要怎麼判斷哪個是病毒,幾乎還是必須要先瞭解正常的進程和路徑。
可以手動用 Process Explorer 或 SRENG 去查出進程的公司名、路徑等資料。
最後再用 google 或
Process Library、
HijackThis 之類的網頁去查,最後再用防毒軟體去掃瞄來確認。
要簡單點的話,也可以使用 WinTask、Hijackthis 等查進程軟件去判斷。
當然也有些特殊情況如病毒是驅動程式型的,大概因為在使用著,就連防毒軟體也無法偵測出來。
而且有時候這類型的病毒還會在安全模式載入,導致此類病毒更不易移除。
也有些病毒設計得比較笨,它可以允許你刪除甚至改名。只是之後會立刻再生回來。
這時只要製作出同名的唯讀的空文件,覆蓋過去,因為已經是唯讀,病毒就沒辦法再寫入下去了。
下次開機時會因為找到"無毒"屬性的病毒,就無法發作了。到時再一口氣刪除相關的病毒就行。
當然此方法只能適用在類似的病毒上而已。
至於重啟刪除的方式,有可能那個刪除程式比病毒慢一步載入的話,所以無法順利刪除到。
比較通用的方法,就是最好徹底將病毒從記憶體完全移除。
可以用 Process Explorer 來 close handle。也可以用 Advanced Process Manipulation 來 unload DLL。
一旦從記憶體移除,原本無法偵測到的驅動型病毒,防毒軟體也可以立刻偵測出來了。
遇到非常頑固的,最好的辦法還是接去另一台乾淨的電腦或系統開機碟去掃瞄刪除。
不管病毒多強都好,如果沒辦法從開機時被載入,就是病毒的死期。
書籤