客戶端計算機病毒和間諜軟件清理五要訣
對于信息技術顧問來說,日常工作就是定期對客戶端計算機進行清理,將給系統造成危害頑固可再生的病毒和間諜軟件清理掉。而作者提供的方法就可以讓你保證系統的穩定運行。
對于客戶端系統來說,不論配備的是工作站、個人計算機還是筆記本計算機,感染病毒和間諜軟件都是不可避免的事情。盡管我們采取了從網關保護到自動掃描以及制定書面互聯網使用策略的多層預防保護措施,但惡意軟件還是可以找到入侵的途徑。讓情況變得更糟糕的是,盡管很多客戶都認識到使用單獨的反間諜軟件是防范病毒保障系統安全的最低要求,但他們還是不愿意進行投入。
某些信息技術專家鼓吹的簡單方法是對系統進行格式化處理并重新安裝Windows,而其它類似的建議也是放棄斗爭,讓壞人獲得勝利。不過,真相總在兩個極端之間。在對驅動器進行過鏡像處理后(在與惡意軟件造成的感染進行斗爭時,這總是最好的備份措施之一),我發現這是最有效的方法。
請注意,這些要訣來自我們信息技術顧問日志的條目。
1、隔離驅動器
在操作系統啟動之前或運行的時間,很多rootkit惡意工具和木馬已經成為系統的隱蔽控制者。我發現,在有些時間,即使包括AVG反病毒工具專業版、Malwarebytes反惡意軟件工具及超級反間諜軟件工具在內最好的反病毒和反間諜軟件工具也沒有辦法處理這種已經根深蒂固的感染。
你需要對系統進行專門的清除處理。從受影響系統中拆除硬盤,作為從盤安裝到專門的測試系統中,接下來要做的,就是運行多重病毒和間諜軟件掃描來對系統進行安全處理。
2、刪除臨時文件
由于驅動器被感染,會影響到所有用戶的臨時文件。對于Windows XP系統來說它們通常保存在C:文檔和設置用戶名本地設置臨時文件夾中,對于Windows Vista來說,它們通常保存在C:用戶用戶名應用數據本地臨時文件夾中。
刪除臨時文件夾中的所有文件。因為,很多威脅都可能隱藏在那里,這樣在系統啟動的時間就可以輕松重新恢復。在驅動器作為從盤的時間進行處理,這些受到影響的文件更容易被清除。
3、重新安裝驅動器和并再次進行掃描
在你利用兩種更新到最新版本的常見反間諜軟件工具進行了一次完整的反病毒掃描和兩次完整的反間諜掃描后(刪除找到的所有被感染文件),就可以將硬盤安裝回系統中了。接下來要做的,就是再次運行同樣的掃描。
盡管在前面的掃描和清理過程完成后,你可能會對反惡意軟件工具還能發現工作中的惡意軟件感到驚訝。只有通過進行額外的本地掃描操作,才能確認已經將所有威脅都清理掉了。
4、測試系統
在完成了上述三個步驟后,不要認為系統已經處于可以使用的狀態了。一定要避免犯類似的錯誤。在系統啟動后,立即打開網絡瀏覽器,并刪除所有脫機文件和Cookie緩存。接下來,進入到Internet Explorer的連接設置中(工具|互聯網選項,并選擇Internet Explorer中的連接選項設置),以確保惡意程序并沒有更改系統的默認代理服務器或局域網連接設置。對所有設置進行調整,確保其符合本地網絡或客戶端網絡的需要。
接下來要做的是,隨機訪問12至15家網站。留意整個瀏覽過程中出現的所有異常情況,這其中應該包括明顯的彈出窗口、重定向的網絡搜索、被劫持的網頁以及類似的活動。在打開谷歌、雅虎和其他搜索引擎并完成了6項字符串搜索后,才可以確認系統是安全的。一定不要忘記,登錄到包括AVG、賽門鐵克以及Malwarebytes在內的流行反惡意軟件網站上對系統進行測試。
5、深入挖掘剩余的感染
如果依然還有殘余感染的存在,舉例來說,搜索被重定向或針對特定網站的訪問被阻止,我們要做的就是對引起錯誤活躍進程的文件名進行定位。趨勢科技提供的HijackThis、微軟提供的進程資源管理器、Windows自帶的微軟系統配置實用工具(開始|運行,鍵入msconfig即可打開)都可以有效地確認非法進程的位置。如果有必要的話,可以對注冊表進行搜索,并刪除和該可執行文件有關的所有項目。然后,重新啟動系統并再試一次。
如果系統中依然存在感染或者無法使用的話,現在就是時間開始考慮選擇重新安裝了。畢竟在經過了所有這些步驟的處理后,感染還存在,這可能意味著你處于一場必敗的戰斗中。
其它措施
一些信息技術顧問對花招深信不疑。我對KNOPPIX(光盤啟動的GNU/Linux系統)進行了分析,希望可以當作替代措施使用。我已經幾次將感染的Windows驅動器安裝到蘋果筆記本對啟動磁盤中特別頑固的文件進行刪除操作。其它技術人員建議使用Reimage(鏡像恢復)之類的工具,但我在使用這一工具的時間遇到了一些問題,它無法識別普通網卡,這導致自動修復操作無法進行。
【編輯推薦】
