|
一、中毒的一些表现
我们怎样知道电脑中病毒了呢?
例如机器运行十分缓慢、上不了网、杀毒软件生不了级、word文档打不开,电脑不能正常启动、硬盘分区找不到了、数据丢失等等,就是中毒的一些征兆。
二、中毒诊断
1、按Ctrl+Shift+Ese键(同时按此三键),(如果不能调用任务管理器应该是中毒了,我们可以用别的工具)
调出windows任务管理器查看系统运行的进程,找出不熟悉进程并记下其名称(这需要经验),如果这些进程是病毒的话,以便于后面的清除。
2、查看windows当前启动的服务项,由“控制面板”的“管理工具”里打开“服务”。看右栏状态为“启动”启动类别为“自动”项的行;一般而言,正常的windows服务,基本上是有描述内容的(少数被骇客或蠕虫病毒伪造的除外),此时双击打开认为有问题的服务项查看其属性里的可执行文件的路径和名称,假如其名称和路径为C:\winnt\system32\explored.exe,计算机中招。有一种情况是“控制面板”打不开或者是所有里面的图标跑到左边,中间有一纵向的滚动条,而右边为空白,再双击添加/删除程序或管理工具,窗体内是空的,这是病毒文件winhlpp32.exe发作的特性。
3、运行注册表编辑器,命令为regedit或regedt32,查看都有那些程序与windows一起启动。主要看 Hkey_Local_Machine\Software\MicroSoft\Windows\CurrentVersion\Run和后面几个 RunOnce等,查看窗体右侧的项值,看是否有非法的启动项。WindowsXp运行msconfig也起相同的作用。随着经验的积累,你可以轻易的判断病毒的启动项。
4、用浏览器上网判断。前一阵发作的Gaobot病毒,可以上yahoo.com,sony.com等网站,但是不能访问诸如www.symantec.com,www.ca.com这样著名的安全厂商的网站,安装了symantecNorton2004的杀毒软件不能上网升级。
5、取消隐藏属性,查看系统文件夹winnt(windows)\system32,如果打开后文件夹为空,表明电脑已经中毒;打开system32 后,可以对图标按类型排序,看有没有流行病毒的执行文件存在。顺便查一下文件夹Tasks,wins,drivers.目前有的病毒执行文件就藏身于此; drivers\etc下的文件hosts是病毒喜欢篡改的对象,它本来只有700字节左右,被篡改后就成了1Kb以上,这是造成一般网站能访问而安全厂商网站不能访问、著名杀毒软件不能升级的原因所在。
6、由杀毒软件判断是否中毒,如果中毒,杀毒软件会被病毒程序自动终止,并且手动升级失败。
三、灭毒
1、在注册表里删除随系统启动的非法程序,然后在注册表中搜索所有该键值,删除之。当成系统服务启动的病毒程序,会在 Hkey_Local_Machine\System\ControlSet001\services和controlset002\services里藏身,找到之后一并消灭。
2、停止有问题的服务,改自动为禁止。
3、如果文件system32\drivers\etc\hosts被篡改,恢复它,即只剩下一行有效值“127.0.0.1localhost”,其余的行删除。再把host设置成只读。
4、重启电脑,摁F8进“带网络的安全模式”。目的是不让病毒程序启动,又可以对Windows升级打补丁和对杀毒软件升级。
5、搜索病毒的执行文件,手动消灭之。
6、对Windows升级打补丁和对杀毒软件升级。
7、关闭不必要的系统服务,如remoteregistryservice。
8、第6步完成后用杀毒软件对系统进行全面的扫描,剿灭漏网之鱼。
9、上步完成后,重启计算机,完成所有操作。
安装杀毒软件+个人防火墙(不要因为对性能有影响就不要了,性能换安全!)
及时给自己的系统打上补丁(不要认为有了杀毒就不用补丁啦)
安装最新的升级包。微软的补丁一般会在漏洞发现半个月后发布,而且如果你使用的是中文版的操作系统,那么至少要等一个月的时间才能下到补丁,也就是说这一个月的时间内你的系统因为这个漏洞是很危险的。
选用第三方浏览器,毕竟IE是不安全的,(很多木马也插入ie运行,通过这个技术木马可以穿透防火墙,而且防火墙没有察觉的,这也是目前大多数木马穿墙的手段,你可以不开浏览器看看自己的进程中有没有iexplore这个进程,如果有你99%是中木马啦)
建议用firefox,其他的也可以(至少能屏蔽些广告也是不错的)
不要登陆不良网站。^.^
不要随便下载不熟悉的软件,下载最好找一些大站进行下载,
安装前要用自己的杀毒软件扫描下
安装软件时应仔细阅读软件附带的用户协议及使用说明(防止一路next装上流氓软件)。
对自己的杀毒软件和防火墙进行及时的升级
安装hips软件可以防止大部分木马和流氓软件,HIPS:
Host Intrusion Prevent System 主机入侵防御系统。HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改,并向你报告请求允许的的软件。如果你阻止了,那么它将无法运行或者更改。比如你双击了一个病毒程序,HIPS软件跳出来报告而你阻止了,那么病毒还是没有运行的。引用一句话:”病毒天天变种天天出新,使得杀软可能跟不上病毒的脚步,而HIPS能解决这些问题。”。 HIPS是以后系统安全发展的一种趋势,只要你有足够的专业水平,你可以只用HIPS而不需杀毒软件。但是HIPS并不能称为防火墙,最多只能叫做系统防火墙,它不能阻止网络上其他计算机对你计算机的攻击行为。
因为病毒天天变种天天出新,使得杀软可能跟不上病毒的脚步,而HIPS能解决这些问题。
U盘对病毒的传播要借助autorun.inf文件的帮助。病毒首先把自身复制到u盘,然后创建一个autorun.inf,在你双击u盘时,会根据 autorun.inf中的设置去运行u盘中的病毒。
我们原来的方法就是打开“开始→运行”,在对话框中输入“gpedit.msc”命令,在出现“组策略”窗口中依次选择“在计算机配置→管理模板→系统”,双击“关闭自动播放”,在“设置”选项卡中选“已启用”选项,最后单击“确定”按钮即可。
我们只要可以阻止autorun.inf文件的创建,那么U盘上就算有病毒也只能躺着睡大觉了。方法就是, 在U盘根目录下建立一个文件夹,名字就叫autorun.inf。这样一来,因为在同一目录下,同名的文件和文件夹不能共存的原理,病毒就无能为力,创建不了autorun.inf文件了。
对自己的系统进行备份,万一中毒不能修复啦可以快速的恢复系统,建议使用ghost,windows自带的系统还原不怎么好用,使用ghost给系统进行备份(确保系统中没有木马病毒之类的)备份之后把ghost文件的后缀改了原来的是.GHO,因为熊猫烧香会搜索后缀为GHO的文件,并删除你的备份,把后缀改成.GH在恢复的时候还能用的,改成别的就不知道啦
对重要的资料文件进行备份,刻成光盘应该安全些 |
|