手动发现清除及防范常见电脑病毒..docx

手动发现、清除及防范常见电脑病毒转自中国网管联盟前几天一个朋友的第4个网络游戏帐号在家中再次被盗，这着实让笔者感到震惊！现如今各种形形色色盗号木马及电脑病毒的猖獗的确让许多电脑用户感到棘手，甚至是恼火。　事实上，成千上万种怀揣不同目的的木马程序及电脑病毒之所以能那么快速和广泛的传播、那么轻而易举和悄无声息的植入到用户电脑中，笔者觉得一方面有木马病毒编制技巧和伪装技术的不断更新换代原因，而更重要的另一个方面就是用户对木马及电脑病毒防范技能的缺乏。 　众所周知，目前网络安全形势是非常严峻的，用户在进行浏览网页、收取邮件和下载文件等上网操作时均有可能被病毒或木马“盯上”，有时甚至我们在打开一张普普通通的图片时也会让木马溜进系统。由此可见，用户快速掌握一些实用的手动发现、清除及防范针对常见电脑病毒和木马的安全技能是完全有必要的。 　一、快速发现木马的依据 　所谓“木马”，实际上就是一种基于远程控制的黑客程序，一般有服务器端和控制器端两个程序组成，黑客必须首先将控制器端程序事先安插在用户电脑上并使其处于启动状态，才能让控制器端程序被服务器端程序远程控制，从而达到盗取用户各种帐号及其它隐私信息的罪恶目的。基于“木马是运行着的进程”这一点，我们就很容易直观查找到木马的一些“蛛丝马迹”了。　1.查看“任务管理器”　　处于工作状态的木马程序首先应该是一个活动进程，所以用户可以同时按下Ctrl+Alt+Del组合键，打开“任务管理器”对话框，在其“进程”面板中用户可能通过查找和发现是否有陌生的进程文件名来判断是否有木马的存在(如图1)。这种方法主要靠用户对系统组成的深入了解和相关记忆及经验来判断，对于进程文件名伪装的比较好的木马，比如将文件名修改成与系统文件名非常相似的像Window.exe、.dl、Systom.ini等，一般用户在识别起来可能会感到有难度。 　　图1　这里笔者给大家举一个很经典的例子，有一种木马程序会伪装成“RUNDLL32.EXE”进程，该木马同时会以命令行的方式调用相关动态链接程序库，进而启动后台真正的木马程序。但是用户只要按下Ctrl+Alt+Del组合键打开“任务管理器”，就会发现这个被伪装“RUNDLL32.EXE”进程CPU占用率竟然高达95%，这显然是不合常理的(如图2)。 　2.查看系统服务 　许多木马进程在自身启动工作状态以后，还会在后台悄悄开启部分系统服务来达到“信息监听”的目的，所以用户通过经常查看和关闭部分不必要的系统服务，也可以发现和防范木马：用户在系统的“运行”框中输入“msconfig”命令，随后将打开的“系统配置实用程序”切换到“服务”面板，而那里通过查看是否存在有陌生的系统服务来快速发现木马(如图3)。不过这种方法同样对用户的相关专业水平和经验要求较高，并且用户即便发现了陌生的系统服务，可能也无法知道对应木马的藏身之处。 　　　图3　3.查看注册表中的“启动”键值 　用户可以打开Windows的注册表，在其“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion”和“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion”下所有以“run”开头的键值中去寻找可疑的和一些陌生的键值(如图4)。不过这种方法的缺点与上面两个基本相同，都需要用户有较高的相关认知能力。 　　　　图4　另外，用户通过对系统Win.ini文件、System.ini文件、Autoexec.bat文件和Config.sys文件中相关语句的查看也可以发现和防范木马，比如在Win.ini文件中，在正常情况下其[Windows]字段中启动命令“load=”和“run=”等号后面应该是空白的，如果等号后面跟有“*.exe”字样，则可能就是木马程序。但是这种方法在操作上就显得过于繁琐了。　现在病毒和木马的变种非常多，有的病毒和木马自身就是几十乃至上百个不同的变种，而如AV终结者、灰鸽子等众多恶性病毒木马变种还会自动关闭部分杀毒软件的实时防控功能，所以用户自己学会一些快速发现和防范病毒木马的相关知识及技能是很有好处的。但是，上面也提到，尽管查看系统任务管理器、查看系统服务、查看注册表、查看相关系统文件等都可以发现病毒木马，但对用户的相关专业技术知识要求较高。那么有没有一种更加快捷的发现和防范病毒木马的方法呢？笔者经过比较，意外发现我们所熟知的“Windows优化大师”在反木马方面，的确可以“四两拨千斤”。　 　1.增强型“任务管理器” 　前面已经反复提到，在Windows系统自带的“任务管理器”中，用户只能通过对进程名称的识别来判断病毒或木马的存在，如系统中输入法控制器的进程名称为“IMJPMIG.EXE”，如果用户发现的是“