[转帖]处理病毒的基本思想、彻底剖析经常中毒的原因、为什么格盘重装还是有病毒？

天上月神

中毒？当然是因为你做人不厚道，难道还有其他原因？？
[MagicFace=68]开个玩笑哈，表介意。下面又是一篇需要边看边思考的唠叨文章，没有足够的时间就先别看了。
一、处理病毒的基本思想是什么？
从对知识的苛求，对病毒的清晰认识这方面出发，当我们遇到一个病毒时，首先要做的事是杀毒吗？不是！首先是要知道这是个什么病毒，通过在搜索引擎查你的不正常现象就能知道（比如你发现你的图标变成了熊猫，自然会查出是熊猫烧香）。
然后要做的，是通过搜索引擎查病毒名，尽可能多的掌握这个病毒的基本特点，包括：
·它会生成哪些文件，每个文件在什么目录下，是什么属性……
·《我是网管》论坛·它会造成哪些破坏，比如会不会删除你的数据，会不会感染你的可执行文件……
·它会通过哪些方式来在开机时启动自己，在使用过程中再次激活自己……
·是否有手工清除的完善方案!
当你了解到以上信息时，无论你的技术水平如何，我认为你都应该首选以手工方式来杀毒，杀毒软件是下一步的选择。对照上面你找到的信息，我们来看一下如何手工处理。
·它会生成哪些文件，每个文件在什么目录下，是什么属性……删除每一个文件！可执行文件如果不让删，就结束掉其进程再删；dll文件如果不让删，就注销掉（regsvr32 /u dll文件名）这个dll然后再删除，注销不掉的到安全模式下去删；sys文件如果删不掉，到安全模式下去删。
·它会造成哪些破坏，比如会不会删除你的数据，会不会感染你的可执行文件……如果删除了数据，如果没有备份则可以尝试使用finaldata等数据恢复工具恢复，如果数据被修改就只有用备份恢复了。如果感染了可执行文件，那么这些被感染的可执行文件当然不能再执行它们，要么用备份或剥离工具来恢复，要么全部删除，在杀毒后再重新安装它们。
·它会通过哪些方式来在开机时启动自己，在使用过程中再次激活自己……修改注册表、修改autoexec.bat、修改%userprofile%\程序\启动、增加类型为“自动”的服务……都是病毒常见的伎俩，利用这些修改来使自己在开机时获得启动机会，你要做的自然是删除它们！在每个盘跟目录下增加autorun.inf、修改文件关联，则成为最常见的在使用电脑过程中再次激活病毒的方式，删除和修复也是必需的！
·它是否会修改注册表、HOSTS文件……几乎所有的病毒都会修改注册表，RUN项是最常光顾的地方，所以你必须要很熟悉这个地方！当然还有其他一些莫名其妙的地方（不常见的）也会被病毒修改来达到自己的目的。修改HOST的目的通常是想让你在访问正常网站（比如baidu）时跳到含有病毒的页面上，或者让你在访问瑞星等杀毒软件站点的页面时也跳到含有病毒的页面上。你只需要打开HOSTS文件看看其中的内容就知道了，正常情况下除了localhost 127.0.0.1这句外，其他的都可能是病毒修改的，删除它们！
·是否有手工清除的完善方案……实际上以上这些就是完善的解决方案了，当然如果在你查到的资料里直接有12345一样的步骤告诉你怎么做更好。
PS：一般来说，虽然你感染病毒，但操作系统是不会有太大的损坏的，否则连操作系统都不能正常操作甚至不能启动了，病毒还有意义吗？所以从这个角度讲，格C盘几乎是完全没有必要的！格C盘无非是想创造一个干净的操作系统，但实际上操作系统往往就是干净的，只是在操作系统的目录中混进了一些病毒文件，它们利用操作系统的技术特点在起着危害。所以我们只需要找到并删除它们，操作系统自然就干净了。通常这个过程只需要20分钟。而重装系统、驱动、软件的时间至少在2个小时。当然你用干净的GHOST备份去恢复也是不错的选择——干净的GHOST。
接下来要做的，当然是根据上面的分析，手工处理来干掉这个病毒！可能在头几次，你每进行一步操作自己都会怀疑这么做是不是对的，是不是有效……但反过来想，既然都有重做系统的打算，为什么不在这个系统上练手呢？或许自己真的成功了，以后就知道怎么做了。这里要说的是，在操作的每一步里有很多细节东西要学，你心里的任何疑问都不要成为日后的问题，应该立刻去问搜索引擎。
当这些都进行完，你应该重新启动一下，然后看看杀毒前的不正常现象是否还存在，那些被你删除的文件是否又出现。如果没有出现异常情况和病毒文件，恭喜你，你成功了！如果还有，一定是什么环节出了问题，根据步骤再检查一遍。
如果还不确定，你的杀毒软件/专杀工具该出场了！用它来扫描一遍硬盘，如果你的病毒库够新的话，结果应该是可信的。

PS：为什么杀毒软件在最后出场？一方面可能是偶的个人原因，杀毒软件一向只作为防御产品，病毒都是手工解决。个人认为技术的成长就是通过一次又一次手工处理病毒的过程中积累起来的，使用杀毒软件却不需要任何技术，回点鼠标就可以了。另一方面是杀毒软件都很笨，它们没有大脑去思考。它们根据特征码等元素去判断文件是不是病毒，这个出发点本身就是不完美的。同时它们只能清除/删除掉病毒，却不能删除病毒生成的垃圾文件，不能修复各种破坏，甚至有时候连注册表的重要项都不会修复——杀毒软件只是就事论事，从不完美解决问题，也不会告诉你如何预防下一次病毒的袭击，不会教你改密码、打补丁……所以我们应该首先相信自己，其次才是依赖杀毒软件。
二、为什么你老中毒？
实际上问题很简单：你从来没有追究过帖子标题里写到的原因，你从来只是遇到问题解决问题，不去关心问题背后隐藏的事实真相。通俗一点，当你遇到一个病毒时你心里所想的只有一件事：赶紧把它清除掉。至于这个病毒怎么进入你电脑的，以后还会不会来，会不会有其他病毒来……这些事情你根本不关心，或者只是当时关心几秒钟，马上就忘干净了。
老中毒，换句话说就是经常有病毒会莫名其妙的进入你的电脑，要搞清楚这个问题，就需要知道这些病毒都是从什么地方通过什么途径进来的，通俗点讲，这个该死的病毒文件是如何出现在你的硬盘上的？当然不会是你自己COPY过去的吧？
好，让我们来分析一下各种常见的感染病毒的途径，这些途径分为主动和被动两种类型。主动是说病毒主动攻击你的电脑，自己把自己COPY到你的硬盘上去；被动是说因为你的一些不当操作，导致病毒文件被感染进硬盘。以下为这些常见感染途径：
·杀毒不彻底留下祸根——病毒感染后，所有的文件必须一次清理干净，只要有一个文件给病毒机会，一切都会死灰复燃。通常这种问题是手工杀毒中遇到的，比如你只删除了system32中的病毒文件，却没有发觉埋伏在其他盘根目录下的autorun.inf，后果就可想而知了。
·为图省事，系统未设密码或设置了极其简单甚至白痴的密码——病毒会主动攻击到你的系统里，各种别有用心的人会轻而易举的从你的硬盘上拿走任何他想要的东西，说严重点，知道了你的密码，就等于坐在你的电脑前了。对病毒来说也是这样的。
·没有安全意识，装完系统后从不打补丁或者在很久以前打过补丁——微软的Windows就像一个筛子，打全所有的补丁后你发现漏洞文件的大小甚至比操作系统本身还大（汗一个先），所以你必须确保系统打过所有的补丁（至少是重要补丁），这样才不能让病毒通过系统漏洞攻进来。而几乎每次一个重大漏洞被公布后，在一个月内绝对会出现针对太漏洞的蠕虫，而且无一例外会席卷全球，造成重大破坏，冲击波、震荡波等病毒都是如此。原因就是全世界有几十亿人在上网，却只有几十万人安全意识满足安全的要求。
·系统或安全相关程序未进行过安全相关设置——远程注册表关闭了吗？默认共享删除了吗？单机的server服务关闭了吗？自动更新打开了吗？杀毒软件自动更新和监控随机启动正常吗？防火墙经过配置了吗？……实际上要做的事还很多，并不是操作系统或应用程序的过错，实在是网络太脆弱，病毒太猖獗，不良用心的人太多。
·好奇心强，经常浏览各种乱七八糟网站、下载来历不明的东西也不检查——当你发现你的msconfig的启动项里打满了勾，当你发现IE被装满了工具条，当你发现桌面上什么助手什么秘书等图标出现了一堆，莫名其妙的自己弹出广告图片或页面，当你发现一开机就有40多个进程……晚了！通过这些途径不但能感染病毒，更多的是各种流氓软件，它们能让你痛不欲生。所以放弃你的一切好奇心，一切来自网络的文件都不是100%可信的，瑞星的专杀工具曾经都被病毒感染过，还有什么可信呢？只有自己的技术和安全意识是可信的，即使还不够好。
·插入新的移动存储设备（移动硬盘、U盘等）、光盘软盘，不经过检查直接双击打开——具体原因看autorun.inf吧，本文中也给了两个链接了，因为这个原因造成的病毒感染实在是太普遍了。强烈建议当你插入该类设备时，使用鼠标右键菜单中的“打开”项来打开这些设备，绝不能直接双击打开。
三、为什么格C盘重装后还是会很快感染？
这个问题问的好！很久没有遇到像这样容易回答的简单问题了。总结一下，原因如下：
·没有做到上面第二个问题说过的那些事，你的电脑根本没有安全性可言，中了毒很正常，不中毒才值得研究。特别是当你的电脑处于一个局域网中，而这个局域网中所有的电脑几乎都这样，而你还插着网线跟这些电脑相连接……天，几乎可以肯定，你这个没有密码没有安全设置的新装好的系统只要敢开机连网，在5分钟内一定会被病毒再次光顾，你一两个小时的工作算白干了。
·除了C盘，其他盘还有病毒。最常见的是在其他盘根目录下隐藏了autorun.inf和对应的exe文件。这样当你辛辛苦苦格完后装完了系统，按照习惯双击打开一个其他盘时，发现不但没有打开，反而马上中了毒！还有比如病毒感染了所有的可执行文件，然后你就不小心（或者是根本意识不到）的运行了D盘的一个可执行文件，恭喜了，马上死灰复燃。
·你感染了引导区病毒，格式化C盘和杀毒没有任何关系，因为病毒不在C盘。当然在21世纪这样的概率太小了，如果你不小心中了，请马上去 [color=#DC143C]买彩票。[MagicFace=1]

叶秋霜

[这个贴子最后由吟风听月在 2007/09/04 23:57 第 1 次编辑]

非常感谢楼主发贴。
学习中。
（本公子这厢有礼了。）

欢迎你来到[唐诗宋词]网站