论文部分内容阅读
网络时代,病毒已经无所不在。在层出不穷、变化多端的病毒袭击下,中招基本上是不可避免的了。那么中招以后我们该如何处理(当然必须处理,否则计算机没法替你工作)?是格式化系统然后重装windows,还是请人帮忙……因为职业关系,我不得不与这些让人讨厌的东西战斗,逐步地积累了一些行之有效的办法,供大家参考。
一、中毒的一些表现
我们怎样知道电脑中病毒了呢?其实电脑中毒跟人生病一样,总会有一些明显的症状表现出来。例如:机器运行十分缓慢、上不了网、杀毒软件生不了级、word文档打不开,电脑不能正常启动、硬盘分区找不到了、数据丢失等等,就是中毒的一些征兆。
二、中毒的诊断
1.按Ctrl+Shift+Esc键(同时按此三键),调出windows任务管理器查看系统运行的进程,找出不熟悉的进程并记下其名称(这需要经验),如果这些进程是病毒的话,以便于后面的清除。暂时不要结束这些进程,因为有的病毒或非法的进程可能在此没法结束。点击性能查看CPU和内存的当前状态,如果CPU的利用率接近100%或内存的占用值居高不下,此时电脑中毒的可能性是95%。
2.查看windows当前启动的服务项,在“控制面板”的“管理工具”里打开“服务”。看右栏状态为“启动”、启动类别为“自动”项的行。一般而言,正常的windows服务,基本上是有描述内容的(少数被骇客或蠕虫病毒伪造的除外),此时双击打开认为有问题的服务项查看其属性里的可执行文件的路径和名称,假如其名称和路径为C:\Winnt\system32\expIored.exe.计算机中招。
有一种情况是“控制面板”打不开或者是所有里面的图标跑到左边,中间有一纵向的滚动条,而右边为空白,再双击添加/删除程序或管理工具,窗体内是空的,这是病毒文件winhlpp32.exe发作的特性。
3.运行注册表编辑器,命令为regedit或regedt32,查看都有哪些程序与windows一起启动。主要看Hkey_Local_Machine\Soft-ware\microsofl\Windows t CurrentVersion\Run和后面几个RunOnce等,查看窗体右侧的项值,看是否有非法的启动项。WindowsXP运行msconfig也起相同的作用。随着经验的积累,你可以轻易地判断病毒的启动项。
4.用浏览器上网判断。以前发作的Gaobot病毒,可以上yahoo com、sony.com等网站,但是不能访问诸如www.symantec.com、www.ca.com这样著名的安全厂商的网站,安装的杀毒软件不能上网升级。
5.取消隐藏属性,查看系统文件夹winnt(windows)\system32,如果打开后文件夹为空,表明电脑已经中毒;打开system32后,可以对图标按类型排序,看有没有流行病毒的执行文件存在。顺便查一下文件夹Tasks、wins、drivers。有的病毒执行文件就藏身于此:drivers\etc下的文件hosts是病毒喜欢篡改的对象,它本来只有700字节左右,被篡改后就成了1Kb以上,这是造成一般网站能访问而安全厂商网站不能访问、著名杀毒软件不能升级的原因所在。
6.由杀毒软件判断是否中毒,如果中毒,杀毒软件会被病毒程序自动终止,并且手动升级失败。
三、灭毒
1.在注册表里删除随系统启动的非法程序,然后在注册表中搜索所有该键值,删除之。
当成系统服务启动的病毒程序,会在Hkey_Local_Machine\System\ControlSet001\services和controlset002\services里藏身,找到之后一并消灭。
2.停止有问题的服务,改自动为禁止。
3.如果文件system32\drivers\etc\hosts被篡改,恢复它,即只剩下一行有效值“127.O.0.1Iocalhost”,其余的行删除。再把host设置成只读。
4.重启电脑,按F8进“带网络的安全模式”。目的是不让病毒程序启动,又可以对Windows升级打补丁和对杀毒软件升级。
5.搜索病毒的执行文件,手动消灭之。
6.对Windows升级打补丁和对杀毒软件升级。
7.关闭不必要的系统服务,如re-moteregistryservice。
8.第6步完成后用杀毒软件对系统进行全面地扫描,剿灭漏网之鱼。
9.上步完成后,重启计算机,完成所有操作。
四、建议
防范病毒作用远甚于查杀病毒。因此建立严密的防范措施是十分必要的。在具备条件的大中型网络里,应该软硬兼施、立体防护。理想的情况是:Internet的接入处是外网防火墙;紧接着是防毒网关(熊猫卫士的性价比较高):然后是路由器,服务器区,可为应用服务器配置一台病毒服务器;再往内是内网防火墙;内网架设杀毒服务器,每个用户都安装杀毒软件的可管理客户端。
(注:Windows2000以上系统适用)
一、中毒的一些表现
我们怎样知道电脑中病毒了呢?其实电脑中毒跟人生病一样,总会有一些明显的症状表现出来。例如:机器运行十分缓慢、上不了网、杀毒软件生不了级、word文档打不开,电脑不能正常启动、硬盘分区找不到了、数据丢失等等,就是中毒的一些征兆。
二、中毒的诊断
1.按Ctrl+Shift+Esc键(同时按此三键),调出windows任务管理器查看系统运行的进程,找出不熟悉的进程并记下其名称(这需要经验),如果这些进程是病毒的话,以便于后面的清除。暂时不要结束这些进程,因为有的病毒或非法的进程可能在此没法结束。点击性能查看CPU和内存的当前状态,如果CPU的利用率接近100%或内存的占用值居高不下,此时电脑中毒的可能性是95%。
2.查看windows当前启动的服务项,在“控制面板”的“管理工具”里打开“服务”。看右栏状态为“启动”、启动类别为“自动”项的行。一般而言,正常的windows服务,基本上是有描述内容的(少数被骇客或蠕虫病毒伪造的除外),此时双击打开认为有问题的服务项查看其属性里的可执行文件的路径和名称,假如其名称和路径为C:\Winnt\system32\expIored.exe.计算机中招。
有一种情况是“控制面板”打不开或者是所有里面的图标跑到左边,中间有一纵向的滚动条,而右边为空白,再双击添加/删除程序或管理工具,窗体内是空的,这是病毒文件winhlpp32.exe发作的特性。
3.运行注册表编辑器,命令为regedit或regedt32,查看都有哪些程序与windows一起启动。主要看Hkey_Local_Machine\Soft-ware\microsofl\Windows t CurrentVersion\Run和后面几个RunOnce等,查看窗体右侧的项值,看是否有非法的启动项。WindowsXP运行msconfig也起相同的作用。随着经验的积累,你可以轻易地判断病毒的启动项。
4.用浏览器上网判断。以前发作的Gaobot病毒,可以上yahoo com、sony.com等网站,但是不能访问诸如www.symantec.com、www.ca.com这样著名的安全厂商的网站,安装的杀毒软件不能上网升级。
5.取消隐藏属性,查看系统文件夹winnt(windows)\system32,如果打开后文件夹为空,表明电脑已经中毒;打开system32后,可以对图标按类型排序,看有没有流行病毒的执行文件存在。顺便查一下文件夹Tasks、wins、drivers。有的病毒执行文件就藏身于此:drivers\etc下的文件hosts是病毒喜欢篡改的对象,它本来只有700字节左右,被篡改后就成了1Kb以上,这是造成一般网站能访问而安全厂商网站不能访问、著名杀毒软件不能升级的原因所在。
6.由杀毒软件判断是否中毒,如果中毒,杀毒软件会被病毒程序自动终止,并且手动升级失败。
三、灭毒
1.在注册表里删除随系统启动的非法程序,然后在注册表中搜索所有该键值,删除之。
当成系统服务启动的病毒程序,会在Hkey_Local_Machine\System\ControlSet001\services和controlset002\services里藏身,找到之后一并消灭。
2.停止有问题的服务,改自动为禁止。
3.如果文件system32\drivers\etc\hosts被篡改,恢复它,即只剩下一行有效值“127.O.0.1Iocalhost”,其余的行删除。再把host设置成只读。
4.重启电脑,按F8进“带网络的安全模式”。目的是不让病毒程序启动,又可以对Windows升级打补丁和对杀毒软件升级。
5.搜索病毒的执行文件,手动消灭之。
6.对Windows升级打补丁和对杀毒软件升级。
7.关闭不必要的系统服务,如re-moteregistryservice。
8.第6步完成后用杀毒软件对系统进行全面地扫描,剿灭漏网之鱼。
9.上步完成后,重启计算机,完成所有操作。
四、建议
防范病毒作用远甚于查杀病毒。因此建立严密的防范措施是十分必要的。在具备条件的大中型网络里,应该软硬兼施、立体防护。理想的情况是:Internet的接入处是外网防火墙;紧接着是防毒网关(熊猫卫士的性价比较高):然后是路由器,服务器区,可为应用服务器配置一台病毒服务器;再往内是内网防火墙;内网架设杀毒服务器,每个用户都安装杀毒软件的可管理客户端。
(注:Windows2000以上系统适用)