注意检测 防范反抗杀毒软件的电脑病毒病毒防范
“椿Majik”通过精心收集,向本站投稿了7篇注意检测 防范反抗杀毒软件的电脑病毒病毒防范,下面是小编为大家推荐的注意检测 防范反抗杀毒软件的电脑病毒病毒防范,欢迎阅读,希望大家能够喜欢。
篇1:注意检测 防范反抗杀毒软件的电脑病毒病毒防范
如今出现了越来越多的对抗杀毒软件以及检测工具扫描的病毒,他们会关闭甚至删除杀毒软件以及检测工具,一般用户很难判断他们藏在哪里,做了些什么。而这时杀毒软件以及安全工具确普遍无法运行。
本文主要列举说明一些需要注意和检测的系统位置,以防范常见的抗杀软类病毒。
一:Run键值
典型病毒:AV终结者变种
目的现象:开机启动双进程坚守、关闭杀毒程序等。
检测位置:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
补充说明:该位置属于常规启动项,很多程序会写。
二:执行挂钩
典型病毒:大量恶意软件以及病毒均会写入
目的现象:杀毒软件难于清理、关闭杀毒程序等。
检测位置:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
补充说明:很少有正常程序会写入该位置,病毒几率非常大。典型例外:瑞星反病毒软件
三:Appinit_dlls
典型病毒:机器狗新变种、磁碟机变种。
目的现象:安全模式也加载、关闭杀毒程序等。
检测位置:
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\Appinit_Dlls
补充说明:很少有正常程序会写入该位置,病毒几率变态大。典型例外:AVG互联网安全套装
四:服务以及驱动
典型病毒:灰鸽子变种
目的现象:难于发现与清理、关闭杀毒程序等。
检测位置:
HKLM\System\CurrentControlSet\Services
补充说明:病毒写入底层服务与rootkits驱动,导致清除困难。
五:映像劫持
典型病毒:大多数AV病毒均会写入此位置
目的现象:简单粗暴地让某个特定文件名的文件无法执行
检测位置:
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions
补充说明:被劫持的文件不一定是exe文件,
如Papa在处理恐怖鸡感染号病毒时,为了防止ani.ani还原病毒主文件,便劫持ani.ani文件。
六:目前已知删除安全软件文件的检测位置
典型病毒:飘雪变种
目的现象:杀毒软件安装文件被删除、sreng改名后运行立即被删除等。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
补充说明:已知变种均会修改hosts文件、在QQ目录下写入隐藏的病毒dll并且修改APIHOOH。
七:Boot.ini文件
典型病毒:磁碟机变种
目的现象:独占访问Boot.ini文件,导致未更新的grub重启删除工具失效。
检测位置:Boot.ini
补充说明:在Vista操作系统下对该项检测没有意义。
小结:检测报告的分析工作需要具备常用软件以及操作系统丰富的使用经验,才可以比较迅速准确地定位到具体问题。本文仅将对抗杀软类病毒常见的关注位置找出来供大家参考。其实还有很多病毒会加载的位置本文不做详述,请具体问题具体分析。
PapaCheck检测工具v3.0目前可以比较全面地检测到包括对抗杀毒软件、删除安全工具病毒在内的非感染型病毒的写入位置。如在Vista下面使用时,需要右键单击该文件后点击“以管理员身份运行”。
注:在脚本运行时请阅读其中的免责信息。在检测的过程中有可能会提示“没有找到pkmws.dll,因此这个程序未能启动重新安装应用可能会修复此问题”点击“确定”即可。提示“插入软盘”,点击”“取消”即可。相关提示并不影响检测报告的生成。如果您没有执行扫描操作,按“CTRL+C”键终止或直接关闭了程序,则会在当前目录生成papa.com、papascan.bat、papawb.com、papashell.exe、papatask.exe这六个文件。相关文件释放与调用不会对您系统造成影响,检测结束后直接删除即可。
篇2:如何防御病毒入侵电脑病毒防范
在日常网络应用中,电子邮件方式交谈已经是非常的普遍了,但是,却有大部的朋友们可能忽视了病毒性的存在,所以我们是需要增加对电脑的保护意识,防止电脑被病毒入侵。那这里,我也给大家简单的去分享一些有关于如何去防止及辨别意识。
方法一:帮电脑安装好杀毒软件
现代程式各样的病毒都是存在的,那么我们只是单独的手工去操作,太不现实了。因此,我们必须对自己的电脑进行安装一款杀毒软件,为电脑做好预防准备,另外,现在的杀毒软件都是非常OK的。好比“360杀毒软件”、“金山毒霸”等等,都是很好的,而且它们这些杀毒软件现在都具备的是自动化处理病毒的攻击,自动检索到含有病毒的内容。都会提醒你去及时处理的。
方法二:随时做好给升级准备
当然,在我们使用电脑系统和杀毒软件的过程中,其实这个病毒文件也在不断的更新变化,让我们是非常难以去摸清楚状况是什么样的。所以,这里给大家提醒到的做好升级准备,不单一的是去给杀毒软件升级,不然这样的方面也是没有用的。一个系统是也是存在很大的风险性的,那么,我们也要记得随时性的更新一下系统的补丁。那这样,全新化了,对电脑来说是非常有利的。
方法三:相对文件主题,要懂得如何来辨别
像现在的宣传方式也是各式各样的,好比邮件、QQ信息、网页宣传等等,
但是,我们就有时候会忽略了这一点,那就是相对主题没有提高防范意识。好比说有一些人以:兄弟,最近过得怎么样呢?或者xxx同学,近期在哪里发展?等等一系统的主题方式宣传。所以我们在看到类似这样的文件时候,是需要特别小心的。
方法四:文件下载要注意
有时候,一些比较狡猾的病毒,就会利用到一些不正规的网站文件上去的。好比有一些朋友喜欢下载一些管理性的书籍或者一些影视方面的东西时候,有一些不正规性的网站就会把一些病毒附加到这个文件下载当中去。只有一点击下载后,那么这个病毒就会随着下着过程中去攻击电脑的。下载后,杀毒软件也会随着提醒是存在风险性的。所以,有时候我们还是需要注意一些这方面的问题。
方法五:那就是对于现在使用信纸方面的朋友邮件传送
因为现在好多邮箱、空间等等,这些都会提供一些免费的好看的邮件信纸,其实我们在使用这种邮信纸的情况下,是极度需要注意到。因为这些信纸使用某些效果,常常会用到脚本文件。那么病毒有时候就会通过脚本的JS/VBS等类型进攻的。
那这里就先给大家分享这么多,如果在后期存在其它别的问题,都可以咨询我的喽。随时欢迎。谢谢!
篇3:电脑病毒与内部结构病毒防范
从鬼影病毒开始,最近利用MBR手法的病毒逐渐普及,而想分析此类病毒,难免需要用到MBR和磁盘引导等基础知识,因此利用休息时间整理了一点东西,希望对想研究或了解该手法的同学有些帮助。文章本身没任何技术含量,只是一点体力活,希望懂的大牛小牛们不要见笑,直接飘过吧。
先简单介绍一下硬盘上相关结构:
1、MBR(主引导记录)
硬盘第一个物理扇区为MBR,当我们选择从硬盘启动时,由 bois从该扇区读入引导代码。MBR关键数据可分为3部分:
(1) 引导代码
(2) 分区表
(3) 结束标志(55AA)
分区表用以管理整个磁盘空间的划分。它从MBR的0x1BE偏移开始,有4个表项,每项16个字节,因此最多只能可以建立4个主分区。(微软为了克服这个数量限制,设计了扩展分区的方式,所谓扩展分区就是分区表中指向的一个普通分区而已,只是在它自己分区内部又有特殊的结构,使得我们可以分出多个逻辑分区,我们平时看到的d、e、f等驱动器实际上都是扩展分区内部划分的逻辑分区,你可以用winhex查看你的分区表,会发现里面只有两项,一项代表C盘分区,另外一项就是代表其他所有驱动器之和的扩展分区了,当然如果自己分了其他主分区的情况除外)
2、DBR
每个主分区的第一个扇区存放着另一个引导扇区DBR,“分区引导扇区”或叫“DOS引导扇区”,
该扇区的目的就是读入ntldr,以进行进一步分引导。该扇区也是以”55AA”标志结束。
3、扩展分区
详细讲一下扩展分区的结构,我们平时能分多个逻辑磁盘出来都是它的功劳。
前面说了扩展分区内部有着自己特殊的结构以实现多分区,它和普通的主分区一个明显的差别就是它的第一个扇区存放的就不是DBR了,而是一个叫虚拟MBR的扇区。叫虚拟MBR是因为他和MBR结构很像。结构也为3部分:
(1) 全0
(2) 分区表
(3) 55AA
它没有引导代码,以全0代替。分区表偏移也在0x1BE处,为4项。只是它只会用前两项。后面两项全0。第一项指向一个逻辑驱动器(逻辑分区)比如d盘。第二项指向下一个虚拟MBR(如果还有逻辑分区的话)。如此就形成了一个链,突破了分区个数限制。扩展分区本身没有DBR,它的DBR在它的每个孩子即逻辑分区的第一个扇区。你可以把扩展分区想象成一个独立的硬盘,只是分区的组织方式变成链表了,这样可能好理解点。忘了一点,记得曾经有过硬盘逻辑锁的概念,其原理就是把逻辑分区的链表修改成了一个环,这样在系统遍历这个链表时就死循环了。
windows系统从MBR开始的引导过程简单描述为:MBR->活动分区DBR->Ntldr->boot.ini启动菜单->加载系统。
磁盘结构先整理到这,希望对大家有些帮助,其中若发现错误,请批评指正:)
篇4:互联网词典:电脑病毒病毒防范
电脑病毒与我们平时所说的医学上的生物病毒是不一样的,它实际上是一种电脑程序,只不过这种程序比较特殊,它是专门给人们捣乱和搞破坏的,它寄生在其它文件中,而且会不断地自我复制并传染给别的文件,没有一点好作用,
电脑病毒发作了都会有哪些症状电脑染上病毒后,如果没有发作,是很难觉察到的。但病毒发作时就很容易感觉出来:
有时电脑的工作会很不正常,有时会莫名其妙的死机,有时会突然重新启动,有时程序会干脆运行不了。
电脑染毒后表现为:工作很不正常,莫名其妙死机,突然重新启动,程序运行不了,
有的病毒发作时满屏幕会下雨,有的屏幕上会出现毛毛虫等,甚至在屏幕上出现对话框,这些病毒发作时通常会破坏文件,是非常危险的,反正只要电脑工作不正常,就有可能是染上了病毒。病毒所带来的危害更是不言而喻了。
而且,以前人们一直以为,病毒只能破坏软件,对硬件毫无办法,可是CIH病毒打破了这个神话,因为它竟然在某种情况下可以破坏硬件!
电脑病毒和别的程序一样,它也是人编写出来的。既然病毒也是人编的程序,那就会有办法来对付它。最重要的是采取各种安全措施预防病毒,不给病毒以可乘之机。另外,就是使用各种杀毒程序了。它们可以把病毒杀死,从电脑中清除出去。
呢?
篇5:电脑病毒预警 警惕“QQ抢劫犯”病毒防范
上海3月27日专电 上海计算机病毒防范服务中心日前发出预警:本周上网要谨防“QQ抢劫犯”最新变种“变种11”,这种病毒很容易把用户的QQ账号和密码偷走,
反病毒专家介绍,这是“QQ抢劫犯”木马家族最新变种之一,由Delphi工具编写,并经过加壳处理,
这种病毒运行后,在后台秘密监视当前窗口标题,一旦发现用户登录QQ时,马上记录用户键盘操作,将用户的QQ账号和密码发送到 指定的信箱中,给用户带来损失。
防病毒专家建议,对于目前经常使用的网络通信工具,其账号和密码都是 可能关注的对象,所以使用时必须有严密的安全防范。用户应建立良好的安全习惯,不打开可疑邮件和可疑网站,一定要使用病毒实时监控程序。
篇6:日常查杀电脑病毒的错误病毒防范
1、对染毒软盘DIR操作会导致硬盘被感染(错)
如果计算机的内存没有病毒,那么只有在执行了带有病毒的程序(文件)后,才会感染计算机,而DIR命令是DOS的内部命令,不需要执行任何外部的程序(文件),因此对染毒软盘进行DIR操作不会感染病毒。
不过需要注意的是,如果计算机内存已有病毒(或者说计算机已染毒),如果对没有染毒的软盘进行DIR操作, 就可能感染软盘。说可能会感染是因为有些病毒不会通过DIR操作传播。
2、将文件改为只读方式可免受病霉的感染(错)
某些人认为通过DOS的外部命令ATTRIB,将文件设置为只读会十分有效地抵御病毒。 其实修改一个文件的属性只需要调用几个DOS中断就可以了,因此说ATTRIB命令对于阻止病毒的感染及传播几乎无能为力。
3、病毒能感染写保护的磁盘(错)
由于病毒可感染只读文件,不少人由此认为病毒也能修改在写保护磁盘上的文件。事实上,磁盘驱动器可以判断磁盘是否写保护,是否应该对其进行写操作,这一切都是由硬件来控制的,您可以物理地解除PC的写保护传感器,却不能用软件来做这件事。
如果您的软驱是正常的,而软盘的写保护一次也没有取下来,绝对不会感染病毒。但是如果您取下来了,并且用带毒的机器DIR过,则完全有可能感染病毒。注意这个DIR是从机器向软盘感染病毒,而不是把病毒从软盘传染到机器。
写保护和文件只读方式不同,设置文件只读方式是通过计算机,所以病毒能插上一手,可是写保护非要人手参与不可,病毒可没办法把写保护弄掉。计算机不能对写保护磁盘进行改写,这是任何操作都无法改变的(除非您把驱动器弄坏)。
4、反病毒软件能够杀除所有已知病毒(错)
病毒感染方式很多,有些病毒会强行覆盖执行程序的某一部分,将自身代码嵌入其中,以达到不改变被感染文件长度的目的,被这样的病毒覆盖掉的代码无法复原,因此这种病毒是无法安全杀除的。 病毒破坏了文件的某些内容, 在杀除这种病毒后是不能恢复文件的原貌的。
5、使用杀毒软件可以免受病毒的侵扰(错)
目前市场上出售的杀毒软件,都只能在病毒泛滥之后才“一展身手”。但在杀毒之前病毒已经造成了工作的延误、数据的破坏或其他更为严重的后果。所以,应该选择一套完善的反毒系统,它不仅应包括常见的查、杀病毒功能,还应该同时包括有实时防毒功能,能实时地监测、跟踪对文件的各种操作,一旦发现病毒,立即报警,只有这样才能最大程度地减少被病毒感染的机会。
6、磁盘文件损坏多为病毒所为(错)
文件的损坏有多种原因,电源电压波动、掉电、磁化、磁盘质量低劣、硬件错误、其他软件中的错误、灰尘、烟灰、茶水,甚至一个喷嚏都可能导致数据丢失。以上所举对文件造成的损坏,会比病毒造成的损失更常见,更严重。
7、如果做备份的时候,备份了病霉,那么这些备份是无用的(错)
有两种情况:①软盘备份:备份中含有引导型病毒。这种情况下,只要不用这张软盘试图启动您的计算机,它将和无毒备份一样安全。②磁带备份:备份中的数据文件中不会有病毒,如果其中的可执行文件中含有病毒,那么执行文件就白备份了,但是备份中的数据文件还是可用的。
8、反病毒软件可以随时随地防范任何病霉(错)
很显然,这种反病毒软件是不存在的。新病毒不断出现,要求反病毒软件必须快速升级。对抗病毒,我们需要的是一种安全策略和一个完善的反病毒系统,用备份作为防病毒的第一道防线,将反病毒软件作为第二道防线。 同时,软件的及时升级是加固第二道防线的唯一方法。使用反病毒软件是为了辅助防毒,它不可能是刀枪不入的保镖。
9、正版软件不会带病毒,可以安全使用(错)
计算机用户常被告知,“为了防范病毒的侵害,不要使用来历不明的软件”。这话不错,所谓“来历不明的软件”确实是计算机病毒传播主要途径之一。那么使用有“来历”的软件是否就可以高枕无忧呢?非也!实际上计算机报刊媒体已经多次报导过“正版软件”。“商品软件”带病毒问题。使用商品软件也不可掉以轻心,甚至新购买的计算机包括
原装计算机在使用前都须进行病毒检测。如确实由于原版软件带有病毒而造成重大的损失,应寻求法律保护。
不用软盘,不会感染病毒,因而无需选择杀毒软件
“不用软盘,就不会感染病毒”是常在初级用户中听到的一种言论,它和“使用软盘,就会感染病毒”是一对孪生姊妹,是两种相同类型的错误论调。
病毒的传染是通过带病毒软件进行的,但软盘并不是“带病毒软件”的唯一载体。可以说,凡是可以得到程序(软件)的地方,都可能“得到”病毒。也就是说,使用光盘、硬盘、磁带,或者通过局域/广域网络htpp://www.oneedu.cn、Internet、BBS(电子公告板)使用或下载软件,都潜在感染病毒的危险。尤其是近年来 Internet和BBS的广泛使用,使得国内外病毒大面积、高速度的流行传播成为可能。这些具有国际性的计算机信息传播媒体,是潜在的病毒毒源和导管(当然,这些网络体系中也具有安全性较高的防/杀病毒系统),使每一个计算机用户都受到染毒的威胁。 ―恐怕没有人会说他的计算机永远不会连上Internet。
人不可能不生病,所以计算机绝不可能不感染病毒,所以您必须选择杀毒软件。
人不可能都是医生,所以您没有必要独自去面对病毒,所以您必须选择杀毒软件。
10、“能杀毒的就行”和“有一个杀毒软件就够了”(错)
“能杀毒的就行”和“有一个杀毒软件就够了”,这是一部分人在选择杀毒软件时的想法。一种常见的情况是,当您的计算机不正常时,找来一大堆杀毒软件,不管是正版还是盗版,能查能杀病毒就是好样的。其实很多计算机的故障并不是病毒导致,这样,很多的杀毒软件都“无效”;另一种更常见的情况是用户一般并不注意“查毒”与“杀毒”的区别,使用某种杀毒软件时,首选“杀毒”操作。于是,当它用这种杀毒软件将系统“杀毒”了一次以后,用其他杀毒软件,就再也找不到病毒了,那就认定这个软件是最好的。
目前还没有一个杀毒软件能囊括所有病毒而杀之,这是谁也做不到的。由于各种病毒标本的来源不同,再加上程序编制者的实力有别,总存在一种软件能查杀的病毒,别的软件却不能查杀。或者由于一些程序BUG(程序错误),使某些软件本来可以查杀的病毒,在它的一些版本中却不能查杀或误查误杀了。所以一般不建议用户革一的选择一种杀毒软件。
在选择杀毒软件时,请首先抛开您所有关于“好”与“不好”的成见,也拒绝广告词上的种种诱惑,认真地去了解一下杀病毒软件厂商在技术实力、服务质量、软件性能等方面的东西。特别应该了解软件厂商在升级、退货、损坏更换等方面的措施和承诺的可信度。同时,您应该请厂商直接阐述一下他们在广告中的各种术语的具体含义,要知道,这是您作为消费者的合法权益。
现在的反病毒软件市场就像“战国时代”,各家都说各家好。但消费者感到不放心,到底用谁的软件好?只用一个好还是用几个好?世上没有“万灵丹”,一个软件再好,也不是所有的病毒都能杀,不能“包治百病”。各软件厂家获取病毒样本的时间不同,因此,在每一个时间段,各软件厂家都是各有侧重,只有一个不保险。除了“万能的主”之外,这个世界上恐怕再也找不到万能的东西了。为防止“重复建设”,专家认为,选购两个优势互补的反病毒软件即可,这是提高“安全系数”的最佳方法。千万别把好几个反病毒软件都在同一台计算机上安装,大多了没必要,而且有可能出现相互之间抢占资源、判断失误、死机等问题。
11、发现CMOS中有病毒(错)
CMOS是微机中的一种特殊存储器,记录了微机的硬件设置参数及系统日期时间。开机密码等重要数据。由于CMOS设置十分重要,所以可能成为计算机病毒破坏攻击的目标。目前确实已发现了改写CMOS的“CMOS设置破坏者”病毒,但在CMOS中并不存在病毒。
有时,机器发生问题,问题出在CMOS设置上,有人认为,这是躲藏在CMOS里面的病毒!因而误认为杀毒软件不行,采取对CMOS存储器又是放电、又是短路的措施,重新设置CMOS参数后,机器恢复了正常,从此确信CMOS中有病毒。这种行为及其危险,很容易将主板搞坏。我们说“CMOS设置破坏者病毒,不等于CMOS中有病毒!病毒不能将自身自动传染到CMOS里面而存留和被激活!”,“病毒可以将CMOS设置改变或加密,但用户也可以重新设置和恢复。”
某些情况下,如CMOS电源不足、外界电源冲击性波动、软件崩溃、硬件不稳定、操作上的失误、病毒改写等都会导致CMOS 设置紊乱,也可以说,是紊乱性加密,因而,造成机器不能引导或不能正常工作。这时,一般情况下可以重新对CMOS设置和用专用软件来清理紊乱性密码,然后再设置正确参数。
CMOS中不会有病毒寄生,因为:
(1)CMOS是通过I/O读写与CPU交换数据的, CPU的物理机能决定了只能读写CMOS的数据,不能把CMOS中的数据当作指令代码来执行,
而病毒想要工作的话就一定要执行其程序码,但CMOS只是用来存放数据的,在CMOS中的数据不是可执行的,所以并没有CMO5病毒,只有会破坏CMOS数据的病毒。
(2)如果把一段病毒程序写入CMOS,则必然破坏微机的硬件设置以至于微机根本不能运行,存储在CMOS中的“病毒程序”将毫无作用,病毒不能在CMOS中蔓延或藏身于其中。
(3)CMOS的有效存储容量只有128个字节,不足以容纳病毒。可见CMOS不具备病毒寄生和被激活的条件,不可能有病毒存在。
12、发现Cache中有病毒
与CMOS中没有病毒一样,Cache中也是根本不可能存在病毒的。
我们知道,程序执行时,数据流是这样被传送的:
外存(软/硬盘)
网络=>内存(RAM)=>Cache->CPU
Cache物理器件上是一块高速缓存芯片,它被设置在RAM与CPU之间,是RAM到CPU的一条必由通道。由于CPU的运算速度越来越快,而计算机的内存(RAM)的速度总是显得跟不上CPU。“为了缓解CPU与RAM之间的速度矛盾,一般采用在它们之间加入一块高速缓存芯片Cache,使同一时间下 RAM为CPU准备的代码不再是单一的指令/数据,而是一长段指令序列或可访问数据块。
可见Cache中存放的是非静态数据(计算机用语中的“数据”包括“程序代码”), 它总是随程序的执行在不断刷新,被RAM中的数据不断更换。它的内容总是RAM中数据的某一部分的备份。
如果RAM中有了病毒,其病毒代码将经由Cache送到CPU,由CPU解码执行。病毒代码“流经” Cache这一现象并不能称为“有Cache病毒”,就好像我们不能因为病毒代码在CPU中执行就认为有CPU病毒一样。事实上,从PC机的组成原理来看,所有病毒都必须经由Cache进入CPU,因为所有正常或非正常数据都是这样进入CPU中解码执行的。
此外,Cache中不可能有病毒的重要原因之一也在于Cache不能被软件编址,无法人为控制。
和CMOS不一样的是,Cache并没有专用电源供电。因而Cache中的数据将在关机后自动清除,在开机时自动刷新。这样的环境中的“病毒”是既无法存储又无法复制的。可见,Cache并不是病毒的安乐窝, 没有人会考虑在这样的环境中置放病毒。
13、病毒不感染数据文件(错)
通常是这样。因为病毒是一段程序,而数据文件一般不包含程序,当然就不会感染病毒.TXT、.PCX等文件因为肯定不包含程序,所以可能不会感染病毒。不过有些病毒会破坏各种文件,所以备份数据文件还是非常必要的。作为例外的是,若数据文件包含了可执行码,那么它就能够被病毒感染了。虽然word文件是技术上的数据文件,但Word中可以包含一段程序,因此它们能够容纳病毒,并因为是可执行文件,故而是容易受病毒感染的。目前大部分的病毒感染报告都是来源于宏病毒。
14、安装有实时杀毒功能的防火墙,就万事大吉了(错)
有很多用户持一种错误的观念,以为只要买了杀毒软件,特别是只要安装了有实时杀毒功能的防火墙,就能挡住所有病毒,万事大吉了―这是大错而特错的。从 4月26日CIH病毒大发作的情况来看,安装了病毒防火墙且于9月以后至少升级过一次的,都没有受到CIH病毒的攻击,而那些虽然安装且运行病毒防火墙,却太久没有升级的用户,有相当大的比例不幸成为CIH病毒的牺牲品。究其原因,完全是没有及时升级,使原有的杀毒软件无法具备防范查杀、阻击CIH病毒的能力。因此,我们要再一次特别郑重地提醒用户,不管您使用的是什么样的杀毒软件,它的生命力在于及时地不停升级,否则,当一个全新的病毒袭来的时候,旧版本的杀毒软件将会形同虚设。请用户一定要随时关注反病毒厂家关于新病毒的流行通报,及时升级,以免造成不必要的损失。
电脑中毒后的一些表现及其中毒诊断
一、中毒的一些表现
我们怎样知道电脑中病毒了呢?其实电脑中毒跟人生病一样,总会有一些明显的症状表现出来。例如机器运行十分缓慢、上不了网、杀毒软件生不了级、word文档打不开,电脑不能正常启动、硬盘分区找不到了、数据丢失等等,就是中毒的一些征兆。
二、中毒诊断
1、按Ctrl+Shift+Del键(同时按此三键),调出windows任务管理器查看系统运行的进程,找出不熟悉进程并记下其名称(这需要经验),如果这些进程是病毒的话,以便于后面的清除。暂时不要结束这些进程,因为有的病毒或非法的进程可能在此没法结束。点击性能查看CPU和内存的当前状态,如果CPU的利用率接近100%或内存的占用值居高不下,此时电脑中毒的可能性是95%.
2、查看windows当前启动的服务项,由“控制面板”的“管理工具”里打开“服务”。看右栏状态为“启动”启动类别为“自动”项的行;一般而言,正常的windows服务,基本上是有描述内容的(少数被骇客或蠕虫病毒伪造的除外),此时双击打开认为有问题的服务项查看其属性里的可执行文件的路径和名称,假如其名称和路径为C:winntsystem32explored.exe,计算机中招。有一种情况是“控制面板”打不开或者是所有里面的图标跑到左边,中间有一纵向的滚动条,而右边为空白,再双击添加/删除程序或管理工具,窗体内是空的,这是病毒文件winhlpp32.exe发作的特性。
3、运行注册表编辑器,命令为regedit或regedt32,查看都有那些程序与windows一起启动。主要看Hkey_Local_MachineSoftwareMicroSoftWindowsCurrentVersionRun和后面几个RunOnce等,查看窗体右侧的项值,看是否有非法的启动项。WindowsXp运行msconfig也起相同的作用。随着经验的积累,你可以轻易的判断病毒的启动项。
4、用浏览器上网判断。前一阵发作的Gaobot病毒,可以上yahoo.com,sony.com等网站,但是不能访问诸如www.symantec.com,www.ca.com这样著名的安全厂商的网站,安装了symantecNorton的杀毒软件不能上网升级。
5、取消隐藏属性,查看系统文件夹winnt(windows)system32,如果打开后文件夹为空,表明电脑已经中毒;打开system32后,可以对图标按类型排序,看有没有流行病毒的执行文件存在。顺便查一下文件夹Tasks,wins,drivers.目前有的病毒执行文件就藏身于此;driversetc下的文件hosts是病毒喜欢篡改的对象,它本来只有700字节左右,被篡改后就成了1Kb以上,这是造成一般网站能访问而安全厂商网站不能访问、著名杀毒软件不能升级的原因所在。
6、由杀毒软件判断是否中毒,如果中毒,杀毒软件会被病毒程序自动终止,并且手动升级失败……杀毒、建议。
三、杀毒
1、在注册表里删除随系统启动的非法程序,然后在注册表中搜索所有该键值,删除之。当成系统服务启动的病毒程序,会在Hkey_Local_MachineSystemControlSet001services和controlset002services里藏身,找到之后一并消灭。
2、停止有问题的服务,改自动为禁止。
3、如果文件system32driversetchosts被篡改,恢复它,即只剩下一行有效值“127.0.0.1localhost”,其余的行删除。再把host设置成只读。
4、重启电脑,摁F8进“带网络的安全模式”。目的是不让病毒程序启动,又可以对Windows升级打补丁和对杀毒软件升级。
5、搜索病毒的执行文件,手动消灭之。
6、对Windows升级打补丁和对杀毒软件升级。
7、关闭不必要的系统服务,如remoteregistryservice.
8、第6步完成后用杀毒软件对系统进行全面的扫描,剿灭漏网之鱼。
9、上步完成后,重启计算机,完成所有操作。
四、建议
防范病毒作用远甚于查杀病毒。因此建立严密的防范措施是十分必要的。在具备条件的大中型网络里,应该软硬兼施、立体防护。理想得到情况是:Internet的接入处是外网防火墙;紧接着是防毒网关(熊猫卫士的性价比较高);然后是路由器,服务器区,可为应用服务器配置一台病毒服务器;再往内是内网防火墙;内网架设杀毒服务器,每个用户都安装杀毒软件的可管理客户端。
篇7:病毒防范日常注意小方法
病毒总是会想方设法地入侵我们的电脑搞破坏,虽然你可以使用反病毒之类的软件,但也绝不能忽视平时的预防工作,“御敌于国门之外”是最理想的,所以建议大家应采用“防为先”的原则来对付病毒。下面的防毒、治毒观点,希望对大家有所借鉴。1.先制作一张应急盘制作一个无毒的系统应急引导盘是非常非常必要的,最好还要复制一个反病毒软件和一些你认为比较实用的工具软件到这个盘上,然后关上写保护。2.谨防入口有了好用的东东,我们都喜欢与朋友共享,但在交换使用软盘或光盘时一定要用KVW3000等类似的反病毒软件进行扫描查毒工作!根据经验,建议你在扫描病毒前最好不要用软盘启动系统,君不见,90%以上的病毒是引导型病毒?也不要执行未检验的压缩文件,比如从网上Down的文件(在网吧里还是可以考虑的^_^)。还有,劝大家要小心电子邮件的附件(虽然有些从表面上看是文本形式的),即使是朋友发过来的也别轻易就去双击运行。3.实施备份对于我们在日常工作中辛辛苦苦创作的论文、费时费力地从网上收集来的各种资料,这都是你的劳动成果,应该是至少每周进行一次备份,而且最好是进行异地备份(就是备份到你的电脑之外的存储设备,比如软盘或USB移动硬盘)。这样当电脑内的文件万一被病毒破坏后,它们就派上大用场了,当然在此之前一定要确认你的备份文件是“干净”的。4.“我的电脑”你的私人电脑,最好不要让别人随便乱动:菜鸟会动不动就在上面来个“误操作”什么的,大虾也难免想借你的爱机试试他刚“研究”的几板斧,
不管是哪种情况都有可能让你的资料瞬间全无,哭都来不及!所以至少你要严防他人在你的电脑上使用他自己的软盘或光盘,不管他是有意还是无意的。
5.留心异状奉劝各位一句:平时使用电脑时一定要细心加小心地注意它的表现,如果发觉有异常症状出现,比如速度慢得像蜗牛、256MB的内存竟然不够、突然增加一些从未谋面的文件、系统或自己熟悉的文件长度有所增减等,你的第一反应就应该是:中毒了!!!此时你务必要停下手头的工作,马上进行病毒的查杀,千万马虎不得!否则,你的损失只能是越来越严重,若等到系统崩溃、一切化为乌有的那一刻,就悔之晚矣!6.不忘升级安装了反病毒软件并不是一劳永逸的,千万别让病毒从反病毒软件的眼皮底下溜入系统。所以你要时常关心反病毒方面的报道或常到对应的反病毒厂商的网页上溜达溜达,了解最近病毒的活动动向,更新病毒的查杀代码,升级你的反病毒软件。
热门推荐:将IE恶意插件彻底清扫出门 浅析非法操作原理及应对策略 点击阅读更多学院相关文章>>
分享到
【注意检测 防范反抗杀毒软件的电脑病毒病毒防范】相关文章:
3.防范工作计划
4.安全防范警句
5.防范疫情教学计划
6.意外防范范文
7.防范溺水心得体会
10.交换机安全防范技术
文档为doc格式
