[转帖] Windows系统 十大病毒藏身之处曝光

　　　　　　　　　　windows系统 十大病毒藏身之处曝光  
　　　　作者335294006 转自http://blog.lanyue.com/view/83/1699193.htm
　　发现病毒，但是无论在安全模式还是windows下都无法清除怎么办？由于某些目录和文件的特殊性，没有办法直接清楚，包括安全模式下杀毒等一些方式杀毒，而需要某些特殊手段清楚的带毒文件。以下所说的目录均包含其下面的子目录。
　　1、带毒文件在\temporaryinternetfiles目录下。
　　由于这个目录下的文件，windows会对此有一定的保护作用（未经证实）。所以对这个目录下的带毒文件即使在安全模式下也不能进行清除，对于这种情况，请先关闭其他一些程序软件，然后打开ie，选择ie工具栏中的"工具"\"internet选项"，选择"删除文件"删除即可，如果有提示"删除所有脱机内容"，也请选上一并删除。
　　2、带毒文件在\_restore目录下，或者systemvolumeinformation目录下。
　　这是系统还原存放还原文件的目录，只有在装了windowsme/xp操作系统上才会有这个目录，由于系统对这个目录有保护作用。对于这种情况需要先取消"系统还原"功能，然后将带毒文件删除，甚至将整个目录删除也是可以的。关闭系统还原方法。windowsme的话，禁用系统还原，dos下删除。xp关闭系统还原的方法：右键单击“我的电脑”，选“属性”--“系统还原”--在“在所有驱动器上关闭系统还原”前面打勾--按“确定”退出。
　　3、带毒文件在.rar、.zip、.cab等压缩文件中。
　　现今能支持直接查杀压缩文件中带毒文件的反病毒软件还很少，即使有也只能支持常用的一些压缩格式；所以，对于绝大多数的反病毒软件来说，最多只能检查出压缩文件中的带毒文件，而不能直接清除。而且有些加密了的压缩文件就更不可能直接清除了。
　　要清除压缩文件中的病毒，建议解压缩后清除，或者借助压缩工具软件的外挂杀毒程序的功能，对带毒的压缩文件进行杀毒。
　　4、病毒在引导区或者suhdlog.dat或suhdlog.bak文件中。
　　这种病毒一般是引导区病毒，报告的病毒名称一般带有boot、wyx等字样。如果病毒只是存在于移动存储设备，如软盘、闪存盘、移动硬盘上，就可以借助本地硬盘上的反病毒软件直接进行查杀；如果这种病毒是在硬盘上，则需要用干净的可引导盘启动进行查杀。
　　对于这类病毒建议用干净软盘启动进行查杀，不过在查杀之前一定要备份原来的引导区，特别是原来装有别的操作系统的情况，如日文windows、linux等。
　　如果没有干净的可引导盘，则可使用下面的方法进行应急杀毒：
　　(1)在别的计算机上做一张干净的可引导盘，此引导盘可以在windows95/98/me系统上通过"添加／删除程序"进行制作，但要注意的是，制作软盘的操作系统须和自己所使用的操作系统相同；
　　(2)用这张软盘引导启动带毒的计算机，然后运行以下命令：
　　a:\>fdisk/mbr
　　a:\>sysa:c:
　　如果带毒的文件是在suhdlog.dat或suhdlog.bak文件中，那么直接删除即可。这是系统在安装的时候对硬盘引导区做的一个备份文件，一般作用不大，病毒在其中已经不起作用了。
　　5、带毒文件的后缀名是.vir、.kav、.kbk等。
　　这些文件一般是一些防毒软件对原来带毒的文件做的备份文件，一般情况下，如果确认这些文件已经无用了，那就将这些文件删除即可。
　　6、带毒文件在一些邮件文件中，如dbx、eml、box等。
　　有些防毒软件可以直接检查这些邮件文件中的文件是否带毒，但往往不能对这些带毒的文件直接的进行操作，对于一些邮箱中的带毒的信件，可以根据防毒软件提供的信息找到那带毒的信件，删除信件中的附件或者删除该信件；如果是eml、nws一些信件文件带毒，可以用相关的邮件软件打开，确认该信件及其附件，然后删除相关内容。一般有大量的eml、nws的带毒文件的话，都是病毒自动生成的文件，建议都直接删除。
　　7、文件中有病毒的残留代码。
　　这种情况比较多见的就是带有cih、funlove、宏病毒，包括word、excel、powerpoint和wordpro等文档中的宏病毒和个别网页病毒的残留代码，通常防毒软件对这些带有病毒残留代码的文件报告的病毒名称后缀通常是int、app等结尾，而且并不常见，如w32/funlove.app、w32.funlove.int。一般情况下，这些残留的代码不会影响正常程序的运行，也不会传染，如果需要彻底清除的话，要根据各个病毒的实际情况进行清除。
　　8、文件错误。
　　这种情况出现的并不多，通常是某些防毒软件将原来带毒的文件并没有很干净地清除病毒，也没有很好的修复文件，造成文件无法正常使用，同时造成别的防毒软件的误报。这些文件可以直接删除。
　　9、加密的文件或目录。
　　对于一些加密了的文件或目录，请在解密后再进行病毒查杀。
　　10、共享目录。
　　这里包括两种情况：本地共享目录和网络中远程共享目录（其中也包括映射盘）。遇到本地共享的目录中的带毒文件不能清除的情况，通常是局域网中别的用户在读写这些文件，杀毒的时候表现为无法直接清除这些带毒文件中的病毒，如果是有病毒在对这些目录在写病毒操作，表现为对共享目录进行清除病毒操作后，还是不断有文件被感染或者不断生成病毒文件。以上这两种情况，都建议取消共享，然后针对共享目录进行彻底查杀，恢复共享的时候，注意不要开放太高的权限，并对共享目录加设密码。对远程的共享目录（包括映射盘）查杀病毒的时候，首先要保证本地计算机的操作系统是干净的，同时对共享目录也有最高的读写权限。如果是远程计算机感染病毒的话，建议还是直接在远程计算机进行查杀病毒。特别的，如果在清除别的病毒的时侯都建议取消所有的本地共享，再进行杀毒操作。在平时的使用中，也应注意共享目录的安全性，加设密码，同时，非必要的情况下，不要直接读取远程共享目录中的文件，建议拷贝到本地检查过病毒后再进行操作。
　　补充一个：
　　建议您按照下面操作试一试：首先鼠标右键点击我的电脑-属性-系统还原-把在所有驱动器上关闭系统还原前面的格子勾上。
　　然后进入到安全模式（重启过程中按f8键）把下面3个文件夹里的文件全部清空。
　　c:\windows\temp
　　c:\documentsandsettings\用户名\localsettings\temp
　　c:\documentsandsettings\用户名\localsettings\temporaryinternetfiles
　　最后再杀毒（安全模式下）试一试。两个文件夹里面的“用户名”是您登陆系统的时的登陆名，如果您没有做过修改的话。用户名是：administrator。
　　专题：网络安全
　　（转帖）

　　　　　　　　传病毒的恶意网页怎么去掉?
　　　　作者璞钢，转自http://blog.lanyue.com/view/83/1721103.htm
　　大家都有过被网页病毒侵犯的经历，比如某次网上漫游之后，发觉ie浏览器的主页被改成了一个恶意网站，而且浏览器默认搜索引擎也被改为该恶意网站的搜索引擎，“导航者”被恶意网页病毒侵袭了……
　　从网上下载了很多病毒专杀工具，检查结果都提示“您的注册表已经被修改”。按下“修复”键，将ie设置修复如初。不想再次启动计算机后发现ie主页及搜索引擎又变回该恶意网站。难道是感染了什么恶性病毒?
　　分析一下：既然每次重新启动计算机恶意网页病毒出现，问题肯定和启动有关了。运行“msconfig”程序查看启动项，里面基本上都是系统启动时需要的系统文件，好像没什么。突然有一项引起我的注意，项目名为“system”，项目值为“regedit /s c:/system.reg”，连忙回到c盘根目录下找到“system.reg”，用记事本打开它，内容如下：
　　regedit4
　　[hkey_current_user/software/microsoft/internet explorer/main]
　　"start page"="http://****.com/"
　　"search page"="http://****.com/"
　　"search bar"="http://****.com/"
　　[hkey_local_machine/software/microsoft/windows/currentversion/run]
　　"system"="regedit /s c:/system.reg"
　　就是它!伪装成系统文件，在“msconfig”的启动项中将“system.reg”前的“√”去掉(比较彻底的做法是进入注册表，把“hkey_local_machine/software/microsoft/windows/currentversion/run”下的“system”项删除)，将c盘根目录下的“system.reg”删除。
　　至此我们的问题就得到了解决了，重新启动计算机后“导航者”设置不再被篡改。
　　经验总结：
　　1. 要常备反病毒软件及清除恶意网页病毒工具;
　　2. 一旦被这类“驱之不散”的恶意网页病毒感染，用“msconfig”工具(windows 2000用户可将windows 98的system目录中“msconfig.exe”文件拷贝到windows 2000的system32目录中即可使用)查看系统启动时有无异常项目;
　　3. 查找硬盘有无创建时间为误入这些恶意网站时间的文件，特别是c盘根目录、program files目录及操作系统目录下。
　　（转帖）