如何清除寄生在文件上的病毒？

随着计算机时代的发展，网络病毒不断入侵我们的电脑，其中文件型病毒就是其中之一。它是文件的感染者，一般运行在计算机的存储器中，通常感染扩展名为COM、EXE、SYS等类型的文件。那么，什么是文件型病毒？如何清楚文件型病毒呢？下面佰佰安全网来讲讲这方面的网络病毒小知识。

什么是文件型病毒？

我们把所有通过操作系统的文件系统进行感染的病毒都称作文件病毒，所以这是一类数目非常巨大的病毒。文件型病毒系计算机病毒的一种，主要通过感染计算机中的可执行文件（.exe）和命令文件(.com)。文件型病毒是对计算机的源文件进行修改，使其成为新的带毒文件。一旦计算机运行该文件就会被感染，从而达到传播的目的。

文件型病毒分两类：一种是将病毒加在COM前部，一种是加在文件尾部。

文件型病毒传染的对象主要是.COM和.EXE文件。从某种意义上，宏病毒—隐藏在字处理文档或者电子数据表中的病毒也是一种文件型病毒。

文件型病毒的结构

(一)COM后缀带毒文件结构：

对于COM后缀文件，系统加载时在经过一系列处理之后将全部文件读入内存，并把控制权交给该文件的第一条指令。如果该指令恰为病毒指令则病毒就会获得控制权。COM后缀带毒文件有两种结构：

1.病毒主体在原文件之后。病毒通过修改原文件头代之以一段程序(或简单地用一条跳转指令)指向后面病毒体，以后再恢复该处原指令。

2.病毒整体在原文件之前。加载时病毒体直接获得控制权，不破坏原程序任何部分。

(二)EXE后缀带毒文件结构：

EXE后缀文件与COM后缀文件不同，有一特殊的“文件头”结构，其中加载了文件重定位信息等，而非可执行指令。系统加载EXE后缀文件时根据文件头信息定位文件并设置入口处的堆栈指针和代码指针等。病毒在传染EXE后缀文件时一般将文件头的代码指针使之指向病毒入口，当系统加载时病毒首先获得控制权。

除以上两种外，还有极个别的病毒结构较为特殊，如DIR-2病毒等。

文件型病毒的现象

若计算机没有任何防病毒卡等保护措施，则只能依靠一些现象来判断是否传染了病毒。除了常见的一些现象，有些病毒由于使用了一些技巧使用户几乎察觉不到任何附加现象，有些病毒则由于编制不完善当第一次执行或DOS版本改变或设置“DOS=HIGH”等情况时会出现死机、花屏、不认命令行参数等异常现象。当运行中出现了任何不应当出现的现象时，除了检查是否是误操作、硬件故障外，更要检查是否是毒造成的，是否有文件已被病毒感染。

文件型病毒的危害性有多大？

此类病毒让我们使用U盘和手机存储卡等等时产生了很多问题，也影响到了电脑的使用，病毒会把原文件隐藏起来，生成同名的病毒文件，经过不断地复制传播，危害巨大。

文件型病毒的查杀方法

中毒特征

对于中了文件夹病毒的计算机，一个显著的特点就是打开文件方式为“在不同窗口打开不同文件夹”，并且WINDOWS任务管理器被禁用。

杀毒方法

首先要确定有哪几个分区中了文件夹病毒，如果系统分区连同其他分区一起中了此病毒，建议重新安装系统，安装完成后打开工具——文件夹选项——查看——勾去隐藏已知文件类型的扩展名，之后手动删除其他分区的后缀名为.exe的文件夹，并且恢复其他文件夹为不隐藏。

查杀文件型病毒需注意什么？

由于许多用户对查杀文件型病毒存在误解，因此这类病毒往往被认为很难清除，最终只得重装系统。其实只要注意以下几点，此类病毒还是很容易被清除的。

1.文件型病毒都驻留内存，在正常模式下，由于带毒文件正在运行，无法对这些文件直接进行操作。从现今的反病毒技术和病毒来看，绝大部分病毒都不可能在正常模式下简单地就可以彻底清除，所以清除文件型病毒最好在DOS模式下操作。

2.许多文件型病毒也会通过网络感染，所以杀毒时一定要断掉网络连接(拔掉网线)，特别在局域网中，一定要把所有电脑上的病毒全都查杀干净以后才可以连网，否则一台刚刚杀过毒的电脑可能被再次感染，这点一定要注意。如果你面对的是一个中大型的局域网，可以考虑购买企业版(网络版)的杀毒软件进行管理。

3.由于文件型病毒都是要对宿主文件(也就是要被感染的文件)进行修改，把自身代码添加到宿主文件上，所以会造成一些结构比较复杂的文件损坏，比如一些自解压缩文件(通常是一些软件的安装文件)、带有自校验功能的文件无法运行，当它感染了系统文件，还会造成系统问题(比如经常出现“非法操作”等)。出现的这些症状即使用杀毒软件把病毒清除干净了也没法修复，这并不是杀毒软件把文“杀坏”了，而是感染这个病毒时就已经损坏了。 这时只能用以前的备份文件替换掉损坏的文件。

如何预防文件型病毒？

通常情况下文件型病毒的预防可以通过以下3个步骤：

一、及时备份

及时备份，不但是预防文件型病毒的有效途径，也是预防其他类型病毒的重要方法。任何时候感染了病毒,只需要利用悲愤进行覆盖，就可以达到清除的目的。所以我们应该养成备份的好习惯。备份的原理从根本上说就是一个文件位移的过程，把正常的文件换个地方保存，当原文件受到损坏时，就可以把备份文件拿过来覆盖受损的文件。

常见的备份工具有Ghost。我们在这里用系统自带的备份程序ntbackup.exe为例来介绍，首先只要在"运行"文本框里输入ntbackup.exe按回车键后，就打开了系统备份程序，选择"高级模式"选项即可打开备份 程序的主界面。

在左边的窗口单击加号来选择需要备份的文件或文件夹路径，在单击下面的"浏览"按钮来选择备份程序的路径和文件名，最后单击"开始备份"系统就会自动把所选择的部分备份为一个扩展名为.bkf的文件。.bkf型的文件不是可执行文件，所以不会成为文件病毒的宿主，当文件需要还原时只需要双击备份的.bkf文件，系统就会自动调用ntbackuo.exe来对备份进行还原。

二、利用杀毒软件

由于杀毒软件的反病毒技术已经比较成熟，病毒防火墙可以即时检查当前系统上午所有状况，结合病毒行为检测技术，就可以比较地判断出当前内存中被执行的程序是否是病毒程序，或者是否带有病毒特征，一旦发现有可疑情况，就立刻终止其进程的操作，同时消灭其中的可疑代码，或者给出提示，这样就可以比较有效地预防文件型病毒(当然其他病毒也不例外)。

三、简单免疫

这个方面呢,主要是针对一些专业知识比较强，时间功底较扎实的人提出的一些建议操作。一个就是因为文件型病毒感染们宿主程序后要在宿主程序内打上标记，用于防止重复感染，而且只标记很少一段代码，完全没有病毒代码作用，如果我们也给正常的程序内部在相同的地方加上相同的代码，那么用户就可以欺瞒病毒而达到免疫的作用。但是病毒种类多而且标记不一样事业这种方法有局限性。

第二个就是为可执行文件加个反病毒的外壳，但是这种方法不能预防某些加密和变形的病毒，而且外科处于病毒与正常程序之间，任何病毒的执行渡在外壳执行前，此时病毒有可能将外壳破坏，所以这种方法也有很大的局限性。到目前为止我们还没有完美的针对文件型病毒的预防和查杀措施，在电脑被感染了以后用户就要考虑如何清除了。

总结:通过本文，我们可以清楚了解到文件型病毒带给我们的影响，我们只有在平时多加注意，采取合适的方法进行预防和查杀，才能避免它的入侵哦！