網絡病毒清除問答

引言：隨著網絡的快速發展，木馬、病毒變得越來越猖獗，本期給大家羅列了一些關于清除網絡病毒的相關問題，希望對大家的工作有所幫助。

為了躲避殺毒軟件的清除，很多網絡病毒往往會想方設法地將自身隱藏到系統臨時文件夾中，那樣網絡病毒文件即使被掃描到，殺毒軟件對它們也無可奈何。請問有沒有辦法防止網絡病毒隱藏到系統臨時文件夾中呢？

答：答案是肯定的！以Windows Server 2008系統為例，只要按照下面的操作設置系統軟件限制策略，就能防止病毒隱藏到系統臨時文件夾中：依次單擊“開始”、“運行”命令，展開系統運行對話框，輸入“gpedit.msc”命令并回車，切換到系統組策略編輯界面。在該編輯界面的左側顯示區域，將鼠標定位到“本地計算機策略”、“計算機配置”、“Windows設置”、“安全設置”、“軟件限制策略”、“其他規則”選項上，用鼠標右鍵單擊指定選項，點選右鍵菜單中的“新建路徑規則”命令，在其后界面中單擊“瀏覽”按鈕，將Windows Server 2008系統臨時文件夾選中并導入進來，之后將“安全級別”選擇為“不允許”，再單擊“確定”按鈕退出設置對話框。

保存在硬盤中的數據文件越來越多，不管哪種類型的殺毒軟件，在清除硬盤中的網絡病毒時，需要的時間也是越來越長，請問有沒有什么合適的辦法，能讓網絡病毒清除更方便更靈活呢？

答：實際上根據應用需求，對殺毒軟件進行合適設置，就能輕松讓病毒清除更方便更靈活。例如，對于自己長期使用的計算機系統來說，定期掃描系統可以確保病毒在破壞系統之前清除它；可是，每次對系統硬盤進行全面掃描，可能需要耗費很長的時間，此時用戶不妨利用空閑時段，添加掃描任務計劃，讓殺毒軟件在系統處于空閑的時候執行全面掃描，這樣不會耽誤自己的工作。如果自己臨時借用了別人的計算機系統來處理材料，但又擔心該系統中存在病毒傳染給自己的文件，此時可以通過設置，讓殺毒軟件只對關鍵位置進行掃描，以判斷關鍵位置處是否存在網絡病毒，這樣不但可以有效節約時間，而且還能保證安全。

在使用IE瀏覽器訪問Web頁面內容時，一些潛藏在Web頁面背后的網絡病毒程序，可能會自動下載到本地硬盤，日后這些網絡病毒可能會威脅本地計算機的運行安全。請問如何禁止Web頁面中的內容自動下載存儲到本地硬盤中？

答 ：首先使用“Win+R”快捷鍵，調用系統運行文本框，在其中執行“gpedit.msc”命令，開啟系統組策略編輯器運行狀態。在該編輯窗口左側列表中，將鼠標定位到“本地計算機策略”、“計算機配置”、“管理模板”、“Windows組 件”、“Internet Explorer”、“安全功能”、“限制文件下載”分支上。雙擊該分支下的“Internet Explorer進程”組策略，打開“Internet Explorer進程”屬性對話框，選中“已啟用”選項，單擊“確定”按鈕返回，這樣就能禁止來自Web頁面中的內容自動下載存儲到本地硬盤中了。

我們知道，組策略也是網絡病毒程序經常“藏身”的地方，請問怎樣識別出系統組策略中是否隱藏了網絡病毒程序呢？

答：進入系統組策略編輯界面，依次展開“本地計算機策略”、“用戶配置”、“管理模板”、“系統”、“登錄”分支選項，雙擊指定分支下的“在用戶登錄時運行這些程序”組策略，將“已啟用”選項勾選起來，再按下“顯示”按鈕，檢查其后界面中是否存在一些稀奇古怪的內容，缺省狀態下這里應該是空的，要是看到有內容存在，那基本就可以識別出系統組策略中隱藏了網絡病毒程序。

打 開Windows系 統文件夾時，有時會看到“$ntuninstallkb885562$”之類的文件，這類文件好像都是虛的，請問它們是否為網絡病毒，能不能將它們直接清除出系統？

答：其實這類文件不是網絡病毒，而是系統補丁的臨時文件。由于系統補丁都是通過自解壓形式存在的，當它們被下載到本地系統后，會自動解壓釋放到Windows系統文件夾中，然后用釋放出來的新文件替換掉以前的舊文件，從而完成系統補丁文件的升級任務。很顯然，當完成系統補丁的升級任務后，這些文件就失去了作用，變成了以“$”開頭的臨時文件，因此用戶能夠隨意清除它們。

某計算機系統意外感染了網絡病毒，系統桌面頻繁出現360安全衛士已遭破壞的提示，并且還提示要求重新安裝360殺毒軟件。不過，在重裝了一遍360安全衛士后，系統又彈出沒有安裝的錯誤，同時Windows系統每過一段時間就會自動重新啟動，請問為什么會出現這種現象，又該如何解決這種問題呢？

答：這種現象多半是360安全衛士相關的系統文件被病毒破壞引起的，因此通過這樣的殺毒軟件來清除網絡病毒顯然是不可能的，此時不妨嘗試使用其他的殺毒軟件來掃描、清除計算機系統中的病毒。例如，可以從網上下載“可牛急救箱”安全工具，并將其在線升級到最新版本；安裝成功后直接啟動它，選中主界面中的“擴展掃描”選項，再單擊“立即掃描”按鈕開始掃描本地系統文件，掃描結束后單擊“立即處理”，這樣就能清除干凈本地系統中的所有網絡病毒了。要是，此時您還想繼續使用360安全衛士時，可以卸載掉“可牛急救箱”安全工具，再重新安裝一遍360安全衛士，相信這樣就能成功了。

有時啟動網絡病毒防護軟件360安全衛士時，系統竟然彈出olepro32.dll文件無法找到、應用程序無法啟動之類的錯誤提示，請問為什么會出現這種提示，需要怎樣操作才能恢復360安全衛士的正常工作狀態？

答：現在不少病毒、木馬程序為了躲避360安全衛士的攔截和查殺，都進行了特別的改進、設置，以便破壞殺毒軟件的正常啟用運行。而偷偷刪除與360安全衛士有關的olepro32.dll文件，就是病毒、木馬經常采用的一種方式，畢竟該文件是對象鏈接和嵌入OLE特性相關模塊，要是該文件發生了丟失，殺毒軟件或其他應用程序的啟動運行就容易出錯。

為了能夠修復這種問題，我們可以從網上直接下載獲得olepro32.dll文件，并將該文件直接保存到“Windowssystem32”文件夾種就可以了。當然，也可以使用360系統急救箱工具，來嘗試修復發生丟失的olepro32.dll文件；修復操作很簡單，只要在360系統急救箱程序界面中，單擊“開始系統急救”按鈕，點選“恢復丟失的DLL文件”標簽，在對應標簽頁面中按下“立即修復”按鈕，這樣就能輕松完成修復操作了。

近日，安裝在系統中的瑞星殺毒軟件不斷提示“C:WindowsSystem32”文件夾中存在網絡病毒，但不管使用瑞星殺毒軟件還是金山獨霸軟件，都只能發現網絡病毒，卻不能對其進行清除，即使使用瑞星卡卡工具直接將病毒文件粉碎掉，但重新啟動計算機系統后，該病毒文件又卷土重來了，請問如何才能清除這類病毒文件呢？

答：從上面的描述中不難看出，這種類型的病毒文件自我保護能力非常強大；當病毒發現自身文件被殺毒軟件刪除干凈之后，它又會自動生成一個全新的病毒文件進行補充。不過，也有可能是這類病毒文件具有較強的感染性，因此當用戶不小心訪問了被感染的文件后，又激活了病毒文件的發作運行。要想清除干凈這類病毒文件，可以考慮使用WinPE光盤工具重新啟動計算機系統，并利用WinPE系統自帶的殺毒軟件重新掃描本地硬盤，相信這樣就能徹底地刪除頑固的病毒文件了。

360安全衛士軟件在清除網絡病毒的過程中，經常會錯誤地刪除文件，那么遇到這樣的問題，究竟該如何有效應對呢？

答：要是360安全衛士發現某個文件是病毒，但是用戶自己通過查看文件路徑確認不是病毒時，不妨單擊該程序界面中的“我信任此程序”按鈕，將該疑似病毒文件加入到殺毒軟件的白名單中，日后360安全衛士就不會將該文件當作病毒了。如果這個疑似病毒文件已被殺毒軟件刪除掉的話，用戶不妨單擊殺毒軟件中的“隔離/恢復”按鈕，從其后列表中找到被錯誤刪除的文件，選中這個文件，同時單擊“立即”恢復按鈕，就能把錯誤刪除的文件恢復到以前的工作狀態了。

要是用戶自己也不能確認疑似病毒文件是否安全時，不妨將該文件上傳到安全網站進行更深入地分析；例如，用戶可以打開http://www.virustotal.com網站，單擊其中的“選擇”按鈕，將疑似病毒文件選中并導入進來，再單擊“發送文件”按鈕，目標網站會自動分析疑似病毒文件的安全性，到時用戶從返回的分析報告中，就能判斷出疑似病毒文件究竟是否是網絡病毒了。

網站遭遇網絡病毒攻擊是常用的現象，非法用戶只要利用系統漏洞將網絡病毒程序直接掛在網站主頁面中，那么用戶瀏覽到該網頁的話，他的計算機系統就會中招。請問有沒有辦法對某個網站頁面的安全性進行檢測，從而確保網上沖浪的安全呢?

答：如果大家對某個網站的安全性心里沒有底的話，可以使用谷歌網站在線診斷功能，來檢測目標網站的頁面內容是否安全可靠。

只要打開IE瀏覽器，在地址欄中輸入“http://www.google.com/safebrowsing/diagnostic?site=”字符串，之后在該地址后面輸入需要測試的目標站點地址，比方說要測試www.aaa.com站點的安全性時，只要在上述地址后面書日“www.aaa.com”內容，單擊回車鍵后，谷歌網站在線診斷功能就會對目標站點內容進行安全性測試，測試結束后，用戶就能從返回的結果信息中，知道目標站點當前列表狀態如何，目標站點出現了什么問題，目標站點有沒有以傳播媒介的身份傳播了更多的網絡病毒程序等等，一旦確認目標站點潛藏或托管有網絡病毒程序，那么該網站就不能輕易訪問。

有用戶曾經遇到一種網絡病毒，用最新的正版殺毒軟件清除時，系統提示病毒被刪除，可是換用另外一種殺毒軟件清除時，發現病毒仍然存在，請問這是什么原因？

答：出現這種現象，多半是網絡病毒采用了多種手段進行自我保護引起的。比方說，病毒可能會將一個dll文件插入到系統進程中，同時還會暗中啟用另外兩個病毒進程進行協同保護，如此一來即使殺毒軟件刪除了其中一個病毒進程的文件，不過將計算機系統重新啟動后，另外兩個病毒進程又會發作運行，并生成上次被刪除的病毒文件。更為麻煩的是，有的病毒進程每次隨系統重新啟動后，生成的病毒文件名稱會隨機變化，這給殺毒軟件徹底刪除干凈病毒帶來了不小的麻煩，最終給用戶造成了一種錯覺，認為網絡病毒無法被清除干凈。

經常有人向網絡管理人員反映，辛苦了幾天才寫好的Word材料，結果給殺毒軟件被意外刪除了，真是讓人有點欲哭無淚啊。請問網絡病毒程序通常都是exe格式的，為什么殺毒軟件在清除病毒時，會對Word文檔痛下殺手呢？

答：一般來說，病毒、木馬文件為了實現自動運行發作的目的，都會選用exe格式，但是也有極少部分的病毒、木馬采用了其他文件格式。一些Word文檔之所以會被殺毒軟件刪除，很可能是該文檔被宏病毒感染了，考慮到這種類型的病毒比較舊，所以員工才會對Word材料被殺毒軟件刪除感到意外。正常情況下，被刪除的Word材料，都處于殺毒軟件的隔離區中，只要進入殺毒軟件界面，找到軟件隔離區，就能發現被刪除的Word材料；選中這個被誤刪的Word材料，再單擊“立即恢復”按鈕，往往就能把目標文件恢復到正常狀態。為了能夠正常打開Word材料，我們還需要使用“金山獨霸宏病毒清除工具”，來清除潛藏在Word文檔中的宏病毒文件，相信這么一來被病毒誤刪除的Word材料就能被正常打開了。

在局域網環境中，終端計算機的隨意性和復雜性很強，由終端計算機自身安全漏洞引起的網絡病毒攻擊，給Web訪問的安全帶來了很大的威脅，請問如何才能有效降低這種安全威脅？

答：很簡單！只要及時為終端計算機和Web服務器安裝更新漏洞補丁，修補系統薄弱環節，切斷網絡病毒攻擊通道即可。因為及時升級漏洞補丁，非法攻擊通道就會被自動切斷，那么網絡病毒就不能通過專業的漏洞掃描工具，獲得被攻擊目標的系統漏洞，那么它們就無法沿著漏洞通道進行非法攻擊。因為及時升級漏洞補丁，可以將Web網站的所有漏洞全部堵上，那么黑客或木馬程序就無法通過Web漏洞，對Web站點執行跨站腳本攻擊，或者進行SQL注入，或進行網站掛馬，或進行CGI攻擊。因為及時升級漏洞補丁，狙擊波、震蕩波、沖擊波之類的流行病毒，就無法通過系統漏洞，將漏洞代碼發送給終端或Web服務器，強制其產生緩沖區溢出，并執行病毒代碼內容，進行惡意傳播擴散了。此外，及時升級系統補丁，也能改善系統與程序、程序與程序之間的相互兼容性，提升系統或程序的運行穩定性。

上網沖浪的時候，網絡病毒等程序常常會悄悄攻擊本地系統，但攻擊的時候多會在本地計算機中留下有關“痕跡”，通過查看分析攻擊“痕跡”，我們可以揪出網絡病毒究竟使用哪個端口在攻擊計算機，并能想出合適辦法清除它們。請問如何揪出網絡病毒等使用的端口號碼？

答：當懷疑網絡病毒等惡意程序在攻擊本地系統時，可以依次單擊“開始”、“運行”，彈出系統運行對話框，輸入“cmd”命令并回車，打開MSDOS工作窗口，執行“netstat-ano >list1.txt”字符串命令，將本地系統掃描偵聽到的端口信息導出保存為“list1.txt”文本文件。

接著在DOS命令提示符下輸入“tasklist >list2.txt”命令并回車，這樣tasklist程序會將本地系統中正在運行的應用程序，以及相關進程標識導出保存為“list2.txt”文本文件。

之后，開啟記事本程序運行狀態，打開“list2.txt”文件，從中將消耗內存資源比較大的陌生程序對應進程標識記憶下來，再打開“list1.txt”文件，搜索相關進程標識號關鍵字，這樣就可以發現惡意程序正在使用的端口號碼了。當成功捕獲到攻擊端口號碼后，只要利用防火墻程序的過濾功能，將攻擊端口號碼添加到防火墻過濾列表中，讓防火墻自動禁止來自惡意端口的網絡連接，這樣本地系統就不容易再次受到網絡病毒攻擊了。

現在新型的網絡病毒特別多，如果手頭沒有專業的殺毒軟件可以利用，或者已有的殺毒軟件不能清除一些頑固網絡病毒時，該如何進行救急來清除網絡病毒呢？

答：可以利用Internet網絡中的在線殺毒功能試試，或許能起到救急效果。例如，趨勢科技針對特洛伊木馬程序，特地設計了在線殺毒工具，它能自動探測并清除已感染了特洛伊木馬病毒的文件，并且還能自動剿滅潛藏在系統深處的病毒木馬程序。打開趨勢科技在線殺毒頁面，按下“啟動在線殺毒”按鈕，之后依照提示，設置好國家名稱，單擊“Go”按鈕，按下“Scan now，It's free”，下載殺毒引擎和病毒碼文件，下載任務結束后，就能自動對本地計算機系統執行掃描操作。掃描的時候，設置好需要掃描的范圍，同時選中“自動清除”選項，確認后就能進行在線殺毒了。

當然，為了保證在線殺毒順暢，我們需要降低IE瀏覽器的安全設置。首先開啟IE瀏覽器窗口，依次選擇“工具”、“Internet選項”命令，彈出Internet選項設置框，點擊“安全”標簽，在對應標簽頁面中按下“自定義級別”按鈕，進入安全設置界面。在“重置自定義設置”位置處，選中“中”選項，單擊“確定”按鈕保存設置操作，這樣IE瀏覽器就會工作在較低安全級別了。此外，在安全設置界面中，必須要允許運行Activex控件程序和插件程序正常運行。等到在線殺毒任務結束后，我們還要記得將IE瀏覽器的設置，還原到在線殺毒之前的狀態。

為了避免網站掛馬影響系統安全運行，有人在Windows系統中安裝了卡巴斯基2010殺毒軟件，通過它的網絡病毒隔離區功能，小心保護上網訪問的安全。最近，該用戶發現該軟件隔離區中附帶有刷子模樣的IE圖標被意外刪除了，不知道有沒有辦法將這個圖標恢復顯示出來？

答：答案是肯定的！卡巴斯基2010殺毒軟件中附帶有刷子模樣的IE圖標，主要是退出瀏覽器窗口時，強制該殺毒軟件自動刪除所有的上網瀏覽記錄，如此一來就能有效保護用戶的上網瀏覽隱私。考慮到有刷子模樣的IE圖標是卡巴斯基2010殺毒軟件默認的，我們想要將它恢復到正常的工作狀態顯然有點困難。不過，可以嘗試按照下面的操作來恢復：首先打開本地系統的“開始”菜單，從中依次選擇“卡巴斯基2010”、“修改、修復或卸載卡巴斯基”命令，在其后彈出的界面中單擊“修復”按鈕，之后依照向導提示，就能輕松完成修復操作了。

為了躲避殺毒軟件的清除，一些網絡病毒會悄悄關閉殺毒軟件運行進程，讓其失去病毒清除作用。因為關閉進程操作是在系統后臺進行，用戶很難及時捕捉到這種異常現象，請問如何才能在第一時間探測到殺毒軟件進程被悄悄停用呢？

答：可以請Kiwi application monitor工具來幫忙，加強對殺毒軟件進程的關閉行為進行動態監控，要是探測到系統中的殺毒軟件進程被悄悄停用時，它能及時向用戶發出報警提示，讓用戶在第一時間了解到這一安全隱患。

開啟Kiwi application monitor工具的運行狀態后，進入其主程序界面，點擊其中的“Add”按鈕，切換到監控程序添加對話框。單擊“Running processes”按鈕，彈出系統進程列表窗口，將殺毒軟件的對應工作進程選中。如果找不到殺毒軟件進程時，那就說明殺毒軟件當前已被關閉運行，只有重新啟動運行它，才能找到它的工作進程，確認后將它們添加到Kiwi application monitor工具的監控列表中。按照相同的操作方法，將其他需要監控的安全工具進程，也逐一導入到Kiwi application monitor工具監控列表中。

接 著，點 選“Basic rules”選項卡，在對應選項設置頁面中，選中“Alert me”設置項處的“when it ends”選項，單擊“OK”按鈕保存設置操作。這樣，Kiwi application monitor工具日后只要監控到殺毒軟件的工作進程被關閉運行時，就會在第一時間彈出報警提示信息了。