网络安全防护之木马清除（四）

梦幻王子

   随着信息网应用的不断延伸，网络安全问题逐渐引起信息安全部门的高度重视，应该采用何种有效方式开展网病毒的监控与防治成了信息网网络安全的首要问题。由于网上的各种病毒及恶意插件不断涌现，而且更新速度之快与其防杀技术的不断更新，使得我们在日常的信息网维护工作及病毒清除工作也愈来愈困难，一个防毒软件不可能能防杀所有类型的病毒，这就要求在不能通过杀毒软件来清除的时候，就只能求助于自己，利用我们所掌握的木马病毒防护知识来进行手工清除、查杀。计算机感染木马病毒。

在发现可疑程序并判断程序为病毒程序后，我们应该如何处理呢，现在一般的病毒都是通过网络、存储介质等方法来传播的，特别是现在很多网站上挂了木马下载器、感染者、下载者之类的木马，感染之后会自动到某些网络地址上去下载各种木马。这就要求我们的计算机上一定要安装病毒防护软件、及网络防火墙，并加装主机防御系统。并保持其病毒特征码为最新，利用系统的漏洞扫描，查找下载并安装操作系统的补丁（例如：使用360安全卫士软件的系统补丁安装等方法）、设置高强度的用户密码等方法来加强系统的防护能力、设置全面的系统安全策略。

当前阶段的木马的注入方法很多都是注册到服务、注册到驱动（系统底层驱动（在安全模式下也可以加载）、替换系统文件、插入到正常文件中、添加到注册表项、加载到系统进程、利用盘符根目录的自动运行等方法来进行病毒文件的防护。例如，注册到驱动并设置为开机启动，并且加载到系统进程监视病毒文件是否被清除，当病毒文件被清除后，在很短的时间内又会重新生成病毒文件，所以只有将我们信息网计算机中的木马和病毒彻底清除掉，才能恢复我们信息网计算机的正常使用，使我们的各种应用操作不受干扰。

针对以上出现的各种问题，我们可以采取以下的措施：

1、在网上设置杀毒软件、网络防火墙更新程序，可以将我们网内部应用的各种杀毒软件、网络防火墙、主机防御系统实时的更新防毒软件病毒库，将其病毒特征码升级到最新，然后全盘杀毒。

2、如果使用防病毒软件清除病毒重启进入系统后，又出现病毒文件，则在网上查找对应的专杀工具或清除方法，可能会有惊喜的发现，如未有对应的方法，则手工进行查杀。

3、使用第三方工具软件进行清除：例如，360安全卫士---补丁的下载安装、木马的清除、IE的修复等；SRENG---可以修复被恶意软件锁定的系统功能、修复文件关联、注册表自动修复、清除WIN32服务应用程序及驱动程序中的病毒注册项等；冰刃---强行删除受保护的文件、强行删除受保护的注册表项等。

根据具体的情况操作步骤可分为以下几个方面进行：

一、防病毒软件及第三方工具软件可以运行：

     1、升级防病毒软件及第三方软件（如360安全卫士等）后，进行病毒的查杀，绝大部分病毒都能通过这种方式进行清除。

2、还有一小部分的病毒很多都是进行多方面的保护，所以，使用杀毒软件清除后也可能还会出现，那么，我们就必须清除掉那些保护的措施：

※进入安全模式下，使用防病毒软件、第三方软件（如360安全卫士、SRENG、冰刃等）进行杀毒与系统启动项更改、以及WIN32服务应用程序、驱动程序的更改（有一部分病毒会注册这两类服务，注意其中有一个SECDRV及TCP的服务不能删，否则系统启动不了或网络故障）

※删除TEMP及Temporary Internet Files下的文件、Content.IE5下的文件夹。

※设置显示所有文件后，再查找删除%WINDIR%、%WINDIR%\SYTEM32、%WINDIR%\FONTS、%WINDIR%\SYSTEM32、DRIVERS等目录以及各根目录下的病毒文件及垃圾文件。※设置显示公司名称，然后查找那些无公司名称的EXE、SYS、DLL类型的文件，如果不能确定是否是病毒文件的，可以在网络上去搜索下是什么文件；一般的病毒文件取名都是那种随机的文件名（例如：a.exe、1.exe之类），删除这些文件，如果不能清除的话，可以使用冰刃进行强行删除。

※在注册表中搜索病毒文件的键值，然后删除，一般情况下会出现一些项下，但是要注意：如果误删除了一些项的话，可能会引起系统故障，所以要特别注意。

二、防病毒软件及第三方工具软件不可以运行：

这种情况是因为病毒劫持了系统进程，停止掉了防毒软件系统服务及第三方安全软件的系统服务原因，致使该系统服务无法正常启动。

1、在网络上搜索此类病毒的解决方法，如有，则可按照方法进行清除，如果没有可以查找该防护软件的同名服务启动项；

2、如网络上未有解决方法，则可按照下面的方法来操作：

※进入安全模式，显示所有文件，查找到病毒文后强行删除，如果不能删除的，使用“冰刃”等软件进行强行删除（有些注册表项也会被锁定，使用“冰刃”也可强行删除）；
※如果第三方软件不能启动，可将执行文件更改为一随意文件名后，再执行，一般情况下都可以运行；
有些时候在更改软件名后还是会出现不能执行的情况，一般都是系统重要进程文件被替换，可以在正常系统中拷贝正常文件覆盖、删除病毒文件后，则在重启进入安全模式后一般都可以执行安全软件。

接下来的操作则可以按照“防病毒软件及第三方工具软件可以运行”中的步骤进行。

例如：感染了userinit.exe病毒，会出现常用防毒软件及第三方安全软件无法启动、系统字符出现错误等，则我们可以启动到安全模式下，用正常的userinit.exe文件覆盖此病毒文件，并删除找到的病毒文件（如%WINDIR%、%WINDIR%\SYTEM32、%WINDIR%\FONTS、%WINDIR%\SYSTEM32、DRIVERS等目录以及各根目录下的病毒文件及垃圾文件），重启电脑后再进入安全模式下，则可以使用防病毒软件及第三方软件查杀病毒。