许多中小型组织都使用防病毒软件，但这些组织中仍有众多电脑受到新的病毒、蠕虫及其他形式怀有恶意的软件（恶意软件）的感染。恶意软件增长的速度十分惊人并且方式多样，这使得它们如今在广泛传播。
本指南旨在为 IT 高手们提供所需的信息和建议，以便有效地解决和限制恶意软件对中小型组织中计算机的感染。本指南提供了一组任务，Windows® 许可用户可免费执行以创建恶意软件删除初学者工具包。其中还包括有关免费的恶意软件扫描工具的建议说明。这些工具可与工具包结合使用，执行扫描操作、检测问题并将恶意软件从计算机中删除。
  恶意软件威胁限制恶意软件传播的第一步是了解恶意软件作者可以用来攻击计算机的各种技术手段。恶意软件威胁直接以用户和计算机为目标。然而，多数威胁来自以用户而非以计算机为目标的恶意软件，了解这一点也十分重要。如果能够诱使具有管理员级别用户权限的用户启动攻击，那么恶意代码就更有能力来执行其任务。相对于依靠应用程序或操作系统中的安全漏洞或弱点的攻击，此类攻击所造成的损害通常会更大。
此初学者工具包的“规划响应”部分重点说明了计算机可能遭受的几种恶意软件攻击方式，以及如何使用本指南建议的 Windows 预安装环境 (Windows PE) 工具包和其他免费的反恶意软件程序来处理恶意软件攻击。



恶意软件是如何闯入的？恶意软件使用多种不同的方法在计算机之间尝试进行复制传播。下表列出了组织中常见的恶意软件威胁，并提供了可用来减小威胁的工具示例。
表 1：恶意软件威胁和减小威胁的方法

威胁	说明	减小威胁
电子邮件	许多恶意软件攻击都选择电子邮件作为传输机制。	• 垃圾邮件筛选器 • 实时防病毒和反间谍软件扫描程序 • 用户教育背景
网页仿冒	网页仿冒攻击会尝试诱使他人泄露其个人详细信息，如信用卡号或其他财务或个人信息。虽然这些攻击很少用于传播恶意软件，但由于可能会造成信息泄露，因此它们仍属主要的安全问题。	• 垃圾邮件筛选器 • 弹出窗口阻拦程序 • 反网页仿冒筛选器 • 用户教育背景
可移动媒体	此类威胁包括软盘、CD-ROM 或 DVD-ROM 光盘、Zip 驱动器、USB 驱动器和内存卡（媒体），例如数码照相机和移动设备中使用的内存卡。	• 实时防病毒和反间谍软件扫描程序 • 用户教育背景
Internet 下载	恶意软件可能会从 Internet 网站（如社交网站）直接被下载下来。	• 浏览器安全性 • 实时防病毒和反间谍软件扫描程序 • 用户教育背景
即时消息	多数即时消息程序允许用户与其联系人列表中的成员共享文件，这就为恶意软件提供了一条传播途径。此外，这些程序也是许多恶意软件攻击的直接目标。	• 实时防病毒和反间谍软件扫描程序 • 个人防火墙 • 限制未授权的程序 • 用户教育背景
对等 (P2P) 网络	要启用文件共享，用户首先要安装 P2P 程序的客户端组件并使用已批准的网络端口（如端口 80）。在 Internet 上很容易下载众多的 P2P 程序。	• 实时防病毒和反间谍软件扫描程序 • 限制未授权的程序 • 用户教育背景
文件共享	在将计算机配置为允许通过网络共享共享文件时，也为恶意代码的传播提供了另一个传输机制。	• 实时防病毒和反间谍软件扫描程序 • 个人防火墙 • 用户教育背景
恶意网站	恶意网站开发人员可利用网站的功能尝试散布恶意软件或不良材料。	• 浏览器安全性 • 弹出窗口阻拦程序 • 反网页仿冒筛选器 • 用户教育背景
远程攻击	恶意软件可能会试图利用服务或应用程序中特定的弱点进行自我复制。Internet 蠕虫病毒经常使用这种伎俩。	• 安全更新 • 个人防火墙
网络扫描	恶意软件编写者利用这一机制来扫描网络，寻找有开放端口的易受攻击的计算机或随机选择 IP 地址进行攻击。	• 软件更新 • 个人防火墙
词典式攻击	恶意软件编写者逐个尝试词典中的每个词来猜测用户密码，直到成功为止。	• 强密码策略 • 用户教育背景

        从安全性角度考虑，最好阻止所有这些恶意软件传输方法，但这将严重限制组织中计算机的实用性。很可能需要允许某些或全部方法，但同时要对其加以限制。没有一种反恶意软件解决方案适合所有组织，因此要对组织中的计算机要求和风险进行评估，然后再决定如何更有效地防止恶意软件利用它们。
Microsoft 仍将一如既往地致力于确保其软件和服务的安全，与合作伙伴共同努力对抗恶意软件的威胁。为了减小恶意软件威胁造成的影响，近期 Microsoft 做出了很多努力，其中包括：

•	开发防御工具，如 Windows Defender、Microsoft Forefront、Windows Live™ OneCare safety scanner、Malicious Software Removal Tool 以及可通过“Windows 安全中心”获取的其他资源。有关这些安全工具及其他安全工具的详细信息，请参阅 Microsoft.com 上的 TechNet 安全中心或安全之家网页。
•	Microsoft 恶意软件防护中心，提供了有关对运行 Windows 的计算机的桌面和电子邮件威胁最大的一些恶意软件的最新信息。
•	Microsoft 安全响应联盟，提供了有关 Microsoft 病毒倡议 (MVI)、病毒信息联盟 (VIA) 以及其他成员组织的信息。
•	支持立法以杜绝垃圾邮件，并与执法人员和 Internet 服务提供商 (ISP) 密切配合以协助起诉垃圾邮件制造者。有关致力于此工作的联盟的信息，请参阅美国在线、微软和雅虎联合反对垃圾邮件。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CIBA)

只有将最坏的情况考虑在内的规划才是完整的规划。如果所有防御措施都被攻破，您应该确保您的同事知道该做些什么。当遭遇严重攻击时，您的快速响应能力会产生大不相同的结果。

当规划响应时应注意，对恶意软件问题的过度反应可能导致与遭受实际攻击几乎相同的破坏！您的响应应该规划为快速而有分寸，尽可能减少对同事产生的影响。

本页内容
创建事件响应计划
准备离线扫描工具包

创建事件响应计划
创建说明当可疑恶意软件爆发时会发生什么情况的事件响应计划，对您的组织来说是非常重要的准备步骤。当恶意软件爆发时，该计划应该有助于指导所有受影响的员工采取最佳的应对措施。它应该将攻击的影响降到最小，并传达供员工遵循的事件响应流程文档。例如，设计良好的计划将能够管理如下一系列典型事件：

1.
员工发现计算机屏幕上出现一些奇怪的东西之后呼叫内部支持资源。

2.
支持资源检查该计算机并拨打支持电话。

3.
支持技术人员给出响应并完成简短的诊断测试，随后根据问题的严重程度清理或重建系统。


整个响应流程将在几小时内完成，因此制定一个在该流程完成前帮助最小化恶意软件进一步传播风险的计划是非常重要的。例如，如果支持资源受过在计算机上运行防病毒软件，并在支持技术人员到来之前从可疑计算机上拔下网线的培训，则这种初始响应能够防止该计算机感染其他计算机。

当规划您的事件响应计划时，通常需要考虑两种典型情况：

• 个体感染。当恶意软件感染单独的计算机时出现这种情况，目前最为常见。

• 大规模爆发。幸好这种情况并不常见。大规划爆发有可能在组织内部导致严重破坏。这种情况通常在员工报告大量具有相似症兆的个体感染之后才能察觉。


您的事件响应计划可以涵盖这两种情况，因为针对大规模爆发的响应流程是针对个体感染响应的扩展。通常爆发响应将要求您暂时与组织的网络隔离，以防止攻击进一步传播，并为支持人员留出时间清理受感染的系统。在某些情况下，在组织内的计算机重新连接至网络前可能需要通知网络管理员或相应的负责人员更改防火墙或路由器设置。例如，如果恶意软件使用特定的网络端口感染计算机，则在防火墙上阻隔该端口能够防止再次感染，同时使其他网络能够继续通信。

  要点：
如果使用工具包清理计算机后仍然检测到存在恶意软件，建议您关闭计算机并在 5 到 10 个工作日内不要使用计算机，或者直到防病毒提供商发布病毒签名更新后再使用计算机。您可以随后使用工具包下载最新的签名文件并重新扫描计算机以便更有效地解决问题。

有关如何组织和制定事件响应计划的更多信息，请参见下列资源：

• 防病毒纵深防御指南。

• Microsoft TechNet 上的响应 IT 安全事件页面。

• Windows 2000 Server 安全指南第 3 章“理解安全风险管理规范”了解事件响应信息。

• Microsoft Operations Framework (MOF) 中的服务管理功能事件管理。

• Microsoft Press 上的 Windows 安全资源工具包第二版。


返回页首
准备离线扫描工具包
本部分提供建议、支持规范和一小组能够用于准备 Windows 预安装环境 (Windows PE) 工具包的任务和指导。您可以将该工具包与一套工具组合起来对组织内部的计算机进行恶意软件离线扫描。

Windows PE 为 Windows 操作系统提供功能强大的准备和安装工具。通过 Windows PE，您可以从可移动磁盘中启动 Windows，它能提供资源以便在客户端计算机上对 Windows 进行故障排除。有关 Windows PE 的更多信息，请下载 Windows 预安装环境技术概述。

不支持的工具和技术
Windows PE 不支持以下工具和技术：

• Internet Explorer® 7。

• 使用 Microsoft Windows 安装程序（.msi 文件）的应用程序。


先决条件
以下是准备 Windows PE 工具包所需的操作系统和功能：

• Windows Vista® 或带 Service Pack 2 (SP2) 的 Windows XP®。

• 用于写入 CD-ROM 的 DVD 刻录机和软件。

• 计算机硬盘有 992 MB 空闲空间用于下载 Windows PE .img 文件。

  注意：
如使用默认工具包脚本，计算机的 C 盘上还需要额外 800 MB 空间用于引导映像。

• 用于运行 Windows Installer 的 Microsoft .NET Framework 2.0 和 MSXML。


可以使用以下资源满足这些需求：

• Microsoft .NET Framework Version 2.0 Redistributable Package (x86)。

• Microsoft Core XML Services (MSXML) 6.0。


有关 32 位和 64 位系统需求的更多信息，请参阅：

• Windows 预安装环境概述。


任务概述
完成以下任务让恶意软件删除初学者工具包做好离线扫描的准备：

• 任务 1：安装 Windows 自动安装工具包 (AIK)

• 任务 2：下载恶意软件扫描工具和实用程序

• 任务 3：创建恶意软件删除初学者工具包 CD-ROM

• 任务 4：使用恶意软件删除初学者工具包扫描您的计算机


任务 1：安装 Windows 自动安装工具包 (AIK)
该过程的第一项任务是获得 Windows 自动安装工具包 (AIK)。它包括 Windows PE 和安装在您计算机上的其他文件。该工具包默认以 (*.img) 文件格式安装在您选择的任何系统驱动器上。

  注意：
AIK 支持 Windows Vista 和 Windows XP SP2。

要在计算机上安装 AIK：

1.
从 Microsoft 下载中心 Windows 自动安装工具包 (AIK) 页面下载 AIK。

  注意：
AIK .img 文件的大小为 992 兆字节 (MB)。因此，下载该文件可能需要很长时间，具体取决于您到 Microsoft 下载中心的连接速度。

2.
将 AIK 的 .img 文件刻录到 DVD 上。

  注意：
如果您的 DVD 刻录软件无法识别“.img”文件，请在下载的另存为对话框中展开保存类型下拉列表，将文件类型更改为所有文件并将文件扩展名从 .img 改为 .iso，然后再次尝试将信息刻录至 DVD。

3.
在您创建的 AIK DVD 上，双击 StartCD.exe 在您的计算机上安装 AIK。


任务 2：下载恶意软件扫描工具和实用程序
您将需要确定希望与 Windows PE 搭配使用扫描计算机上恶意软件的工具。Windows PE 不支持使用 .msi 程序包在计算机上安装的工具。另外，您计算机上的随机访问内存 (RAM) 容量可能会限制您所能使用的扫描工具。

有许多反恶意软件工具可供免费使用，并且不需要安装即可在 Windows PE 环境中作为程序文件运行。还可以从 USB 设备中运行这些工具。

将想要使用的恶意软件扫描工具下载至计算机上的临时位置。

  要点：
一些反恶意软件工具需要联网才能运行。因此，当使用本指南创建恶意软件删除初学者工具包 CD-ROM 时，请只使用可以离线使用的反恶意软件工具。建议您阅读所选择使用的所有离线扫描工具的安装说明。一些工具可能不兼容所有的 Windows 操作系统。

编写本指南时，以下工具能够在运行 Windows XP SP2 或 Windows Vista，RAM 至少为 512 MB 的计算机上与 Windows PE 一同运行：

• Alwil Software 提供的 avast!Virus Cleaner。该工具可以离线使用。该工具的签名文件以列出的下载日期为当前版本。

• McAfee AVERT Stinger，McAfee 提供的独立病毒扫描程序。该工具可以离线使用。该工具的签名文件以列出的下载日期为当前版本。

• Microsoft 提供的 Malicious Software Removal Tool。该工具可以离线使用。该工具的签名文件以列出的下载日期为当前版本。

• Spybot Search and Destroy 提供的 Spybot - Search & Destroy。

  注意：
使用该工具前，您必须首先将其安装在想要扫描的计算机上，然后从 Spybot 下载最新的签名文件检测更新项。安装完该工具后，默认从 X:\Program Files\Spybot – Search & Destroy\spybotsd 启动该程序，除非在安装过程中指定了其他路径。该工具的签名文件以列出的下载日期为当前版本。有关使用该工具的更多信息，请参见 Spybot 网站上的指南页面。


删除恶意软件时，以下实用程序可帮助您管理您的计算机：

• Freeware Utilities by Alex Nolan 网站的 Drive Manager。该工具确定不同的驱动器类型，如硬盘驱动器、CD/DVD 驱动器、USB 驱动器、网络驱动器并列出它们的属性以供分析。该工具可以离线使用。

• Freeware Utilities by Alex Nolan 网站上的 System Spec 会提供当前计算机硬件的相关信息。如果在计算机维修时需要提供有关硬件的详细信息，该工具将特别有用。该工具可以离线使用。


任务 3：创建恶意软件删除初学者工具包 CD-ROM
创建恶意软件删除初学者工具包 CD-ROM 需要您为工具包生成 Windows PE 映像、通过为其添加工具修改基础 Windows PE 映像、更改磁盘缓存大小以提供额外的 RAM 空间，并且构建 .iso 映像文件以便将修改后的映像刻录至 CD-ROM。您需要定期为 CD-ROM 中的离线扫描工具下载最新的病毒签名更新以便尽可能有效地检测恶意软件。

  要点：
开始创建 Windows PE 映像后，至关重要的是无中断地完成该任务的所有步骤。如果您已经下载了计划使用的工具，那么该过程应该在 30 分钟内完成，实际时间取决于您系统的性能以及是否严格遵照上述任务步骤。您需要在 C 盘上留出大约 800 MB 空闲空间以完成此过程。确保您已根据需要更新了所有驱动器盘符参照。

要创建恶意软件删除初学者工具包 CD-ROM：

1.
以管理员帐号登录计算机，单击开始，单击所有程序，单击 Microsoft Windows AIK，并单击Windows PE Tools Command Prompt。

  注意：
该步骤适用于 Windows XP。如果您的计算机运行 Windows Vista，则右键单击 Windows PE Tools Command Prompt，单击以管理员身份运行，然后单击继续。

2.
在命令提示符处键入以下命令并按 Enter 以创建 Windows PE 的 x86 映像副本并在计算机上建立工作文件夹目录：

copype x86 c:\WinPE

3.
在新目录 c:\WinPE 的命令提示符处键入以下命令并按 Enter 安装 WinPE.wim 映像，以便您能够更改它：

imagex /mountrw winpe.wim 1 c:\WinPE\Mount

4.
在命令提示符处键入以下命令然后按 Enter 访问以下注册表子项：

reg load HKLM\_WinPE_SYSTEM c:\WinPE\Mount\windows\system32\config\system

5.
在命令提示符处键入以下命令然后按 Enter 创建 96 MB RAM 磁盘缓存：

reg add HKLM\_WinPE_SYSTEM\ControlSet001\Services\FBWF /v WinPECacheThreshold /t REG_DWORD /d 96 /f

6.
在命令提示符处键入以下命令然后按 Enter 退出该注册表键：

reg unload HKLM\_WinPE_SYSTEM

7.
在 Mount 文件夹下为恶意软件扫描工具创建目录（例如，可以为该文件夹取名为“Tools”）。

mkdir c:\WinPE\mount\Tools

8.
将任务 2 中下载的工具文件复制到刚刚创建的 tools 目录。示例：

copy <任务 2 中工具所在的目录> c:\WinPE\mount\Tools。

9.
在命令提示符处键入以下命令，按下 Enter，然后键入 Yes 并再次按 Enter 继续：

peimg /prep c:\WinPE\Mount

10.
在命令提示符处键入以下命令然后按 Enter 保存更改：

imagex /unmount c:\WinPE\Mount /commit

11.
在命令提示符处键入以下命令，按 Enter，然后键入 Yes 覆盖现有文件：

copy c:\WinPE\WinPE.wim c:\winpe\ISO\sources\boot.wim

12.
在命令提示符处键入以下命令然后按 Enter 创建 Windows PE 映像的 .iso 文件：

oscdimg -n -bc:\WinPE\etfsboot.com c:\WinPE\ISO c:\WinPE\WinPE_Tools.iso

13.
将 c:\WinPE\WinPE_Tools.iso 处的 .iso 文件刻录至 CD-ROM 并测试 Windows PE 映像，验证它是否能够正确运行所有恶意软件扫描工具。

  注意：
您还可以使用 Microsoft Virtual PC 2007 测试该映像。


您的恶意软件删除初学者工具包 CD-ROM 现在已经准备就绪。如果要求经常为您的环境更新病毒签名，建议您使用 USB 设备获取最新更新来维护您所选择的扫描工具。

任务 4：使用恶意软件删除初学者工具包扫描您的计算机
现在您已经准备好使用 Windows PE 映像和您所选择的工具来扫描计算机上的恶意软件。

要使用 Windows PE CD-ROM 和工具扫描您的计算机：

1.
将新 CD-ROM 放入计算机的 CD 驱动器或 DVD 驱动器，然后确保计算机的启动顺序为从该驱动器启动。

选项：将 USB 设备插入计算机上的插槽以确保启动操作系统时加载该设备。

  注意：
有关从 Windows PE CD-ROM 启动盘上启动计算机的详细信息，请参阅 Microsoft.com 上的 Windows 预安装环境概述。该资源提供有关为计算机启动顺序配置基本输入/输出系统 (BIOS) 设置，以及其他可能阻止您从 CD 驱动器启动计算机的 BIOS 设置方面的信息。

2.
运行您选择的恶意软件扫描工具。如果在任务 3 中使用默认配置信息构建 Windows PE 映像，则工具将位于 X:\Tools。您可以通过在命令提示符处键入各个程序文件的名称来运行列出的工具。

选项：如果您插入 USB 设备提供更新签名或工具，并且无法确定 USB 设备目前使用的驱动器盘符，那么您可以使用位于 X:\Tools 下的 Drive Manager 来确定驱动器盘符。

  注意：
要运行 Spybot，请参考 Spybot 的安装说明，并确保定义程序文件在计算机上安装该工具之后运行。


  小心：
在已感染的计算机上运行恶意软件扫描工具可能会使计算机无法正常启动。如果重要的引导文件被恶意软件感染，则清除过程可能使操作系统无法正常工作。因此，定期备份计算机上所有重要的信息文件是非常重要的。另外，在将这些文件从备份资源恢复到计算机之后，建议您再次扫描计算机以便检测在备份文件中是否可能存在恶意软件。

通常，恶意软件都以计算机的操作系统为攻击目标。多年以来，由于 Windows 操作系统倍受欢迎，因此一直是主要攻击目标。但是，最近专门针对其他操作系统的恶意软件的数量也在不断增加。此外，许多恶意程序还以 Microsoft 和第三方的应用程序为目标，在某些情况下甚至以防病毒软件为目标。为此，保持操作系统和应用程序的更新十分重要。

虽然大多数恶意软件的攻击都针对个人计算机，但个人计算机并不是唯一目标。移动设备（如个人数字助理 (PDA)）、便携式游戏系统甚至手机都已成为攻击目标。

某些恶意软件需要在目标计算机上安装特定的应用程序后才能运行。大量的 Internet 欺诈和网页仿冒攻击使得计算机用户成为安装此类应用软件的目标。在许多情况下，诱使用户运行恶意软件要比建立自动运行机制更为容易。为此，对员工和管理人员进行培训使其能够辨别可能存在的 Internet 欺诈和网页仿冒企图至关重要。

本页内容
检查性能问题

检查性能问题
计算机应时常运行实时防病毒和反间谍软件程序，以便在发现受到感染时提供警报消息。但是，如果发现运行不正常或系统运行速度变慢，可随时运行全面系统扫描。

如果出现以下几个主要性能问题，则表明计算机可能已被感染：

• 计算机运行速度比正常速度慢很多。

• 计算机经常对程序或系统命令停止响应。

• 计算机经常出现故障，需要重新启动。

• 计算机自动重新启动，然后无法正常运行。

• 计算机无法正确运行应用程序。

• 无法访问计算机上的磁盘或磁盘驱动器。

• 无法正确打印。

• 收到异常的错误消息或弹出窗口。

• 出现扭曲的菜单和对话框。

• Internet 浏览器的主页莫名被改变。

• 无法访问计算机上的管理员共享内容。

• 发现磁盘空间丢失，原因不明。


虽然这不是一个完整的列表，但是描述了一些可能表明计算机上存在恶意软件的异常情况。如果遇到上述任何一种性能问题，您可以运行全面扫描以更准确地判断是否感染了恶意软件。

  注意：
出现上述问题的所有计算机并非都感染了恶意软件。配置有误的应用程序或软件故障也可能导致此类问题。要避免出现对恶意软件攻击的误报，请确保操作系统和应用程序都安装了最新的安全更新和 Service Pack，并且计算机有足够的内存来运行应用程序。

恶意软件无时无刻、不停歇地威胁着任何一个组织。在本指南的这一部分中，我们假定您已经认为您的计算机或您组织的其他计算机已遭病毒感染。您可以使用本部分描述的 4 阶段过程来确定问题本质、限制病毒传播，使用 Microsoft 和其他第三方资源提供的免费恶意软件扫描工具将其删除并验证恶意软件已被删除，然后根据需要执行后续步骤。

恶意软件鬼讦多变，故无一款防病毒或反间谍软件解决方案可保证能够抵制所有病毒侵袭。如果您依照本部分所述对各个阶段进行操作之后，仍需要恶意软件方面的更多帮助，请与 Microsoft 产品支持服务联系：

• 美国和加拿大地区的客户请拨打免费电话 (866) PCSAFETY (866) 727-2338。

• 美国和加拿大以外地区的客户请访问 IT 专业人员安全帮助与支持中心网页。


本页内容
阶段 1：马上行动
阶段 2：扫描计算机中的恶意软件
阶段 3：使用工具包运行脱机扫描
阶段 4：后续步骤

阶段 1：马上行动
您一旦意识到计算机遭遇恶意软件问题、但却无法运行计算机中的防病毒软件时，请立即断开计算机与网络的连接、关闭计算机，然后直接参考“阶段 3：使用工具包运行脱机扫描”。

收集信息。如果可能，请向发现计算机问题的人员进行询问，以了解其对下列问题的回答：

• 出现问题时都发生了什么情况？

• 在问题出现之前正使用计算机执行什么操作？

• 本机的防病毒程序报告了哪些信息（如果有的话）？

• 计算机中有尚未备份的重要数据吗？

• 系统最近访问过什么网站？

• 计算机是否在运行标准程序以外的其他程序？


在收集到尽可能多的有关感染的信息后，下一阶段将开始清除过程。

  注意：
获得可疑程序或文件名是非常有帮助的，这样您可在 Internet 上进行搜索，确定它们是否为恶意软件。

返回页首
阶段 2：扫描计算机中的恶意软件
请按照规定顺序进行下列步骤操作，以便能够最有效地利用计算机中安装的反恶意软件程序，在线和脱机扫描恶意软件：

1.
运行计算机中的防病毒和反间谍软件。

2.
运行在线扫描工具。

3.
在安全模式下使用联网选项运行在线扫描工具。


步骤 1：运行计算机中的防病毒和反间谍软件
对计算机进行全面病毒感染扫描的方法取决于具体的防病毒应用程序。请查看程序的帮助内容以了解如何执行全面病毒扫描。

扫描间谍软件与扫描病毒类似。应在计算机中运行实时的间谍软件扫描软件。运行 Windows XP 的计算机可使用免费的 Windows Defender。如果运行的是 Windows Vista，则 Windows Defender 已包括在操作系统中。要启动 Windows Defender，请单击开始，单击所有程序，单击 Windows Defender 以打开程序，然后单击扫描。允许程序执行全面扫描。

有关 Windows Defender 工作原理的详细信息，请参阅 TechNet 上的 Windows Defender 技术概述。

步骤 2：运行在线扫描工具
运行在线扫描，使用 Windows Live OneCare 安全扫描程序 等类似工具，确保计算机已通过比对最新的防病毒和反间谍软件签名，对计算机进行过病毒和间谍软件以及其他有潜在危害软件的检查。

其他在线扫描软件供应商包括：

• Kaspersky Online Scanner

• McAfee FreeScan

• Symantec Security Check

• Trend Micro HouseCall


此外还有几款在线软件工具提供专业的扫描，如 VIRUSTOTAL，可用来针对单个文件进行恶意软件扫描。

步骤 3：在安全模式下使用联网选项运行在线扫描工具
完成在线扫描后，如果您怀疑恶意软件仍存留在计算机中，请重新启动计算机并进入安全模式，然后再次运行在线扫描。在安全模式下完成在线扫描后，可使用指南中所建议的与本工具包一同使用的脱机扫描工具进行扫描。

有关如何在安全模式下启动计算机的详细信息，请参阅：

• “ Windows XP 中安全模式启动选项的说明”：Microsoft 知识库文章 315222。

• 对于 Windows Vista：高级启动选项（包括安全模式）。


返回页首
阶段 3：使用工具包运行脱机扫描
要使用恶意软件删除初学者工具包，请从光盘启动计算机，然后使用脱机扫描工具在主硬盘驱动器“脱机”时对其进行修复。利用这种方式，可不必使用计算机的硬盘驱动器启动计算机或对其进行扫描。运行在线扫描需要您以正常启动顺序启动计算机，它会从计算机的硬盘驱动器加载一些在此启动顺序中会被操作系统锁定的文件。要访问和删除已更改或破坏这些在正常情况下被锁定的系统文件的恶意软件，需要使用与本指南所述类似的一些脱机程序。

  要点：
如果磁盘已使用一些加密工具（如 BitLocker™）进行了加密、或磁盘被作为 RAID 卷的一部分进行管理亦或磁盘已损坏，则不能对磁盘进行恶意软件扫描。在这些情况下，或者如果您不确定磁盘的状态，请向专家咨询以确定其状态。

由于恶意软件鬼讦多变，因此没有一种过程可以完全有效地将其从计算机中清除。在本部分中所描述的“准备离线扫描工具包”过程已经过 Microsoft 的测试，可视为一种非常行之有效的解决方案。本指南的“扫毒行动计划”部分为您讲述了如何使用在线免费工具来创建 Windows PE 工具包，以便您可以对您组织中运行 Windows XP SP2 或 Windows Vista 的计算机进行扫描恶意软件。

返回页首
阶段 4：后续步骤
如果在使用本工具包中的指南后，恶意软件似乎仍在危害计算机，则可以考虑使用“系统还原”功能，将计算机恢复到已知的正常状态。“系统还原”将关键系统文件和某些程序文件“定格”，并将此信息在计算机的硬盘驱动器上保存为一个“还原点”。以后可使用此“还原点”将操作系统恢复到以前的状态。有关“系统还原”的详细信息，请参阅以下资源：

• 如何在 Windows XP 中将操作系统恢复到以前的状态。

• 对于 Windows Vista：Windows 备份和还原中心。


如果此时计算机仍存在恶意软件迹象，您还有两种选择：

• 求助专家。

• 重装计算机。


如果恶意软件狡猾地避开了本指南建议的 Windows PE 工具包的恶意软件扫描功能，则您有必要寻求专家的帮助才能删除恶意软件。由于寻求专家帮助可能费时费钱，因此更快更省钱的方法通常是删除计算机硬盘驱动器上的文件，然后重新安装操作系统和软件程序。

如果选择重装计算机，请确保在此过程中始终使用值得信任的媒体。重装计算机后，在重新接入网络前，必须确保安装了所有更新和防病毒软件以防病毒继续传播。

恶意软件删除初学者工具包旨在提供被动式指导和预防措施以帮助您恢复已遭到恶意软件攻击的计算机。没有任何过程能够保证完全恢复恶意软件造成的损害，理解这一点很重要。正因如此，坚固的防御措施、可靠的备份和恢复过程是无可替代的。如果最糟糕的事情发生且您不得不重装计算机时，采用这种方法将会使影响降到最低。

如果您确实按照本指南中的步骤进行恢复，那我们建议您在计算机恢复后花些时间调查恶意软件如何侵入您的计算机中。您应该努力了解问题是如何产生的，而非试着找出要责备的物或人。如果技术防御措施，如防火墙或防病毒程序有弱点，那您可以仔细审核并在需要时更新该措施。如果问题是由员工操作所引起的，那可能需要进行额外的培训以确保问题不再发生。请切记黄金法则：“预防胜于治疗”。

不知所云~~

看得晕晕的