处理感染

发布日期： 2007年07月10日

恶意软件无时无刻、不停歇地威胁着任何一个组织。在本指南的这一部分中，我们假定您已经认为您的计算机或您组织的其他计算机已遭病毒感染。您可以使用本部分描述的 4 阶段过程来确定问题本质、限制病毒传播，使用 Microsoft 和其他第三方资源提供的免费恶意软件扫描工具将其删除并验证恶意软件已被删除，然后根据需要执行后续步骤。

恶意软件鬼讦多变，故无一款防病毒或反间谍软件解决方案可保证能够抵制所有病毒侵袭。如果您依照本部分所述对各个阶段进行操作之后，仍需要恶意软件方面的更多帮助，请与 Microsoft 产品支持服务联系：

• 美国和加拿大地区的客户请拨打免费电话 (866) PCSAFETY (866) 727-2338。

• 美国和加拿大以外地区的客户请访问 IT 专业人员安全帮助与支持中心网页。

本页内容

阶段 1：马上行动
阶段 2：扫描计算机中的恶意软件
阶段 3：使用工具包运行脱机扫描
阶段 4：后续步骤

阶段 1：马上行动

您一旦意识到计算机遭遇恶意软件问题、但却无法运行计算机中的防病毒软件时，请立即断开计算机与网络的连接、关闭计算机，然后直接参考“阶段 3：使用工具包运行脱机扫描”。

收集信息。如果可能，请向发现计算机问题的人员进行询问，以了解其对下列问题的回答：

• 出现问题时都发生了什么情况？

• 在问题出现之前正使用计算机执行什么操作？

• 本机的防病毒程序报告了哪些信息（如果有的话）？

• 计算机中有尚未备份的重要数据吗？

• 系统最近访问过什么网站？

• 计算机是否在运行标准程序以外的其他程序？

在收集到尽可能多的有关感染的信息后，下一阶段将开始清除过程。

注意：

获得可疑程序或文件名是非常有帮助的，这样您可在 Internet 上进行搜索，确定它们是否为恶意软件。

阶段 2：扫描计算机中的恶意软件

请按照规定顺序进行下列步骤操作，以便能够最有效地利用计算机中安装的反恶意软件程序，在线和脱机扫描恶意软件：

1. 运行计算机中的防病毒和反间谍软件。

2. 运行在线扫描工具。

3. 在安全模式下使用联网选项运行在线扫描工具。

步骤 1：运行计算机中的防病毒和反间谍软件

对计算机进行全面病毒感染扫描的方法取决于具体的防病毒应用程序。请查看程序的帮助内容以了解如何执行全面病毒扫描。

扫描间谍软件与扫描病毒类似。应在计算机中运行实时的间谍软件扫描软件。运行 Windows XP 的计算机可使用免费的 Windows Defender。如果运行的是 Windows Vista，则 Windows Defender 已包括在操作系统中。要启动 Windows Defender，请单击开始，单击所有程序，单击 Windows Defender 以打开程序，然后单击扫描。允许程序执行全面扫描。

有关 Windows Defender 工作原理的详细信息，请参阅 TechNet 上的 Windows Defender 技术概述。

步骤 2：运行在线扫描工具

运行在线扫描，使用 Windows Live OneCare 安全扫描程序 等类似工具，确保计算机已通过比对最新的防病毒和反间谍软件签名，对计算机进行过病毒和间谍软件以及其他有潜在危害软件的检查。

其他在线扫描软件供应商包括：

• Kaspersky Online Scanner

• McAfee FreeScan

• Symantec Security Check

• Trend Micro HouseCall

此外还有几款在线软件工具提供专业的扫描，如 VIRUSTOTAL，可用来针对单个文件进行恶意软件扫描。

步骤 3：在安全模式下使用联网选项运行在线扫描工具

完成在线扫描后，如果您怀疑恶意软件仍存留在计算机中，请重新启动计算机并进入安全模式，然后再次运行在线扫描。在安全模式下完成在线扫描后，可使用指南中所建议的与本工具包一同使用的脱机扫描工具进行扫描。

有关如何在安全模式下启动计算机的详细信息，请参阅：

• “ Windows XP 中安全模式启动选项的说明”：Microsoft 知识库文章 315222。

• 对于 Windows Vista：高级启动选项（包括安全模式）。

阶段 3：使用工具包运行脱机扫描

要使用恶意软件删除初学者工具包，请从光盘启动计算机，然后使用脱机扫描工具在主硬盘驱动器“脱机”时对其进行修复。利用这种方式，可不必使用计算机的硬盘驱动器启动计算机或对其进行扫描。运行在线扫描需要您以正常启动顺序启动计算机，它会从计算机的硬盘驱动器加载一些在此启动顺序中会被操作系统锁定的文件。要访问和删除已更改或破坏这些在正常情况下被锁定的系统文件的恶意软件，需要使用与本指南所述类似的一些脱机程序。

要点：

如果磁盘已使用一些加密工具（如 BitLocker™）进行了加密、或磁盘被作为 RAID 卷的一部分进行管理亦或磁盘已损坏，则不能对磁盘进行恶意软件扫描。在这些情况下，或者如果您不确定磁盘的状态，请向专家咨询以确定其状态。

由于恶意软件鬼讦多变，因此没有一种过程可以完全有效地将其从计算机中清除。在本部分中所描述的“准备离线扫描工具包”过程已经过 Microsoft 的测试，可视为一种非常行之有效的解决方案。本指南的“扫毒行动计划”部分为您讲述了如何使用在线免费工具来创建 Windows PE 工具包，以便您可以对您组织中运行 Windows XP SP2 或 Windows Vista 的计算机进行扫描恶意软件。

阶段 4：后续步骤

如果在使用本工具包中的指南后，恶意软件似乎仍在危害计算机，则可以考虑使用“系统还原”功能，将计算机恢复到已知的正常状态。“系统还原”将关键系统文件和某些程序文件“定格”，并将此信息在计算机的硬盘驱动器上保存为一个“还原点”。以后可使用此“还原点”将操作系统恢复到以前的状态。有关“系统还原”的详细信息，请参阅以下资源：

• 如何在 Windows XP 中将操作系统恢复到以前的状态。

• 对于 Windows Vista：Windows 备份和还原中心。

如果此时计算机仍存在恶意软件迹象，您还有两种选择：

• 求助专家。

• 重装计算机。

如果恶意软件狡猾地避开了本指南建议的 Windows PE 工具包的恶意软件扫描功能，则您有必要寻求专家的帮助才能删除恶意软件。由于寻求专家帮助可能费时费钱，因此更快更省钱的方法通常是删除计算机硬盘驱动器上的文件，然后重新安装操作系统和软件程序。

如果选择重装计算机，请确保在此过程中始终使用值得信任的媒体。重装计算机后，在重新接入网络前，必须确保安装了所有更新和防病毒软件以防病毒继续传播。

下载

获得恶意软件删除初学者工具包

更新通知

注册以了解有关更新和新版本的信息

反馈

把您的意见或建议发给我们