让隐藏文件现身 手工方法妙除QQ病毒

剿杀流氓 靠金山毒霸系统清理专家

出处：斑马资讯

作者：石山

　　人在网上漂，哪能不挨招。一不留神，电脑经常会莫名其妙地弹出一些广告，甚至不开浏览器也会自动弹出广告，IE首页被恶意修改，系统资源占用过高，你大概是中了恶意流氓软件。

　　流氓软件大多是在浏览网页或安装新软件时一同被悄悄地安装到电脑上去的。作为国内著名的安全厂商，金山适时推出了恶意软件专杀工具——金山毒霸系统清理专家，可以将流氓软件从电脑上赶走。

　　软件小档案

软件名称： 金山毒霸系统清理专家

软件版本： 最新版

软件大小： 1650K

软件授权： 免费

适用平台： Win9x/WinME/Win2000/XP/2003

下载地址：点击下载

一、软件安装及程序主界面

　　软件安装，一路点击下一步就可以完成安装，在选择安装路径可以通过点击“磁盘开销”查看磁盘空间。



图2 程序安装

　　安装完成后，运行，精简以后的用户界面简化了用户操作模式，软件的主要功能在主界面上一一呈现，初学者也可以快速上手。



图3 简洁易用的程序主界面

二、隐蔽软件扫描

　　这些不请自到的流氓软件，想通过正常方式卸载十分困难，要么卸载不完全，留有残渣，要么干脆不能卸载，甚至出现强行卸载后导致系统无法启动或者无法上网的问题。据金山工程师介绍，金山推出的清理专家不但对恶意软件的查杀彻底，而且查杀后不会影响系统的正常运行，金山清理专家实现安全卸载，彻底解决了用户的后顾之忧。

　　在程序主界面上点击“隐蔽软件扫描”，经过短暂地扫描，很快就可以扫描出当前系统中安装的隐蔽软件（即流氓软件），选中某一流氓软件，清理专家会对扫描出的恶意软件都有相应的说明和描述，并对用户给出建议，比如建议清除、建议保留等。



图4 资料详细的流氓软件清理

　　点评：金山毒霸系统清理专家提供的是强大的流氓软件清理武器，而对流氓软件的取舍决定于用户，避免用户需要的一些软件被一股脑全清除。

三、IE修复工具

　　当你无意浏览了恶意网页，恶意网页和恶意脚本可能会修改IE设置和系统的常规项设置。这时你可以用金山毒霸系统清理专家的IE修复工具来恢复设置。IE修复工具不仅帮助用户解决IE相关问题，还能及时帮助用户检查并修复系统设置方面的问题。

　　IE修复工具提供了“高级修复”和“强力修复”两个修复工具。“高级修复”需要用户参与，可以查看详尽的检测结果，并手工进行选定修复过程。

　　“高级修复”，会自动检测系统中存在的问题，按组别安全等级和操作建议划分，点击具体的修复项,还可查看文件的详细信息和文件所在路径。每一项后面都“保留”或者“修复”的建议，大家可以根据提示结合自己的需要进行选择，比如修复IE首页，去除一些流氓IE插件等。



图5 IE高级修复

　　而“强力修复”将自动帮助用户将IE恢复至系统初始状态，如果需要保留个性设置，建议不要操作此项。



图6 IE强力修复

　　点评：软件的IE修复功能可谓强大，不过令人遗憾的，未提供插件免疫功能，不能确保系统不再受流氓软件的侵害。

四、方便的“进程项管理”和“启动项管理”

　　某些木马、病毒及恶意程序通常会以系统进程名作为自己在进程列表里的名称，所以判断一个进程是否有危险，还要注意它的进程结构树、命令行运行参数以及模块路径等。金山毒霸系统清理专家的进程管理器可以让用户了解进程信息并对可疑进程进行操作。在主界面点击“进程管理器”。在弹出的界面中，分类列出进程项。选中用户想要结束的进程项，点击“结束进程”，弹出是否确认对话框，点击“是”，该项被删除，也可以通过右键菜单进行操作，操作功能更强大。



图7 强劲的进程项管理

　　同样，木马、病毒及恶意程序都会随系统一同启动，结束其进程后，还需要将其病毒启动程序禁用，在主界面点击“启动项清理”，在弹出的界面中，分类列出随机启动项。选中想要删除的启动项，点击“删除”按钮，弹出是否确认对话框，点击“是”，该项被删除，启动计算机时便不会随机启动。



图8 有效管理不明启动程序

　　同时金山毒霸系统清理专家还提供了文件粉碎、历史痕迹清理功能，可以有效地保存重要文件或者隐私不被泄露。

　　点评：金山毒霸系统清理专家系出名门，使用了全新的扫描引擎，相比同类系统清理软件，金山系统清理专家的清除方法更为可靠，更为彻底。软件自动升级更新的功能可以确保病毒特征库保持最新。

光华反病毒资讯(11月27日－12月03日)作者：光华反病毒出处：光华反病毒

　华反病毒研究中心近日进行病毒特征码更新，请用户尽快到光华网站www.viruschina.com下载升级包，以下是几个重要病毒的简介:

　　一、木马病毒:Trojan.Perfwo.B 危害级别:★★★★☆

　　根据光华反病毒研究中心专家介绍，这是一个木马病毒，长度 64,579 字节，感染 Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统。它使用rootkit技术，窃取被感染计算机中的网游信息。当收到、打开此病毒时，有以下现象:

　　A 创建以下文件

　　临时目录 cs.dll　　系统目录 wincab.sys　　临时目录 [随机名字].sys

　　B 关闭含有 RAV 和 KAV 名称的进程

　　C 增加键值"svchost" = "[木马位置]"到

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

　　使得病毒每次开机后自动执行

　　D 当启动 Element Client(完美世界)窗口时记录键盘和鼠标

　　E 收集服务名和计算机名

　　F 收集完美世界游戏中的以下信息

　　用户ID　　口令　　角色　　消息口令

　　二 脚本病毒 VBS.Zodgila 危害级别:★★★★☆

　　根据光华反病毒研究中心专家介绍，这是一个脚本病毒，长度 3,642 字节，感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统。这个病毒定时复制自身到移动盘上感染，修改 IE 设置和其他注册表内容。当含有病毒的文件被打开时，有以下现象:

　　A 生成以下文件

　　Windows目录\MS32DLL.dll.vbs　　MS32DLL.dll.vbs　　autorun.inf

　　B 增加键值"MS32DLL" = "%Windir%\MS32DLL.dll.vbs"到

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　使得病毒每次开机后自动执行

　　C 增加键值 "Window Title" = "Hacked by Godzila" 到

　　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

　　修改 IE 设置

　　D 修改其他注册表内容

　　E 每隔 200 秒复制自身到能够找到的移动盘上

　　北京日月光华软件公司网站(http://www.viruschina.com)每日进行病毒特征码更新，光华反病毒研究中心专家提醒您:请尽快到光华安全网站在线订购光华反病毒软件来防范病毒的入侵，时刻保护您的电脑安全。光华反病毒软件用户升级到11月27日的病毒库(免费下载地址为:http://www.viruschina.com/html/update.asp)就可以完全查杀这些病毒。

与世界同步！让你的病毒库备份自动升级

作者：苏生出处：天极软件

杀毒软件都具备病毒库自动升级功能，但却没提供自动备份病毒库的功能，而病毒库的重要性对杀毒软件来说是不言而喻的。如果能够自动备份病毒库，不仅可免去重装系统后的升级之累。还可在Windows XP系统无法进行正常引导，需要进入在DOS模式下杀毒时，通过提取备份文件在DOS系统下升级病毒库，及时将病毒赶出系统。

　　一、卡巴斯基篇

　　卡巴斯基的病毒库和基本设置，均存放在“C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal Pro\5.0”文件夹下。由于它的病毒库每天都会进行升级，因此只要设置一个每天执行的脚本，实现增量备份所有新建或更新过的文件(夹)即可。

　　步骤1:首先将上述文件夹中的内容全部复制到“g:\5.0”文件夹中，接着使用记事本程序新建一个名为kaba.bat的批处理文件，并保存在g:\下，批处理的代码如下:

　　echo off

　　xxcopy "C:\Documents and Settings\All Users\Application Data\ Kaspersky Anti-Virus Personal Pro\5.0" g:\5.0 /s /k /h /bi /yy

　　命令解释:利用xxcopy(一个增强性复制命令，已收入到本期光盘中。将xxcopy.zip文件解压到任意文件夹下，再双击install.bat文件，当询问时，按下y键安装即可)实现增量备份文件。其中各参数含义是:/s表示连同子文件夹处理，/k源文件仍保留其原有属性，/h连同系统、隐藏文件一同拷贝，/bi只拷贝新建或更新过的文件(根据文件时间和长度判断)，/yy覆盖文件时自动回答是，并不出现提问信息。

　　步骤2:打开卡巴斯基的配置窗口，单击“设置”，选择“更新设置”，将卡巴斯基更新设置为每天19:00开始(如图1)。



　　步骤3:打开“控制面板”→“任务计划”，按提示建立一个每天20:00执行的计划任务，执行的命令为“g:\kaba.bat”(不含双引号)。

　　经过以上操作后，当卡巴斯基在每天升级完毕后，系统就会自动将更改过的文件备份到g:\5.0文件夹中。重装系统时，只要将这个文件夹覆盖到“C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal Pro\5.0”下即可获得最新的病毒库。

　　通过xxcopy还可备份系统补丁文件，实现每次升级后自动备份新添加补丁文件的功能。

　　二、金山毒霸篇

　　金山毒霸的病毒库相对简单，它位于C:\kav2006目录下，包含有“KAV00367.DAT(安装金山毒霸时自带病毒库，不同时间推出的毒霸安装程序，其病毒库名称中的数字也不同，需要加以区别)、KAEDaily.DAT(在线更新下载的病毒库)、KAEPlat.DLL、KAExtend.DAT、KAECore.DAT”这几个文件，只要建立一个脚本duba.bat复制上述文件即可。

　　步骤1:同上，先将病毒库所需全部文件复制到g:\kavdos文件夹中。

　　步骤2:启动记事本程序建立一个名为duba.bat的批处理文件，代码如下:

　　copy /y c:\kav2006\ KAEDaily.DAT g:\kavdos\

　　命令解释:通过copy命令复制指定的文件到g:\kavdos，而其它文件均可按此命令格式自行添加。

　　步骤3:同上，先设置好金山毒霸升级时间，之后新建一个“计划任务”，来执行duba.bat批处理文件，达到自动复制最新病毒库文件目的。

三、江民杀毒篇

　　江民病毒库文件与其它文件混杂在了一起，不过程序本身却提供了自动提取病毒库功能。

　　步骤1:在Windows XP系统中将病毒库升级到最新版本，然后在G:\下新建一个名为“kvdos”的文件夹。

　　步骤2:打开KV2006主界面后，单击“工具”→“制作DOS杀毒伴侣”，在弹出的窗口中的“写入目标”框内填入“g:\kvdos”，单击“继续”开始制作DOS杀毒工具(如图2)。



　　步骤3:制作完成后，打开“G:\kvdos”文件夹即可看到病毒库文件。其中的KVa.VLb、KVb.VLB、KVc.VLB，直到KVn.VLB等就是病毒库文件，每次更新病毒库即是更新这些文件。

　　其实上述工具所提取的病毒库文件，都是通过“C:\Program Files\KV2006\data\KVDos.ini”(江民配置文件)文件指定的。

　　步骤4:找到病毒库文件后，同上操作，建立一个名为jianming.bat的批处理文件，代码如下:

　　echo off

　　"C:\Program Files\KV2006\kvolself.exe"

　　copy /y "C:\Program Files\ KV2006\KV?.vlb" g:\kvdos

　　命令解释:启动“kvolself.exe”自动升级，然后通过通配符“?”复制指定的病毒库文件到g:\kvdos文件夹。其中kvolself.exe是KV自动升级程序，运行升级时要在升级窗口勾选“完成后自动关闭”，达到无人干预自动升级的效果。

　　步骤5:建立一个每天9:00执行的“计划任务”，执行程序是jianming.bat。这样每天升级以后，批处理会自动将更新的病毒库文件复制到g:\kvdos文件夹中。

　　瑞星2006也有类似功能，不过需要准备U盘，运行瑞星安装程序下的Ravusb.exe后，启动杀毒U盘制作工具，然后按向导操作，将全部病毒库文件复制到U盘(如图3)。接着打开U盘判断出病毒库文件类型(可以多制作几次，然后比较)，最后通过copy命令复制病毒库文件即可。



四、通用程序篇

　　大家常用的杀毒软件还有很多，并非每种杀毒软件都有上述独立解决方法。不过很多时候，杀毒软件升级的也并非仅是病毒库(杀毒引擎也会升级)，而计划任务执行也有局限性。如果计划时段内没有开机就无法实现自动备份操作。这时可利用系统自带的备份组件打造一个通用的备份方法。以备份瑞星2006的病毒库为例，其它杀毒软件均可参照于此来操作。

　　步骤1:单击“开始”→“所有程序”→“附件”→“系统工具”→

　　“备份”，打开备份还原向导窗口，依次选择备份，备份项目选择“让我选择要备份的内容”，并定位到“C:\Program Files\Rising\Rav\”，选择整个瑞星2006的安装文件夹。

　　步骤2:继续执行备份向导操作，将备份文件保存为“g:\rav.bak”，接着单击“高级”按钮，将备份类型设置为“增量备份”，即如果所选文件是上次备份后创建或修改的，才对其进行备份(如图4)。



　　步骤3:继续执行备份向导操作，备份选项中勾选“使用卷阴影复制”，接着选择“将这个备份附加到现有备份”。在什么时候执行备份窗口中，选择“以后，计划项”，单击“设定备份计划”按提示建立一个名为“备份瑞星”的计划任务。

　　步骤4:在“运行”栏中输入“tasks”命令，打开“任务计划”窗口，找到上述建立的“备份瑞星”计划，右击选择“属性”，在打开窗口中将“运行”框中的命令进行“复制”(如图5)。打开记事本，将上述复制的命令粘贴到记事本中，并将文件保存为批处理文件g:\rav.bat。



　　步骤5:现在回到“计划任务”窗口，右击“备份瑞星”，选择“运行”，执行一下这个备份任务，备份完成后将该计划删除。在“运行”栏中输入“gpedit.msc”，打开组策略编辑器，依次展开“计算机配置”→“Windows设置”→“脚本(启动/关机)”，将rav.bat设置到关机脚本中。

　　这样每天关机后，系统都会复制更改过的文件，由于是增量备份，速度很快并不影响关机速度，而且可以彻底实现完整、自动备份操作(备份中包含了杀毒软件的所有参数)。

　　步骤6:在需要恢复病毒库备份时操作同上，运行“备份还原向导”后(建议在安全模式下实施)，执行还原操作即可快速恢复杀毒软件到上一次关机前的状态，注意还原参数应选择“如果现有文件比备份旧，将其替换”(如图6)。