沙尘暴 发表于 2008-5-29 15:44

删除病毒文件的操作流程

一、 首先,确认病毒文件确实存在。
打开 windows资源管理器,依次点工具-文件夹选项-查看,选上“显示所有文件和文件夹”和“显示系统文件夹的内容”;去掉“隐藏已知文件类型的扩展名”和“隐藏受保护的操作系统文件”前面的对钩。这样操作之后应该可以看到所有文件了吗?未必,有时中毒之后,这些设置会被禁止,或者设置马上失效。有些病毒文件,在能成功设置后,还是看不到。但你用手头的winrar却可以看到所有文件。
举个例子,每个盘符下都有RECYCLED(回收站)这个文件夹。当你右键清空后,里面什么文件也没了。打开WINRAR,看看这个文件夹,还有两个文件:INFO2和desktop.ini,还有一个特殊的文件夹:D:\WINDOWS\Downloaded Program Files\,这个文件夹是常被病毒利用的。你用WINDOWS资源管理器和WINRAR分别打开看看,内容有什么不同?
推荐WINRAR的原因是这个软件是装机必备的,一般人手头都有。
类似winrar可以看到这些藏匿的文件的软件还有号称资源管理器终结者的Total Command、经典的看图软件ACDSEE(3.1以前的版本)等,当然,冰刃IceSword和WSYSCHECK这两个软件,也可以看到所有文件,并且是我们最终推荐的,因为其强制删除文件的功能非常强大。(冰刃的名声太大了,最近有很多病毒在发作后,把冰刃和其他杀软都作为攻击目标,导致带冰刃“IceSword”这个名字的文件都不能下载,更不能打开。WSYSCHECK这个软件目前还可以应一时之急。)
      还有一个不用任何软件就能确认病毒文件是否存在的办法,就是在病毒文件所在的目录下,建立一个和病毒文件同名的文件或文件夹。我们要利用电脑文件系统的一个规则,不允许同名的文件和文件夹在一个路径下生成。在病毒文件所在目录,点右键,新建-文件,然后把新建的文件重命名为病毒文件的名字(带扩展名),这时如果提示:“重命名文件或文件夹时出错,指定的文件与现有文件重名....”,就可以肯定病毒文件是存在的了。
    二、确认病毒文件确实存在了。在删除之前,要终止病毒进程。然后删除病毒文件会顺利一些。最简单的就是windows的任务管理器。能停止病毒服务当然更好。
    此类的进程管理软件很多,比如瑞星卡卡的进程管理,windows杀毒助手、冰刃IceSword和WSYSCHECK。其中的冰刃IceSword和WSYSCHECK有禁止进程创建功能,可以防止病毒进程和服务在终止后重新加载,强烈推荐。
    除直接终止病毒进程的办法外,还可以使用映像劫持的办法来劫持病毒文件。
    注:此步骤最好要做,但对一些菜鸟,此步骤有些难度,有时病毒进程也未必能够成功终止,就先不管了。
    如果能够进入安全模式,我们就省事多了。安全模式时病毒的常规启动项和服务项不会加载。我们可以顺利删除病毒文件并修复注册表。这是个理想的境界。比较顽固的病毒发作后会破坏系统进入安全模式的相关注册表项,导致不能进入安全模式。比如3448和最近很流行的AV终结者等很多。还有一些驱动级的病毒木马流氓软件,即使安全模式也会加载并保护病毒文件和注册表项不被删除。所以不能完全依赖安全模式。    三、好了,前期工作就这些,不管做的成功与否,只要确认病毒文件已经存在,就开始删除病毒文件了。
   1、首先推荐的是费尔强制删除工具。
      优点:小巧,使用方便,可批量输入要删除的病毒文件的路径,即使隐藏文件不可显示也不妨。可抑制文件再生。
删除能力:8分,
缺点,某些驱动级保护文件不能删除。
建议:由于其小巧方便绿色的特点,是删除病毒文件的首选,当时不能删除的会提示重启时删除,一般文件在重启后都能删除。
   2、 unlocker
优点:使用方便,对驱动保护的病毒文件删除能力出色。
删除能力:9.5分
缺点:需要安装。不能单独对付删除后马上重建的病毒文件,由于其使用时通过右键调用,所以当隐藏文件无法显示时,就没了用武之地。
使用建议:灵活运用其解锁、改名、移动、删除功能。个别删除后马上重建的病毒文件,需要用冰刃IceSword或SYSCHECK,禁止线程创建,然后再删除,这时注意要先右键打开Unlocker的窗口,再禁止进程创建,如果先禁止进程创建了,Unlocker就打不开了。或可以先用Unlocker解锁,再用费尔抑制再生后删除。注意:一些不能用它改名和移动的文件,可以用它直接删除。
   3、冰刃(只谈其文件操作功能)
优点:可以看到一切文件,方便确认文件是否存在。文件样本提取功能也不错(也不是百分百能复制成功)。还有强悍的抑制进线程创建功能,可以删除马上修复重建的病毒文件(也失败过)。
删除能力:9分,不如unlocker
缺点:远程协助时,操作稍有难度,画面不能自动刷新。不能新建文件夹来抑制病毒文件重建。
建议:当单独用它删除无效时,配合其他软件灵活使用。
   4、xdelbox:
删除能力:9.8分
优点:采用虚拟DOS技术,自动重启进入纯DOS环境,执行批处理,一次批量删除多个指定文件,然后自动重启恢复原系统状态。
缺点:当前操作系统必须安装在C盘。极个别笔记本会安装虚拟dos失败。
建议:使用前仔细阅读操作说明。
   5、Wsyscheck:(只谈其文件操作功能)
优点:集冰刃和其他删除工具的功能于一身,功能强大。可以在删除病毒加载项时同步删除病毒文件,比较方便。
缺点:新加dos删除功能,非常规安装的操作系统(系统不在C盘和包括linux的双系统)慎用。
删除能力:9.5分以上 (新版本刚出,更新很快。实战测试不多。)      
建议:名声不大,病毒还没有对它有破坏性攻击和抑制的动向,很有潜力。
   四、补充说明:
   1、如果以上的步骤都删除失败,(可能性千分之一),就考虑进入其他操作系统删除了。比较方便的是安装maxdos的虚拟dos系统,装了双系统的朋友可以直接到另一个系统删除。还可以使用类似深山红叶的winpe光盘操作系统。
   2、如果病毒文件较多,一次删除不尽,可以重启再删。但切记删除后要建立同名文件夹来代替原文件。一是可以抑制病毒文件再生,二是防止系统重启时找不到原文件而出错。
   3、以上删除能力的评分是我删除病毒文件时的实际体会,没有严格的评测依据,只供大家做个对比参考。

优ki 发表于 2008-6-3 15:46

冰刃 这个用过,挺好的
有机会再用用别的,呵呵

柳旭 发表于 2008-6-3 15:51

给楼主补充一点,像冰刃这类的安全检测工具被病毒屏蔽是正常的,可以通过修改它的文件名或者是扩展名避免被屏蔽

CuteK 发表于 2008-6-6 18:56

如果以上工具都不好用的时候可以用atool的文件擦除功能 然后安全重启.呵呵也许效果也不错.

CuteK 发表于 2008-6-6 18:59

看看磁碟机对冰刃的反制手段,查找子窗口类型和类名 然后发送消息给它 0-500冰刃直接消失

coolboy120 发表于 2008-9-13 21:04

有没有好的工具,自动删除呢:handshake

mz益 发表于 2009-7-9 06:43

死猫 发表于 2009-7-9 11:00

有些时候是要多个工具结合者用才好的
页: [1]
查看完整版本: 删除病毒文件的操作流程