网络安全 频道

客户端计算机病毒和间谍软件清理五要诀

  对于客户端系统来说,不论配备的是工作站、个人计算机还是笔记本计算机,感染病毒和间谍软件都是不可避免的事情。尽管我们采取了从网关保护到自动扫描以及制定书面互联网使用策略的多层预防保护措施,但恶意软件还是可以找到入侵的途径。让情况变得更糟糕的是,尽管很多客户都认识到使用单独的反间谍软件是防范病毒保障系统安全的最低要求,但他们还是不愿意进行投入。

  某些信息技术专家鼓吹的简单方法是对系统进行格式化处理并重新安装Windows,而其它类似的建议也是放弃斗争,让坏人获得胜利。不过,真相总在两个极端之间。在对驱动器进行过镜像处理后(在与恶意软件造成的感染进行斗争时,这总是最好的备份措施之一),我发现这是最有效的方法。

  请注意,这些要诀来自我们信息技术顾问日志的条目。

  1:隔离驱动器

  在操作系统启动之前或运行的时间,很多rootkit恶意工具和木马已经成为系统的隐蔽控制者。我发现,在有些时间,即使包括AVG反病毒工具专业版、Malwarebytes反恶意软件工具及超级反间谍软件工具在内最好的反病毒和反间谍软件工具也没有办法处理这种已经根深蒂固的感染。

  你需要对系统进行专门的清除处理。从受影响系统中拆除硬盘,作为从盘安装到专门的测试系统中,接下来要做的,就是运行多重病毒和间谍软件扫描来对系统进行安全处理。

  2:删除临时文件

  由于驱动器被感染,会影响到所有用户的临时文件。对于Windows XP系统来说它们通常保存在C:文档和设置用户名本地设置临时文件夹中,对于Windows Vista来说,它们通常保存在C:用户用户名应用数据本地临时文件夹中。

  删除临时文件夹中的所有文件。因为,很多威胁都可能隐藏在那里,这样在系统启动的时间就可以轻松重新恢复。在驱动器作为从盘的时间进行处理,这些受到影响的文件更容易被清除。

  3:重新安装驱动器和并再次进行扫描

  在你利用两种更新到最新版本的常见反间谍软件工具进行了一次完整的反病毒扫描和两次完整的反间谍扫描后(删除找到的所有被感染文件),就可以将硬盘安装回系统中了。接下来要做的,就是再次运行同样的扫描。

  尽管在前面的扫描和清理过程完成后,你可能会对反恶意软件工具还能发现工作中的恶意软件感到惊讶。只有通过进行额外的本地扫描操作,才能确认已经将所有威胁都清理掉了。

  4:测试系统

  在完成了上述三个步骤后,不要认为系统已经处于可以使用的状态了。一定要避免犯类似的错误。在系统启动后,立即打开网络浏览器,并删除所有脱机文件和Cookie缓存。接下来,进入到Internet Explorer的连接设置中(工具|互联网选项,并选择Internet Explorer中的连接选项设置),以确保恶意程序并没有更改系统的默认代理服务器或局域网连接设置。对所有设置进行调整,确保其符合本地网络或客户端网络的需要。

  接下来要做的是,随机访问12至15家网站。留意整个浏览过程中出现的所有异常情况,这其中应该包括明显的弹出窗口、重定向的网络搜索、被劫持的网页以及类似的活动。在打开谷歌、雅虎和其他搜索引擎并完成了6项字符串搜索后,才可以确认系统是安全的。一定不要忘记,登录到包括AVG、赛门铁克以及Malwarebytes在内的流行反恶意软件网站上对系统进行测试。

  5:深入挖掘剩余的感染

  如果依然还有残余感染的存在,举例来说,搜索被重定向或针对特定网站的访问被阻止,我们要做的就是对引起错误活跃进程的文件名进行定位。趋势科技提供的HijackThis、微软提供的进程资源管理器、Windows自带的微软系统配置实用工具(开始|运行,键入msconfig即可打开)都可以有效地确认非法进程的位置。如果有必要的话,可以对注册表进行搜索,并删除和该可执行文件有关的所有项目。然后,重新启动系统并再试一次。

  如果系统中依然存在感染或者无法使用的话,现在就是时间开始考虑选择重新安装了。毕竟在经过了所有这些步骤的处理后,感染还存在,这可能意味着你处于一场必败的战斗中。

  其它措施

  一些信息技术顾问对花招深信不疑。我对KNOPPIX(光盘启动的GNU/Linux系统)进行了分析,希望可以当作替代措施使用。我已经几次将感染的Windows驱动器安装到苹果笔记本对启动磁盘中特别顽固的文件进行删除操作。其它技术人员建议使用Reimage(镜像恢复)之类的工具,但我在使用这一工具的时间遇到了一些问题,它无法识别普通网卡,这导致自动修复操作无法进行。

  对于从客户机中去除病毒和间谍软件方面的处理,你有什么推荐方法么?请在下面的讨论中发表自己的意见。

0
相关文章