网络病毒清除问答

引言：随着网络的快速发展，木马、病毒变得越来越猖獗，本期给大家罗列了一些关于清除网络病毒的相关问题，希望对大家的工作有所帮助。

为了躲避杀毒软件的清除，很多网络病毒往往会想方设法地将自身隐藏到系统临时文件夹中，那样网络病毒文件即使被扫描到，杀毒软件对它们也无可奈何。请问有没有办法防止网络病毒隐藏到系统临时文件夹中呢？

答：答案是肯定的！以Windows Server 2008系统为例，只要按照下面的操作设置系统软件限制策略，就能防止病毒隐藏到系统临时文件夹中：依次单击“开始”、“运行”命令，展开系统运行对话框，输入“gpedit.msc”命令并回车，切换到系统组策略编辑界面。在该编辑界面的左侧显示区域，将鼠标定位到“本地计算机策略”、“计算机配置”、“Windows设置”、“安全设置”、“软件限制策略”、“其他规则”选项上，用鼠标右键单击指定选项，点选右键菜单中的“新建路径规则”命令，在其后界面中单击“浏览”按钮，将Windows Server 2008系统临时文件夹选中并导入进来，之后将“安全级别”选择为“不允许”，再单击“确定”按钮退出设置对话框。

保存在硬盘中的数据文件越来越多，不管哪种类型的杀毒软件，在清除硬盘中的网络病毒时，需要的时间也是越来越长，请问有没有什么合适的办法，能让网络病毒清除更方便更灵活呢？

答：实际上根据应用需求，对杀毒软件进行合适设置，就能轻松让病毒清除更方便更灵活。例如，对于自己长期使用的计算机系统来说，定期扫描系统可以确保病毒在破坏系统之前清除它；可是，每次对系统硬盘进行全面扫描，可能需要耗费很长的时间，此时用户不妨利用空闲时段，添加扫描任务计划，让杀毒软件在系统处于空闲的时候执行全面扫描，这样不会耽误自己的工作。如果自己临时借用了别人的计算机系统来处理材料，但又担心该系统中存在病毒传染给自己的文件，此时可以通过设置，让杀毒软件只对关键位置进行扫描，以判断关键位置处是否存在网络病毒，这样不但可以有效节约时间，而且还能保证安全。

在使用IE浏览器访问Web页面内容时，一些潜藏在Web页面背后的网络病毒程序，可能会自动下载到本地硬盘，日后这些网络病毒可能会威胁本地计算机的运行安全。请问如何禁止Web页面中的内容自动下载存储到本地硬盘中？

答 ：首先使用“Win+R”快捷键，调用系统运行文本框，在其中执行“gpedit.msc”命令，开启系统组策略编辑器运行状态。在该编辑窗口左侧列表中，将鼠标定位到“本地计算机策略”、“计算机配置”、“管理模板”、“Windows组 件”、“Internet Explorer”、“安全功能”、“限制文件下载”分支上。双击该分支下的“Internet Explorer进程”组策略，打开“Internet Explorer进程”属性对话框，选中“已启用”选项，单击“确定”按钮返回，这样就能禁止来自Web页面中的内容自动下载存储到本地硬盘中了。

我们知道，组策略也是网络病毒程序经常“藏身”的地方，请问怎样识别出系统组策略中是否隐藏了网络病毒程序呢？

答：进入系统组策略编辑界面，依次展开“本地计算机策略”、“用户配置”、“管理模板”、“系统”、“登录”分支选项，双击指定分支下的“在用户登录时运行这些程序”组策略，将“已启用”选项勾选起来，再按下“显示”按钮，检查其后界面中是否存在一些稀奇古怪的内容，缺省状态下这里应该是空的，要是看到有内容存在，那基本就可以识别出系统组策略中隐藏了网络病毒程序。

打 开Windows系 统文件夹时，有时会看到“$ntuninstallkb885562$”之类的文件，这类文件好像都是虚的，请问它们是否为网络病毒，能不能将它们直接清除出系统？

答：其实这类文件不是网络病毒，而是系统补丁的临时文件。由于系统补丁都是通过自解压形式存在的，当它们被下载到本地系统后，会自动解压释放到Windows系统文件夹中，然后用释放出来的新文件替换掉以前的旧文件，从而完成系统补丁文件的升级任务。很显然，当完成系统补丁的升级任务后，这些文件就失去了作用，变成了以“$”开头的临时文件，因此用户能够随意清除它们。

某计算机系统意外感染了网络病毒，系统桌面频繁出现360安全卫士已遭破坏的提示，并且还提示要求重新安装360杀毒软件。不过，在重装了一遍360安全卫士后，系统又弹出没有安装的错误，同时Windows系统每过一段时间就会自动重新启动，请问为什么会出现这种现象，又该如何解决这种问题呢？

答：这种现象多半是360安全卫士相关的系统文件被病毒破坏引起的，因此通过这样的杀毒软件来清除网络病毒显然是不可能的，此时不妨尝试使用其他的杀毒软件来扫描、清除计算机系统中的病毒。例如，可以从网上下载“可牛急救箱”安全工具，并将其在线升级到最新版本；安装成功后直接启动它，选中主界面中的“扩展扫描”选项，再单击“立即扫描”按钮开始扫描本地系统文件，扫描结束后单击“立即处理”，这样就能清除干净本地系统中的所有网络病毒了。要是，此时您还想继续使用360安全卫士时，可以卸载掉“可牛急救箱”安全工具，再重新安装一遍360安全卫士，相信这样就能成功了。

有时启动网络病毒防护软件360安全卫士时，系统竟然弹出olepro32.dll文件无法找到、应用程序无法启动之类的错误提示，请问为什么会出现这种提示，需要怎样操作才能恢复360安全卫士的正常工作状态？

答：现在不少病毒、木马程序为了躲避360安全卫士的拦截和查杀，都进行了特别的改进、设置，以便破坏杀毒软件的正常启用运行。而偷偷删除与360安全卫士有关的olepro32.dll文件，就是病毒、木马经常采用的一种方式，毕竟该文件是对象链接和嵌入OLE特性相关模块，要是该文件发生了丢失，杀毒软件或其他应用程序的启动运行就容易出错。

为了能够修复这种问题，我们可以从网上直接下载获得olepro32.dll文件，并将该文件直接保存到“Windowssystem32”文件夹种就可以了。当然，也可以使用360系统急救箱工具，来尝试修复发生丢失的olepro32.dll文件；修复操作很简单，只要在360系统急救箱程序界面中，单击“开始系统急救”按钮，点选“恢复丢失的DLL文件”标签，在对应标签页面中按下“立即修复”按钮，这样就能轻松完成修复操作了。

近日，安装在系统中的瑞星杀毒软件不断提示“C:WindowsSystem32”文件夹中存在网络病毒，但不管使用瑞星杀毒软件还是金山独霸软件，都只能发现网络病毒，却不能对其进行清除，即使使用瑞星卡卡工具直接将病毒文件粉碎掉，但重新启动计算机系统后，该病毒文件又卷土重来了，请问如何才能清除这类病毒文件呢？

答：从上面的描述中不难看出，这种类型的病毒文件自我保护能力非常强大；当病毒发现自身文件被杀毒软件删除干净之后，它又会自动生成一个全新的病毒文件进行补充。不过，也有可能是这类病毒文件具有较强的感染性，因此当用户不小心访问了被感染的文件后，又激活了病毒文件的发作运行。要想清除干净这类病毒文件，可以考虑使用WinPE光盘工具重新启动计算机系统，并利用WinPE系统自带的杀毒软件重新扫描本地硬盘，相信这样就能彻底地删除顽固的病毒文件了。

360安全卫士软件在清除网络病毒的过程中，经常会错误地删除文件，那么遇到这样的问题，究竟该如何有效应对呢？

答：要是360安全卫士发现某个文件是病毒，但是用户自己通过查看文件路径确认不是病毒时，不妨单击该程序界面中的“我信任此程序”按钮，将该疑似病毒文件加入到杀毒软件的白名单中，日后360安全卫士就不会将该文件当作病毒了。如果这个疑似病毒文件已被杀毒软件删除掉的话，用户不妨单击杀毒软件中的“隔离/恢复”按钮，从其后列表中找到被错误删除的文件，选中这个文件，同时单击“立即”恢复按钮，就能把错误删除的文件恢复到以前的工作状态了。

要是用户自己也不能确认疑似病毒文件是否安全时，不妨将该文件上传到安全网站进行更深入地分析；例如，用户可以打开http://www.virustotal.com网站，单击其中的“选择”按钮，将疑似病毒文件选中并导入进来，再单击“发送文件”按钮，目标网站会自动分析疑似病毒文件的安全性，到时用户从返回的分析报告中，就能判断出疑似病毒文件究竟是否是网络病毒了。

网站遭遇网络病毒攻击是常用的现象，非法用户只要利用系统漏洞将网络病毒程序直接挂在网站主页面中，那么用户浏览到该网页的话，他的计算机系统就会中招。请问有没有办法对某个网站页面的安全性进行检测，从而确保网上冲浪的安全呢?

答：如果大家对某个网站的安全性心里没有底的话，可以使用谷歌网站在线诊断功能，来检测目标网站的页面内容是否安全可靠。

只要打开IE浏览器，在地址栏中输入“http://www.google.com/safebrowsing/diagnostic?site=”字符串，之后在该地址后面输入需要测试的目标站点地址，比方说要测试www.aaa.com站点的安全性时，只要在上述地址后面书日“www.aaa.com”内容，单击回车键后，谷歌网站在线诊断功能就会对目标站点内容进行安全性测试，测试结束后，用户就能从返回的结果信息中，知道目标站点当前列表状态如何，目标站点出现了什么问题，目标站点有没有以传播媒介的身份传播了更多的网络病毒程序等等，一旦确认目标站点潜藏或托管有网络病毒程序，那么该网站就不能轻易访问。

有用户曾经遇到一种网络病毒，用最新的正版杀毒软件清除时，系统提示病毒被删除，可是换用另外一种杀毒软件清除时，发现病毒仍然存在，请问这是什么原因？

答：出现这种现象，多半是网络病毒采用了多种手段进行自我保护引起的。比方说，病毒可能会将一个dll文件插入到系统进程中，同时还会暗中启用另外两个病毒进程进行协同保护，如此一来即使杀毒软件删除了其中一个病毒进程的文件，不过将计算机系统重新启动后，另外两个病毒进程又会发作运行，并生成上次被删除的病毒文件。更为麻烦的是，有的病毒进程每次随系统重新启动后，生成的病毒文件名称会随机变化，这给杀毒软件彻底删除干净病毒带来了不小的麻烦，最终给用户造成了一种错觉，认为网络病毒无法被清除干净。

经常有人向网络管理人员反映，辛苦了几天才写好的Word材料，结果给杀毒软件被意外删除了，真是让人有点欲哭无泪啊。请问网络病毒程序通常都是exe格式的，为什么杀毒软件在清除病毒时，会对Word文档痛下杀手呢？

答：一般来说，病毒、木马文件为了实现自动运行发作的目的，都会选用exe格式，但是也有极少部分的病毒、木马采用了其他文件格式。一些Word文档之所以会被杀毒软件删除，很可能是该文档被宏病毒感染了，考虑到这种类型的病毒比较旧，所以员工才会对Word材料被杀毒软件删除感到意外。正常情况下，被删除的Word材料，都处于杀毒软件的隔离区中，只要进入杀毒软件界面，找到软件隔离区，就能发现被删除的Word材料；选中这个被误删的Word材料，再单击“立即恢复”按钮，往往就能把目标文件恢复到正常状态。为了能够正常打开Word材料，我们还需要使用“金山独霸宏病毒清除工具”，来清除潜藏在Word文档中的宏病毒文件，相信这么一来被病毒误删除的Word材料就能被正常打开了。

在局域网环境中，终端计算机的随意性和复杂性很强，由终端计算机自身安全漏洞引起的网络病毒攻击，给Web访问的安全带来了很大的威胁，请问如何才能有效降低这种安全威胁？

答：很简单！只要及时为终端计算机和Web服务器安装更新漏洞补丁，修补系统薄弱环节，切断网络病毒攻击通道即可。因为及时升级漏洞补丁，非法攻击通道就会被自动切断，那么网络病毒就不能通过专业的漏洞扫描工具，获得被攻击目标的系统漏洞，那么它们就无法沿着漏洞通道进行非法攻击。因为及时升级漏洞补丁，可以将Web网站的所有漏洞全部堵上，那么黑客或木马程序就无法通过Web漏洞，对Web站点执行跨站脚本攻击，或者进行SQL注入，或进行网站挂马，或进行CGI攻击。因为及时升级漏洞补丁，狙击波、震荡波、冲击波之类的流行病毒，就无法通过系统漏洞，将漏洞代码发送给终端或Web服务器，强制其产生缓冲区溢出，并执行病毒代码内容，进行恶意传播扩散了。此外，及时升级系统补丁，也能改善系统与程序、程序与程序之间的相互兼容性，提升系统或程序的运行稳定性。

上网冲浪的时候，网络病毒等程序常常会悄悄攻击本地系统，但攻击的时候多会在本地计算机中留下有关“痕迹”，通过查看分析攻击“痕迹”，我们可以揪出网络病毒究竟使用哪个端口在攻击计算机，并能想出合适办法清除它们。请问如何揪出网络病毒等使用的端口号码？

答：当怀疑网络病毒等恶意程序在攻击本地系统时，可以依次单击“开始”、“运行”，弹出系统运行对话框，输入“cmd”命令并回车，打开MSDOS工作窗口，执行“netstat-ano >list1.txt”字符串命令，将本地系统扫描侦听到的端口信息导出保存为“list1.txt”文本文件。

接着在DOS命令提示符下输入“tasklist >list2.txt”命令并回车，这样tasklist程序会将本地系统中正在运行的应用程序，以及相关进程标识导出保存为“list2.txt”文本文件。

之后，开启记事本程序运行状态，打开“list2.txt”文件，从中将消耗内存资源比较大的陌生程序对应进程标识记忆下来，再打开“list1.txt”文件，搜索相关进程标识号关键字，这样就可以发现恶意程序正在使用的端口号码了。当成功捕获到攻击端口号码后，只要利用防火墙程序的过滤功能，将攻击端口号码添加到防火墙过滤列表中，让防火墙自动禁止来自恶意端口的网络连接，这样本地系统就不容易再次受到网络病毒攻击了。

现在新型的网络病毒特别多，如果手头没有专业的杀毒软件可以利用，或者已有的杀毒软件不能清除一些顽固网络病毒时，该如何进行救急来清除网络病毒呢？

答：可以利用Internet网络中的在线杀毒功能试试，或许能起到救急效果。例如，趋势科技针对特洛伊木马程序，特地设计了在线杀毒工具，它能自动探测并清除已感染了特洛伊木马病毒的文件，并且还能自动剿灭潜藏在系统深处的病毒木马程序。打开趋势科技在线杀毒页面，按下“启动在线杀毒”按钮，之后依照提示，设置好国家名称，单击“Go”按钮，按下“Scan now，It's free”，下载杀毒引擎和病毒码文件，下载任务结束后，就能自动对本地计算机系统执行扫描操作。扫描的时候，设置好需要扫描的范围，同时选中“自动清除”选项，确认后就能进行在线杀毒了。

当然，为了保证在线杀毒顺畅，我们需要降低IE浏览器的安全设置。首先开启IE浏览器窗口，依次选择“工具”、“Internet选项”命令，弹出Internet选项设置框，点击“安全”标签，在对应标签页面中按下“自定义级别”按钮，进入安全设置界面。在“重置自定义设置”位置处，选中“中”选项，单击“确定”按钮保存设置操作，这样IE浏览器就会工作在较低安全级别了。此外，在安全设置界面中，必须要允许运行Activex控件程序和插件程序正常运行。等到在线杀毒任务结束后，我们还要记得将IE浏览器的设置，还原到在线杀毒之前的状态。

为了避免网站挂马影响系统安全运行，有人在Windows系统中安装了卡巴斯基2010杀毒软件，通过它的网络病毒隔离区功能，小心保护上网访问的安全。最近，该用户发现该软件隔离区中附带有刷子模样的IE图标被意外删除了，不知道有没有办法将这个图标恢复显示出来？

答：答案是肯定的！卡巴斯基2010杀毒软件中附带有刷子模样的IE图标，主要是退出浏览器窗口时，强制该杀毒软件自动删除所有的上网浏览记录，如此一来就能有效保护用户的上网浏览隐私。考虑到有刷子模样的IE图标是卡巴斯基2010杀毒软件默认的，我们想要将它恢复到正常的工作状态显然有点困难。不过，可以尝试按照下面的操作来恢复：首先打开本地系统的“开始”菜单，从中依次选择“卡巴斯基2010”、“修改、修复或卸载卡巴斯基”命令，在其后弹出的界面中单击“修复”按钮，之后依照向导提示，就能轻松完成修复操作了。

为了躲避杀毒软件的清除，一些网络病毒会悄悄关闭杀毒软件运行进程，让其失去病毒清除作用。因为关闭进程操作是在系统后台进行，用户很难及时捕捉到这种异常现象，请问如何才能在第一时间探测到杀毒软件进程被悄悄停用呢？

答：可以请Kiwi application monitor工具来帮忙，加强对杀毒软件进程的关闭行为进行动态监控，要是探测到系统中的杀毒软件进程被悄悄停用时，它能及时向用户发出报警提示，让用户在第一时间了解到这一安全隐患。

开启Kiwi application monitor工具的运行状态后，进入其主程序界面，点击其中的“Add”按钮，切换到监控程序添加对话框。单击“Running processes”按钮，弹出系统进程列表窗口，将杀毒软件的对应工作进程选中。如果找不到杀毒软件进程时，那就说明杀毒软件当前已被关闭运行，只有重新启动运行它，才能找到它的工作进程，确认后将它们添加到Kiwi application monitor工具的监控列表中。按照相同的操作方法，将其他需要监控的安全工具进程，也逐一导入到Kiwi application monitor工具监控列表中。

接 着，点 选“Basic rules”选项卡，在对应选项设置页面中，选中“Alert me”设置项处的“when it ends”选项，单击“OK”按钮保存设置操作。这样，Kiwi application monitor工具日后只要监控到杀毒软件的工作进程被关闭运行时，就会在第一时间弹出报警提示信息了。