手工杀毒的一些心得(4)

还有一个地方值得一看，那就是启动/关机脚本。运行gpedit.msc启动组策略编辑器，在位于用户配置-Windows设置-脚本(登录/注销)位置，在这里设置的脚本将会在登录或注销自动执行。

但是很多时候处理问题并不是这么复杂，使用集成工具可以大大简化这些操作。我用的是功能强大的Autoruns(呵呵，又是一个Sysinternals的东西)。这个工具把系统的启动项统统笼络在一个界面里提供管理和查询，有用的描述和映像路径帮助我们找出可疑文件。当然，工具越是强大也就越是危险，以前我还在琢磨Autoruns的使用的时候就搞的系统崩溃了，以后用的时候格外小心...

很多系统优化工具也提供启动项的管理，包括360在内的很多软件的这种功能也很好用。但是关键之一就是中毒之后，360很多时候都不能用（当然也可以选择修360），那个时候就是有什么能用就用什么的境地了，多几种方法绝对有好处。

说完了自启动，下面就要杀毒了。其实所谓的杀毒或者说删除是在是杀毒过程中的一小部分。通过上面的方法——不论是在进程中还是启动项里查到或者是跟踪得到的位置信息(总之寻到蛛丝马迹是上面的主要任务)，现在就是找到那个位置，把病毒delete。直接删除，很少可以成功，即使删除成功，病毒也大多不会终结。
无法删除，不管是由于进程没有清理完整，或者驱动级病毒的文件保护以及系统进程的注入等都会导致这种情况。借助于Unlocker这种解除锁定的工具

再配合如文件粉碎机或者文件强行删除工具强制删除，效果较好。同时在安全模式下操作可以保证成功率，尽管很多时候安全模式都被破坏，但是应该尽可能地使用安全模式。实在无法解决只能诉诸于DOS，或者WinPE，系统之上的系统可以干掉所有非底层病毒。DOS下相对操作较为繁琐，PE系统则易用很多，许多PE系统还提供很多有用的工具。但是关于删除，我想我还又别的思路，那就是在定位病毒文件磁盘扇区后，强制使用MHDD调硬盘直接把那个地方erase掉！对此我尝试过，但是步骤显得太繁杂，还不如纯DOS，所以只能说是一种噱头。

另一个问题是如何揪出病毒的残余？对此我个人的方法十分有限，除了盲目地跟踪加载项(很少有人对此有兴趣并且擅长)，以及没头没脑地使用各种工具寻找蛛丝马迹外，没有很好的方法。平常还用一种手段，就是编写一小段脚本找出系统可疑的近期创建的文件。如果是在中毒后立即发现并查杀的话，此方法尤其奏效。但是局限于程序员和对系统环境熟悉并且敏感的人。所以说，手工杀毒，并非是推荐方法。

最后的步骤，我想说，让杀毒软件来解决吧......虽然本文写的是手工，但是作为非专业杀毒的区区网管，我感觉自己所能做的实在是很有限的。尽可能地阻止病毒的进程和启动，解除病毒体对于杀毒软件的干扰，我认为是作为手工杀毒的主要任务，这是由于我个人能力比较有限。虽然已经过了牛人辈出的时代，但是牛人的数量却是惊人，如果是他们的话，一定可以妙手摘毒的吧。

本文的最后，我再写一些个人感想和建议。

感想：

1. 重装系统作为最后的手段，效果其实最好。如果不是有什么麻烦的情况的话，不如直接重装。因为手工杀个把病毒的时间通常超过重装，而且面临失败的危险从而浪费了宝贵的时间（当然喜欢研究就不一样了）。必须权衡时间上的利弊，干脆重装，然后在不点击盘符的情况下，安装杀毒软件后全盘扫描。
2. 备份，还是备份！如果数据珍贵，千万不可偷懒。刻盘很安全，磁盘的话也要分开放置。所谓真正的数据备份，必然是存储介质相分离的。

建议：

1. 及时打上所有系统必要补丁，使用FF浏览网页，并及时清理临时文件夹，将大大减少中毒几率。
2. 平时使用时开一个低权限的用户，做什么操作使用什么权限，将大大降低中毒后的危害。麻烦和安全通常唱反调~
3. 保持系统精简高效的运行，将会在最快时间发现中毒症状，使破坏和感染都减到最低的同时方便查杀。
4. 备份，再提备份！无论是windows自带的还原(虽然有点鸡肋)还是ghost的快速犀利，甚至是动用veritas等等,总之备份是计算机使用者最好的习惯！

关于杀毒软件：

1. 杀毒软件的备份通常可以有磁盘备份和增量备份，请经常备份杀毒软件的病毒库
2. 通常杀毒软件可以全部复制到其它文件夹，等重装软件后在全部复制回来，是比较通用的备份方式
3. 个人推荐avast+360的组合，理由是免费+好使......
4. 最后，定期处理木马，为此需要有一款专门的反木马软件。

希望此出自一半吊子程序员和半吊子网管的文字，对各位有些用处。