專家評點：惡意軟體清除手冊

　無論是在家還是在工作中，對於系統使用者來說最大的困擾似乎是恢復被惡意軟體感染的系統。實際上，對我們SearchWindowsSecurity.com的專家答疑來說這是個最普通不過的問題。或多或少它們都會產生一些破壞，某些廣告軟體，病毒，(禁止)木馬程序需要花費一定的時間將之從系統中除去。

　　這些年來我遇到各種各樣的騙局，它們實際上清除不了任何東西，同時還將你的清除努力，和安全力降至最低。當對感染做出反應時，確保你考慮到以下每一個步驟:

　　使用多種工具來清除病毒，偵查軟體和木馬程序。許多惡意軟體清除工具工作方式不一樣，有的的確要優於其它，所以如果你遇到問題要清理系統，就要確保使用工具二至三，四，甚至更多。以保你能找到有效的工具。一些我曾使用過並經證明真實的選項如下:

　　http://vil.nai.com/vil/stinger

　　http://www.spybot.info/en/index.html

　　http://www.microsoft.com/athome/security/spyware/software/default.mspx

　　http://www.sysinternals.com/Utilities/RootkitRevealer.html

　　http://greatis.com/unhackme

　　http://www.f-secure.com/blacklight

　　嘗試使用免費工具可用於網上掃描。來自Google 免費防毒軟體的一個提示將能指引你正確的方向。這裡有我和他人過去使用效果不錯的工具:

　　http://www.pestpatrol.com/prescan.htm

　　http://www.ewido.net/en/onlinescan

　　http://housecall.trendmicro.com

　　http://www.pandasoftware.com/products/activescan

　　3.檢查所有明顯的地方比如你的Windows 啟動文件夾，在 msconfig的啟動符號,任意註冊按鈕涉及到在註冊表編輯器HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/Run下的程序。而且，你也不能低估位於一個表面上正常的目錄例如Windows 臨時目錄下的malware. 因此整個系統的掃描是很重要的。

　　4.挖深一點。嘗試裝載內部的進程檢測來觀察載入程序和應用軟體，這樣才可能追捕到在運轉的malware。你也能夠運行Findstone的想象力來尋找基於當地TCP和UDP埠的malware。你也能夠用你自己防火牆的應用軟體保護特徵(如果支持的話)或者是網路分析器，例如CommView或者Ethereal來看在現場背後到底發生了什麼。這個能幫你展現不可信的草案和輸入的通信量以及當你離開你的電腦時其他方式不能見的東西。

　　5.卸載任何你認為被感染的軟體然後重起你的電腦，這可能是你的軟體有文件開著的阻斷任何的清潔或隔離你的malware移動軟體的嘗試。

　　6.嘗試恢復損壞的系統和導入安全模式(這是一個好例子)，然後運行你的病毒偵查軟體測試工具，同時你也能夠運行光碟啟動的抗病毒程序。

　　7.你可能有軟體毛病或者是硬體問題勝於malware感染。重新設置你的windows或者是有效的應用軟體。如果那樣還是沒有用，嘗試取消你最近所做的任何硬體改變比如加了一條內存，一個電視卡等等。你可能有壞的內存，一個不好的PCI卡或者是其他的常常用來斷定的觀點除非你在那個標準下及時發現並修理故障或者是讓一個有資格技術員看看。

　　8。不要全部依賴google或是你喜愛的搜索引擎來尋找如何清理你系統的細節問題.直接點擊賣主的網頁那裡尋找答案.我已經多次瀏覽關於殺毒和殺毒軟體的網頁(symantec,trend micro,sophos,等等)來尋找正確的答案.symantec安全回復網址和ca's spyware百科全書網址都包含了很多好的信息.而且點擊google groups也會得到從任何別的地方得不到的有價值的信息.

　　9。殺毒和殺毒軟體的買主也許會有專業的移除工具,這些也許是你從未聽說過的,但是仍然對殺毒有幫助.放心使用賣主提供的工具,而不要輕易使用現今流行的殺毒或殺毒軟體的賣主.即使你已經安裝了很有競爭能力的一個產品,有時他們的工具仍然會起到作用,當然這僅供選擇.

　　10。使用hashcalc這個工具或是相近的工具來檢測非常值得懷疑的文件,比較得到的結果會了解安裝傳媒中的完善的文件和清潔的系統.

　　11。如果還有懷疑,請重新安裝.如果你的windows系統甚至在安全模式下都不能安裝--它被鎖上或是在某點持續重新啟動--你可以採取強硬的手段來恢復你的系統.但是在你那樣做之前,你應該試一下winternal的erd指令來使電腦有足夠的時間保存那些你不想丟失的文件.在那之前,你可以保存備份或是格式化然後重新開始.這個聽起來也許很強硬,但是它和直接解決問題相比佔用很少的時間,這樣你就可以啟動一個沒有病毒的系統了.

　　12。站在一個企業的角度,你真的需要一個正式的安全回復計劃.這是把不安全軟體從一個或兩個系統中清理出去的方法,但不是一個可以運用在全部網路都癱瘓的方法.以下的網址是很好的開始:

　　http://csrc.nist.gov/publications/nistpubs/800-83/SP800-83.pdf

　　http://csrc.nist.gov/publications/nistpubs/800-61/sp800-61.pdf

　　http://www.first.org/resources/guides

　　http://cirt.rutgers.edu/tools.php

　　編輯：以上各網址大部分是英文的，包含在線檢測以及殺毒、除間諜軟體等。當然，對於普通用戶來說，最好的辦法就是將常用資料放在非系統盤，安裝各個應用軟體后做個ghost鏡像備份以便及時恢復。這年頭，殺毒、防馬、防黑軟體一個不能少。如果你無法通過上面的內容獲取自己需要的資訊，建議安裝一個卡巴斯基殺毒軟體，一個天網防火牆，一個Ewido防木馬。以上三個軟體使用都比較簡單，且具有互補性。