清除電腦隱患

gao0907

清除電腦隱患
現(xiàn)在進入KV2008的核心部分----病毒查殺。殺毒軟件的殺毒能力是一項評價殺毒軟件非常重要的指標(biāo)，也是殺毒軟件的核心部分。殺毒能力不足的殺毒軟件就像一個只有空殼的人一樣，沒有實質(zhì)的東西，當(dāng)然這樣的軟件也不能稱之為殺毒軟件。通過實用，可以看出江民殺毒軟件獨自核心殺毒技術(shù)的有效性，而且它在多方面都勝過某些同類軟件。下面就以蠕蟲病毒“魔波”和木馬“上興”為例來闡述江民強大的反病毒能力。
    1.利劍斬“魔波”。“魔波”是利用微軟的漏洞進行傳播的蠕蟲病毒，其破壞性不亞于當(dāng)年的“沖擊波”病毒，但是現(xiàn)在人們的防范意識逐漸提高，才導(dǎo)致“魔波”沒有像當(dāng)年的“沖擊波”那樣肆意擴散。但是“魔波”的攻擊力依然不容小視，所以現(xiàn)在就用KV2008以“魔波”為例來斬殺強悍病毒。
    中了“魔波”病毒變種之后，病毒會在%systemroot%\system32目錄中生成"wgareg.exe"病毒文件，并且會將自身加入系統(tǒng)服務(wù)中，使系統(tǒng)自帶的“任務(wù)管理器”無法結(jié)束其進程。

經(jīng)過在虛擬機上的病毒行為分析之后，傳統(tǒng)查殺方法如下：右擊“我的電腦”進入“計算機管理”中，選擇“服務(wù)和應(yīng)用程序”中的“服務(wù)”，選中病毒創(chuàng)建的服務(wù)"Windows Genuine Advantage Registration Service"，將其“啟動類型”設(shè)置為“已禁用”，下次計算機啟動的時候就不會加載該服務(wù)；再定位到%systemroot%\system32目錄下，將"wgareg.exe"程序刪除；最后進入注冊表，將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wagreg鍵值全部刪除即可

雖然這樣可以殺除“魔波”病毒，但是對于很多計算機用戶來說，畢竟還不是很容易。KV2008完全考慮到了這一點，使用其自帶的“進程查看器”可以非常快捷、方便地查殺掉“魔波”病毒。
    打開KV2008，在菜單欄中選擇“系統(tǒng)安全”，選擇“進程查看器”，再定位到"wgareg.exe"這個進程上，可以清楚地看到，江民的“進程查看器”將"wgareg.exe"這個進程的危險度標(biāo)記為80%。

這樣可以明確的讓用戶判斷一個進程是正常進程還是可疑進程。右擊該進程，選擇“結(jié)束進程”即可將該進程結(jié)束，之后進入該病毒的文件夾中，將其刪除即可徹底查殺該病毒。值得一提的是，江民的“進程查看器”不僅僅是簡單的結(jié)束一個可疑的進程，它還會將這個可疑進程的服務(wù)給關(guān)閉掉（這就是為什么系統(tǒng)自帶的“任務(wù)管理器”無法結(jié)束掉“魔波”進程，而江民卻可以的原因）。再進入%systemroot%\system32文件夾下將病毒文件刪除，最后清理注冊表即可。
    從這里可以看出，江民的殺毒能力堪稱一流，即使是一款附帶的“進程查看器”都有這樣強大的功能，不難看出江民強悍的殺毒能力！
    2.利劍斬木馬。木馬在這個時代是越來越猖獗，灰鴿子、上興、守望者、黑洞等等木馬軟件在網(wǎng)上橫行霸道，給信息安全帶來了極大的隱患。它們所使用的技術(shù)也是不斷更新，有的使用系統(tǒng)文件名漏洞來隱藏自身，有的是使用與其它程序進行捆綁來隱藏自身，還有的使用Rootkit技術(shù)或是采用NTFS流隱藏技術(shù)等等……但不管病毒使用怎樣的手段，江民殺毒軟件都可以有效查殺這些木馬！
    這里就以典型的“上興”木馬為例來介紹KV2008的反木馬能力。
    如果中了最新的“上興”木馬之后，它會冒充iexplorer.exe和calc.exe進程（當(dāng)然，對于不同的木馬配置，這兩個進程會有所改變），并且使用Rootkit隱藏這兩個進程，在用戶系統(tǒng)自帶的“任務(wù)管理器”中是無法查出蛛絲馬跡的。打開KV2008中的“進程查看器”立即就可以看見這兩項進程

但是如果直接將其結(jié)束進程之后，并不會得到想要的結(jié)果，結(jié)束進程之后不一會兒它們的進程會再次啟動。由此可以知道，“上興”木馬是使用雙進程保護技術(shù)的，如果其中一個進程被結(jié)束了，而另一個進程就會立即檢測到并且馬上開啟這個進程。經(jīng)過分析確認(rèn)“上興”木馬是使用系統(tǒng)服務(wù)將兩個進程保護，導(dǎo)致江民的“進程查看器”無法將其結(jié)束。
    但是和上面的“魔波”同樣是系統(tǒng)服務(wù)，為什么這次江民的“進程查看器”在結(jié)束進程之后沒有自動關(guān)閉“上興”的服務(wù)呢？分析之后認(rèn)為，“上興”木馬是使用的進程插入技術(shù)，將自身插入到iexplorer.exe和calc.exe中，而作為系統(tǒng)自帶的IE瀏覽器和“計算器”程序本身是沒有系統(tǒng)服務(wù)的，所以即使是結(jié)束了iexplorer.exe和calc.exe也不能真正關(guān)閉幕后黑手的服務(wù)。因此，iexplorer.exe和calc.exe就會不斷的被啟動，并且相互保護對方的進程。
    既然“上興”使用的是系統(tǒng)服務(wù)來保護自身，那么就可以找出“上興”的服務(wù)，從而對癥下藥。單擊“開始”菜單，選擇“運行”（快捷鍵是Win+R），輸入“msconfig.exe”（不含外邊中文引號），打開“系統(tǒng)配置實用程序”，之后切換到“服務(wù)”選項卡，再將“隱藏所有的Microsoft服務(wù)”復(fù)選框選中，就可以清楚的看到哪些服務(wù)不是系統(tǒng)服務(wù)了。

很明顯，"Windows_Rejoice2007_45"是一個非常可疑的服務(wù)，之后再右擊“我的電腦”選擇“管理”，進入“服務(wù)”，再找到"Windows_Rejoice2007_45"服務(wù)，將其“啟動類型”設(shè)置為“已禁用”

再打開KV2008，打開“任務(wù)查看器”，將iexplorer.exe和calc.exe結(jié)束，最后進入Windows目錄，將病毒刪除即可。
    3.斬殺特殊目錄中的病毒。有很多病毒利用系統(tǒng)文件路徑漏洞來保護自己，比如Auto等一些頑固性病毒。這些病毒利用在Windows圖像界面下沒法進入帶有非法字符的文件夾這一特點，使普通用戶難以清除這類頑固性病毒。比如在D盤點Lab文件夾中有一個"Virus."的文件夾，雙擊打開之后就會出現(xiàn)錯誤的提示，

這樣我們就無法進入這個文件夾中清除病毒了。
    但是KV2008卻可以非常輕松地查殺這類利用系統(tǒng)文件路徑漏洞的病毒，清理起來非常簡單。直接掃描后殺毒就可以清除了，

路徑，是D:\Lab\Virus.\wgareg.exe）。不僅如此，KV2008也可以直接查殺SYSTEM帳戶控制的文件夾（通常情況下，這類文件夾是Administrator類型的帳戶無法訪問的），比如系統(tǒng)還原文件夾。不得不說KV2008的查殺能力之強大！

天上要飯

不太了解這個的，覺得不錯