使用管理工具清除程序

使用殺毒軟件和防火墻，有時并不能發(fā)現(xiàn)和清除病毒木馬文件。其實，使用系統(tǒng)自帶的安全工具，往往可以出奇制勝發(fā)現(xiàn)和清除隱藏很深的病毒文件。例如，運行“gpedit.msc”程序，在組策略窗口中點擊“計算機配置”→“Windows設(shè)置”→“安全設(shè)置”→“本地策略”→“審核策略”項，在右側(cè)窗口雙擊“審核賬戶管理”項，在彈出窗口中選擇“成功”和“失敗”項，啟用針對賬戶的審核策略。

以后如果懷疑黑客侵入了本機，并創(chuàng)建了非法賬戶，可以運行“eventvwr.msc”程序，在事件查看器窗口左側(cè)選擇“安全性”項，在右側(cè)窗口中檢查“審核成功”時間，根據(jù)賬戶信息的變動情況，就可以發(fā)現(xiàn)非法賬戶的蹤跡。例如，根據(jù)事件記錄信息，在審核事件中發(fā)現(xiàn)建立了名為“adminuser”賬戶，并在很短的時間內(nèi)將其提升到Administrators組中，經(jīng)過一段時間后該賬戶被刪除，但是管理員并沒有建立和使用過該賬戶，因此該賬戶一定是黑客侵入本機后建立起來的，為的是使用本機開啟的終端服務(wù)。當黑客滲透完成后，將該賬戶刪除來隱藏蹤跡。根據(jù)這一線索，果然在系統(tǒng)中發(fā)現(xiàn)了黑客預(yù)設(shè)的DLL木馬，雖然其經(jīng)過免殺處理，還是被管理員發(fā)現(xiàn)并清除了。

為了從底層侵入系統(tǒng)，很多病毒喜歡將自身偽裝成驅(qū)動文件來逃避用戶的監(jiān)控，因為驅(qū)動加載的級別優(yōu)先級最高，而且在安全模式下照樣可以運行，就造成了驅(qū)動級別的病毒很難清除的局面。其實，利用系統(tǒng)提供的設(shè)備管理器程序，有時可以簡單直接地發(fā)現(xiàn)驅(qū)動型病毒的蹤跡。例如，在設(shè)備管理器窗口中點擊菜單“查看”→“顯示隱藏的設(shè)備”項，可以顯示所有處于隱藏狀態(tài)的設(shè)備。在設(shè)備列表中的“非即插即用驅(qū)動程序”節(jié)點下可以顯示本機中所有的驅(qū)動型軟件的服務(wù)程序，在其中仔細觀察，不難發(fā)現(xiàn)不法程序的身影。例如，裝載其中找到名為“supervga”的可疑驅(qū)動，雙擊該驅(qū)動項，在其屬性窗口中的“驅(qū)動程序”面板中點擊“停止”按鈕，終止其運行。在“啟動類型”列表中選擇“已禁用”項，讓其無法跟隨系統(tǒng)啟動。點擊“驅(qū)動程序詳細信息”按鈕，可以發(fā)現(xiàn)與之關(guān)聯(lián)的驅(qū)動文件的具體的路徑信息。例如“C:Windowssystem32driversupervga.sys”，可以進入WinPE環(huán)境，將其徹底刪除。

此外，如果本機開啟了遠程桌面服務(wù)，為了防止別人隨意連接對系統(tǒng)造成威脅，可以使用系統(tǒng)自帶的防火墻對其進行攔截。例如，在Windows 7中已經(jīng)提供了功能強悍的防火墻，可以在防火墻設(shè)置界面左側(cè)點擊“入站規(guī)則”項，在右側(cè)窗口中的“入站規(guī)則”欄中雙擊“遠程桌面”項，在打開窗口中的“常規(guī)”面板中選擇“只允許安全連接”項。在“用戶和計算機”面板中勾選“只允許來自下列計算機的連接”項，點擊“添加”按鈕，添加值得信任的主機。勾選“只允許來自下列用戶的連接”項的，點擊“添加”按鈕，將值得信任的賬戶添加進來。這樣，不符合添加的用戶無法連接本機的遠程桌面，這在很大程度上避免了本機遭黑客入侵的可能性。