病毒杀不掉的原因以及处理方法 病毒

aiping_520

系统还原文件
6 x* G; e  r9 h' a3 v, K! m6 L: y& n/ T: c: p7 q0 l, c
_restore文件夹是Windows Me/XP系统特有的系统还原文件夹，隐藏在该文件夹中的病毒是不能直接清除的。当然这些病毒也不能直接发挥作用。要清除这些病毒，可以关闭Windows系统的“系统还原”功能，清理系统还原点，或者直接删除_restore文件夹的内容。 - I/ k1 w) v4 ]. ^+ E: ^, a. Z0 c
- f# C6 Q0 Q* H# l  O8 e
●疑似电脑病毒 6 E5 ^6 a% e% w# F: Q8 t
. f% z" A( y0 ^0 A) H
有时杀毒软件会出现提示：unknown.com.tsr.virus。该提示中，unknown是“不明的”意思，tsr是内存驻留的意思，本信息一般提示的是纯DOS环境下的可执行文件，表明杀毒软件在该文件中发现了可疑代码，类似病毒，但是没有确定是什么病毒。 如果疑似病毒提示涉及Type-Win32代码，则表示可疑的32位代码的意思，是指Windows环境下可疑的可执行代码。对于疑似病毒，可以直接删除该文件，或者将这些“疑似”的病毒文件发送给反病毒软件公司，请求帮助。 ! O) k3 ^- P' D) @3 e6 q
1 K' X1 `# r" Z6 i1 u7 g9 _9 Z
●ex_文件感染病毒 2 I% s3 W: G3 e& a7 J4 Z% y
; o( E) a# C! \) @9 q* K' G
以.ex_为扩展名称的文件是软件安装程序的部分文件，其中的病毒不能直接清除。只有在软件完全安装成功后，方可清除。这有点类似于在COPY文件时发现了病毒的处理方法。 ) ]; H; Y0 W4 U  s, ]) R
  {  ]  S9 R. a
●在DOS下清除病毒
( U) i: C0 w8 G( c: t) X( e对于在引导区发现的病毒，如POLYBOOT/WYX.b病毒，请使用干净的系统盘启动系统到DOS，然后在DOS下杀毒即可清除。如果可感染引导区的病毒存在于文件中，可以直接删除该文件。 ' V2 l+ C; O* g' ]3 m9 r: L
7 Y! G' Q* ]0 V6 e8 W5 u
●系统初始文件中引用病毒
+ d( p' R/ E4 H+ F0 N4 h* A+ y$ z1 A  `" G# p# y
杀毒时出现如下提示： + R: O$ d: J# C: j! d: e
C：\Windows\brasil.pif worm.win32.opasoft.a病毒　已删除　　
6 j$ s# L5 f8 ]6 v: lC：\Windows\instit.bat worm.win32.opasoft.a病毒　已删除　　9 E; _% w3 h7 h3 t  f
C：\Windows\alevir.exe worm.win32.opasoft.a病毒　已删除　　  F  v. O5 Z" B& P/ f
C：\Windows\marco.scr worm.win32.opasoft.a病毒　已删除　　* f; L3 i  t* S1 ^. |
C：\Windows\SCRSVR.exe + e% \0 H! U: d' c; t; |0 F  p
worm.win32.opasoft.a病毒已删除　但杀毒后，重启动电脑时出现很多找不到文件的信息，而且再次杀毒时提示依旧，病毒还是存在。这些顽固病毒的引用应该是在win.ini文件中，请单击“开始→运行”，键入“sysedit”，按下回车键，编辑win.ini，删除对病毒的引用行。 4 A& j/ i2 F, r, u, Q! u

1 y0 L6 ~2 o- I3 X6 G9 x●病毒最新变种 ' U/ ^9 Q( i5 f$ H; @" @
杀毒软件查出的是其病毒库中不存在的新型病毒，请将杀毒软件的病毒库升级到最新，然后再查杀。
) G5 q$ ?9 z7 o, i/ ~' e
- N5 |7 c- Z9 }* }" N7 W4 b# K＝＝＝＝＝＝＝＝3 H# \+ A$ y: b1 U# A5 o

( F- F9 @$ j- t恶意网页病毒症状分析及修复方法 # [  \/ }6 g( C& W! X( i

2 b7 E6 c8 i9 h. C3 [一、默认主页被修改
% ?6 t3 A) U; ^9 ~, U
) Y) _& o  b/ \8 X　　1.破坏特性：默认主页被自动改为某网站的网址。
  Z* ~- V+ x+ u  Z( Q5 `; h, ]( a( E6 ?  P. ]. h8 a/ H4 |
　　2.表现形式：浏览器的默认主页被自动设为如********.COM的网址。
% E6 s" j& k* |+ @; P
0 H; O1 g4 }9 [+ Y0 F　　3.清除方法：采用手动修改注册表法，开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按顺序依次打开：HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main　分支，找到Default_Page_URL键值名(用来设置默认主页)，在右窗口点击右键进行修改即可。按F5键刷新生效。
0 ^" g% {- o/ M  L* c  f
0 z0 b7 `5 c7 M二、默认首页被修改 ' B. M0 Y! i( W
( t# s. k! F9 d/ R) K
　　1.破坏特性：默认首页被自动改为某网站的网址。   t1 P& I: j  S; c. I- R" ]% ~1 I# `
  i& X0 b$ q1 e4 q
　　2.表现形式：浏览器的默认主页被自动设为如********.COM的网址。
& K7 v# z' N0 {* y) f9 J, f, ?9 @! z. a. V+ o: {
　　3.清除方法：采用手动修改注册表法，开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main分支，找到StartPage键值名(用来设置默认首页)，在右窗口点击右键进行修改即可。按F5键刷新生效。 5 k2 M9 B; T( Z( g
2 x2 \& A: T: Q" y6 I6 |6 ^' V0 @
三、默认的微软主页被修改
% v( k8 A1 G  u
8 G' w" n; I) O$ H' u8 O# Y  g　　1.破坏特性：默认微软主页被自动改为某网站的网址。
4 @/ j0 J9 i* \. F/ O" Z. `* d0 J- Y4 U
　　2.表现形式：默认微软主页被篡改。 # f) ?% {7 c  I$ ~* O5 E& H; V

3 V6 Y& H4 E2 a" G6 G$ B　　3.清除方法：
8 c$ p9 o- [! K5 o/ \% u, I- a9 X% ~9 }$ g% |! s; Q. G4 Z& c
　　(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main　分支，找到Default_Page_URL键值名(用来设置默认微软主页)，在右窗口点击右键，将键值修改为
+ m: q' |" g* W! `http://www.microsoft.com/windows/ie_intl/cn/start/ 即可。按F5键刷新生效。 1 s, Y. b  Z  q; U" r6 I7 ~9 Y  R
; R+ D" [$ G: o
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。 ! _; {5 |5 J$ X: F( m

& X  e  P" g! n* B) y1 A　　REGEDIT4
. x+ W1 q$ u% |% u# b# f* t% }) {; j% ?8 A$ `7 X2 u6 [
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] # Q( j3 K- H) ^- }
　　"default_page_urlhttp://www.microsoft.com/windows/ie_intl/cn/start/" 3 @7 G% T) V0 J4 I

/ r! R, A% R: D) ?四、主页设置被屏蔽锁定，且设置选项无效不可更改
$ ~1 B3 n$ W( U& U$ E5 g' y  h
7 Z8 t+ w& B& V. A  j6 _. ^　　1.破坏特性：主页设置被禁用。 : U1 j# r$ f" V9 E1 u

* O. {# L; d2 F9 N/ T2 l　　2.表现形式：主页地址栏变灰色被屏蔽。
2 w  M4 C# \3 m, L7 l, E
* q: N5 A1 e5 k7 x( d2 h" w* s　　3.清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\分支，新建“ControlPanel”主键，然后在此主键下新建键值名为“HomePage”的DWORD值，值为“00000000”，按F5键刷新生效。 9 Q% W% s) v% F! ^2 c

: L8 I8 b* @  A; I" `　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。 5 x: f2 J: I9 o0 |. @, ]
9 L% G4 F+ v! c
　　REGEDIT4 ' R4 K, f3 E4 l2 E; {" g0 U( q$ Z
* R" @9 ~: V. P; `$ U7 ]
　　[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet 0 K5 r5 ^# `- Q  B5 s1 T
Explorer\Control Panel] 1 @7 [: b8 Q5 a* I( ?0 P
　　"HomePage"=dword:00000000
6 n; a9 q7 U! R2 o1 V- X* Z8 |五、默认的IE搜索引擎被修改
5 Z$ L7 q  c3 V; N, Q# n6 f4 m. w0 t" _. }# q+ F3 z
　　1.破坏特性：将IE的默认微软搜索引擎更改。 7 y; U7 k! Y$ N1 ?: ^; U% X
6 y% w5 [: i2 |% P
　　2.表现形式：搜索引擎被篡改。 ) Q4 @, i, @+ A

+ J1 |% D7 W; v: H　　3.清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，第一，按如下顺序依次打开：HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search分支，找到“SearchAssistant”键值名，在右面窗口点击“修改”，即可对其键值进行输入为：http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm ，然后再找到“CustomizeSearch”键值名，将其键值修改为：http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm ，按F5键刷新生效。 , J0 K! _% K$ S
) b( U. s8 \$ J- y4 l
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。 1 M7 ^7 [' W. r3 R7 u/ ?* _
& l- f5 z- L- v$ s
　　REGEDIT4
* T, c* F6 \) g: E/ S) ]) f
/ P' I# M6 Z' R: f1 f　　[HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search]
7 t2 ~; e& p8 `6 T9 D8 G0 I. Z　　
, o! X" y3 M- i"SearchAssistant"=http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm ) g/ T+ o& [, n; Y2 P

4 h; @8 u/ P6 [8 |9 ^" C7 R  f　　+ ~# |2 J8 K$ r' M1 P" u
"CustomizeSearch"=http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm 3 h/ f8 [$ i+ }7 \$ \% d1 H

, P7 b  B: w# `1 {7 V
4 J; M/ y2 ^/ L) I( l7 J: {' ~5 h六、IE标题栏被添加非法信息
& }6 t7 R& \9 _4 B! l+ h4 w1 u4 G! {5 H2 s% C
　　1.破坏特性：通过修改注册表，使IE标题栏被强行添加宣传网站的广告信息。
! H4 \0 c5 D( O! d& _. j8 \% V, ]# e7 @5 d
　　2.表现形式：在IE顶端蓝色标题栏上多出了什么“正点网，即使正点网！http://www.zhengdian.com "尾巴。
4 q& h0 [$ e5 x) I1 C( x
9 r, {/ S; W2 K& B$ W　　3.清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，第一，按如下顺序依次打开：HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main分支，找到“Window Title”键值名，输入键值为Microsoft Internet Explorer，按F5刷新。 / X; r/ h: b0 o# E/ k; m7 A
& z  R& ~/ W; e4 Y
　　第二，按如下顺序依次打开：HKEY_CURRENT_MACHINE\Software\Microsoft\InternetExplorer\Main分支，找到“Window Title”键值名，输入键值为Microsoft Internet Explorer，按F5刷新生效。
) U) y$ g) w+ q& b3 L5 l6 V* x; _3 ]/ x$ Q: c# D
! {9 v( [8 Q  J" Q1 B7 q2 s
　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。
0 o7 [9 Y% ]: |& _5 E& \
0 M/ \8 u3 o( u　　REGEDIT4
  q+ G' r4 e+ N; X' n" m5 P! l. v) W4 s( U7 q7 v" h' q. a
　　[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
, ]: s+ k- Q5 l- ?) b) O* L　　"Window Title"="Microsoft Internet Explorer"
' ^/ R" d: }  P% k3 t" v5 E. W0 J7 p# Q% k
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] ; T) r7 R4 l% n; o* ?
　　"Window Title"="Microsoft Internet Explorer"
& _" P( ^3 B2 L
$ O9 H; t; y) o" F2 n8 S2 h6 e  Q- R* ~0 p0 {' D
　　七、OE标题栏被添加非法信息破坏特性： . O3 r* S; W2 [

& a, x& F- V5 [% e# b/ j　　破坏特性：通过修改注册表，在微软的集成电子邮件程序Microsoft Outlook顶端标题栏添加宣传网站的广告信息.
) ]. s& q; x1 c　   
  _+ o, @  l% b$ J$ O" y) I- n        表现形式：在顶端的Outlook Express蓝色标题栏添加非法信息。 - U" Q; f  o/ M! t

4 v$ D$ o$ [2 [/ R; P; }　　清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_USER\Software\Microsoft\Outlook Express分支，找到WindowTitle以及Store Root键值名，将其键值均设为空。按F5键刷新生效。
5 I6 L7 s, B. S5 m( x& K8 w$ `  j
! X( C2 K9 y" |6 e　　(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。 . X. r( L- V! z) q

) k" j& b% m; E" e  ?, y: v) L　　REGEDIT4 6 F$ Z7 |" ]6 E8 |3 Q
$ j- d* i' J2 D% y
　　[HKEY_CURRENT_USER\Software\Microsoft\Outlook Express]
/ ]! R6 G" f3 r5 X0 @3 \　　"WindowTitle"="" ) M9 M! O, M" z$ _7 f$ @
　　"Store Root"=""
# o* m; E5 l" ~& Z  g. ^3 M" L' I$ D) P
" o# |1 W  ^) b
/ A6 X; m1 Z  n9 C八、鼠标右键菜单被添加非法网站链接：
! z. ]0 P9 p+ p' q& }; h7 o
+ m% }( D' s7 q, s3 O# _, M: X　　1.破坏特性：通过修改注册表，在鼠标右键弹出菜单里被添加非法站点的链接。 * K4 j! P: q& Z6 L5 h% \9 f$ _8 P

: O" k7 B" B2 F　　2.表现形式：添加“网址之家”等诸如此类的链接信息。 " y0 ]. _* D3 _' K  L4 Z

. H8 z4 l6 R, K+ i8 J4 \　　3.清除方法：(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\MenuExt分支，在左边窗口凡是属于非法链接的主键一律删除，按F5键刷新生效。
) w% u5 _8 t0 Z2 W6 o* E- e* n' T% P8 ~9 o% u7 A
[ 本帖最后由 aiping_520 于 2008-4-23 20:38 编辑 ]