Cómo limpiar virus ocultos

1. Primero ubique el archivo de virus y verifique los archivos en el directorio raíz de la unidad, incluidos los archivos ocultos. Recuerde las indicaciones del programa antivirus en este momento y verifique los programas ejecutables temporales en el directorio IE TEMP y el directorio WINDOWS TEMP. basado en las operaciones antes del envenenamiento. Todos los programas que llegan se colocan en la Papelera de reciclaje. Luego, comience a limpiar el administrador de tareas para ver si hay procesos sospechosos o use la lista de tareas y taskkill para intentar limpiar sin reiniciar la máquina. Algunos virus de controladores que no son Plug and Play no se inician. Si hay un proceso sospechoso, primero debe finalizar el proceso y eliminar el archivo. Puede utilizar una combinación de los siguientes métodos para eliminar archivos de proceso.

2. Si el administrador de tareas no encuentra el proceso sospechoso, utilice un visor de procesos ocultos (disponible en muchos programas y hay otros especiales en Internet) para ver el controlador DLL o DRV sospechoso. Software de uso común como ICESWORD, UNLOCKER, Wsyscheck, etc. , en VISTA y WINDOWS 7, si hay algún virus o caballo de Troya que aún persiste y no se detecta, puede considerar cambiar el software. Consulte:

Dos herramientas gratuitas para la eliminación y desinstalación forzada: Unlocker y IceSword

3. Ejecute msconfig para ver los elementos de inicio y ejecute el registro HKEY_current _User Software Microsoft Windows Current Version Run. y HKEY _Local_Machine\Software\Microsoft\Windows\Current Version Run para ver los elementos de inicio.

4. Busque servicios sospechosos en el Panel de control-Herramientas administrativas o en el registro HKEY_Local_Machine\System\Current Control Set\Services.

5. Si GHOST restaura el sistema, es mejor ingresar directamente al modo seguro o al sistema PE por primera vez después de la restauración y verificar si hay AUTORUN en otras unidades. Desde Mi PC hasta la operación del controlador, haga doble clic con cuidado con el mouse y abra con el botón derecho del mouse.

6. Después de cargar algunos programas de virus de controladores (aún se pueden cargar en modo seguro), no se pueden eliminar (el sistema escanea y elimina estos controladores a nivel de kernel para protegerlos). Debido a que el servicio del sistema protege el archivo de virus para que no se elimine, el programa de inicio de virus también puede detectar el estado de inicio del servicio en segundo plano. Los virus de controladores generalmente son archivos SYS del controlador del sistema en WINDOWS\system32\drivers. Intente encontrar y deshabilitar el controlador sospechoso que no es Plug and Play en Panel de control-Herramientas administrativas-Administrador de dispositivos, luego verifique el complemento correspondiente en el registro y elimínelo, y luego desinstale el dispositivo más tarde. Los virus de controladores también vienen en formatos drv o vxd, y drv normalmente se ejecuta en el nivel ring3. Aunque vxd es ring0, el controlador utilizado antes de Win9x rara vez se utiliza ahora. . sys es el controlador del kernel NT (NT/2K), que se ejecuta en el nivel ring0, que también es el nivel más alto. Quitarlo requiere algo de esfuerzo.

7. Al eliminar archivos de virus a nivel de controlador, es posible que no tenga permisos suficientes, especialmente en VISTA y WINDOWS 7 (NTFS). En este momento, debe eliminar los permisos antes de eliminarlo. Consulte el método de mejora correcto:

Ilustración del método de mejora de funciones de Windows 7

8. Si elimina por la fuerza la DLL del virus o el controlador SYS, es mejor comprobar si el método de mejora es correcto. La clave de registro está cargada la configuración; de lo contrario, puede ocurrir un error de carga cuando el sistema se reinicie porque no se puede encontrar el programa de virus.

9. Otra forma es localizar el archivo de virus verificando la hora de modificación de los archivos en el directorio del sistema y eliminar el archivo de virus localizando y eliminando los dos sistemas.