科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航



ZDNet>网络频道>ZD评测>注意:这些现象不是病毒惹的祸

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

你有没有中过病毒?尽管新病毒层出不穷,但是普通用户真正能够“切身体会”到的病毒却并不多,无外乎是灾难般的冲击波、振荡波,还有被好友消息迷惑的QQ尾巴病毒。当系统出现非常“典型”的病毒现象时,很有可能是遭遇了系统故障假扮的“伪病毒”!

来源:zdnet网络安全 2008年03月12日

关键字:杀毒软件 木马 反病毒 病毒防范 防病毒 病毒

你有没有中过病毒?尽管新病毒层出不穷,但是普通用户真正能够“切身体会”到的病毒却并不多,无外乎是灾难般的冲击波、振荡波,还有被好友消息迷惑的QQ尾巴病毒。

当系统出现非常“典型”的病毒现象时,很有可能是遭遇了系统故障假扮的“伪病毒”!

区分真病毒和系统故障的方法 

①文件型病毒会让所有程序不能打开,而系统故障通常只让部分系统功能无法使用。

②感染病毒后(特别是网页病毒),“注册表编辑器”、“进程管理器”很有可能被禁用。

③系统突然无法启动或出现奇怪故障时,回忆一下在这之前是否对服务进行过优化,或者安装了与系统底层相关的软件(如杀毒软件、网络防火墙等)。

一、系统缺胳膊断腿找谁

故障现象:系统组件无法运行或丢失 病毒相似度:★★★★★

Windows的某个功能突然无法使用或者干脆丢失了,抓破头皮也只能想出病毒这一种合理的解释。实际上并非如此,比如搜索面板丢失、快速启动栏无法启动、开始菜单中没有“运行”、任务栏中没有托盘区等等,引起组件无法运行或丢失的原因通常有以下3个:①组件没有安装;②系统服务没有启动;③系统文件损坏或丢失。

排障实例:找回系统的“救命稻草”

单击“开始→帮助和支持”菜单或按F1键时,系统没有任何反应或者提示“帮助和支持错误”。无反应可能是文件丢失或系统组件没有被安装造成的,而提示错误则是由于服务没有启动造成的。

第一步:点击“开始→运行”,输入“helpctr -regserver”命令对帮助组件再次注册。

第二步:如果故障依旧存在,那么打开C:Windowsinf目录(该目录属性为隐藏,需要在“资源管理器”中设置“显示所有文件和文件夹”方可访问),找到pchealth.inf文件,右击选择“安装”,系统重新安装帮助组件(安装过程中系统会提示插入Windows XP安装盘)。

小提示

对于文件损坏的故障,我们还可以通过运行“SFC /Scannow”命令进行Windows文件保护验证,如果遇到系统文件被改动或者丢失的情况,系统会提示插入Windows XP安装盘,并将安装盘里相关文件拷贝到系统中。

第三步:运行services.msc”命令打开“服务”管理窗口,在右侧窗格找到名为“Help and Support”的服务,双击打开,在“常规”选项卡中将“启动类型”设置为“自动”,“服务状态”设置为“已启动”(Help and Support服务依赖于Remote Procedure Call (RPC)服务,请确认RPC服务已经被启用,否则设置会失败)。

故障黄金眼

打开系统组件没有反应,尝试在Google中搜索“组件名称 regsvr32”或者“组件名称 -regserver”,就能找出组件丢失后的注册命令。如果打开系统组件时提示错误,应该想想在故障发生前禁用了哪些服务(很多优化软件自作主张关掉了部分系统服务)可以在“服务管理”里查找相应的系统服务并恢复启动状态。

二、程序“迷路”了怎么办

故障现象:运行程序提示“找不到XXX文件” 病毒相似度:★★★★

常见的有2种情况,一种是在“开始→运行”中打开某个程序却提示“Windows找不到文件”,而另一种则是运行某个程序时提示“找不到xxx.dll文件”,难道是病毒把文件给删除了?谁能想到真正的原因竟然是系统中用来指向文件位置的“环境变量”丢失。

排障实例:无法运行Msconfig.exe

无法在“运行”中打开Msconfig.exe,却能通过搜索找到Msconfig.exe,这是一个比较典型的环境变量中没有包括程序执行路径而造成的故障。

把Msconfig.exe拷贝到环境变量Path所指定的路径,即%SystemRoot%system32目录或者%SystemRoot%目录;或者通过Windows+Break组合热键打开系统属性,单击“高级”选项卡下的“环境变量”,双击“Path”,

然后把Msconfig.exe所在目录添加为系统环境变量。

故障黄金眼

系统中的Path环境变量如果丢失,可以在环境变量设置框的“系统变量”里输入“%SystemRoot%system32;%SystemRoot%;%SystemRoot%System32Wbem”恢复。有些软件还会在“XXX的用户变量”的“Path”里留下软件的路径,比如UltraEdit,这类软件可以通过恢复安装或者重新安装的方式修复环境变量。

三、赶不走的软件“尸体”

故障现象:奇怪的系统服务/启动后倒计时重启 病毒相似度:★★★★★

很多软件都需要在系统底层建立服务或者装入虚拟设备驱动,比如杀毒软件、网络防火墙、服务器软件,甚至SnagIt等截图软件。在卸载了此类软件后,有时会因为卸载程序本身的问题而导致这些服务或者虚拟设备没有被删除掉,造成了兼容性问题,而启动后倒计时重启的现象更是像极了冲击波、振荡波……解决方法是手动删除相关的服务和虚拟设备。

排障实例:删除已经注册的服务

某个软件只要系统启动后就会以管理员身份自动运行,在卸载该软件时总是提示“程序正在运行,无法进行卸载”。这是由于该程序在安装时已被注册成为系统服务,而且服务采用了无法手动终止的保护模式。

第一步:运行“services.msc”打开服务管理,找到程序对应的服务(大多数情况下服务名中包含软件名称或者其公司名称),将其“启动类型”设置为“手动”或“禁止”,并停止该服务(注意:有些服务“停止”按钮是灰色不可用的,必须重启生效),重启系统。

第二步:重新进入系统后,运行regedit.exe打开“注册表编辑器”,定位到[HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services]分支,这里罗列的就是当前系统服务的注册表键值了,我们将该分支下的对应的服务项删除,就可以将该服务从控制台列表中清理掉了。

排障实例:删除杀毒软件残留的虚拟设备

杀毒软件的使用期限快到了,卸载后换了个新的杀毒软件,但却因此不法正常启动系统了。这是由于杀毒软件卸载时虚拟设备没有清除干净,导致新的杀毒软件的虚拟设备与其抢占系统底层控制权,造成系统无法正常启动(以WindowsXP/McAfee 8.0i为例)。

第一步:开机按住F8进入“安全模式”,在“开始→运行”输入services.msc,打开服务管理,将McAfee新增的几个系统服务的启动方式设置为“手动”,运行msconfig.exe打开“系统配置实用程序”,在“启动”选项卡中去除McAfee自启动项前的勾选,点击“确定”。

第二步:右击“我的电脑”选择“管理”,定位到“设备管理器”,选择菜单“查看→显示隐藏的设备”,然后在“非即插即用驱动程序”分支下根据名称删除杀毒软件留下的残骸(很多软件的系统服务、程序安装目录名称、虚拟设备名都是使用其公司名称的,比如McAfee的公司名“Network Associates”)。

故障黄金眼

如果已经安装了较新版本的杀毒软件和网络防火墙,一般是不会感染冲击波和振荡波的,出现了倒数重启的错误时,最有可能的是新安装的程序加载的系统服务或者虚拟设备出了问题,如果按照上面的方法无法删除虚拟设备,可以试试刚才下载的srvinstw.zip服务管理工具,在向导中勾选“Include device drivers”就能删除设备了。

四、开机时的自启动错误

故障现象:开机时弹出错误/打开固定文件夹 病毒相似度:★★★

开机时总是自动打开同一个文件夹,虽然并不影响稳定,但总感觉是木马在作怪;还有一些电脑开机时总是弹出找不到文件的错误提示,难道也是病毒干的?

排障实例:系统登录后自动打开system32目录

如果注册表自启动项目中包含了弹出文件夹所在的路径,或者包含空白值、一个英文双引号(如:"abc或abc")、“..”、“/”,都有可能导致此故障。

如果是Windows XP,则直接运行msconfig打开“系统配置实用程序”,在“启动”选项卡中取消开机打开文件夹的勾选,点击确定即可;Windows 2000由于没有“系统配置实用程序”,则需要下载Upiea点击下载、SREng点击下载,并借助它们的启动项管理功能去除打开文件夹的项目。除此之外,组策略中也包含自启动项目,运行gpedit.msc打开“组策略编辑器”(Windows XP Home版本不包含此功能),展开“计算机配置→Windows设置→脚本”和“计算机配置→管理模板→系统→登陆”,分别查看启动或登录选项是否存在打开“system32”目录,如果有就将其删除。

故障黄金眼

开机时错误提示有很大一部分是杀毒软件在删除病毒或木马文件后,没有修复启动项造成的,只需手动将启动项里残留的内容删除即可解决此故障。“系统配置实用程序”

推广二维码
邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题