sreng

1

【識別電腦病毒文件的四個小方法】電腦病毒被復制

怎么辦

我們在使用殺毒軟件殺毒的時候，常常會檢測出很多＂病毒＂，許多朋友抱著＂

寧可錯殺一堆，絕不放過一個＂的態(tài)度，將檢測出的＂病毒＂全部刪掉。其實全

刪是不可取的，有的是被感染的系統(tǒng)文件，是不能刪的。筆者在這里介紹幾個識

別病毒文件的方法，希望對大家有所幫助。

一、文件時間

如果你覺得電腦不對勁，用殺毒軟件檢查后，沒什么反映或清除一部分病毒

后還是覺得不對勁，可以根據(jù)文件時間檢查可疑對象。

文件時間分為創(chuàng)建時間、修改時間(還有一個訪問時間，不用管)，可以從文

件的屬性中看到，點選文件，右擊，選擇菜單中的屬性就可以在＂常規(guī)＂那頁看

到這些時間了。

通常病毒、木馬文件的創(chuàng)建時間和修改時間都比較新，如果你發(fā)現(xiàn)的早，基

本就是近幾日或當天。c:windows和c:windowssystem32，有時還有

c:windowssystem32drivers，如果是2000系統(tǒng)，就把上面的windows改成

winnt，這些地方都是病毒木馬常呆的地方，按時間排下序(查看-詳細資料，再

點下標題欄上的＂修改時間＂)，查看下最新幾日的文件，特別注意exe和dll

文件，有時還有dat、ini、cfg文件，不過后面這些正常的文件也有比較新的修

改時間，不能確認就先放一邊，重點找exe和dll，反正后三個也不是執(zhí)行文件。

一般來說系統(tǒng)文件特別是exe和dll)不會有如此新的修改時間。

當然更新或安裝我變小了 的其它應(yīng)用軟件可能會有新的修改時間，可以再對照下創(chuàng)建

時間，另外自己什么時間有沒裝過什么軟件應(yīng)該知道，實在不知道用搜索功能，

在全硬盤上找找相關(guān)時間有沒建立什么文件夾，看看是不是安裝的應(yīng)用軟件，只

要時間對得上就是正常的。如果都不符合，就是病毒了，刪除。

說明一點，正如不是所有最新的文件都是病毒一樣技能英文 ，也不是說所有病毒的時

間都是最新的，有的病毒文件的日期時間甚至會顯示是幾年前。

當然我們還有其他的分辨方法。

二、文件名

文件名是第一眼印象，通過文件名來初步判斷是否可疑是最直接的方法，之

2

所以放在時間判斷后面，實在是從一大堆文件中分揀可疑分子太難了，還是用時

間排下序方便些。

我們常說的隨機字母(有時還有數(shù)字，較少)組合的文件土蜂蜜 名，病毒最愛用它(曾

經(jīng)發(fā)現(xiàn)某些正常軟件也有使用這種奇怪組合的習慣，比如雅虎上網(wǎng)助手，每次文

件名都不一樣，動機可疑，還有某貓的驅(qū)動程序也看似隨機組合，不過幸好有廠

商信息可以協(xié)助自行車賽 分辨，這個下一點再說)。

還有文件名的長度，有的嚴重超出8位文件名的標準，有10幾位之多，這

都應(yīng)列為可疑對象，尤其是IE插件中有這些的文件名出現(xiàn)。

當然光說文件名古怪、隨機組合，似乎沒有一個標準，不熟悉電腦的人看所

有的英文文件名都可能認為是奇怪的、無意義的排列組合，所以真要依靠文件名

判斷，還是要對系統(tǒng)文件夾下的文件、常規(guī)文件有一定了解后才能比較好的掌握。

初步來說，結(jié)合上面的時間還有其它手段共同判斷，還是可以發(fā)現(xiàn)點東西的。

還有一種就是假冒正常文件、系統(tǒng)文件的文件名，這倒比較好識別，比如

和，很明顯后者在假冒前者，這種欲蓋彌彰倒更容易

暴露，前提是你對系統(tǒng)文件名比較熟悉，有事沒事打開任務(wù)管理器學習一下吧。

對應(yīng)于文件名，還有服務(wù)名、驅(qū)動名、注冊表啟動項名，相對而言，這些項

目的名字如果沒有表示出一定含義媽媽的大意 ，倒真是病毒了，還沒幾個廠商會不負責任地

給自己的軟件要用到的服務(wù)、驅(qū)動、啟動項起個無意義、隨便組合的名字，如果

服務(wù)、驅(qū)動、啟動項名是有問題的，那么下面使用的文件一定是有問題的。

實在沒把握，把文件名(有時要包括完整文件路徑，不同路描寫動物的好段 徑下的同名文件

可不一樣，這個以后說)、服務(wù)名、驅(qū)動名、啟動項名放到網(wǎng)上搜索一下，看看

別人怎么說的，特別是對查不到的、還有服務(wù)、驅(qū)動、啟動項與文件名對不上的

(如同一服務(wù)名在網(wǎng)上查出有不同文件與之對應(yīng)，或相反情況)，都可以小白兔圖片簡筆畫 列為可疑

對象。

三、版本信息

檢查文件時間有不確定性，再加一個檢查項目文件版本，也是在文件的屬性

中查看，有文件版本、廠商信息等。首先明確一下，不是所有文件都有版本信息，

也不是所有無版本信息的文件都是病毒文件，更不是所有顯示微軟信息的文件都

真是微軟的。

3

文件名、文件時間，再對上文件版本，基本可以得出一個結(jié)果，比如一個奇

怪的文件名，顯示微軟的廠商信息，明顯可疑;或者本來應(yīng)該是正常的系統(tǒng)文件

(如或)卻沒有版本信息，可能是被病毒替換或破壞

了;還有廠商信息竟然是1，可以考慮刪除了，應(yīng)該不是聲卡的程

序了。

版本信息中除了廠商以外，還有原文件名，有時你會在這里發(fā)現(xiàn)一個與檢查

文件不同的名字寇紹恩講道 ，真是別有天地。

四、位置

病毒木馬喜歡呆的地方是系統(tǒng)文件夾，windows、windowssystem32、

windows/system32drivers，還有c:programfilesinternet

explorer/c:programfilesinternetexplorerplugin、c:program

filescommonfilesmiscrosoftshared，還有就是臨時文件夾、IE緩存

首先臨時文件夾c:documentsandttings你的用戶名local

ttingstemp和c:windowstemp是一定要清的，而且可以大膽地刪除，不管

好壞，刪了沒事，IE緩存也要清的，不是直接進文件夾刪除，而從IE的菜單工

具-internet選項進入，刪除文件-刪除所有脫機文件，最好在高級那設(shè)成關(guān)閉

瀏覽器時自動清空臨時文件，就省事了。

其它文件夾，主要看是否有不該存在的文件存在，比如windows文件夾中多

了什么瑞星的文件(卡卡的倒是有在那)、realplayer的文件，絕對可疑，還有

比如、突然出現(xiàn)在windows或其它文件夾中，而不是在

它們應(yīng)該在的system32中，也可以確定是病毒。當然可以結(jié)合上面的幾個方法

一起判斷。有的時候是得靠經(jīng)驗，相對而言文件比較少的文件夾比較好判斷，多

出什么很容易發(fā)覺，比如windows、ie文件夾，多看看，就知道基活動總結(jié)范文 本就是那些，

多一兩個exe或dll，馬上可以發(fā)現(xiàn)(很多流氓軟件是會在這里安身)。

還有就是結(jié)合注冊表啟動項，一般啟動項引用到windws中的不多，基本是

輸入法、聲卡管理，更多的就可疑了，指到system32下的了多看兩眼，實在拿

不準，老辦法，到網(wǎng)上查文件名。如果發(fā)現(xiàn)啟動項指向font字體文件夾的，那

不用想了，一定有問題。

服務(wù)驅(qū)動也是如此，不是在system32或driver中的就要多檢查下(自然在

4

它們下面的也要檢查，何況不在)。

除了文件夾位置，還有注冊表位置，除了幾個RUN的啟動項，還有映像劫持

(IFEO)要檢查，值有debugger的都要注意一下，除了最后一個yourimagefile

nameherewithoutapath有個debugger=ntsd-d，其它的是都沒有的，只要

有發(fā)現(xiàn)就是被劫持(免疫的除外，免疫是把已知病毒程序名劫持到不存在的文件

上，使其不能運行)，然后就找劫持文件，就是debugger后面的文件，找到后

連同注冊表項一起刪除。但注意，現(xiàn)在的劫持有的用的不是病毒文件，是系統(tǒng)文

件或命令，比如或ntsd-d，這就不要刪除文件了，只要把注冊表

項刪除。

還有要注意的注冊表項有appinit_dlls，一般為空值(例外，卡卡的一個文

件會放這)，如果多出值就是病毒，按名字找到刪除。還有一個就是urinit，

一般也是空的，多東西修改就要查查是否正常。

推薦用SREng來檢查，比較方便，也會自動提示以上修改。

結(jié)語：

說真的，真要從一堆英文名中找出可疑的文件名挺難的，綜合使用各個方法，

配合工具軟件分類顯示才是捷徑，比如SREng，把服務(wù)驅(qū)動列出來，名字、文件、

路徑一擺，就很明顯了，有的名字就是亂寫的，對照后面的文件名就很清楚了，

有的細心的會冒充系統(tǒng)服務(wù)名，不過與正常的一對比，連網(wǎng)也不用上，也可以找

出問題(隱藏微軟服務(wù)后非微軟的服務(wù)就露出來了，如果還頂個系統(tǒng)服務(wù)名或接

近系統(tǒng)服務(wù)的名字，就一定有問題，不是把正常服務(wù)改了，就是額外加進來的李

鬼)。