轻松解决杀毒后给系统带来的各种残留问题
来源:互联网 发布:网络与信息期刊 编辑:程序博客网 时间:2024/04/28 18:10
315安全网
电脑病毒的危害性大家应该都体验过了,那么中毒后,自然是杀毒,不过杀完毒后也常常会给我们带来一些麻烦。建议阅读本文之前,你先了解一些手动杀毒的知识。
手动解决病毒的能力是区分菜鸟和高手的标志之一。因为杀毒软件仅能杀毒,但是很多病毒除了破坏行为外,还会对系统产生影响,大致表现为残留文件及修改系统文件、注册表。
对于“残留问题”,一般表现为残留病毒副本文件,残存服务、键值等。而所谓的修改系统,一般指修改文件关联、添加启动键值等。
病毒种类繁多,破坏手段也是各自相异,很难总结出一个通性通法来处理所有问题。但是实践证明尽量多的积累手动处理病毒的经验方法是十分必要的,除非你愿意每次中毒都重装系统。
病毒都干了些什么?
虽然新病毒层出不穷,但其破坏手段是有共性一面的(当然病毒未必是“破坏”这些目标,只是借助于修改这些系统关键文件来更好实现自身某些行为):修改系统配置文件、修改注册表、修改文件关联、捆绑文件、修改本地HOST文件(常见于恶意网页实现自己的恶意指向)。
由于病毒修改了上述文件,而一些杀毒软件不能修复这些错误,所以可能会出现以下问题:
1.启动系统后,提示XXX文件找不到;
2.不能进入系统(可能是不能启动或者不能进入系统界面);
3.可以进入系统,但是系统提示错误(文字提示或系统报错声音提示,可通过“事件查看器”查看没有正确启动的服务);
4.文件关联错误,文件不能正常打开;
5.网络功能不正常,比如不能正常升级病毒库或浏览网页(由于修改了HOST文件,造成错误的指向)。
修复被病毒破坏的系统
明白了一般病毒的典型破坏办法,我们总结病毒“后遗症”的解决办法如下:
1.找不到文件
遇到这种情况,根据不同系统,需要注意的内容也不同。
Windows 9x/Me:系统目录中Win.ini的[windows]字段下load=和run=两项后面是否为空白(如果有,则删除去);系统目录中System.ini的[boot]字段下shell=Explorer.exe项及[386Enh]字段也是应该注意的。上述位置修改后,如问题没有解决,就要用Windows安装盘覆盖安装一次,进行修复了。
Windows 2000/XP:应注意的文件有Autoexec.bat、Config.sys以及Winstart.bat,除此之外,还有一些加载项已经移动到注册表中,需要注意的注册表项有:
[HKEY_CURRENT_USER/Software/Microsoft /Windows NT/CurrentVersion/Windows],其下的Load键就是自动加载的项目命令行,默认键值应为空。
[HKEY_LOCAL_MACHINE/Software/Microsoft/ Windows NT/CurrentVersion/Winlogon],其下的shell键就是系统“外壳”,其默认键值应该为“C:/Windows/explorer.exe”(不含引号)。
[HKEY_LOCAL_MACHINE/Software/Microsoft/ Windows/CurrentVersion/Run],每个键值对应一个自启动程序,对所有用户长期有效,如果进入系统后,马上弹出有文件未找到,但系统的运行没有问题,遇到这种情况,你就需要在此项中修改了。当然,除此注册表中的内容外,还要注意“开始”菜单中“启动”项下的内容。
[HKEY_LOCAL_MACHINE/Software/Microsoft/ Windows/CurrentVersion/RunServices],所有用户长期有效,默认Windows 2000专业版有此项,默认为空白,Windows XP无此项,如果出现可以删除。
[HKEY_LOCAL_MACHINE/Software/Microsoft/ Windows/CurrentVersion/RunOnce],所有用户下次启动加载一次其中的程序,默认应为空白。
[HKEY_LOCAL_MACHINE/Software/Microsoft/ Windows/CurrentVersion/RunServicesOnce],所有用户下次启动加载一次,默认Windows 2000/XP都无此项,如果出现可以删除。
[HKEY_CURRENT_USER/Software/Microsoft/ Windows/CurrentVersion/Run],每个键值对应一个自启动程序,对当前用户长期有效。
[HKEY_CURRENT_USER/Software/Microsoft/ Windows/CurrentVersion/RunServices],对当前用户长期有效。
[HKEY_CURRENT_USER/Software/Microsoft/ Windows/CurrentVersion/RunOnce],对当前用户下次启动时加载一次。
[HKEY_CURRENT_USER/Software/Microsoft/ Windows/CurrentVersion/RunServicesOnce]对当前用户下次启动时加载一次。
[HKEY_LOCAL_MACHINE/Software/Microsoft/ Windows/CurrentVersion/Explorer/ShellExecuteHooks],根据CLSID,实现调用ShellExecuteHooks接口以加载COM对象,默认有键名为“{AEB6717E-7E19-11d0-97EE-00C04FD91972}”,键值为空的键。
[HKEY_LOCAL_MACHINE/SYSTEM/ CurrentControlSet/Services],这个是系统“服务”的位置,对于病毒残留的服务项目,通过“事件查看器”(一般病毒删除后,加载的服务都会出错,体现在事件查看器)找到出错服务,并且确认是病毒遗留服务,删除即可。
如果是已经无法进入的系统,那么最简单的方法就是用Windows安装光盘对系统进行修复即可(Windows XP的修复可参考《Windows的救命大师——原位升级》一文)。
2.文件关联错误型
修改常见文件的关联是病毒惯用的伎俩,好在这已经不是问题,现在国内厂商的杀毒软件基本都带有专门的链接修复工具,即使没有,只要进入注册表的[HKEY_CLASSES_ROOT/***file/shell/open/ command](其中***代表扩展名比如TXT),修改“默认”键的键值为“"%1"%*”(不含外侧引号)即可。但要注意INF与TXT文件的键值为“%SystemRoot%/system32 /notepad.exe %1”(不含外侧引号)。
3.引导分区被破坏
这里主要指由病毒导致的引导分区破坏,如果你的电脑出现了软盘读写出现错误、无故读取软驱等问题,那么很可能是中了引导区病毒,解决方法可以参考《病毒大扫除引导区病毒篇》。
4.残留文件、系统服务型
病毒残留(副本)文件主要是一些TMP文件,这些文件一般不可能具备条件再发作,但是也应该是我们的清理对象,直接删除电脑中全部的TMP文件即可。
5.网络功能不正常型
网络不能正常使用的原因很多,具体到清除病毒后不能正常浏览网页的表现和原因一般是如下两种方式。
①不能浏览某个(些)特定网址
这种情况,可以检查本机HOST文件,修改恢复即可,位置在C:/Windows /system32/drivers/etc(Windows XP操作系统),注意该文件没有扩展名,用“记事本”打开该文件后修改即可,一般只保留其中的“127.0.0.1 localhost”(不含中文引号)一行即可。
电脑病毒的危害性大家应该都体验过了,那么中毒后,自然是杀毒,不过杀完毒后也常常会给我们带来一些麻烦。建议阅读本文之前,你先了解一些手动杀毒的知识。
手动解决病毒的能力是区分菜鸟和高手的标志之一。因为杀毒软件仅能杀毒,但是很多病毒除了破坏行为外,还会对系统产生影响,大致表现为残留文件及修改系统文件、注册表。
对于“残留问题”,一般表现为残留病毒副本文件,残存服务、键值等。而所谓的修改系统,一般指修改文件关联、添加启动键值等。
病毒种类繁多,破坏手段也是各自相异,很难总结出一个通性通法来处理所有问题。但是实践证明尽量多的积累手动处理病毒的经验方法是十分必要的,除非你愿意每次中毒都重装系统。
病毒都干了些什么?
虽然新病毒层出不穷,但其破坏手段是有共性一面的(当然病毒未必是“破坏”这些目标,只是借助于修改这些系统关键文件来更好实现自身某些行为):修改系统配置文件、修改注册表、修改文件关联、捆绑文件、修改本地HOST文件(常见于恶意网页实现自己的恶意指向)。
由于病毒修改了上述文件,而一些杀毒软件不能修复这些错误,所以可能会出现以下问题:
1.启动系统后,提示XXX文件找不到;
2.不能进入系统(可能是不能启动或者不能进入系统界面);
3.可以进入系统,但是系统提示错误(文字提示或系统报错声音提示,可通过“事件查看器”查看没有正确启动的服务);
4.文件关联错误,文件不能正常打开;
5.网络功能不正常,比如不能正常升级病毒库或浏览网页(由于修改了HOST文件,造成错误的指向)。
修复被病毒破坏的系统
明白了一般病毒的典型破坏办法,我们总结病毒“后遗症”的解决办法如下:
1.找不到文件
遇到这种情况,根据不同系统,需要注意的内容也不同。
Windows 9x/Me:系统目录中Win.ini的[windows]字段下load=和run=两项后面是否为空白(如果有,则删除去);系统目录中System.ini的[boot]字段下shell=Explorer.exe项及[386Enh]字段也是应该注意的。上述位置修改后,如问题没有解决,就要用Windows安装盘覆盖安装一次,进行修复了。
Windows 2000/XP:应注意的文件有Autoexec.bat、Config.sys以及Winstart.bat,除此之外,还有一些加载项已经移动到注册表中,需要注意的注册表项有:
[HKEY_CURRENT_USER/Software/Microsoft /Windows NT/CurrentVersion/Windows],其下的Load键就是自动加载的项目命令行,默认键值应为空。
[HKEY_LOCAL_MACHINE/Software/Microsoft/ Windows NT/CurrentVersion/Winlogon],其下的shell键就是系统“外壳”,其默认键值应该为“C:/Windows/explorer.exe”(不含引号)。
[HKEY_LOCAL_MACHINE/Software/Microsoft/ Windows/CurrentVersion/Run],每个键值对应一个自启动程序,对所有用户长期有效,如果进入系统后,马上弹出有文件未找到,但系统的运行没有问题,遇到这种情况,你就需要在此项中修改了。当然,除此注册表中的内容外,还要注意“开始”菜单中“启动”项下的内容。
[HKEY_LOCAL_MACHINE/Software/Microsoft/ Windows/CurrentVersion/RunServices],所有用户长期有效,默认Windows 2000专业版有此项,默认为空白,Windows XP无此项,如果出现可以删除。
[HKEY_LOCAL_MACHINE/Software/Microsoft/ Windows/CurrentVersion/RunOnce],所有用户下次启动加载一次其中的程序,默认应为空白。
[HKEY_LOCAL_MACHINE/Software/Microsoft/ Windows/CurrentVersion/RunServicesOnce],所有用户下次启动加载一次,默认Windows 2000/XP都无此项,如果出现可以删除。
[HKEY_CURRENT_USER/Software/Microsoft/ Windows/CurrentVersion/Run],每个键值对应一个自启动程序,对当前用户长期有效。
[HKEY_CURRENT_USER/Software/Microsoft/ Windows/CurrentVersion/RunServices],对当前用户长期有效。
[HKEY_CURRENT_USER/Software/Microsoft/ Windows/CurrentVersion/RunOnce],对当前用户下次启动时加载一次。
[HKEY_CURRENT_USER/Software/Microsoft/ Windows/CurrentVersion/RunServicesOnce]对当前用户下次启动时加载一次。
[HKEY_LOCAL_MACHINE/Software/Microsoft/ Windows/CurrentVersion/Explorer/ShellExecuteHooks],根据CLSID,实现调用ShellExecuteHooks接口以加载COM对象,默认有键名为“{AEB6717E-7E19-11d0-97EE-00C04FD91972}”,键值为空的键。
[HKEY_LOCAL_MACHINE/SYSTEM/ CurrentControlSet/Services],这个是系统“服务”的位置,对于病毒残留的服务项目,通过“事件查看器”(一般病毒删除后,加载的服务都会出错,体现在事件查看器)找到出错服务,并且确认是病毒遗留服务,删除即可。
如果是已经无法进入的系统,那么最简单的方法就是用Windows安装光盘对系统进行修复即可(Windows XP的修复可参考《Windows的救命大师——原位升级》一文)。
2.文件关联错误型
修改常见文件的关联是病毒惯用的伎俩,好在这已经不是问题,现在国内厂商的杀毒软件基本都带有专门的链接修复工具,即使没有,只要进入注册表的[HKEY_CLASSES_ROOT/***file/shell/open/ command](其中***代表扩展名比如TXT),修改“默认”键的键值为“"%1"%*”(不含外侧引号)即可。但要注意INF与TXT文件的键值为“%SystemRoot%/system32 /notepad.exe %1”(不含外侧引号)。
3.引导分区被破坏
这里主要指由病毒导致的引导分区破坏,如果你的电脑出现了软盘读写出现错误、无故读取软驱等问题,那么很可能是中了引导区病毒,解决方法可以参考《病毒大扫除引导区病毒篇》。
4.残留文件、系统服务型
病毒残留(副本)文件主要是一些TMP文件,这些文件一般不可能具备条件再发作,但是也应该是我们的清理对象,直接删除电脑中全部的TMP文件即可。
5.网络功能不正常型
网络不能正常使用的原因很多,具体到清除病毒后不能正常浏览网页的表现和原因一般是如下两种方式。
①不能浏览某个(些)特定网址
这种情况,可以检查本机HOST文件,修改恢复即可,位置在C:/Windows /system32/drivers/etc(Windows XP操作系统),注意该文件没有扩展名,用“记事本”打开该文件后修改即可,一般只保留其中的“127.0.0.1 localhost”(不含中文引号)一行即可。
- 轻松解决杀毒后给系统带来的各种残留问题
- httplook设置 解决各种自身带来的问题
- 各种维护给我带来的财富
- Hi3531 + Minigui 鼠标移动后出现残留的问题
- 解决桌面菜单残留问题
- 解决卸载时残留目标文件夹的问题
- 解决白鹭的EgretWing工具残留多份问题
- 轻松解决HTML + CSS各种表格问题
- iOS9.0.1给我带来的问题
- 解决删除chrome注册表残留问题
- 解决电脑屏幕刷新有残留问题
- 安装Fedora 16后解决的各种问题
- Android安装应用后点击"打开"(Open)带来的问题及解决方式
- Android安装应用后点击,打开.(Open)带来的问题及解决方式
- Android安装应用后点击打开(Open)带来的问题及解决方式
- 利用 MSDaRT 轻松解决 windows7 系统问题
- 使用360杀毒后,360将MySQL的注册表当作病毒给kill掉了,导致不能上到mysql服务器连接127.0.0.1问题的解决办法
- 清除软件卸载后的残留项
- vsftp设置
- [CSS基础]在一个网页中使用多种不同链接风格的CSS.
- J2ME俄罗斯方块半成品的界面和Jar/jad文件
- C#中一些字符串操作的常用用法
- win2K的常用命令
- 轻松解决杀毒后给系统带来的各种残留问题
- javax.servlet.FilterConfig翻译
- 极品绝种好男人---女朋友这样评价我!我好害羞!
- ASP.NET定制数据验证控件之略谈
- 【恶意代码系列】一.何谓恶意代码
- MySQL自动备份方法[摘合]
- 感觉自己发烧了
- 恰同学少年
- 【恶意代码系列】二、清除准备工作
