對于信息技術(shù)顧問來說，日常工作就是定期對客戶端計(jì)算機(jī)進(jìn)行清理，將給系統(tǒng)造成危害頑固可再生的病毒和間諜軟件清理掉。而作者提供的方法就可以讓你保證系統(tǒng)的穩(wěn)定運(yùn)行。

對于客戶端系統(tǒng)來說，不論配備的是工作站、個人計(jì)算機(jī)還是筆記本計(jì)算機(jī)，感染病毒和間諜軟件都是不可避免的事情。盡管我們采取了從網(wǎng)關(guān)保護(hù)到自動掃描以及制定書面互聯(lián)網(wǎng)使用策略的多層預(yù)防保護(hù)措施，但惡意軟件還是可以找到入侵的途徑。讓情況變得更糟糕的是，盡管很多客戶都認(rèn)識到使用單獨(dú)的反間諜軟件是防范病毒保障系統(tǒng)安全的最低要求，但他們還是不愿意進(jìn)行投入。

某些信息技術(shù)專家鼓吹的簡單方法是對系統(tǒng)進(jìn)行格式化處理并重新安裝Windows，而其它類似的建議也是放棄斗爭，讓壞人獲得勝利。不過，真相總在兩個極端之間。在對驅(qū)動器進(jìn)行過鏡像處理后（在與惡意軟件造成的感染進(jìn)行斗爭時，這總是最好的備份措施之一），我發(fā)現(xiàn)這是最有效的方法。

請注意，這些要訣來自我們信息技術(shù)顧問日志的條目。

1、隔離驅(qū)動器

在操作系統(tǒng)啟動之前或運(yùn)行的時間，很多rootkit惡意工具和木馬已經(jīng)成為系統(tǒng)的隱蔽控制者。我發(fā)現(xiàn)，在有些時間，即使包括AVG反病毒工具專業(yè)版、Malwarebytes反惡意軟件工具及超級反間諜軟件工具在內(nèi)最好的反病毒和反間諜軟件工具也沒有辦法處理這種已經(jīng)根深蒂固的感染。

你需要對系統(tǒng)進(jìn)行專門的清除處理。從受影響系統(tǒng)中拆除硬盤，作為從盤安裝到專門的測試系統(tǒng)中，接下來要做的，就是運(yùn)行多重病毒和間諜軟件掃描來對系統(tǒng)進(jìn)行安全處理。

2、刪除臨時文件

由于驅(qū)動器被感染，會影響到所有用戶的臨時文件。對于Windows　XP系統(tǒng)來說它們通常保存在C：文檔和設(shè)置用戶名本地設(shè)置臨時文件夾中，對于Windows　Vista來說，它們通常保存在C：用戶用戶名應(yīng)用數(shù)據(jù)本地臨時文件夾中。

刪除臨時文件夾中的所有文件。因?yàn)椋芏嗤{都可能隱藏在那里，這樣在系統(tǒng)啟動的時間就可以輕松重新恢復(fù)。在驅(qū)動器作為從盤的時間進(jìn)行處理，這些受到影響的文件更容易被清除。

3、重新安裝驅(qū)動器和并再次進(jìn)行掃描

在你利用兩種更新到最新版本的常見反間諜軟件工具進(jìn)行了一次完整的反病毒掃描和兩次完整的反間諜掃描后（刪除找到的所有被感染文件），就可以將硬盤安裝回系統(tǒng)中了。接下來要做的，就是再次運(yùn)行同樣的掃描。

盡管在前面的掃描和清理過程完成后，你可能會對反惡意軟件工具還能發(fā)現(xiàn)工作中的惡意軟件感到驚訝。只有通過進(jìn)行額外的本地掃描操作，才能確認(rèn)已經(jīng)將所有威脅都清理掉了。

 4、測試系統(tǒng)

在完成了上述三個步驟后，不要認(rèn)為系統(tǒng)已經(jīng)處于可以使用的狀態(tài)了。一定要避免犯類似的錯誤。在系統(tǒng)啟動后，立即打開網(wǎng)絡(luò)瀏覽器，并刪除所有脫機(jī)文件和Cookie緩存。接下來，進(jìn)入到Internet　Explorer的連接設(shè)置中（工具|互聯(lián)網(wǎng)選項(xiàng)，并選擇Internet　Explorer中的連接選項(xiàng)設(shè)置），以確保惡意程序并沒有更改系統(tǒng)的默認(rèn)代理服務(wù)器或局域網(wǎng)連接設(shè)置。對所有設(shè)置進(jìn)行調(diào)整，確保其符合本地網(wǎng)絡(luò)或客戶端網(wǎng)絡(luò)的需要。

接下來要做的是，隨機(jī)訪問12至15家網(wǎng)站。留意整個瀏覽過程中出現(xiàn)的所有異常情況，這其中應(yīng)該包括明顯的彈出窗口、重定向的網(wǎng)絡(luò)搜索、被劫持的網(wǎng)頁以及類似的活動。在打開谷歌、雅虎和其他搜索引擎并完成了6項(xiàng)字符串搜索后，才可以確認(rèn)系統(tǒng)是安全的。一定不要忘記，登錄到包括AVG、賽門鐵克以及Malwarebytes在內(nèi)的流行反惡意軟件網(wǎng)站上對系統(tǒng)進(jìn)行測試。

5、深入挖掘剩余的感染

如果依然還有殘余感染的存在，舉例來說，搜索被重定向或針對特定網(wǎng)站的訪問被阻止，我們要做的就是對引起錯誤活躍進(jìn)程的文件名進(jìn)行定位。趨勢科技提供的HijackThis、微軟提供的進(jìn)程資源管理器、Windows自帶的微軟系統(tǒng)配置實(shí)用工具（開始|運(yùn)行，鍵入msconfig即可打開）都可以有效地確認(rèn)非法進(jìn)程的位置。如果有必要的話，可以對注冊表進(jìn)行搜索，并刪除和該可執(zhí)行文件有關(guān)的所有項(xiàng)目。然后，重新啟動系統(tǒng)并再試一次。

如果系統(tǒng)中依然存在感染或者無法使用的話，現(xiàn)在就是時間開始考慮選擇重新安裝了。畢竟在經(jīng)過了所有這些步驟的處理后，感染還存在，這可能意味著你處于一場必?cái)〉膽?zhàn)斗中。

其它措施

一些信息技術(shù)顧問對花招深信不疑。我對KNOPPIX（光盤啟動的GNU/Linux系統(tǒng)）進(jìn)行了分析，希望可以當(dāng)作替代措施使用。我已經(jīng)幾次將感染的Windows驅(qū)動器安裝到蘋果筆記本對啟動磁盤中特別頑固的文件進(jìn)行刪除操作。其它技術(shù)人員建議使用Reimage（鏡像恢復(fù)）之類的工具，但我在使用這一工具的時間遇到了一些問題，它無法識別普通網(wǎng)卡，這導(dǎo)致自動修復(fù)操作無法進(jìn)行。

【編輯推薦】

1. 間諜軟件: 下一個網(wǎng)絡(luò)殺手
2. 怎樣清除和預(yù)防木馬程序、惡意軟件和間諜軟件