發表時間: 2008-01-30 14:40:27作者:
發現病毒,但是無論在安全模式還是Windows下都無法清除怎麼辦?由於某些目錄和文件的特殊性,沒有辦法直接清楚,包括安全模式下殺毒等一些方式殺毒,而需要某些特殊手段清楚的帶毒文件。以下所說的目錄均包含其下面的子目錄。
1、帶毒文件在TemporaryInternetFiles目錄下。
由於這個目錄下的文件,Windows會對此有一定的保護作用(未經證實)。所以對這個目錄下的帶毒文件即使在安全模式下也不能進行清除,對於這種情況,請先關閉其他一些程序軟體,然後打開IE,選擇IE工具欄中的"工具""Internet選項",選擇"刪除文件"刪除即可,如果有提示"刪除所有離線內容",也請選上一併刪除。
2、帶毒文件在_Restore目錄下,或者SystemVolumeInformation目錄下。
這是系統還原存放還原文件的目錄,只有在裝了WindowsMe/XP操作系統上才會有這個目錄,由於系統對這個目錄有保護作用。對於這種情況需要先取消"系統還原"功能,然後將帶毒文件刪除,甚至將整個目錄刪除也是可以的。關閉系統還原方法。WindowsMe的話,禁用系統還原,DOS下刪除。XP關閉系統還原的方法:右鍵單擊"我的電腦",選"屬性"--"系統還原"--在"在所有驅動器上關閉系統還原"前面打勾--按"確定"退出。
3、帶毒文件在.rar、.zip、.cab等壓縮文件中。
現今能支持直接查殺壓縮文件中帶毒文件的反病毒軟體還很少,即使有也只能支持常用的一些壓縮格式;所以,對於絕大多數的反病毒軟體來說,最多只能檢查出壓縮文件中的帶毒文件,而不能直接清除。而且有些加密了的壓縮文件就更不可能直接清除了。
要清除壓縮文件中的病毒,建議解壓縮後清除,或者藉助壓縮工具軟體的外挂殺毒程序的功能,對帶毒的壓縮文件進行殺毒。
4、病毒在引導區或者SUHDLOG.DAT或SUHDLOG.BAK文件中。
這種病毒一般是引導區病毒,報告的病毒名稱一般帶有boot、wyx等字樣。如果病毒只是存在於移動存儲設備,如軟盤、快閃記憶體檔、移動硬碟上,就可以藉助本地硬碟上的反病毒軟體直接進行查殺;如果這種病毒是在硬碟上,則需要用乾淨的可引導盤啟動進行查殺。
對於這類病毒建議用乾淨軟盤啟動進行查殺,不過在查殺之前一定要備份原來的引導區,特別是原來裝有別的操作系統的情況,如日文Windows、Linux等。
如果沒有乾淨的可引導盤,則可使用下面的方法進行應急殺毒:
(1)在別的計算機上做一張乾淨的可引導盤,此引導盤可以在Windows95/98/ME系統上通過"添加/刪除程序"進行製作,但要注意的是,製作軟盤的操作系統須和自己所使用的操作系統相同;
(2)用這張軟盤引導啟動帶毒的計算機,然後運行以下命令:
A:>fdisk/mbr
A:>sysa:c:
如果帶毒的文件是在SUHDLOG.DAT或SUHDLOG.BAK文件中,那麼直接刪除即可。這是系統在安裝的時候對硬碟引導區做的一個備份文件,一般作用不大,病毒在其中已經不起作用了。
5、帶毒文件的後綴名是.vir、.kav、.kbk等。
這些文件一般是一些防毒軟體對原來帶毒的文件做的備份文件,一般情況下,如果確認這些文件已經無用了,那就將這些文件刪除即可。
6、帶毒文件在一些郵件文件中,如dbx、eml、box等。
有些防毒軟體可以直接檢查這些郵件文件中的文件是否帶毒,但往往不能對這些帶毒的文件直接的進行操作,對於一些郵箱中的帶毒的信件,可以根據防毒軟體提供的信息找到那帶毒的信件,刪除信件中的附件或者刪除該信件;如果是eml、nws一些信件文件帶毒,可以用相關的郵件軟體打開,確認該信件及其附件,然後刪除相關內容。一般有大量的eml、nws的帶毒文件的話,都是病毒自動生成的文件,建議都直接刪除。
7、文件中有病毒的殘留代碼。
這種情況比較多見的就是帶有CIH、Funlove、宏病毒,包括Word、Excel、Powerpoint和Wordpro等文檔中的宏病毒和個別網頁病毒的殘留代碼,通常防毒軟體對這些帶有病毒殘留代碼的文件報告的病毒名稱後綴通常是int、app等結尾,而且並不常見,如W32/FunLove.app、W32.Funlove.int。一般情況下,這些殘留的代碼不會影響正常程序的運行,也不會傳染,如果需要徹底清除的話,要根據各個病毒的實際情況進行清除。
8、文件錯誤。
這種情況出現的並不多,通常是某些防毒軟體將原來帶毒的文件並沒有很乾淨地清除病毒,也沒有很好的修覆文件,造成文件無法正常使用,同時造成別的防毒軟體的誤報。這些文件可以直接刪除。
9、加密的文件或目錄。
對於一些加密了的文件或目錄,請在解密後再進行病毒查殺。
10、共享目錄。
這裡包括兩種情況:本地共享目錄和網路中遠程共享目錄(其中也包括映射盤)。遇到本地共享的目錄中的帶毒文件不能清除的情況,通常是區域網中別的用戶在讀寫這些文件,殺毒的時候表現為無法直接清除這些帶毒文件中的病毒,如果是有病毒在對這些目錄在寫病毒操作,表現為對共享目錄進行清除病毒操作後,還是不斷有文件被感染或者不斷生成病毒文件。以上這兩種情況,都建議取消共享,然後針對共享目錄進行徹底查殺,恢復共享的時候,注意不要開放太高的許可權,並對共享目錄加設密碼。對遠程的共享目錄(包括映射盤)查殺病毒的時候,首先要保證本地計算機的操作系統是乾淨的,同時對共享目錄也有最高的讀寫許可權。如果是遠程計算機感染病毒的話,建議還是直接在遠程計算機進行查殺病毒。特別的,如果在清除別的病毒的時侯都建議取消所有的本地共享,再進行殺毒操作。在平時的使用中,也應注意共享目錄的安全性,加設密碼,同時,非必要的情況下,不要直接讀取遠程共享目錄中的文件,建議拷貝到本地檢查過病毒後再進行操作。
補充一個:
建議您按照下面操作試一試:首先滑鼠右鍵點擊我的電腦-屬性-系統還原-把在所有驅動器上關閉系統還原前面的格子勾上。
然後進入到安全模式(重啟過程中按F8鍵)把下面3個文件夾裡的文件全部清空。
C:WINDOWSTemp
C:DocumentsandSettings用戶名LocalSettingsTemp
C:DocumentsandSettings用戶名LocalSettingsTemporaryInternetFiles
最後再殺毒(安全模式下)試一試。兩個文件夾裡面的"用戶名"是您登陸系統的時的登陸名,如果您沒有做過修改的話。用戶名是:Administrator。
1、帶毒文件在TemporaryInternetFiles目錄下。
由於這個目錄下的文件,Windows會對此有一定的保護作用(未經證實)。所以對這個目錄下的帶毒文件即使在安全模式下也不能進行清除,對於這種情況,請先關閉其他一些程序軟體,然後打開IE,選擇IE工具欄中的"工具""Internet選項",選擇"刪除文件"刪除即可,如果有提示"刪除所有離線內容",也請選上一併刪除。
2、帶毒文件在_Restore目錄下,或者SystemVolumeInformation目錄下。
這是系統還原存放還原文件的目錄,只有在裝了WindowsMe/XP操作系統上才會有這個目錄,由於系統對這個目錄有保護作用。對於這種情況需要先取消"系統還原"功能,然後將帶毒文件刪除,甚至將整個目錄刪除也是可以的。關閉系統還原方法。WindowsMe的話,禁用系統還原,DOS下刪除。XP關閉系統還原的方法:右鍵單擊"我的電腦",選"屬性"--"系統還原"--在"在所有驅動器上關閉系統還原"前面打勾--按"確定"退出。
3、帶毒文件在.rar、.zip、.cab等壓縮文件中。
現今能支持直接查殺壓縮文件中帶毒文件的反病毒軟體還很少,即使有也只能支持常用的一些壓縮格式;所以,對於絕大多數的反病毒軟體來說,最多只能檢查出壓縮文件中的帶毒文件,而不能直接清除。而且有些加密了的壓縮文件就更不可能直接清除了。
要清除壓縮文件中的病毒,建議解壓縮後清除,或者藉助壓縮工具軟體的外挂殺毒程序的功能,對帶毒的壓縮文件進行殺毒。
4、病毒在引導區或者SUHDLOG.DAT或SUHDLOG.BAK文件中。
這種病毒一般是引導區病毒,報告的病毒名稱一般帶有boot、wyx等字樣。如果病毒只是存在於移動存儲設備,如軟盤、快閃記憶體檔、移動硬碟上,就可以藉助本地硬碟上的反病毒軟體直接進行查殺;如果這種病毒是在硬碟上,則需要用乾淨的可引導盤啟動進行查殺。
對於這類病毒建議用乾淨軟盤啟動進行查殺,不過在查殺之前一定要備份原來的引導區,特別是原來裝有別的操作系統的情況,如日文Windows、Linux等。
如果沒有乾淨的可引導盤,則可使用下面的方法進行應急殺毒:
(1)在別的計算機上做一張乾淨的可引導盤,此引導盤可以在Windows95/98/ME系統上通過"添加/刪除程序"進行製作,但要注意的是,製作軟盤的操作系統須和自己所使用的操作系統相同;
(2)用這張軟盤引導啟動帶毒的計算機,然後運行以下命令:
A:>fdisk/mbr
A:>sysa:c:
如果帶毒的文件是在SUHDLOG.DAT或SUHDLOG.BAK文件中,那麼直接刪除即可。這是系統在安裝的時候對硬碟引導區做的一個備份文件,一般作用不大,病毒在其中已經不起作用了。
5、帶毒文件的後綴名是.vir、.kav、.kbk等。
這些文件一般是一些防毒軟體對原來帶毒的文件做的備份文件,一般情況下,如果確認這些文件已經無用了,那就將這些文件刪除即可。
6、帶毒文件在一些郵件文件中,如dbx、eml、box等。
有些防毒軟體可以直接檢查這些郵件文件中的文件是否帶毒,但往往不能對這些帶毒的文件直接的進行操作,對於一些郵箱中的帶毒的信件,可以根據防毒軟體提供的信息找到那帶毒的信件,刪除信件中的附件或者刪除該信件;如果是eml、nws一些信件文件帶毒,可以用相關的郵件軟體打開,確認該信件及其附件,然後刪除相關內容。一般有大量的eml、nws的帶毒文件的話,都是病毒自動生成的文件,建議都直接刪除。
7、文件中有病毒的殘留代碼。
這種情況比較多見的就是帶有CIH、Funlove、宏病毒,包括Word、Excel、Powerpoint和Wordpro等文檔中的宏病毒和個別網頁病毒的殘留代碼,通常防毒軟體對這些帶有病毒殘留代碼的文件報告的病毒名稱後綴通常是int、app等結尾,而且並不常見,如W32/FunLove.app、W32.Funlove.int。一般情況下,這些殘留的代碼不會影響正常程序的運行,也不會傳染,如果需要徹底清除的話,要根據各個病毒的實際情況進行清除。
8、文件錯誤。
這種情況出現的並不多,通常是某些防毒軟體將原來帶毒的文件並沒有很乾淨地清除病毒,也沒有很好的修覆文件,造成文件無法正常使用,同時造成別的防毒軟體的誤報。這些文件可以直接刪除。
9、加密的文件或目錄。
對於一些加密了的文件或目錄,請在解密後再進行病毒查殺。
10、共享目錄。
這裡包括兩種情況:本地共享目錄和網路中遠程共享目錄(其中也包括映射盤)。遇到本地共享的目錄中的帶毒文件不能清除的情況,通常是區域網中別的用戶在讀寫這些文件,殺毒的時候表現為無法直接清除這些帶毒文件中的病毒,如果是有病毒在對這些目錄在寫病毒操作,表現為對共享目錄進行清除病毒操作後,還是不斷有文件被感染或者不斷生成病毒文件。以上這兩種情況,都建議取消共享,然後針對共享目錄進行徹底查殺,恢復共享的時候,注意不要開放太高的許可權,並對共享目錄加設密碼。對遠程的共享目錄(包括映射盤)查殺病毒的時候,首先要保證本地計算機的操作系統是乾淨的,同時對共享目錄也有最高的讀寫許可權。如果是遠程計算機感染病毒的話,建議還是直接在遠程計算機進行查殺病毒。特別的,如果在清除別的病毒的時侯都建議取消所有的本地共享,再進行殺毒操作。在平時的使用中,也應注意共享目錄的安全性,加設密碼,同時,非必要的情況下,不要直接讀取遠程共享目錄中的文件,建議拷貝到本地檢查過病毒後再進行操作。
補充一個:
建議您按照下面操作試一試:首先滑鼠右鍵點擊我的電腦-屬性-系統還原-把在所有驅動器上關閉系統還原前面的格子勾上。
然後進入到安全模式(重啟過程中按F8鍵)把下面3個文件夾裡的文件全部清空。
C:WINDOWSTemp
C:DocumentsandSettings用戶名LocalSettingsTemp
C:DocumentsandSettings用戶名LocalSettingsTemporaryInternetFiles
最後再殺毒(安全模式下)試一試。兩個文件夾裡面的"用戶名"是您登陸系統的時的登陸名,如果您沒有做過修改的話。用戶名是:Administrator。