windows系统自带杀毒工具

二、系统备份工具杀毒于无形

　　笔者曾遭遇一个无法删除的病毒“C：\Program Files\Common Files\PCSuite\rasdf.exe”，同时也无法复制这个文件，如何清除它。笔者通过系统备份工具清除了该病毒，操作过程如下：

　　第一步：单击“开始→所有程序→附件→系统工具→备份”，打开备份或还原向导窗口，备份项目选择“让我选择要备份的内容”，定位到“C：\Program Files\Common Files\PCSuite”。

　　第二步：继续执行备份向导操作，将备份文件保存为“g：\virus.bkf”，备份选项勾选“使用卷阴影复制”，剩余操作按默认设置完成备份。

　　第三步：双击“g：\virus.bak”，打开备份或还原向导，把备份还原到“g：\virus”。接着打开“g：\virus”，使用记事本打开病毒文件“rasdf.exe”，然后随便删除其中几行代码并保存，这样病毒就被我们使用记事本破坏了(它再也无法运行)。

　　第四步：操作同上，重新制作“k：\virus”的备份为“k：\virus1.bkf”。然后启动还原向导，还原位置选择“C：\Program Files\Common Files\PCSuite\”，还原选项选择“替换现有文件”。这样，虽然当前病毒正在运行，但备份组件仍然可以使用坏的病毒文件替换当前病毒。还原完成后，系统提示重新启动，重启后病毒就不会启动了(因为它已被记事本破坏)。

四、注册表映像劫持让病毒没脾气

　　现在病毒都会采用IFO的技术，通俗的讲法是映像劫持，利用的是注册表中的如下键值

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options位置来改变程序调用的，而病毒却利用此处将正常的杀毒软件给偷换成病毒程序。恰恰相反，让我们自己可以利用此处欺瞒病毒木马，让它实效。可谓，瞒天过海，还治其人。

　　下面我们以屏蔽某未知病毒KAVSVC.EXE为例，操作方法如下：

　　第一步：先建立以下一文本文件，输入以下内容，另存为1.reg

　　Windows Registry Editor Version 5.00

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSVC.EXE]

　　"Debugger"="d：\\1.exe"

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSVC.EXE]

　　"Debugger"="d：\\1.exe"

　　(注：第一行代码下有空行。)

　　第二步：双击导入该reg文件后，确定。

　　第三步：点“开始→运行”后，输入KAVSVC.EXE。

　　提示：1.exe可以是任意无用的文件，是我们随意创建一个文本文件后将后缀名.txt改为.exe的，

　　总结：当我们饱受病毒木马的折磨，在杀毒软件无能为力或者感觉“杀鸡焉用宰牛刀”时，不妨运用系统工具进行病毒木马的查杀，说不定会起到意想不到的效果。

最新评论