Board logo

标题: 常见病毒FAQ [打印本页]

作者: feiyu    时间: 2004-5-13 00:51     标题: 常见病毒FAQ



以下"本版"指瀚海星云[virus]版
参考[virus].smth.org,bbs.kingsoft.net,[virus].bbs.ustc.edu.cn
      强烈建议您提问前耐心看完本文。有什么问题学着自己动手慢慢解决。
  清除病毒,没有什么捷径。做好防范工作最重要。
                    欢迎网友就此常见问题提出意见和补充
┌────────────────────────────────────┐
│    1、如何更好的利用本版/出了问题问谁?                                │
│    2. 我是不是中了什么病毒/木马?如何查看可疑进程/网络活动/启动项?    │
│    3. Norton说某某病毒只能隔离!怎么彻底干掉它?                       │
│    4. 我的Liveupdate不能升级病毒库了!/如何彻底删除norton?            │
│    5. QQ发送消息时自动带上某网址?                                     │
│    6. 我的IE被恶意代码感染!总弹出窗口!                               │
│    7. 我的cpu使用率100%/ 进程里有ntvda.exe.                            │
│    8. 某某病毒/进程是什么?                                            │
│    9、我的电脑老是自动重启。                                           │
│   10. SVCHOST出错/高占用系统资源是怎么回事?                           │
│   11. 我的D盘被奇怪的共享/出现good.exe文件。                           │
│   12. 怎样才能不受病毒的侵害?/为什么杀了某病毒重启后又有了?            │
│   13. 如何进入安全模式/禁用系统还原/windowsupdate(等基本操作)          │
│   14. 我连不上windows升级网站怎么办/补丁提示语言不符怎么办?            │
└────────────────────────────────────┘
1、如何更好的利用本版?
   将相关问题(比如病毒名,问题现象)作为关键词
   请用  ' 向后查找
         " 向前查找
   实在找不到还可用
      http://www.google.com
      http://www2.google.com
      http://www.baibu.com
   搜索杀毒方法。
   最后一步才是在本版发贴求救。
2、怀疑是不是中了病毒/木马
   最好装一个杀毒软件,升级到最新病毒库,在正常模式杀不掉的情况下,进入
   安全模式下进行。
   如果实在装不了杀毒软件,或者最新病毒库仍检测不出病毒.请使用工具hijackthis
   提交系统信息发帖到版面询问。该工具下载地址
   http://www.spywareinfo.com/~merijn/files/hijackthis.zip
   使用方法为:
   下载并执行该工具~~~~~~~~点击“SCAN”,然后“SAVE LOG”,
   把得到的LOG文件贴上来。
   WinNT/2000/XP用户可以使用activeport察看某端口对应的程序。下载地址:
   http://www.ntutility.com/aports.zip
   相关介绍看精华区x-8中的端口问题。
   Win2000/XP用户可以用tlist -s查看每个进程中的活动服务列表。tlist是Windows
   2000的光盘中提供的一个命令行下使用的工具,可以在\Support\Tools目录中找到。
3、Norton说某某病毒只能隔离!
   Norton的清除指的是不破坏原文件的clean,而对某些文件本身就是病毒,只能删除
   的情况,Norton叫删除,优先级排在隔离之后;而别的杀毒软件则叫清除,有最高
   的优先级。隔离技术的出现是杀毒软件的一大进步,在隔离区里的文件不会丢失数据,
   而且病毒不会发作。
   有时候病毒发作比较紧急,对这个病毒了解不多的时候Norton有可能把本来可以修复
   清除病毒的文件认定为无法修复。但日后对病毒了解深入之后,有可能发现修复的办
   法。
   呵呵,Norton会在你察看隔离区的时候询问病毒定义已变,要不要重新看看有没有可
   以修复的文件。二者么,也有可能文件十分重要,宁可再次中毒也要把内容保存下来
   时候。
   其他反病毒软件与此类似。
4、我的Liveupdate不能升级病毒库了!/删除norton
   Liveupdate组件负责Norton的各个组件的更新。不同的Norton的组件在liveupdate注
   册它的产品信息以完成在线升级(个人版和企业版在Liveupdate中分开注册)。一般
   Lieupdate组件对它推出之前的产品兼容而和他之后的不兼容。
   如果出现病毒定义不能被Liveupdate更新的情况,那是因为病毒定义组件失去了在
   Liveupdate的定义。因此建议你重新安装你的Norton。
   对于Norton2004的产品,需要手动删除,请参考文摘区245
5、QQ发送消息时自动带上某网址?
   请参考 http://bbs.kingsoft.net/attachment.php?aid=114310
   下载那里的专杀工具按照提示进行。
6、我的IE被恶意代码感染了,总弹出窗口!
   注册表被修改,而且可能有相关进程存在。
   1、www.j3j4.com
      在线修改注册表
   2、www.spant.net
    下载常见病毒专杀。
    注:使用Spant杀毒前一定要先关闭其它杀毒软件的病毒防火墙,也要关闭上网助手
    及兔子等工具的IE保护功能,对于某些病毒还要关闭所有打开的文件夹和IE窗口,否
    则会影响Spant查毒和修复IE。
   3、把ie快捷方式的属性改为:
    "系统所在盘符:\Program Files\Internet Explorer\IEXPLORE.EXE"-nohome
   5、求助于第三方注册表修复工具。
   以下是部分绿色注册表修复工具的列表:
   下载修复工具regfix:
    http://regfix.html.533.net/?noad
   瑞星的注册表修复工具:
    http://it.rising.com.cn/service/technology/RegClean_download.htm
   金山注册表修复工具:
    http://www.duba.net/download/3/8.shtml
   (注:使用金山的这个工具的时候要特别注意自动运行项目里列出来的东东。
   诸如 regedit -s system.reg 这类的启动项,多半是用来修改IE的“垃圾")
7. 我的cpu使用率100%/ 进程里有ntvda.exe.
   这是利用RPC漏洞的高波病毒,先打上windows补丁,按后进入安全模式用
   反病毒软件查杀,也可使用瑞星的专杀工具:
   http://download.rising.com.cn/zsgj/ravblaster.exe
   一定要打上补丁!!!!!
8、某某病毒/进程是什么?应该怎么杀?
   对于进程,建议google。关于病毒,谁报的就用谁在安全模式杀毒。如果你确实需要
   了解该病毒的详细信息,建议用google搜索。
9、我的电脑老是自动重启。
   Lsass出错重启请参考置底的W32.Sasser.[A-F].Worm/震荡波/系统重启 专题
   对于PRC出错重启,请参考精华区X-9-2.
   如果你装完windows 2000、xp、2003 没有连到微软的在线升级服务器上进行安全更
   新,也没有打所谓的rpc补丁,通上网络一会你就会中网络冲击波病毒(去年8月就很
   热门的)导致rpc服务出错,计算机被迫重启。就rpc的漏洞一个接一个的被发现,所
   以rpc的补丁有好几个,后来messager服务(135端口)也存在漏洞,攻击者只要向开
   着messager服务135端口的机器发送特定格式的大udp数据包,即可导致系统服务出错,
   也是1分钟后重启计算机,服务出错后计算机对他的处理是可以设置的,但默认得几项
   服务出错就是重启计算机。
10、SVCHOST出错/高占用系统资源是怎么回事?
    很有可能是welchia.b/c病毒,请参考相关置底文章。
11. 我的D盘被奇怪的共享/出现good.exe文件。
    这是一个qq木马,常出现在一些qq安装包中。McAfee和Norton皆可清除。
    手动移除方案为:
      进入安全模式,删除c:\windows\system32\目录下的qmdc.exe和explorer.exe
      文件,删除D盘根目录下的good.exe文件,在注册表或mscofig中去掉它们的
      自启动(具体操作见下面)。
      重启进入正常模式,关闭共享。ok!
12、怎样才能不受病毒的侵害? /为什么杀毒后很快又有了?
    完全不受病毒侵害是不可能的,只要你使用计算机和网络,但是只要养成良好的操
    作使用习惯完全可以将损害降到最低:
    (一,二-1很重要,很多病毒通过网络攻击windows漏洞和弱共享来进行传播,如果不
    注意这几点,刚刚清除的病毒很快又会出现).
  一、使用Windows Update打系统补丁;
      1、装完系统,立即打上最新最全的系统补丁。在线升级打补丁。
      2、开启windows自动更新或定时运行windows update更新,所有的关键补丁一定
         都要打上;
    二、良好的系统管理配置
      1、设置强健的管理员密码,不要用1234 abcd asdf 之类的口令。(建议google
         一下弱口令)、禁用其他一切不必要的帐户;
      2、关闭不必要的服务,那些服务是多余的,google可知,
         修改位置:控制面板-计算机管理-服务
      3、运行里 多用用 regedit,在系统正常的时候,做个注册表备份。
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
     这两个下面,你放心的删。
      4、关闭不必要的文件共享!
   三、利用漏洞扫描工具进行系统漏洞检查;
  四、安装反病毒软件,定时升级并随时打开防火墙。
      1、推荐反病毒软件有Norton 2004,McAfee VSE 7.1, officescan,
                         AVP personal pro 4.5,金山毒霸,瑞星等
      2、推荐网络防火墙: windowsxp自带防火墙,ZonaAlarmPro,
                         Norton personal firewall等
      3、反病毒软件和网络防火墙一般各装一个就可以了,
         否则容易引起冲突或拖慢系统运行速度。
      4、定时更新或自动更新反病毒软件的病毒库;
    五、使用反病毒软件的常见操作有进入安全模式,关闭winxp/me的系统还原。
13、反病毒中要用到的一些操作
    进入安全模式,清空Internet Explorer临时文件,
    显示所有文件和文件夹(隐含及系统保护)
    禁用“系统还原”,关闭“信使服务”,更改管理员帐户密码,
    结束任务 结束进程,使用Windows Update,
    关闭共享文件夹 设置文件夹为不共享, 删除病毒/木马程序的自启动项
    请参考http://bbs.kingsoft.net/viewthread.php?tid=304392&fpage=1
    这里有图文并茂的讲解。
14. 我连不上windows升级网站怎么办/补丁提示语言不符怎么办?
    这里是北大的一个ftp(强烈建议到windowsupdate站点复查)
    ftp://162.105.74.167:21
    或者ftp://162.105.74.167
    100M口,限制1M*20, 如无故障,开放时间24H*7
    对于补丁提示语言不符以至于无法打补丁的问题,是由于安装了盗版/非VLK版
    winxp,我们建议你备份数据,重装系统,采用VLK/OEM版的光盘。
最后,特别感谢phunter(及他使用的MSPY4.0),inferno等网友长期以来对本版
的关注和热心解答。




欢迎光临 NBCLUB笔记本电脑俱乐部 合肥THINKPAD APPLE LENOVO DELL专卖店 (http://nbclub.net/discuz/) Powered by Discuz! 7.2