瑞星卡卡安全论坛

首页 » 企业产品讨论区 » 瑞星杀毒软件网络版(含Linux) » 常见的病毒无法处理的问题分析
瑞星工程师18 - 2013-5-2 13:56:00

常见的病毒无法处理的问题分析


有用户反馈说瑞星杀毒软件网络版杀不掉某病毒。一般情况下,瑞星杀毒软件网络版如果能够扫描到某病毒,就说明有处理这个病毒的能力。本文将从三个方面详细分析瑞星“杀不掉”某病毒的具体原因。

通常情况下,用户反馈的关于瑞星杀毒软件网络版“无法处理”某病毒的情况可以分为以下三种,具体如图1所示。






                             

1



其中,用户反馈的瑞星不能清除某病毒,最常见的情况是瑞星发现了某病毒并对其进行了清除/删除,但是重新启动计算机后再次查杀,仍然会报病毒。目前比较流行的MS08-067病毒就属于此类,此类病毒多通过系统漏洞、局域网共享来传播,若要彻底处理网内此病毒,需要一些方法措施,比方说修复系统高危漏洞、禁用局域网共享(包括默认共享)、对共享服务器的共享目录进行访问限制、针对不同用户增加权限加以过滤、不要以一些常见的弱口令作为共享密码/登录密码/域账号密码等。此外,访问的网页、使用的U盘、下载的软件、没有彻底查杀的压缩包中的病毒都是杀完后重新感染的来源,所以一定要保证瑞星所有监控处于开启状态,可有效地防止病毒再次感染。
另外一种比较常见的情况是瑞星能够扫描到某病毒,但是无法彻底清除、删除染毒文件,比较常见的有以下四种原因。
一、染毒文件位于系统还原路径、IE缓存文件夹下
这样的情况会造成由于windows自身的机制而无法彻底清除病毒,不过这类病毒可以通过一些简单的方式直接处理干净。比方说那些位于系统还原路径下的病毒,可以通过关闭系统还原达到彻底清除病毒的目的。下面以windows7为例,介绍如何关闭系统还原。
1.
右键点击“计算机”,点击“属性”。(图2


                                                                                    图2
2.  左上方点击“系统保护”。(图3



    图
3

3.  选中需要关闭系统还原的驱动器,点击“配置”。(图4



    图
4

4.      选择“关闭系统保护”。(图5



    图
5
关闭系统还原后,原先位于系统还原路径下的病毒即可彻底清除。












用户系统信息:Mozilla/5.0 (Windows NT 6.1) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.84 Safari/535.11 SE 2.X MetaSr 1.0
瑞星工程师18 - 2013-5-2 13:59:00
二、Window文件保护导致的病毒总杀总有用户系统存在异常现象,导致文件保护功能异常,虽然可以清除病毒但是windows文件保护机制会将备份的染毒文件替换已经恢复正常的文件。




                             



6



对于这种情况,可以通过使用瑞星安全助手修复异常的注册表值来处理。
瑞星工程师18 - 2013-5-2 14:01:00
三、正常模式下,清除失败或者删除染毒文件失败
造成这种结果的情况也有很多种:
l
第一种情况就是位于硬盘上的引导性病毒,这种病毒系统启动后就驻留内存,正常情况下无法彻底清除,可以选择通过瑞星引导杀毒来处理此类病毒。下面介绍如何制作linux引导杀毒盘和如何进行linux引导杀毒。

A.
如何制作LINUX引导杀毒盘
瑞星LINUX引导光盘镜像的下载地址:
http://rsdownload.rising.com.cn/for_down/ravlinux/2011/linux.iso
在点击下载地址下载引导杀毒光盘映像后,将其刻录到光盘。
如果没有刻录机,并且存在安装瑞星个人版杀毒软件/全功能软件的客户端,还可以使用一个更简便的方法——使用U盘制作LINUX引导毒。
制作方法:将一个空U盘插入到电脑,打开个人版瑞星杀毒软件/全功能软件,选择瑞星工具-linux引导盘制作工具,按照提示进行操作即可。
B.
如何进行LINUX引导杀毒

1.
首先要设置计算机为光盘启动或U盘启动。(具体设置方法参考计算机主版说明书或咨询硬件厂商客服)


2.

将制作好的光盘放入光驱(

U

盘需在开机或重启前先连接到电脑),启动后可以看到如下的提示。


3.
选择语言,简体中文,点击确定。(图7





7



4.
杀毒软件启动后,选择设置。(图8




8


5.
选择发现病毒时进行自动清除。选择清除失败时进行询问后处理。(图9




9



6.
点击杀毒,便开始对计算机进行全盘查杀。杀毒结束后点击退出,然后取出光盘或拔出U盘,重启计算机。
此外如果染毒程序正在运行中,受到了系统保护,这种情况肯定是无法直接处理的,对于非系统程序,可以尝试从任务管理器中结束此进程后再删除,如果无法通过任务管理器删除,则可能此进程为双进程保护或者病毒在设计上就屏蔽了此操作等原因,对于这种情况,建议进入安全模式下全盘杀毒。对于一些感染型病毒,尤其是被感染的系统文件,甚至包括瑞星的自身文件的病毒,一旦感染这种病毒,首先尝试进入安全模式全盘杀毒,看是否可以正常杀毒并处理,如果不能彻底清除,建议使用瑞星PE版杀毒以达到彻底处理的目的。下面介绍下瑞星PE杀毒的详细步骤。
1.
该版本必须在不解压缩的状态下通过刻录光盘或其他方式拷贝到由于病毒原因无法安装瑞星杀毒软件计算机中任意磁盘目录下。(如果解压缩拷贝可能会造成文件被病毒感染无法正常运行的情况)
2.
通过开机加载windows PE系统的方式,找到之前拷贝的PE版瑞星2011杀毒压缩文件并正常解压缩后运行执行杀毒.exe进程即可,如图10




10



等待查杀清除病毒结束后,重启计算机即可。
使用PE杀毒注意事项:
1.
开机引导的windows PE系统针对某些使用磁盘阵列的服务器,可能会因为没有磁盘阵列驱动导致无法找到正常系统所使用的磁盘,故请更换查找适合此类型磁盘的相关windows PE系统版本。
2.
凡因为感染exe类型文件病毒的计算机在已安装瑞星杀毒软件的情况下,如果可以正常进入安全模式的话,请在安全模式下启动瑞星查杀,不建议直接使用此种方式处理。
3.
由于被感染exe类型文件有可能会存在文件结构被病毒破坏严重的情况,故通过PE版瑞星杀毒重启后可能会导致部分文件不能正常使用,可以重装相关软件或拷贝相应的exe执行文件均可解决,但如果系统感染病毒严重,会存在PE杀毒后无法正常进入系统的情况,故请在杀毒前备份相关重要数据,以防万一。

l
另外一种清除病毒失败或删除染毒文件失败的情况就是病毒随系统启动,有驱动保护,这也是病毒最有效的保护方法,一般是在drivers目录下增加一个或多个.sys文件,本质上是在HKLM\SYSTEM\CurrentControlSet\Services\下建一个相关的键值,如CNNIC建立的就是HKLM\SYSTEM\CurrentControlSet\Services\cdnprot,并且将启动级别做得很高,在安全模式下也会启动,这个底层的驱动会过滤所有的文件以及注册表操作,如果发现是对自己的文件/注册表操作,就返回一个true,如果发觉文件被删除,就通过备份或网络下载来恢复,普通用户根本没办法删除相关文件,还有一些rootkit类病毒,很多时候就是安全模式也无法彻底清除,对于这种情况,可以使用瑞星PE杀毒已达到彻底处理病毒的目的。
这几类瑞星会清除失败的病毒,大部分是由于用户没有实时开启瑞星监控导致病毒进入系统,或者安装瑞星前已经感染了病毒。正常情况下,开启瑞星所有监控,病毒入侵计算机前就可以被处理掉,无法感染客户端,也就不会出现在正常情况下瑞星清除病毒或删除染毒文件失败的情况,所以保证瑞星监控实时开启是非常有必要的。
瑞星工程师18 - 2013-5-2 14:03:00
四、瑞星对于病毒的处理方式为用户忽略
此现象主要有两种情况:
A.
用户选择的病毒处理方式不正确。管理员可以通过定位对病毒处理方式为用户忽略的客户端,然后查看客户端的防毒策略设置来核实客户端对病毒的处理方式。(图11


                             



11



查看客户端对实时监控、嵌入式杀毒和手动查杀发现病毒、杀毒失败和备份失败的处理方式,确认一下客户端对发现病毒的处理方式是不是为不处理,如果是不处理,建议修改成默认策略,以方便发现病毒时清除病毒。(图12




12



B.
病毒隔离区空间不足。如果瑞星病毒隔离区已满,瑞星对病毒的处理方式会是用户忽略。下面介绍一下如何确认瑞星隔离区空间是否已满。
1.
启动病毒隔离系统(图13
方法一:在瑞星网络版客户端软件主程序界面中,选择【工具】/【病毒隔离区】/【运行】。
方法二:在Windows画面中,选择【开始】/【程序】/【瑞星杀毒软件网络版】/【病毒隔离区】。




13



2.
选择设置空间,查看隔离区剩余大小。(图14




14



为避免由于备份文件过多而占用大量磁盘空间,用户可以设置病毒隔离系统占用存储空间的大小。当隔离区空间已满时,用户可以选择【空间自动增长】或使用【替换最老的文件】处理。方法是:启动【病毒隔离区】,选择【工具】/【设置空间】,在【设置】对话框中选择后,再按【确认】保存设置。

另外,瑞星无法处理某些病毒,还存在一种情况是瑞星没有发现病毒,而用户怀疑感染了病毒。有时会有用户反馈说瑞星为什么不能处理某病毒,但通过查看病毒库,发现某病毒不是瑞星所报病毒,后确认用户提供的病毒名是别的杀软查到的。对于这种情况,建议将瑞星升级到最新版本后杀毒,如果瑞星已经是最新版本后仍然查杀不到此病毒,可以上报病毒样本供我们分析,以确认相关文件是不是病毒,如果确定为病毒,瑞星会在下一次版本更新后查杀此病毒。还有用户因为计算机的一些异常情况怀疑感染病毒,对于这种情况,我们会通过发送相关工具提取计算机相关信息以判断计算机是否感染病毒,如果经分析确实感染病毒,我们会通过提取相关文件以便下次瑞星更新后可以查杀此病毒;如果经过分析,用户计算机没有感染病毒,不过仍然有异常现象,则可能是网内其他机器影响本机导致,比方说网内有其他机器感染了ARP病毒,会导致没有感染病毒的机器出现无法访问网络等一些异常情况。
1
查看完整版本: 常见的病毒无法处理的问题分析