调校PC之路的“虑”与“忧”——病毒清除以后的系统修复

万立夫2014-09-03 14:01专题 标签:IT生活 病毒清除 系统修复

古语说得好,常在河边走哪有不湿鞋。在网上待久了以后,遇上电脑病毒也是正常的事。其实我们都知道查杀病毒一般有两种方式,而这两种方式又各有利弊,同时也会导致不同的后遗症。这里就来说说杀毒前后的那些事。

远虑:病毒有风险,杀毒也谨慎

最常用的杀毒方法是使用专业软件,这种方法操作简单,但是也有明显的缺陷,就是杀毒软件可以清除病毒文件,但是病毒已对系统的破坏却不能百分之百修复,这样用户在杀完毒之后就会遇到各种各样的问题。其次还有一个问题,就是可能存在误杀的情况,这样也会造成系统或软件无法正常运行。

另一种方法是用户通过安全工具,自己手工进行病毒文件的分析和查杀。这种方法的最大问题就是难度较高,用户需要掌握一定的安全知识,比如进程、线程、启动项等等。除此以外,由于用户需要一项项地进行分析判断,因此需要花费大量的时间。当然这种方法的优点也很明显,就是可以发现杀毒软件没有检测出的其他问题,可以将病毒清除得更彻底。可以说手工杀毒的过程,也是对一个系统安全维护的过程。

近忧:清除杀毒后遗症

不过是软件杀毒还是手工杀毒,都难免会对系统造成破坏,一旦遇到这样的情况,如何进行修复呢?下面就5种最常见的杀毒后遗症,给出解决方法。

1.文件关联的修复
很多病毒为了可以让自身成功的运行,想尽了各种各样的方法,篡改一些常见文件的关联程序。比如文本文件的关联程序被修改成病毒文件,这样每次运行文本文件调用的都不是编辑器而是病毒文件,这就相当于每次运行文本文件就激活了一次病毒。

解决这个问题其实非常简单,首先从网上下载安全工具System Repair Engineer(下载地址:http://tinyurl.com/3rfs38z,以下简称SREng),接着将主程序文件的后缀名修改为com、bat、scr等,这主要是避免EXE文件格式被病毒篡改从而无法运行正常的程序。现在在SREng主窗口点击工具栏中的“系统修复”按钮,点击右侧窗口中的“文件关联”标签。如果发现有被篡改的文件关联,就会在“状态”列表中通过错误提示显示出来(图19)。选中需要修复的文件关联项,点击下面的“修复”即可。

1416crgdht19

 

2.Hosts文件的恢复

病毒破坏系统的方式多种多样,修改Hosts文件的默认内容也是病毒破坏的常见手段。因为Hosts文件是一个用于将主机名和IP地址对应起来的文件,而病毒利用它不仅可以阻止杀毒软件更新病毒库,还可以阻止杀毒软件连接到云端服务器,甚至限制电脑系统访问某些知名的安全网站。

同样在SREng主窗口中点击工具栏中的“系统修复”按钮,这次点击右侧窗口中的“HOSTS文件”标签,在列表中就可以看到当前Hosts文件中的所有内容。选中需要删除的内容后,点击“删除”即可,这种方法可以保留有用的Hosts规则(图20)。如果Hosts文件被篡改的内容比较多,那么点击“重置”按钮就可以一次性删除Hosts文件中的所有信息,当然有用的信息也将随之被删除掉。无论采用那种方式进行操作,在操作完成以后都需要点击“保存”按钮,确认刚刚的操作。

1416crgdht20

3.清除映像劫持

映像劫持是很多病毒都会使用的技术,它将杀毒软件等安全软件的进程劫持到病毒进程,或者某个根本不存在的进程上。其实这也是一种激活病毒的方法,目的和篡改文件关联差不多。

首先下载最新版本的PC Hunter(下载地址:http://tinyurl.com/q927yzb),运行后如果程序提示有线程插入并且询问是否杀掉这些插入线程,点击“是”即可清除,这说明系统里面还有病毒的残留。点击PC Hunter窗口的“系统杂项”标签,在“映像劫持”标签中就可以列出已经被映像劫持的内容信息。选中要清除的映像劫持内容后,点击右键菜单中的“删除IFEO(注册表和文件)”命令,不仅可以将注册表中的映像劫持项目删除,还可以将该项目指定的病毒文件一起删除(图21)。

1416crgdht21

4.磁盘引导区修复

有时会遇到这样的情况,就是病毒明明已经被清除掉了,但是重新启动后病毒又出现了。这可能是因为病毒感染了电脑硬盘的主引导记录(MBR)所致,当电脑系统中的病毒被清除后,下次电脑启动时又会从引导区释放出病毒,从而给人造成一种“杀不完”的感觉。遇到这种情况又该如何操作呢?

在PC Hunter窗口中切换到“系统杂项”标签,在“杂项”中可以看到很多修复命令。点击窗口下方“检测MBR Rootkit”中的“检测MBR”按钮,软件开始对磁盘的引导区进行分析处理,确认里面是否有恶意代码和MBR代码被隐藏。当检测完成发现有问题的话会提醒用户,接着点击窗口下方的“重置MBR”按钮(图22)。这时软件会弹出一个提示窗口,点击“是”按钮就开始进行引导区的恢复,同时进行引导区病毒的清除。

1416crgdht22

注意:对引导区的修复,本身就存在很大的风险,安全起见,操作前,一定要对硬盘中的重要数据,提前做好备份。

5.其他项目的修复

对于Windows系统来说,注册表可以说是它的大脑中枢,很多系统选项的修复都是通过注册表来完成的,所以注册表也成为病毒攻击的重要对象。另外为了避免其他因素的干扰,在手工查毒的时候会在安全模式下进行,因此安全模式也常常受到病毒的破坏。

下载最新版本的AntiSpy(下载地址:http://tinyurl.com/p577p7u),在运行的窗口中选择“工具”标签后再点击“高级工具集”标签。比如要恢复注册表编辑器的正常使用,就选择“解锁注册表编辑器”选项,再点击“确定”即可。如果要恢复安全模式的正常使用,就点击“安全模式”下的“修复”按钮即可(图23)。

 1416crgdht23