时间:2014-11-17 14:08:29 来源: 复制分享
现如今,越来越多的病毒在对系统和数据进行破坏的同时,也在不断的加强自我保护,防止安全软件和工具对其进行操作。导致很多杀毒软件无法根除此类病毒,或者出现只能查,不能杀的局面。针对这类病毒,瑞星杀毒软件重点开发了虚拟机查杀技术和深度脱壳技术,针对性的对这些病毒进行分析并给出解决方案。
据瑞星病毒疫情监测网统计显示,2007年全年每日新出现的病毒数量近千余个,几乎隔几天就会部分病毒采用了新型自我保护机制,导致杀毒软件无法在第一时间对其进行彻底查杀。遇到这种问题,用户可在第一时间拨打瑞星客户服务电话(010-82616666)求助,反病毒工程师会在最短时间内对病毒进行分析,提供杀毒软件的升级程序。同时也可尝试先用以下办法对查到的病毒文件尝试进行处理,以避免病毒对网络和系统造成进一步的危害。
病毒采取自我保护的方法有很多,大部分都是通过提高自身优先级,利用系统对其进行保护,导致反病毒软件或用户手动删除时遭到操作系统的“拒绝”,其中尤以驱动级的病毒最为顽固。它将自己伪装成驱动,并注入到system内核(安全模式下也可加载),没有病毒的特征,只下载某些木马或者流氓软件。运行以后,释放出.sys文件到系统驱动目录内(C:WINDOWSsystem32drivers),隐藏并注册为后台服务。实现服务与文件的双向保护:即后台服务保护病毒文件不被删除,病毒文件保护后台服务不被停止。
如果使用瑞星杀毒软件检测到病毒,提示“重新启动后删除文件”,可按照以下几种方法来删除病毒文件:
方法一:
使用瑞星杀毒软件光盘引导查杀(建议使用07光盘引导);
制作U盘引导查杀工具,配合最新版本的病毒库进行U盘引导查杀。
方法二:
鼠标右键单击我的电脑-管理-系统工具-设备管理器-查看(右键选择)-显示隐藏的设备。如下图:
此时可以看到设备管理器中隐藏的“非即插即用驱动程序”项,找到与病毒文件名同名的驱动程序,鼠标右击点属性把驱动停用,重启电脑后手工删除该驱动即可。
注:如果在“设备管理器”中卸载或者禁用驱动都提示重启,但是重启后问题依旧。
处理方法:
在“设备管理器”中双击对应的“非即插即用驱动程序”中的病毒程序,在“属性”-“驱动程序”中停止该设备,然后在注册表中删除对应的键值项,删除后回到“设备管理器”中卸载对应的设备重新启动即可。
方法三:修改权限,删除病毒文件。计算机系统是FAT分区,直接删除目标目录下的驱动(c:windowssystem32dirvers*.sys)文件。计算机系统是NTFS分区,可以直接修改驱动的权限(有些病毒一般会将自己权限设为不能删除,包括在administrators权限下)
操作步骤:
1.打开【我的电脑】【工具】【文件夹选项】取消勾选“使用简单文件共享”。 如下图:
2.打开注册表[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices]找到病毒sys对应的注册表键值(以abiosdsk为病毒驱动为例),用鼠标右键单击该键值选择权限,并在权限中选择高级。如下图:
3.在弹出的界面取消勾选“从父项继承那些可以应用到……”,此时会弹出一对话框,在此框中选择复制确定。(备注:如在弹出的窗口选择删除会导致注册表里面的当前驱动键值删除不了。)如下图:
4.用鼠标点自己当前登录的用户名(推荐使用管理员“administrator”权限登录)再将自己当前用户权限设为 “完全控制-允许”选择确定。如下图
然后可以直接手动删除当前驱动键值了,驱动文件也将随之被删除。