■

通用方法

要想讓系統(tǒng)運(yùn)行重回“正軌”，必須要分析網(wǎng)絡(luò)病毒的破壞行為，弄清楚它究竟對系統(tǒng)的哪些位置進(jìn)行過修改，之后有針對性地恢復(fù)系統(tǒng)設(shè)置才行?，F(xiàn)在本文就借助Fileman、Regshot這兩款外力工具，來尋找病毒的破壞痕跡。

大家知道，計(jì)算機(jī)系統(tǒng)被病毒攻擊后運(yùn)行不正常的時候，是很容易找到病毒文件的，畢竟大多數(shù)網(wǎng)絡(luò)病毒都會向計(jì)算機(jī)硬盤中寫入能自動發(fā)作的病毒文件。例如，病毒常常會向系統(tǒng)分區(qū)寫入病毒文件，只要進(jìn)入DOS命令行窗口，使用“dir C:ah”命令（如圖1所示），我們就能查看到所有具有隱藏屬性的可執(zhí)行文件，其中使用了陌生名稱的exe文件，很可能就是具體的病毒文件。

圖1 DOS命令行窗口

一旦確認(rèn)某個可疑文件就是病毒文件后，就能通過Fileman、Regshot這兩款外力工具，監(jiān)控它們對系統(tǒng)的攻擊痕跡，其中Fileman工具能幫助用戶監(jiān)控到病毒文件在計(jì)算機(jī)硬盤讀寫了哪些內(nèi)容，而Regshot工具能通過多次抓取比對的方式，監(jiān)控到病毒文件對系統(tǒng)注冊表進(jìn)行了哪些惡意修改。在使用Fileman工具監(jiān)控病毒文件的讀寫痕跡時，可以先開啟它的運(yùn)行狀態(tài)，這時它會自動運(yùn)行監(jiān)控功能，使用“Ctrl+E”快捷鍵暫停該功能，以防生成的監(jiān)控記錄太多，不利于后續(xù)的分析操作。依次點(diǎn)擊“選項(xiàng)”、“過濾/高亮”，導(dǎo)入之前發(fā)現(xiàn)的病毒文件，同時在“排除”文本框中輸入“explorer.exe”，確保監(jiān)控操作更有針對性。設(shè)置操作結(jié)束后，再次使用“Ctrl+E”快捷鍵恢復(fù)程序的監(jiān)控功能，這樣特定病毒文件的操作痕跡就處于它的監(jiān)控之下了。下面啟動Regshot工具，按下對應(yīng)程序界面中的“攝取1”按鈕，過一段時間后，獲取得到病毒沒有發(fā)作之前的注冊表狀態(tài)信息，該信息作為以后的比對標(biāo)本。

做好之前的準(zhǔn)備工作后，現(xiàn)在嘗試手工執(zhí)行病毒文件，待到其在計(jì)算機(jī)中充分得到釋放時，按Regshot工具界面中的“攝取2”按鈕，再次獲得系統(tǒng)注冊表的狀態(tài)信息，之后點(diǎn)擊“比較”按鈕，這樣Regshot工具就會自動對病毒運(yùn)行前后的系統(tǒng)注冊表進(jìn)行比對，比對的結(jié)果會以html或txt格式文件輸出，打開該文件我們就能知道網(wǎng)絡(luò)病毒對系統(tǒng)注冊表進(jìn)行了哪些修改。在該工具的導(dǎo)出結(jié)果中，位于“增加值”處的內(nèi)容，多半是病毒運(yùn)行時留下的痕跡，確認(rèn)無誤后應(yīng)該及時刪除它們。而病毒在系統(tǒng)注冊表中修改過的鍵值內(nèi)容，都會出現(xiàn)在“修改值”位置處，顯示在前面的一半是原始鍵值，顯示在后面的是病毒修改的數(shù)值，這時我們必須根據(jù)原始值內(nèi)容，將修改后的系統(tǒng)注冊表及時還原過來。

圖2 標(biāo)簽設(shè)置頁面

與此同時，我們要及時按下Fileman工具中的“Ctrl+E”快捷鍵，讓其監(jiān)控功能停止運(yùn)行，以避免產(chǎn)生大量的監(jiān)控結(jié)果，增加數(shù)據(jù)分析的難度。即使得到的監(jiān)控數(shù)據(jù)有很多，我們也不用太緊張，只要重點(diǎn)關(guān)注操作請求為“Write”、“Create”的記錄就行，這兩項(xiàng)操作往往是病毒在計(jì)算機(jī)硬盤中釋放文件的痕跡，根據(jù)對應(yīng)操作記錄的“路徑”信息，我們就能判斷出病毒釋放文件的具體位置。這時，可以進(jìn)入系統(tǒng)任務(wù)管理器窗口的進(jìn)程頁面，將病毒進(jìn)程強(qiáng)行終止后，再到病毒釋放文件的文件夾窗口，刪除病毒殘留文件即可。對于無法停止的病毒進(jìn)程，不妨使用“冰刃”之類的強(qiáng)力工具將其關(guān)閉運(yùn)行。經(jīng)過上述處理之后，再配合殺毒軟件的操作，多半就能確保系統(tǒng)在殺毒后能正常工作了。

具體方法

上面的方法操作起來比較麻煩，而且不一定對所有病毒攻擊有效。其實(shí)，很多病毒的攻擊特征非常明顯，根據(jù)攻擊現(xiàn)象我們基本就能判斷出是什么類型的病毒，而手工解決這類病毒的攻擊后遺癥，也有多種方法可以使用。

1.刪除隱藏文件

在對計(jì)算機(jī)殺毒后，有的時候會遇到移動硬盤雙擊打不開的現(xiàn)象，每次殺毒操作結(jié)束后，都要重新進(jìn)行格式化操作，才能通過雙擊鼠標(biāo)方式打開移動硬盤。這種不正?，F(xiàn)象，主要是U盤病毒殘留的autorun.inf文件引起的，殺毒軟件在工作的時候，雖然將這種類型病毒的主文件成功清除掉了，但是對該病毒釋放的autorun.inf文件，它卻不能將其一并刪除。日后，當(dāng)我們嘗試通過雙擊鼠標(biāo)方式，打開移動硬盤窗口時，Windows系統(tǒng)掃描到了autorun.inf文件，而沒有發(fā)現(xiàn)該文件open項(xiàng)指定的可執(zhí)行文件，所以雙擊操作自然無法打開移動硬盤窗口。

要想讓優(yōu)盤病毒清除后的系統(tǒng)恢復(fù)正常，只要先在移動硬盤圖標(biāo)上點(diǎn)擊鼠標(biāo)右鍵，從彈出的右鍵菜單中選中“資源管理器”命令，進(jìn)入系統(tǒng)資源管理器窗口。依次點(diǎn)擊“工具”、“文件夾選項(xiàng)”命令，切換到文件夾選項(xiàng)設(shè)置框。選擇“查看”標(biāo)簽，進(jìn)入如圖2所示的標(biāo)簽設(shè)置頁面，選中“顯示所有文件和文件夾”選項(xiàng)，確認(rèn)后返回移動硬盤窗口。這時，隱藏在移動硬盤根目錄下的autorun.inf文件會自動顯示出來，手工將其刪除掉。日后，我們就可以通過雙擊鼠標(biāo)方式打開移動硬盤了，而不需要進(jìn)行格式化了。

2．調(diào)整文件關(guān)聯(lián)

殺毒操作結(jié)束后，常用的TXT、CHM、BMP、DOC 等類型文件，有時會無法打開，用鼠標(biāo)雙擊對應(yīng)文件圖標(biāo)，Windows系統(tǒng)會彈出選擇打開方式對話框。出現(xiàn)這種不正?，F(xiàn)象，主要是網(wǎng)絡(luò)病毒偷偷篡改了可執(zhí)行文件的關(guān)聯(lián)，一般是與病毒程序相關(guān)聯(lián)，一旦病毒程序被殺毒軟件成功刪除后，文件關(guān)聯(lián)不能自動恢復(fù)，所以就產(chǎn)生了讓用戶自行選擇打開方式的現(xiàn)象。

圖3 輸入字符串

處理這種現(xiàn)象的一般方法是，將計(jì)算機(jī)系統(tǒng)重新啟動到支持命令行狀態(tài)的安全模式中，在命令提示符狀態(tài)下輸入“ftype exefile="%1" %*”字符串命令（如圖3所示），就能修復(fù)文件關(guān)聯(lián)了。

對于修復(fù)特定類型文件的關(guān)聯(lián)設(shè)置時，也可以通過修改系統(tǒng)注冊表相關(guān)鍵值的方法來進(jìn)行。例如，要恢復(fù)CHM類型文件的關(guān)聯(lián)時，可以依次點(diǎn)擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對話框，在其中執(zhí)行“regedit.exe”命令，打開系統(tǒng)注冊表編輯窗口。在該窗口的左側(cè)列表中，將鼠標(biāo)定位到注冊表節(jié)點(diǎn)“HKEY_CLASSES_ROOTchm.fileshellopencommand”上，雙擊目標(biāo)節(jié)點(diǎn)下的“默認(rèn)”鍵值，在其后彈出的對話框中，檢查其數(shù)值是否為“"%SystemRoot%hh.exe"%1”，如果不是的話，應(yīng)該及時將其調(diào)整過來即可。

當(dāng)然，為了防止病毒日后繼續(xù)非法修改這種關(guān)聯(lián)設(shè)置，我們可以用鼠標(biāo)右擊“command”節(jié)點(diǎn)選項(xiàng)，從右鍵菜單中選擇“權(quán)限”命令，切換到對應(yīng)節(jié)點(diǎn)選項(xiàng)權(quán)限編輯框，在這里僅保留everyone用戶賬號，其他賬號全部刪除，同時為everyone用戶賬號賦予只讀權(quán)限，刪除其他各種權(quán)限。

修改主頁設(shè)置

在成功殺毒后，IE瀏覽器的主頁內(nèi)容可能會變得不正常，這主要是病毒將惡意內(nèi)容隱藏在主頁設(shè)置背后，日后用戶只要打開IE瀏覽器窗口，它們有可能會“卷土重來”。要將IE瀏覽器主頁內(nèi)容恢復(fù)正常，我們不妨進(jìn)行如下設(shè)置操作：

首先依次單擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對話框，在其中執(zhí)行“regedit.exe”命令，開啟系統(tǒng)注冊表編輯器運(yùn)行狀態(tài)。在該界面的左側(cè)顯示區(qū)域處，將鼠標(biāo)定位到注冊表節(jié)點(diǎn)“HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMAIN”上，找到目標(biāo)節(jié)點(diǎn)下的“Start Page”鍵值，用鼠標(biāo)雙擊該鍵值，彈出如圖4所示的編輯鍵值對話框，將病毒指定的站點(diǎn)地址刪除，輸入自己需要設(shè)定的主頁地址，確認(rèn)后退出設(shè)置對話框。為了防止病毒再次修改主頁設(shè)置，再次選中“HKEY_LOCAL_MACHINESOFTWAREM i c r o s o f tI n t e r n e t ExplorerMAIN”注冊表節(jié)點(diǎn)，從編輯窗口菜單欄中逐一點(diǎn)擊“編輯”、“權(quán)限”選項(xiàng)，打開對應(yīng)節(jié)點(diǎn)選項(xiàng)的權(quán)限編輯對話框，從“組或用戶名稱”列表中，添加好“everyone”賬號，將其“讀取”權(quán)限設(shè)置為“允許”，將其他權(quán)限設(shè)置為“拒絕”，同時刪除其他一些陌生的用戶賬號，單擊“確定”按鈕保存設(shè)置操作。

同樣地，依次展開注冊表節(jié) 點(diǎn)“HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain”，將該節(jié)點(diǎn)下的“Start Page”鍵值，也修改為自己想要設(shè)定的網(wǎng)站地址。同時，打開目標(biāo)節(jié)點(diǎn)的權(quán)限編輯對話框，選中并導(dǎo)入“everyone”用戶賬號，將該賬號設(shè)置為“只讀”權(quán)限，并刪除其他陌生賬號，防止網(wǎng)絡(luò)病毒再次修改對應(yīng)鍵值。

4．移植相關(guān)鍵值

網(wǎng)絡(luò)病毒程序?yàn)榱吮Ｗo(hù)自身安全，經(jīng)常會悄悄刪除或篡改與系統(tǒng)安全模式有關(guān)的注冊表鍵值，造成普通用戶不能進(jìn)入安全模式，對病毒程序進(jìn)行徹底地查殺操作。殺毒軟件在成功清除病毒文件后，被破壞的與安全模式有關(guān)注冊表鍵值不會自動恢復(fù)正常，我們必須按照如下步驟操作，才能讓殺毒后的系統(tǒng)重回“正軌”：

圖4 編輯鍵值對話框

圖5 鼠標(biāo)定位注冊表節(jié)點(diǎn)

圖6 注冊表節(jié)點(diǎn)

首先從局域網(wǎng)中找一臺工作狀態(tài)正常的計(jì)算機(jī)系統(tǒng)，依次點(diǎn)擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對話框，在其 中 執(zhí) 行“regedit.exe”命令，開啟系統(tǒng)注冊表編輯器運(yùn)行狀態(tài)。在該界面的左側(cè)顯示區(qū)域處，將鼠標(biāo)定位到注冊表節(jié)點(diǎn)“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBoot”上，如圖5所示。

依次單擊注冊表編輯窗口中的“文件”、“導(dǎo)出”命令，彈出文件選擇對話框，將上述節(jié)點(diǎn)內(nèi)容保存為“aaa.reg”文件。將該文件拷貝到系統(tǒng)運(yùn)行有異常的計(jì)算機(jī)中，再次打開系統(tǒng)注冊表編輯窗口，依次點(diǎn)擊“文件”、“導(dǎo)入”命令，選中并添加“aaa.reg”文件，將正常的安全模式注冊表鍵值導(dǎo)入進(jìn)來，再重新啟動計(jì)算機(jī)系統(tǒng)，就能讓殺毒后的系統(tǒng)正常切換到安全模式狀態(tài)了。

5．恢復(fù)顯示功能

有的時候，計(jì)算機(jī)系統(tǒng)不能正常顯示具有隱藏屬性的文件，這主要是病毒木馬程序?yàn)榱穗[藏自身，在將自己設(shè)置為隱藏屬性后，悄悄調(diào)整或者刪除顯示隱藏文件的注冊表鍵值。當(dāng)殺毒軟件成功清除病毒木馬文件后，之前被偷偷篡改的相關(guān)注冊表鍵值，無法自動恢復(fù)到以前狀態(tài)，這樣我們自然就不能使用“文件夾選項(xiàng)”設(shè)置，來顯示查看計(jì)算機(jī)系統(tǒng)中的隱藏文件。

要讓這種不正?，F(xiàn)象重回“正軌”，首先需要點(diǎn)擊鍵盤上的“Ctrl+Alt+Del”快捷鍵，調(diào)出系統(tǒng)任務(wù)管理器窗口，切換到進(jìn)程標(biāo)簽頁面，檢查其中是否有陌生進(jìn)程存在，如果看到的話，必須及時選中并右擊它，點(diǎn)擊快捷菜單中的“結(jié)束進(jìn)程”命令。

其次，逐一點(diǎn)擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對話框，在其中執(zhí)行“regedit.exe”命令，開啟系統(tǒng)注冊表編輯器運(yùn)行狀態(tài)。找到注冊表 節(jié) 點(diǎn)“HKEY_LOCAL_MACHINESoftwareM i c r o s o f tw i n d o w sCurrentVersionexplorerAdvancedFolderHiddenSHOWALL”（如圖6所示），將該節(jié)點(diǎn)下的“CheckedValue”鍵值刪除。再打開該節(jié)點(diǎn)的右鍵菜單，依次點(diǎn)擊“新建”、“Dword值”命令，將新創(chuàng)建的雙字節(jié)鍵值取名為“CheckedValue”，同時將其數(shù)值設(shè)置為“1”，重新啟動計(jì)算機(jī)系統(tǒng)后，我們就能在文件夾選項(xiàng)設(shè)置框中，正常選擇“顯示所有隱藏文件”和“顯示系統(tǒng)文件”選項(xiàng)了。