轉自[url]http://www.cnpaf.net/ 作者:xinyu
一、中毒的一些表現
我們怎樣知道電腦中病毒了呢?其實電腦中毒跟人生病一樣,總會有一些明顯的症狀表現出來。例如機器運行十分緩慢、上不了網、殺毒軟件生不了級、 word 文檔打不開,電腦不能正常啓動、硬盤分區找不到了、數據丟失等等,就是中毒的一些徵兆。
二、中毒診斷
1 、按 Ctrl+Shift+Ese 鍵(同時按此三鍵),調出 windows 任務管理器查看系統運行的進程,找出不熟悉進程並記下其名稱(這需要經驗),如果這些進程是病毒的話,以便於後面的清除。暫時不要結束這些進程,因爲有的病毒或非法的進程可能在此沒法結束。點擊性能查看 CPU 和內存的當前狀態,如果 CPU 的利用率接近 100% 或內存的佔用值居高不下,此時電腦中毒的可能性是 95%.
2 、查看 windows 當前啓動的服務項,由 “ 控制面板 ” 的 “ 管理工具 ” 裏打開 “ 服務 ” 。看右欄狀態爲 “ 啓動 ” 啓動類別爲 “ 自動 ” 項的行;一般而言,正常的 windows 服務,基本上是有描述內容的(少數被駭客或蠕蟲病毒僞造的除外),此時雙擊打開認爲有問題的服務項查看其屬性裏的可執行文件的路徑和名稱,假如其名稱和路徑爲 C : winntsystem32explored.exe ,計算機中招。有一種情況是 “ 控制面板 ” 打不開或者是所有裏面的圖標跑到左邊,中間有一縱向的滾動條,而右邊爲空白,再雙擊添加 / 刪除程序或管理工具,窗體內是空的,這是病毒文件 winhlpp32.exe 發作的特性。
3 、運行註冊表編輯器,命令爲 regedit 或 regedt32 ,查看都有那些程序與 windows 一起啓動。主要看 Hkey_Local_MachineSoftwareMicroSoftWindowsCurrentVersionRun 和後面幾個 RunOnce 等,查看窗體右側的項值,看是否有非法的啓動項。 WindowsXp 運行 msconfig 也起相同的作用。隨着經驗的積累,你可以輕易的判斷病毒的啓動項。
4 、用瀏覽器上網判斷。前一陣發作的 Gaobot 病毒,可以上 yahoo.com , sony.com 等網站,但是不能訪問諸如 [url]www.symantec.com[/url] , [url]www.ca.com[/url] 這樣著名的安全廠商的網站,安裝了 symantecNorton2004 的殺毒軟件不能上網升級。
5 、取消隱藏屬性,查看系統文件夾 winnt ( windows ) system32 ,如果打開後文件夾爲空,表明電腦已經中毒;打開 system32 後,可以對圖標按類型排序,看有沒有流行病毒的執行文件存在。順便查一下文件夾 Tasks , wins , drivers. 目前有的病毒執行文件就藏身於此; driversetc 下的文件 hosts 是病毒喜歡篡改的對象,它本來只有 700 字節左右,被篡改後就成了 1Kb 以上,這是造成一般網站能訪問而安全廠商網站不能訪問、著名殺毒軟件不能升級的原因所在。
6 、由殺毒軟件判斷是否中毒,如果中毒,殺毒軟件會被病毒程序自動終止,並且手動升級失敗 …… 殺毒、建議
7、在cmd命令行下通過netstat -an命令行查看主機自身開啓的端口。如果自身的主機在沒有正常的網絡程序運行的情況下,發現有大量的會話,說明主機存在問題。
三、殺毒
1 、在註冊表裏刪除隨系統啓動的非法程序,然後在註冊表中搜索所有該鍵值,刪除之。當成系統服務啓動的病毒程序,會在 Hkey_Local_MachineSystemControlSet001services 和 controlset002services 裏藏身,找到之後一併消滅。
2 、停止有問題的服務,改自動爲禁止。
3 、如果文件 system32driversetchosts 被篡改,恢復它,即只剩下一行有效值 “127.0.0.1localhost” ,其餘的行刪除。再把 host 設置成只讀。
4 、重啓電腦,摁 F8 進 “ 帶網絡的安全模式 ” 。目的是不讓病毒程序啓動,又可以對 Windows 升級打補丁和對殺毒軟件升級。
5 、搜索病毒的執行文件,手動消滅之。
6 、對 Windows 升級打補丁和對殺毒軟件升級。
7 、關閉不必要的系統服務,如 remoteregistryservice. 8 、第 6 步完成後用殺毒軟件對系統進行全面的掃描,剿滅漏網之魚。
9 、上步完成後,重啓計算機,完成所有操作。
我們怎樣知道電腦中病毒了呢?其實電腦中毒跟人生病一樣,總會有一些明顯的症狀表現出來。例如機器運行十分緩慢、上不了網、殺毒軟件生不了級、 word 文檔打不開,電腦不能正常啓動、硬盤分區找不到了、數據丟失等等,就是中毒的一些徵兆。
二、中毒診斷
1 、按 Ctrl+Shift+Ese 鍵(同時按此三鍵),調出 windows 任務管理器查看系統運行的進程,找出不熟悉進程並記下其名稱(這需要經驗),如果這些進程是病毒的話,以便於後面的清除。暫時不要結束這些進程,因爲有的病毒或非法的進程可能在此沒法結束。點擊性能查看 CPU 和內存的當前狀態,如果 CPU 的利用率接近 100% 或內存的佔用值居高不下,此時電腦中毒的可能性是 95%.
2 、查看 windows 當前啓動的服務項,由 “ 控制面板 ” 的 “ 管理工具 ” 裏打開 “ 服務 ” 。看右欄狀態爲 “ 啓動 ” 啓動類別爲 “ 自動 ” 項的行;一般而言,正常的 windows 服務,基本上是有描述內容的(少數被駭客或蠕蟲病毒僞造的除外),此時雙擊打開認爲有問題的服務項查看其屬性裏的可執行文件的路徑和名稱,假如其名稱和路徑爲 C : winntsystem32explored.exe ,計算機中招。有一種情況是 “ 控制面板 ” 打不開或者是所有裏面的圖標跑到左邊,中間有一縱向的滾動條,而右邊爲空白,再雙擊添加 / 刪除程序或管理工具,窗體內是空的,這是病毒文件 winhlpp32.exe 發作的特性。
3 、運行註冊表編輯器,命令爲 regedit 或 regedt32 ,查看都有那些程序與 windows 一起啓動。主要看 Hkey_Local_MachineSoftwareMicroSoftWindowsCurrentVersionRun 和後面幾個 RunOnce 等,查看窗體右側的項值,看是否有非法的啓動項。 WindowsXp 運行 msconfig 也起相同的作用。隨着經驗的積累,你可以輕易的判斷病毒的啓動項。
4 、用瀏覽器上網判斷。前一陣發作的 Gaobot 病毒,可以上 yahoo.com , sony.com 等網站,但是不能訪問諸如 [url]www.symantec.com[/url] , [url]www.ca.com[/url] 這樣著名的安全廠商的網站,安裝了 symantecNorton2004 的殺毒軟件不能上網升級。
5 、取消隱藏屬性,查看系統文件夾 winnt ( windows ) system32 ,如果打開後文件夾爲空,表明電腦已經中毒;打開 system32 後,可以對圖標按類型排序,看有沒有流行病毒的執行文件存在。順便查一下文件夾 Tasks , wins , drivers. 目前有的病毒執行文件就藏身於此; driversetc 下的文件 hosts 是病毒喜歡篡改的對象,它本來只有 700 字節左右,被篡改後就成了 1Kb 以上,這是造成一般網站能訪問而安全廠商網站不能訪問、著名殺毒軟件不能升級的原因所在。
6 、由殺毒軟件判斷是否中毒,如果中毒,殺毒軟件會被病毒程序自動終止,並且手動升級失敗 …… 殺毒、建議
7、在cmd命令行下通過netstat -an命令行查看主機自身開啓的端口。如果自身的主機在沒有正常的網絡程序運行的情況下,發現有大量的會話,說明主機存在問題。
三、殺毒
1 、在註冊表裏刪除隨系統啓動的非法程序,然後在註冊表中搜索所有該鍵值,刪除之。當成系統服務啓動的病毒程序,會在 Hkey_Local_MachineSystemControlSet001services 和 controlset002services 裏藏身,找到之後一併消滅。
2 、停止有問題的服務,改自動爲禁止。
3 、如果文件 system32driversetchosts 被篡改,恢復它,即只剩下一行有效值 “127.0.0.1localhost” ,其餘的行刪除。再把 host 設置成只讀。
4 、重啓電腦,摁 F8 進 “ 帶網絡的安全模式 ” 。目的是不讓病毒程序啓動,又可以對 Windows 升級打補丁和對殺毒軟件升級。
5 、搜索病毒的執行文件,手動消滅之。
6 、對 Windows 升級打補丁和對殺毒軟件升級。
7 、關閉不必要的系統服務,如 remoteregistryservice. 8 、第 6 步完成後用殺毒軟件對系統進行全面的掃描,剿滅漏網之魚。
9 、上步完成後,重啓計算機,完成所有操作。