客户的工作站、PC和笔记本电脑不可避免地会感染病毒和间谍软件。不管采取何种预防措施,从网关保护、自动扫描到书面的互联网使用策略,恶意威胁都会偷偷地透过多层防御。更为糟糕的是,许多客户端并愿意投资购买独立的反间谍软件,即使他们理解最少的反
病毒保护的需要。
有些IT专家建议简单地清除系统并重新安装Windows,而其他人提出这相当于认输,并让不法之徒得逞。真理位于二者之间。在对磁盘做了镜像副本(在对抗恶意软件威胁时,有一个退而求其次的选择总是最好的)之后,下面是我所发现的最为有效的措施:
注意:这些技巧以我们的IT顾问博客为基础。
1、隔离
驱动器。许多rootkit和特洛伊木马是伪装大师,在Windows启动时或启动之前,它们就会从操作系统中隐身。我发现即使最好的反
病毒和反间谍工具,包括AVG Anti-Virus Professional、 Malwarebytes Anti-Malware和 SuperAntiSpyware,在清除这种根深蒂固的感染时,有时也很艰难。
你需要专用的清除系统。将硬盘从令你不快的系统中取下,将它挂到专用的测试机器,作为从盘,然后运行多种反
病毒和反间谍软件扫描整个从盘。
2、清除临时文件。在
驱动器被挂载为从盘后,你需要找到所有用户临时文件。这些临时文件一般位于Windows XP的C:Documents and SettingsUsernameLocal SettingsTemp目录中,或者Windows
Vista的C:UsersUsernameApp DataLocalTemp文件夹中。
你要删除临时文件夹中的所有文件。许多威胁都在那儿隐藏着,在系统启动时伺机兴风作浪。在
驱动器作为从盘后,清除这些讨厌的文件就容易多了。
3、将
驱动器安装到原系统并重复这些扫描。在运行了完整的反
病毒扫描并且用最新且是不同的反间谍软件执行了两次完整的反间谍扫描后(清除所有已发现的感染),将硬盘重新挂载到系统。然后,再次运行同样的扫描。
虽然有了这些扫描和先前的净化处理,你可能会吃惊于反恶意软件随后所发现并清除的但仍在活动的感染的数量。只有执行了这些额外的本地扫描,你才能够确信自己已经定位并清除了所有的已知威胁。
4、测试系统。在你完成前面三步之后,你可能会认为系统已经很不错了,可以正常运行。不要犯这样的错误。启动系统,打开Web浏览器,立即删除所有的脱机文件和cook
IEs。下一步,单击
浏览器的“工具”/“Internet选项…”/“连接”,确认恶意程序没有修改系统的默认网关或LAN的连接设置。纠正你发现的任何问题,并确保设置与网络上要求的计算机或客户端
网络的配置一一致。
然后,随机访问12至15个网站。查找任何异常,包括明显的弹窗、重定向Web搜索、主页劫持及类似的问题。不要认为机器已经干净了,除非你能够打开谷歌、Yahoo和其它的搜索引擎,并完成六、七个关键词的搜索。务必测试系统到达流行的反恶意网站的能力,如AVG、赛门铁克和Malwarebytes。
5、深入挖掘感染残余。如果感染的残余势力仍存在,如重定向的搜索或对特定网站的阻止访问,应尝试判定引起麻烦的活动进程的文件名。趋势科技的HijackThis,微软的进程管理器及Windows本地的系统配置实用程序(“开始”/“运行”,键入m
SConfig)都是定位这些讨厌的进程的很不错的实用程序。如果有必要,搜索注册表查找令人憎恶的可执行程序,并清除所有的事件。然后,重启系统并再次尝试。
如果证明系统仍不纯净或无法使用,就该考虑重新安装了。如果在完成所有这些步骤之后,感染仍存在,你可能要面临失败。
其它策略。有些IT顾问人员用比我上面所概述的更为奇特的诀窍发出了誓言。作为一种选择,我研究了KNOPPIX。有几次,在缺乏启动盘时,我将Windows磁盘作为从盘挂载到Macintosh