主题 : 反病毒可能需要用到的方法及操作
级别: 二年级
0  发表于: 2007-08-21 21:36

反病毒可能需要用到的方法及操作

进入安全模式



在计算机启动时,按F8键,会出现系统启动菜单,从中可以选择进入安全模式。
Windows98

清空Internet Explorer临时文件



ie右建属性然后点删除

如何显示所有文件和文件夹(隐含及系统保护)



Windows 98
在“我的电脑”或“Windows资源管理器”窗口菜单栏中点击“查看”>>“文件夹选项...”,在出现的“文件夹选项”对话框中点“查看”选项卡,然后在其中点选“显示所有文件”,最后“确定”。其中去掉“隐藏已知文件类型的扩展名”前的勾,则显示所有文件的扩展名。



Windows XP
在“我的电脑”或“Windows资源管理器”窗口菜单栏中点击“工具”>>“文件夹选项...”,在出现的“文件夹选项”对话框中点“查看”选项卡,然后在其中去掉“隐藏受保护的操作系统文件”前的勾,点选“显示所有文件和文件夹”,最后“确定”。其中去掉“隐藏已知文件类型的扩展名”前的勾,则显示所有文件的扩展名。Windows 2000与Windows XP操作类似。

如何禁用/关闭“系统还原”



Windows ME
右键点击“我的电脑”,在出现的菜单中选择“属性”,打开“系统属性”对话框。切换到“性能”选项卡,点击“性能”选项卡中“高级设置”下的“文件系统”按钮,出现“文件系统 属性”对话框;然后切换到“疑难解答”选项卡,在“设置”中最后一行“禁用系统还原”前打上勾。


Windows XP
右键点击“我的电脑”,在出现的菜单中选择“属性”,打开“系统属性”对话框。切换到“系统还原”选项卡,在其中“在所有驱动器上关闭系统还原”前打上勾。

关闭“信使服务”



右键点击“我的电脑”,在出现的菜单中选择“管理”,打开“计算机管理”窗口(或者从“控制面板”中打开“计算机管理”)。在其中打开“服务”,在右边的服务列表里选择“Messenger”,右键点击“Messenger”,在出现的菜单中选择“属性”(或者双击“Messenger”),打开“Messenger的属性”窗口,把其中“启动类型”更改为“手动”或“已禁用”即可。需要停止Messenger服务,可以在“服务状态”下面的按钮中点“停止”来停止Messenger服务。
Windows 2000类同。

更改管理员帐户密码



右键点击“我的电脑”,在出现的菜单中选择“管理”,打开“计算机管理”窗口(或者从“控制面板”中打开“计算机管理”)。在其中打开“本地用户和组”下的“用户”,在右边选择管理员帐户,右键点击相应帐户,在出现的菜单中选择“设置密码”来更改密码。
Windows 2000类同。

如何结束一个进程(任务) 如何运行一个进程



使用Windows任务管理器结束进程
首先打开任务管理器。右键点击任务栏,在出现的菜单中选择“任务管理器”可打开“任务管理器”,或者从“开始”>>“运行”里输入“taskmgr.exe”来打开“任务管理器”。
,选择一个需要结束的进程,然后按下“结束进程”按钮。


对于 Windows 95/98/ME 用户
同时按下Ctrl+Alt+Del,打开“关闭程序”对话框,在列表中选择需要关闭的进程,点击下面的“结束任务”按钮。


使用Windows任务管理器运行进程
,在“任务管理器”菜单中依次点击“文件”>>“新任务(运行)”,然后在弹出的“创建新任务”对话框里输入需要运行的程序名,或者用“浏览”按钮选择一个需要运行的程序,最后按“确定”按钮运行该程序。



使用第三方程序(如Process Explorer)结束进程
,运行Process Explorer后选择一个需要结束的进程,然后按下工具栏中的“Kill Process”按钮结束它的进程,或者从该进程的右键菜单中选择“Kill Process”结束它的进程。


使用第三方程序(如Process Explorer)运行进程
,在Process Explorer菜单中依次点击“File”>>“Run”,然后在弹出的“运行”对话框里输入需要运行的程序名,或者用“浏览”按钮选择一个需要运行的程序,最后按“确定”按钮运行该程序。

如何使用Windows Update



1.Windows Update为Windows系统自带的功能,用于Windows系统的在线更新。
要启动Windows update,可以从“开始”菜单、IE菜单栏上的“工具”菜单中的“Windows Update”等地方点击运行Windows Update。


2. 启动Windows Update后,如图所示,首先MS会搜索当前系统中的Windows Update版本,如果版本过旧,则会首先要求用户安装新版本的Windows Update。
进入“欢迎界面”后,点击图中“查看以寻找更新”开始搜索系统所需要安装的关键更新、Service Pack及一些其它更新。




3. 搜索完毕后,会显示出系统需要安装的关键更新和Service Pack及其它更新。
其中,最为关键的是“关键更新和Service Pack”,用户可以点击左边对应的“关键更新和Service Pack”,系统会在右边显示出当前系统所需要安装的“关键更新和Service Pack”,默认情况下,这些全都是选中状态。


用户如果需要安装的话,点击“复查并安装更新”按钮,Windows Update系统会显示出准备安装的“关键更新和Service Pack”的列表和所需下载文件的大小和时间。确认后,点击“立即安装”按钮,Windows Update系统便开始下载并安装所选择的“关键更新和Service Pack”了。


4. 最后,安装完毕,有时可能会提示需要重新启动系统。

关闭共享文件夹 设置文件夹为不共享



Windows 98

可以在需要设置的文件夹的“属性”或“共享”中设置,

需要设置为“不共享”,可以点选“不共享”选项,然后点击“确定”;
需要设置为“只读共享”,可以在“访问类型”中点选“只读”选项,设置好后点“确定”。

Windows 2000

可以在需要设置的文件夹的“属性”或“共享”中设置,
需要设置为“不共享”,可以点选“不共享该文件夹”选项,然后点击“确定”;
需要设置为“只读共享”,可以在点击“权限”按钮后弹出的“文件夹权限”窗口中点选“读取”,并去掉“更改”和“完全控制”选项,设置好后以此点击“确定”结束。

另外,也可以在“计算机管理”中管理整个系统的共享文件夹,
在“计算机管理”中以此选择“共享文件夹”>>“共享”,在右边的窗口中就会显示出当前系统的所有共享驱动器和文件夹的信息,在这里,用户可以将不需要共享的文件夹设置成不共享状态:右键点击一个文件夹(或驱动器),在出现的菜单中选择“停止共享”。

如何删除病毒/木马程序的自启动项



从注册表编辑器中删除病毒文件的自启动项

打开注册表编辑器:“开始”>>“运行”,输入“REGEDIT”,点击“确定”打开注册表编辑器。

在这里为了能结合实际地说明一些问题,特别介绍删除病毒Lovgate.w (aka Supnot.w)的自启动项。(以Windows 2000为例)

一般病毒经常会将自己的自启动项加在注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下,这也是最常见的一个自启动项位置,

对于病毒的自启动项,我们一般可以直接删除。

注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices也是病毒经常添加自启动项的地方

另外,注册表的HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows下的run和load也会被病毒程序利用起来加上它们的自启动项,只不过不是非常多见,所以有些用户也不十分清楚它在注册表编辑器中的位置,不一定能在注册表编辑器中找到这里,这个时候,我们可以使用菜单“编辑”>>“查找”功能来查找一下我们所要找的病毒自启动信息,我们输入病毒文件的完整文件名来进行查找:

通过查找,我们可以很轻松地找到它的自启动信息和其它一些相关信息。



使用“系统配置实用程序”来管理自启动项信息
我们知道在Windows 9X和Windows XP中都有一个叫作“msconfig”的东西,这个就是“系统配置实用程序”,通过它,我们可以方便地管理一些程序的自启动信息。

打开系统配置实用程序:“开始”>>“运行”,输入“msconfig”,点击“确定”打开系统配置实用程序。

在“系统配置实用程序”的“启动”选项页上我们可以看到有一个启动程序列表,它们前面的勾表示它们是否在系统启动时也随系统同时启动。一般对于病毒的自启动项,我们可以在这里将它们前面的勾去掉





使用第三方工具
除了通过使用“系统配置实用程序”和直接修改系统注册表的方法来去除病毒的自启动项外,我们还可以使用一些第三方的小工具来去掉或编辑这些启动项,比如HijackThis等等。

小技巧:Windows 9X和Windows XP中的msconfig.exe程序也可以在Windows 2000下直接运行,同样可以显示修改Windows 2000中的“启动”信息。

关闭一些可能会成为安全隐患的服务



这些服务可能会成为系统的安全隐患,普通用户可以关闭或禁用这些服务。

“计算机管理” >> “关闭服务”


关闭 Server 服务
对于一般单机用户,如果对计算机应用没有什么特殊需要,可以关闭Server服务。
对于局域网用户,尤其是服务器,一般不建议关闭Server服务,建议做好安全策略等安全措施,比如权限的设置及相关认证方面的设置。


关闭远程注册表服务


关闭计划任务服务


关闭 Telnet 服务


关闭终端服务

如何在DOS或CMD命令行下删除病毒文件



这里简单说说在DOS和CMD命令行下如何删除病毒文件,一般来说,病毒文件在DOS下或在带命令行的安全模式下都可以比较顺利地直接删除。
一般我们需要用到两个命令,一个是ATTRIB,用来设置(去除)病毒文件属性,另一个就是删除文件的DEL命令了。

DOS中,
病毒文件可能会带有“系统”、“隐含”或“只读”属性,碰到带有这些属性的可能无法直接DEL删除,我们首先要去掉病毒文件的这些属性。
命令:


attrib -s -h -r virus.dll
(其中-s表示去除“系统”属性;-h表示去除“隐含”属性;-r表示去除“只读”属性)

然后我们就可以使用DEL命令来删除病毒文件了。
命令:


del virus.dll


CMD命令行中,
在NT内核系统中,如Windows 2000 / XP,我们还可以启动到“带命令行提示的安全模式”来尝试删除正常模式下甚至安全模式下无法删除的病毒文件。


ATTRIB和DEL命令用法基本相同。

常见的SREng操作 (1.x/2.0 RC1)



编辑、删除、注释注册表启动项

如图,红框中的是病毒建立和修改的启动项,我们使用SREng来恢复删除它们。



当SREng检测到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下shell的值不是默认Explorer.exe的时候,会出现提示框:



注:当以下项的值非默认时,SREng也会出现提示框。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows下的AppInit_DLLs


编辑注册表启动项

点击选择要编辑的那项,使其高亮显示,然后按下“编辑”按钮



编辑值,删除Explorer.exe后面的内容,按下“确定”




删除注册表启动项

点选要编辑的那项,使其高亮显示,然后按下“删除”按钮



在确认对话框中选择“是”,删除该启动项目




注释注册表启动项

即去掉启动项前面的对勾,去掉对勾时该启动项的值前会出现一个;(分号),表示该启动项已注释,不起作用

禁用、删除服务项

“服务”中默认列出所有服务项,需要注意的是只有当勾选“隐藏微软服务”后,“删除所选服务”按钮才为可用状态,否则不可进行删除服务的操作。




禁用服务项

点击选择需要禁用的服务项,按下“禁用所选服务”,在弹出的确认对话框中选择“是”,SREng将设置该服务启动类型为“手动”,选择“否”,将设置该服务启动类型为“已禁用”




删除服务项

点击选择需要删除的服务项,按下“删除所选服务”,在弹出的警告对话框中选择“是”(推荐项),SREng将不删除该服务,选择“否”,SREng将删除该服务



为了尽可能地保证系统的稳定,“删除服务”操作是不被SREng作者推荐的,强烈建议你在操作前仔细确认。
系统修复-文件关联

SREng会自动检查列出的文件关联类型是否正常,如果某文件关联不正常,SREng会勾选中该文件关联,并标注状态为“错误”,等待用户修复。
勾选需要修复的文件关联类型后,按下“修复”按钮进行修复




系统修复-Windows Shell(系统相关)
这里列举了一些常见的可能会被病毒或恶意代码修改或禁用的系统设置,勾选相关内容可进行相关修复。
这里列举恢复注册表编辑器和任务管理器的禁用,




系统修复-Internet Explorer(IE相关)
这里列举了一些常见的可能会被病毒或恶意代码修改或禁用的IE选项和设置,勾选相关内容可进行相关修复。
这里列举恢复IE默认主页被改和IE选项设置被禁用的恢复操作,




系统修复-浏览器加载项
这里列出的是浏览器的BHO、工具栏、扩展按钮、右键菜单等内容,如果有不需要的内容,可以进行删除
智能扫描

默认选择所有需要扫描的项目,按下“扫描”按钮开始扫描



扫描中……



扫描完成后按下“保存报告”即可保存扫描结果(报告日志,默认文件名SREng.LOG)

SREng常用操作说明 (2.0 RC2)



编辑、删除、注释注册表启动项

打开 SREng ,到“启动项目”->“注册表”,这里显示了注册表里大部分启动项信息,除了常说的run等启动项外,2.0 RC2新增加了对 ShellServiceObjectDelayLoad 、 SharedTaskScheduler 、 ShellExecuteHooks 、 WinlogonNotify 的检测,只是对 ShellServiceObjectDelayLoad 、 SharedTaskScheduler 、 ShellExecuteHooks 三类只能进行删除操作,不能编辑。

SREng 2.0 RC2 还增加了颜色标识,红色表示高危项目,蓝色表示未知安全状态项目。


编辑注册表启动项

点击选择一个需要编辑的注册表启动项目,然后点击“编辑”按钮就会出现编辑对话框,可以对“名字”和“值”进行修改编辑。
双击一个注册表启动项目也可以打开编辑对话框。




删除注册表启动项

要删除一个注册表启动项,点击选择一个需要删除的注册表启动项目,然后点击“删除”按钮,出现删除确认对话框,点击是删除,点击否取消。




注释注册表启动项

每个注册表启动项前都有一个小勾,点击去掉小勾就“注释”了那个启动项,对应值数据前会出现一个“;”好,表示已注释项目,和在msconfig系统配置实用程序里一样,被注释掉的启动项将不起作用。

注:对于 ShellServiceObjectDelayLoad 、 SharedTaskScheduler 、 ShellExecuteHooks 三类,不能进行编辑和注释操作,只可以进行删除操作。
调整服务启动类型、删除服务

SREng 2.0 RC2 增加了对系统驱动程序服务的扫描,打开 SREng ,到“启动项目”->“服务”可以看到“Win32应用程序服务”和“驱动程序”两个按钮,按下相应按钮弹出相应服务列表窗口(是可以最大化的窗口哦)。



一般情况下,我们经常操作的是“Win32应用程序服务”。

注:勾选“隐藏微软服务”将隐藏发行者是微软的服务,使服务列表看起来更加整洁,也可以减少误操作系统服务的概率。


调整服务启动类型

首先在列表中点击选择一个需要调整启动类型的服务,然后点选“修改启动类型”,再到“启动类型”下拉列表里选择需要调整到的启动类型:“Auto Start”、“Manual Start”或“Disabled”,最后点击“设置”按钮,出现确认对话框,点击是确认,点击否取消。

“Auto Start”表示“自动”
“Manual Start”表示“手动”
“Disabled”表示“已禁用”




删除服务

首先在列表中点击选择一个需要删除的服务,然后点选“删除服务”,再点击“设置”按钮,出现警告对话框,请仔细阅读警告对话框中的内容,确认是否继续删除服务的操作,点击是取消,点击否确认删除。




“驱动程序”服务的相关操作基本和“Win32应用程序服务”的操作相同,不同之处是“驱动程序”的“启动类型”里还有“Boot Start”和“System Start”两种启动类型。

注:在服务列表里 SREng 2.0 RC2 也增加了颜色标识,红色表示高危项目,蓝色表示未知安全状态项目。

系统修复

文件关联修复

SREng 会自动判断所列文件关联是否正常,如果不正常会在“状态”列显示“错误”字样并自动勾选,点击“修复”按钮即可修复。




Windows Shell修复

这里列出了一些常见的系统限制项目,勾选需要修复的项目,点击“修复”按钮进行修复。
图中举例:修复注册表编辑器的禁用 和 任务管理器的禁用。




Internet Explorer修复

这里列出了常见的一些和IE相关的限制项目,勾选需要修复的项目,点击“修复”按钮进行修复。
图中举例:恢复IE主页为“空白页” 和 修复Internet选项对话框内容设置的禁用。




浏览器加载项修复

选择一个需要删除的浏览器加载项,点击“删除所选内容”可以删除对应的浏览器加载项,在出现的确认对话框中,点击是确认删除,点击否取消操作。



注:选择一个浏览器加载项,去掉“已启用”的勾选可以禁用该浏览器加载项。


自动修复

默认为“推荐修复级别”,修复所有已知Windows注册表相关错误,点击“修复”按钮进行修复。
另一个级别是“高强修复级别”,将删除系统内所有策略项。

智能扫描

在右边的窗口内勾选需要扫描的内容,点击“扫描”按钮开始扫描……
扫描完成后出现“详细报告”对话框,显示了扫描结果报告内容,点击“保存报告”可以保存扫描报告为LOG文件,默认文件名SREngLOG.LOG。
无论是悲伤的过去.
还是充满希望的未来.
团子大家族们一直都会幸福.
你也一样.