务,如果发现过去没有的服务就要注意了,察看可执行文件的路径,确认什么服务,如果可疑就要,就把它禁用。(这个就要你平时仔细观察每个服务,熟悉每个服务了,否则病毒不会被你一下子看出来的。)注意:千万别乱禁用阿,记得第一次研究各种服务的时候,我把某个重要的服务禁用了(好像是plug and play)结果重起无法进入系统,安全模式都没用,只能重装。
2.藏在注册表中。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
以上这些地方必须一个一个检查,有没有多出不知道的东西。(这个也要看你平时的观察了,平时可以多看看刚装好的干净系统。)注意:杀毒软件和你需要的软件也在其中,别把杀毒软件去除了哦!
如果是和IE有关的病毒更改了上网方面的设置,让你每次启动IE都去那个讨厌的网站,而且还不让你改掉,可以有两个办法,一个是到注册表里查找那个讨厌的网站,把所有找到的项的内容,都一个一个清空。还有就是利用注册表修理工具(超级兔子之类的软件),但是这个就不是手动搞定了,我从来不用这类工具解决问题,用了就没有体现出自己的水平,呵呵。
3.藏在系统目录中。
察看windows目录和windows\system32\目录下有没有可疑的文件。你一定会大叫:天哪!这么多文件,我哪里知道哪个是病毒文件?别急,有办法的,你可以按照修改时间和创建时间来排序,主要看exe和dll 文件,然后观察那些可疑的文件。
技巧:可以打开可疑文件的属性,看看是否是微软系统文件,是微软的文件会标明的。一般来说,病毒文件是不会写下详细的文件版本信息的。
不过要是不确定,千万不要删除可以文件,可以移动到临时的文件夹中。如果无法移动,可以到安全模式下移动。
这个也需要平时对系统文件要熟悉,查找起来就比较快,而且病毒文件起名字都喜欢起与系统文件相似的名称,例如多一个或少一个字母,来混淆你的概念。
4.藏在内存中。
察看任务管理器,观察有没有可疑的可执行文件在运行。发现可疑的进程,立即强制结束它。有可能你无法结束这个进程,估计这个进程是通过服务方式启动的,你就必须到管理工具-->服务中停止并禁用它,才能关闭,再不行,就要到安全模式下搞定了。
以上4个地方必须一气呵成全部搞定,少做一个,病毒就会死灰复燃,并在4个地方全部恢复,你刚才的事情就算统统白干了。
我用这个办法去除病毒,到现在还没有失手过,包括解决杀毒软件未知的病毒,当然用杀毒软件和其他软件来协同搞定,效率会更高。
