病毒杀不掉的原因以及处理方法 病毒

aiping_520

系统还原文件
" ^8 H2 g; e- ~3 D% `& x
/ b$ C" ~; Q( t" j1 g& F_restore文件夹是Windows Me/XP系统特有的系统还原文件夹，隐藏在该文件夹中的病毒是不能直接清除的。当然这些病毒也不能直接发挥作用。要清除这些病毒，可以关闭Windows系统的“系统还原”功能，清理系统还原点，或者直接删除_restore文件夹的内容。 0 z; t9 `. [  V

! E) Q2 l" R0 _7 e. q8 l0 G●疑似电脑病毒 * b1 p9 {# C! }6 P9 G( g4 g

6 t8 s" l% S8 d. a! U% Z. Y有时杀毒软件会出现提示：unknown.com.tsr.virus。该提示中，unknown是“不明的”意思，tsr是内存驻留的意思，本信息一般提示的是纯DOS环境下的可执行文件，表明杀毒软件在该文件中发现了可疑代码，类似病毒，但是没有确定是什么病毒。 如果疑似病毒提示涉及Type-Win32代码，则表示可疑的32位代码的意思，是指Windows环境下可疑的可执行代码。对于疑似病毒，可以直接删除该文件，或者将这些“疑似”的病毒文件发送给反病毒软件公司，请求帮助。
8 s8 |3 O1 X9 y2 i4 ~) W
- v3 I; E7 n8 s2 P7 D- a% G●ex_文件感染病毒 2 \- ~4 \' x; A" i& t. ]
# M7 u( O0 ?& z6 R% L$ m7 x
以.ex_为扩展名称的文件是软件安装程序的部分文件，其中的病毒不能直接清除。只有在软件完全安装成功后，方可清除。这有点类似于在COPY文件时发现了病毒的处理方法。 : G/ n4 }  _! Z9 X. _; V) z

3 p  r7 @# D" V. q- u4 u, y7 z6 L●在DOS下清除病毒 . e! S; {9 j( p0 K( {8 q, r
对于在引导区发现的病毒，如POLYBOOT/WYX.b病毒，请使用干净的系统盘启动系统到DOS，然后在DOS下杀毒即可清除。如果可感染引导区的病毒存在于文件中，可以直接删除该文件。 9 V# M9 C' j+ c$ y' L3 j

1 P; Q. O5 J) d* M●系统初始文件中引用病毒 + Y. g: c* o) G9 R
. ~# N0 E' w+ I2 X# |( b* P3 }4 |
杀毒时出现如下提示：
" Y3 \1 ?, G! J) A6 ^, WC：\Windows\brasil.pif worm.win32.opasoft.a病毒　已删除　　
# {  w- V9 z+ W! n; N' ]; JC：\Windows\instit.bat worm.win32.opasoft.a病毒　已删除　　
" s) [8 ^" L" @: b! P" c. ]. R3 G3 cC：\Windows\alevir.exe worm.win32.opasoft.a病毒　已删除　　
0 @1 R* y3 I. S3 nC：\Windows\marco.scr worm.win32.opasoft.a病毒　已删除　　* f  d# _* t! J2 e+ S
C：\Windows\SCRSVR.exe
" F1 y" {. {, n6 e. V+ n: Lworm.win32.opasoft.a病毒已删除　但杀毒后，重启动电脑时出现很多找不到文件的信息，而且再次杀毒时提示依旧，病毒还是存在。这些顽固病毒的引用应该是在win.ini文件中，请单击“开始→运行”，键入“sysedit”，按下回车键，编辑win.ini，删除对病毒的引用行。 5 a1 |1 H5 Y4 L" L

6 d8 k: @: C& z1 j+ o●病毒最新变种 - `2 `( {+ B( N: V; H5 s
杀毒软件查出的是其病毒库中不存在的新型病毒，请将杀毒软件的病毒库升级到最新，然后再查杀。
3 {' }7 B* y/ I, ^2 b
7 i1 o, @% t$ j$ ?' R" ?9 ]＝＝＝＝＝＝＝＝& O, W2 C6 [+ v# E3 V; P* M
9 q$ q. M& i) y( R
恶意网页病毒症状分析及修复方法 ) d: G- y9 B9 ]' v7 T+ }$ V6 u

" }6 Z5 M7 j1 Z! @一、默认主页被修改 * O! x7 p! H# k# l2 E4 \+ g

8 F2 H2 T3 ]" e! F% ]7 z0 Z/ N- D　　1.破坏特性：默认主页被自动改为某网站的网址。   k% t" q! z" l  w
) N. S+ o6 b- y; O" J: |% J
　　2.表现形式：浏览器的默认主页被自动设为如********.COM的网址。
) ]# E  U9 k6 y2 r* @) X6 B) C
# Q2 g1 i- e: Z8 E　　3.清除方法：采用手动修改注册表法，开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按顺序依次打开：HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main　分支，找到Default_Page_URL键值名(用来设置默认主页)，在右窗口点击右键进行修改即可。按F5键刷新生效。
0 Y0 ^1 ]8 J& n& ?$ |7 K. o
. ^# n- B% C* s/ k4 \( {二、默认首页被修改
: F  x: |& e1 u
3 c& \, I- o- M6 S! Y' R; c" J9 j9 X& I　　1.破坏特性：默认首页被自动改为某网站的网址。
' z4 F) W, b7 e% [. j- D0 s1 N$ u  y2 D- S/ J3 m
　　2.表现形式：浏览器的默认主页被自动设为如********.COM的网址。
! O9 ?. }5 R: h" @- h
/ S3 m3 x9 ~) t* _0 N( y8 H% }　　3.清除方法：采用手动修改注册表法，开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main分支，找到StartPage键值名(用来设置默认首页)，在右窗口点击右键进行修改即可。按F5键刷新生效。
9 y6 s2 u9 L5 u: a* K- C
. d& f% ~, a+ i( G: T三、默认的微软主页被修改 4 D0 |7 V% u- v/ Y' J; S) K
* s3 a$ m. R/ ]
　　1.破坏特性：默认微软主页被自动改为某网站的网址。 ! `# ?, K) ]5 A

0 ?  f6 M& v% ^' }" E! s+ ~0 f　　2.表现形式：默认微软主页被篡改。 : W$ P) K. t% F. w4 W: C

& {3 ?  Z% X' Y; T4 x　　3.清除方法：
$ h" p7 D! K  T- \2 ]% G0 ~, [( z* v( z
　　(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main　分支，找到Default_Page_URL键值名(用来设置默认微软主页)，在右窗口点击右键，将键值修改为/ L) M) Y6 d& Q5 M' I6 H
http://www.microsoft.com/windows/ie_intl/cn/start/ 即可。按F5键刷新生效。
4 X3 F: H  f; g- ]# ^: o& H7 D+ g7 O" o; w
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。
1 U: v# q+ y0 R  B1 O6 e
8 a# u. k0 o6 J; h; G　　REGEDIT4 3 Q9 T6 Z9 X% U- c4 I& M( y3 M
2 W* n2 m6 j* Y9 q! r
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
! y; L6 r8 Y7 E1 _$ ?　　"default_page_urlhttp://www.microsoft.com/windows/ie_intl/cn/start/" - @' Z2 L3 Q3 ^; f+ q* m3 }7 q8 f

! i. N! `" w* G0 \, {四、主页设置被屏蔽锁定，且设置选项无效不可更改
: P9 Z5 P, c+ ~+ x: W
' f+ y; b2 U# {+ O8 q4 {- A0 b　　1.破坏特性：主页设置被禁用。
( a8 l, E  ~! S* R$ v; j- U  W1 z: }4 ^8 E% P
　　2.表现形式：主页地址栏变灰色被屏蔽。   D  a# B+ q% Y7 Z* E# a8 L( E0 y
* A2 H$ @0 z8 E  O* ~( |5 t2 z% ?
　　3.清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\分支，新建“ControlPanel”主键，然后在此主键下新建键值名为“HomePage”的DWORD值，值为“00000000”，按F5键刷新生效。
: s; K5 z0 H; \5 H; Y4 u. S5 o' y/ T  {6 r, g
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。 9 w' ^: R. A# v" y( z. n
+ n/ H; N% _% |! y
　　REGEDIT4
+ K$ e, Q7 H% C0 G3 S! W
% R; }9 D( [( l4 Q0 T/ m- t　　[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet
0 m* h  j1 w5 R2 k% G0 ]Explorer\Control Panel] ; i: n( G+ Y8 ^8 |! h, p
　　"HomePage"=dword:00000000 : @$ L  Y2 I; T, g3 R1 i
五、默认的IE搜索引擎被修改 , G9 N/ S' I6 l: }, B
: G# i% \5 x8 ?5 ~% H1 w- k
　　1.破坏特性：将IE的默认微软搜索引擎更改。
5 |2 U  ]( ?; f  e* f) g2 g( o. z6 G
　　2.表现形式：搜索引擎被篡改。
6 a; h; m. i. Q
0 ^% d/ \5 r$ h8 B9 @　　3.清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，第一，按如下顺序依次打开：HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search分支，找到“SearchAssistant”键值名，在右面窗口点击“修改”，即可对其键值进行输入为：http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm ，然后再找到“CustomizeSearch”键值名，将其键值修改为：http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm ，按F5键刷新生效。
9 q& j5 N$ X6 V' \- e# Z0 g" d- T5 _
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。
- C$ h% A7 a) D0 x4 x1 E& I/ L. b3 I$ `* W
　　REGEDIT4
; y- ^+ L' a' b& B6 V$ }. O$ ]  x; w* S
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search] + Z3 ~% J4 P1 z2 G4 Z& ^  b
　　. T& H) F  b) b# A9 P. [
"SearchAssistant"=http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm : G. p; H: n0 h) i9 V! J0 g; A( z& y

" j5 n' h$ x) ?7 l　　, \- d' j* D: @3 O9 n4 E) V; c
"CustomizeSearch"=http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm 4 G! n8 N1 V1 s* f/ V2 G) u7 F& R  W
( W( D* l; j" v

- f# \5 U4 }/ q5 c六、IE标题栏被添加非法信息 5 v7 C( f) n" |( r9 Z" e/ j
2 m* a% x. Y) b! n
　　1.破坏特性：通过修改注册表，使IE标题栏被强行添加宣传网站的广告信息。 , a3 v* ]! z* s+ U9 @
% l# i% C# U' N; T- q# i
　　2.表现形式：在IE顶端蓝色标题栏上多出了什么“正点网，即使正点网！http://www.zhengdian.com "尾巴。 . s% E/ H* c* N( e# ~

) a6 S1 w' e8 }  W& G" \' A- P! V　　3.清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，第一，按如下顺序依次打开：HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main分支，找到“Window Title”键值名，输入键值为Microsoft Internet Explorer，按F5刷新。
9 e5 {3 Q% e# U- D1 \: h, `8 h1 U5 h7 p9 C  H4 _
　　第二，按如下顺序依次打开：HKEY_CURRENT_MACHINE\Software\Microsoft\InternetExplorer\Main分支，找到“Window Title”键值名，输入键值为Microsoft Internet Explorer，按F5刷新生效。
% q9 J1 A* i0 k) M. [9 N3 l& z4 e7 v: }0 O# T  L% x

4 G4 y9 y  M0 E" _, J1 l　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。 ' m3 t8 h; Y3 l9 K% v2 g3 a2 u
7 d: v& R" B. b, j
　　REGEDIT4 1 z/ N' {6 H) w) n4 x
7 [; @9 l* D7 D( ]3 t
　　[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]   H7 t% f; n8 A, V
　　"Window Title"="Microsoft Internet Explorer"
1 M) b5 O9 [: \" Z$ r3 r# K
4 a$ h7 i3 O: C1 u" g　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
0 a3 g) `; ^. G5 F1 k( V  t+ \' z% H　　"Window Title"="Microsoft Internet Explorer"
4 \, }) E  \6 P8 R8 f: i( `! f4 @3 U( c: g

) Z# l* r  K, {　　七、OE标题栏被添加非法信息破坏特性： 1 o0 L$ W7 [2 |- I

0 U6 a- D+ [8 x- B* t& B　　破坏特性：通过修改注册表，在微软的集成电子邮件程序Microsoft Outlook顶端标题栏添加宣传网站的广告信息.
/ N8 i( w% z* j# B　   
* |1 |. D4 R# P7 a  X        表现形式：在顶端的Outlook Express蓝色标题栏添加非法信息。 3 O& d7 T. q) w1 t
7 F- F) H/ j- f6 l
　　清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_USER\Software\Microsoft\Outlook Express分支，找到WindowTitle以及Store Root键值名，将其键值均设为空。按F5键刷新生效。   C: P; P* f2 u7 {/ M$ T
) r8 B; c/ n, s
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。 3 t* P" ?  {# g1 m) M' ^3 P
) z1 d# W/ [& q9 f' l$ J$ C/ {% F" `
　　REGEDIT4 , m; I4 R, s% Z- j7 r

/ D' j" I; x$ X3 b! _6 [" B8 a9 V　　[HKEY_CURRENT_USER\Software\Microsoft\Outlook Express]
, A1 E0 i. O7 v$ L3 M　　"WindowTitle"=""
! Z& J( J2 j$ x* d7 D0 s7 c, M　　"Store Root"=""
' D. |1 a, h4 e* R8 e3 q8 e1 Y1 N9 i6 w5 `, \) a4 B/ D
% ?/ ?" l( |0 ^: w% w
八、鼠标右键菜单被添加非法网站链接： 1 F9 R' P2 X2 `+ i* p) c

; M  Q# V6 o  L1 A7 w+ q% ?9 n　　1.破坏特性：通过修改注册表，在鼠标右键弹出菜单里被添加非法站点的链接。
" y& Q0 O1 D6 q" g* p* `' z3 ?& D' Y* y/ O
　　2.表现形式：添加“网址之家”等诸如此类的链接信息。
) C/ R  n3 Q7 d7 y1 F
  y2 Z6 D9 c! ^7 X! t! V; t　　3.清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\MenuExt分支，在左边窗口凡是属于非法链接的主键一律删除，按F5键刷新生效。
1 N  _$ V" V6 h8 _) p* X( N7 }! _& S6 t4 e' w; f" m# k" Q
[ 本帖最后由 aiping_520 于 2008-4-23 20:38 编辑 ]