飛雪散花

對病毒木馬進(jìn)行查殺，只是萬里長征第一步，接下來，我們還有太多的康復(fù)工作要做。

1、防止死灰復(fù)燃，斬盡一切鬼魅

病毒木馬被查殺后，許多文件會殘留在系統(tǒng)文件和磁盤引導(dǎo)區(qū)中，如果不能將其一網(wǎng)打盡、斬草除根，它們極有可能死灰復(fù)燃。所以惡意程序被查殺后，我們要做的第一件事就是清除漏網(wǎng)之魚。

1.清理系統(tǒng)還原點(diǎn)

系統(tǒng)還原點(diǎn)是微軟為防止因用戶安裝第三方應(yīng)用程序?qū)е孪到y(tǒng)出現(xiàn)問題而提供的一種保障措施。這樣，當(dāng)系統(tǒng)出現(xiàn)問題時，我們可方便地使用先前建立的還原點(diǎn)恢復(fù)系統(tǒng)。

默認(rèn)情況下，Windows系統(tǒng)會在指定的時間或發(fā)現(xiàn)用戶安裝了新軟件后，自動建立一個還原點(diǎn)，該還原點(diǎn)往往保存有病毒木馬，因此，在查殺病毒后，我們務(wù)必要對磁盤保存的還原點(diǎn)進(jìn)行清除。

以Win 8.1為例。

右擊“開始”按鈕，在彈出的右鍵菜單中選擇“控制面板”，打開控制面板，依次選擇“系統(tǒng)安全”、“系統(tǒng)”項(xiàng)，進(jìn)入相應(yīng)的窗口。選擇左側(cè)的“系統(tǒng)保護(hù)”項(xiàng)（如圖1）。

在出現(xiàn)的“系統(tǒng)屬性”對話框中切換到“系統(tǒng)保護(hù)”標(biāo)簽，單擊“配置”按鈕，打開“系統(tǒng)保護(hù)”對話框，單擊“刪除”按鈕（如圖2），系統(tǒng)建立的所有還原點(diǎn)即會被清除。

2.清理系統(tǒng)臨時文件

臨時文件夾也是病毒、木馬余孽最容易藏身的地方。其中的道理很簡單，任何程序安裝和運(yùn)行時，都會將一些必要的文件釋放到臨時文件夾中，以便適時調(diào)用，病毒、木馬當(dāng)然也不例外。

默認(rèn)情況下，系統(tǒng)臨時文件夾位于“C：＼Users＼用戶名＼AppData＼Local＼Temp”目錄下（其中C為系統(tǒng)所在分區(qū)，下同），進(jìn)入該目錄，將文件全部刪除即可（如圖3）。如果有些文件因?yàn)檎诒徽加?，無法被清除，可用光盤引導(dǎo)PC并進(jìn)入WinPE系統(tǒng)，然后將其清除。

| Tips |

AppData為系統(tǒng)屬性的隱藏文件，需要在Windows資源管理器中切換到“查看”標(biāo)簽，然后勾選“隱藏的項(xiàng)目”項(xiàng)才能顯示。而對于Win 8以前的操作系統(tǒng)來說，可通過在資源管理器的工具欄中單擊“組織/文件夾和搜索選項(xiàng)”，打開“文件夾選項(xiàng)”對話框，切換到“查看”標(biāo)簽，在“高級設(shè)置”列表中選擇“顯示隱藏的文件、文件夾和驅(qū)動器”項(xiàng)，單擊“確定”按鈕才能顯示。

3.清理注冊表

除了經(jīng)常會在臨時文件夾中留下足跡外，不少病毒木馬在系統(tǒng)中運(yùn)行時，還會在注冊表中加入相應(yīng)鍵值，并生成大量的垃圾文件。這些文件的存在，不僅會大大增加系統(tǒng)再次被感染的幾率，同時，還會占用硬盤空間，對此，我們可用“360安全衛(wèi)士”等工具清除。

在360安全衛(wèi)士的主界面中，切換到“電腦清理”標(biāo)簽，勾選“電腦中的垃圾”和“注冊表中的多余項(xiàng)目”項(xiàng)，單擊“一鍵清理”按鈕（如圖4），上述文件即會被清除。

4.清理磁盤引導(dǎo)區(qū)

為了達(dá)到被用戶查殺后能快速還原的目的，許多病毒喜歡將自己附身于磁盤引導(dǎo)區(qū)中，由于磁盤引導(dǎo)區(qū)是先于系統(tǒng)運(yùn)行的，所以即使我們已對硬盤進(jìn)行過全盤查殺，病毒也會在我們再次啟動PC后，自動釋放到內(nèi)存中，最終達(dá)到再次感染系統(tǒng)的目的。對于此類病毒，目前最好的辦法是利用DiskGenius等磁盤管理工具重建MBR（電腦硬盤的主引導(dǎo)記錄）。

用本刊提供的光盤引導(dǎo)PC進(jìn)入Win PE系統(tǒng)，單擊“開始/所有程序/系統(tǒng)工具/DiskGenius”，進(jìn)入DiskGenius主界面，單擊菜單“磁盤/重建主引導(dǎo)記錄（MBR）”（如圖5），然后在彈出的確認(rèn)對話框中單擊“是”按鈕，程序即會用自帶的MBR重建主引導(dǎo)記錄。重建主引導(dǎo)記錄后，隱藏在主引導(dǎo)區(qū)的病毒就會被徹底清除了。

| Tips |

重建MBR具有一定風(fēng)險。為防止重建后引起硬盤數(shù)據(jù)丟失，重建前，應(yīng)對重要數(shù)據(jù)進(jìn)行備份。

2、收復(fù)失地，解決殺毒后遺癥

查殺病毒木馬后，系統(tǒng)中很多文件可能已遭到破壞，而這些文件，我們可以通過手工的方法修復(fù)。

1.修復(fù)被破壞的文件關(guān)聯(lián)

為了達(dá)到隱藏自身，肆意為禍的目的。病毒木馬往往會對系統(tǒng)默認(rèn)的關(guān)聯(lián)文件進(jìn)行修改，比如，有的病毒會將文本文件的關(guān)聯(lián)程序修改為病毒文件，這樣，當(dāng)用戶試圖打開文本文件時，病毒、木馬就可以自動運(yùn)行了。而有的病毒則會竄改EXE可執(zhí)行文件的關(guān)聯(lián)程序，以便達(dá)到讓殺毒工具無法運(yùn)行的目的。

一般來說，修復(fù)被破壞的關(guān)聯(lián)文件的方法有兩種，一是借助系統(tǒng)提供的assoc命令來實(shí)現(xiàn)，二是利用軟件實(shí)現(xiàn)，由于前一種方法操作起來比較麻煩，需要具有一定的命令基礎(chǔ)才行，所以這里我們主要講一下后一種方式。

進(jìn)入http：//www.onlinedown.net/softdown/25562_2.htm頁面，下載System Repair Engineer文件，解壓后，將SREngLdr.EXE文件重命名為SREngLdr.com并運(yùn)行（這里之所以要文件修改后綴名，主要是為了防止EXE文件被病毒篡改而導(dǎo)致無法正常運(yùn)行）。程序運(yùn)行后，在其主界面的左側(cè)選擇“系統(tǒng)修復(fù)”項(xiàng)，同時在右側(cè)切換到“文件關(guān)聯(lián)”標(biāo)簽。如果系統(tǒng)中有被竄改的關(guān)聯(lián)項(xiàng)，程序就會在列表的“狀態(tài)”列中以“錯誤”的字樣顯示出來。選擇錯誤的項(xiàng)目，單擊“修復(fù)”按鈕，程序即會自動將其修復(fù)（如圖6）。

2.修復(fù)被竄改的Hosts文件

同樣，在如圖6所示的界面中切換到HOSTS標(biāo)簽，單擊“重置”按鈕，可以修復(fù)被竄改的Hosts文件（如圖7）。

Hosts是Windows系統(tǒng)中一個非常重要的文件，其作用是在常用的網(wǎng)址域名與其對應(yīng)的IP地址之間建立一個關(guān)聯(lián)的“數(shù)據(jù)庫”，這樣，當(dāng)我們使用瀏覽器訪問網(wǎng)站時，系統(tǒng)就會自動從Hosts文件中尋找對應(yīng)的IP地址，從而迅速打開對應(yīng)的網(wǎng)頁。

病毒木馬之所以會對該文件情有獨(dú)鐘，原因主要有兩個：一是通過修改相應(yīng)的IP地址，黑客可隨心所欲地將我們引向指定的釣魚網(wǎng)站，最終達(dá)到盜取網(wǎng)銀賬號、密碼及QQ、游戲賬號等目的；二是通過修改相應(yīng)的IP地址，可阻止殺毒軟件更新病毒庫或連接到云端服務(wù)器，以便能更好地保護(hù)自己。

3.修復(fù)快捷方式和被強(qiáng)行隱藏的文件

一些病毒和惡意軟件會隱藏PC中的所有文件，或者惡意刪除開始菜單中的項(xiàng)目，如果查殺病毒后，我們發(fā)現(xiàn)這種情況依舊，可以使用Hide Unhide將其修復(fù)（下載地址：http：//www.onlinedown.net/softdown/36703_2.htm）。

下載后運(yùn)行程序，在出現(xiàn)的主界面中單擊Show All（顯示所有）按鈕（如圖9），程序即會取消所有文件的隱藏屬性，并將任務(wù)欄和開始菜單中的項(xiàng)目恢復(fù)到原來的位置。

4.修復(fù)映像劫持

映像劫持是許多病毒和木馬都會使用的伎倆，通過該方法，病毒、木馬會將殺毒軟件和360安全衛(wèi)士等防護(hù)工具的進(jìn)程劫持到自己的進(jìn)程中，或者無中生有，虛擬一個進(jìn)程，將殺毒軟件等的進(jìn)程劫持，其目的和修改文件關(guān)聯(lián)類似，都是為了隱藏自身，躲避查殺。

借助一款名為PC Hunter的工具（下載地址：http：//www.greenxf.com/soft/37205.html#down），我們可輕松地對此類劫持進(jìn)行修復(fù)。

PC Hunter是一款綠色工具，解壓后，我們可以根據(jù)當(dāng)前系統(tǒng)的版本是32位還是64位，雙擊PCHunter32.exe或PCHunter64.exe令其運(yùn)行。程序運(yùn)行后，會自動檢測當(dāng)前是否有未知的線程插入到其他進(jìn)程中。如果有，說明系統(tǒng)里面還有病毒殘留，此時，程序會給出提示，同時會詢問是否要?dú)⒌暨@些插入線程，我們只需單擊“是”按鈕，即可將其從系統(tǒng)中清除。

當(dāng)然，如果我們覺得這樣查殺有可能造成誤殺，也可單擊“否”按鈕，進(jìn)入程序主界面（如圖10），依次選擇“系統(tǒng)雜項(xiàng)＼映像劫持”項(xiàng)，切換到相應(yīng)標(biāo)簽。在這里，我們可以看到所有已被映像劫持的信息。

選中要清除的劫持內(nèi)容并右擊，在彈出的右鍵菜單中選擇“刪除IFEO（注冊表和文件）”（如圖11），注冊表中的映像劫持項(xiàng)目即會被清除，同時與劫持有關(guān)的病毒文件也會被清除。

| Tips |

默認(rèn)情況下，Hosts文件位于C：＼Windows＼System32＼drivers＼etc目錄下，如果你不喜歡通過軟件修復(fù)它，也可進(jìn)入該目錄，用記事本打開它（如圖8），將內(nèi)容全部刪除并保存。這樣，系統(tǒng)重啟后，會自動重寫內(nèi)容，從而達(dá)到修復(fù)文件的目的。