识别病毒文件的四个非常不错的方法(3)

　　四、位置

　　病毒木马喜欢呆的地方是系统文件夹，windows、windows\system32、windows/system32\drivers，还有c:\program files\internet explorer/c:\program files\internet explorer\plugin、c:\program files\common files\miscrosoft shared，还有就是临时文件夹、IE缓存

　　首先临时文件夹c:\documents and settings\你的用户名\local settings\temp和c:\windows\temp是一定要清的，而且可以大胆地删除，不管好坏，删了没事，IE缓存也要清的，不是直接进文件夹删除，而从IE的菜单工具-internet选项进入，删除文件-删除所有脱机文件，最好在高级那设成关闭浏览器时自动清空临时文件，就省事了。

　　其它文件夹，主要看是否有不该存在的文件存在，比如windows文件夹中多了什么瑞星的文件(卡卡的倒是有在那)、realplayer的文件，绝对可疑，还有比如svchost.exe、ctfmon.exe突然出现在windows或其它文件夹中，而不是在它们应该在的system32中，也可以确定是病毒。当然可以结合上面的几个方法一起判断。有的时候是得靠经验，相对而言文件比较少的文件夹比较好判断，多出什么很容易发觉，比如windows、ie文件夹，多看看，就知道基本就是那些，多一两个exe或dll，马上可以发现(很多流氓软件是会在这里安身)。

　　还有就是结合注册表启动项，一般启动项引用到windws中的不多，基本是输入法、声卡管理，更多的就可疑了，指到system32下的了多看两眼，实在拿不准，老办法，到网上查文件名。如果发现启动项指向font字体文件夹的，那不用想了，一定有问题。

　　服务驱动也是如此，不是在system32或driver中的就要多检查下(自然在它们下面的也要检查，何况不在)。

　　除了文件夹位置，还有注册表位置，除了几个RUN的启动项，还有映像劫持(IFEO)要检查，值有debugger的都要注意一下，除了最后一个your image file name here without a path有个debugger=ntsd -d，其它的是都没有的，只要有发现就是被劫持(免疫的除外，免疫是把已知病毒程序名劫持到不存在的文件上，使其不能运行)，然后就找劫持文件，就是debugger后面的文件，找到后连同注册表项一起删除。但注意，现在的劫持有的用的不是病毒文件，是系统文件或命令，比如svchost.exe或ntsd -d，这就不要删除文件了，只要把注册表项删除。

　　还有要注意的注册表项有appinit_dlls，一般为空值(例外，卡卡的一个文件会放这)，如果多出值就是病毒，按名字找到删除。还有一个就是userinit，一般也是空的，多东西修改就要查查是否正常。

　　推荐用SREng来检查，比较方便，也会自动提示以上修改。

　　结语：

　　说真的，真要从一堆英文名中找出可疑的文件名挺难的，综合使用各个方法，配合工具软件分类显示才是捷径，比如SREng，把服务驱动列出来，名字、文件、路径一摆，就很明显了，有的名字就是乱写的，对照后面的文件名就很清楚了，有的细心的会冒充系统服务名，不过与正常的一对比，连网也不用上，也可以找出问题(隐藏微软服务后非微软的服务就露出来了，如果还顶个系统服务名或接近系统服务的名字，就一定有问题，不是把正常服务改了，就是额外加进来的李鬼)。