第 / 32页
计算机的病毒与防护(6)
5、良好的售后服务。提供免费的病毒特征代码和更新服务,通过电子邮件通知用户重大病毒的发作日或免费的病毒防范知识,提供合理的技术支持。
计算机病毒永远走在反病毒软件之前,没有一款反病毒软件敢于承诺对未知病毒100%的查杀。所以,您需要经常更新病毒特征代码,下载最新的操作系统补丁软件,以确保您的计算机始终保持最佳状态。(切记!不可安装盗版杀毒软件,因为他不仅起不到杀毒作用,本身就带有病毒)。
诚如是,你的计算机则可高枕无忧。进而达到万毒身边过,片毒不染身的最高境界。
如果你的计算机已经感染了病毒,那就可能造成一定的破坏。依据破坏程度的不同,我们可采取一些相应的补救措施:
一、Flash BIOS被破坏。重写BIOS程序,这项操作最好由专业技术人员进行。否则,你的主板极易报废。某些主板可能无法重写BIOS,那就只能更换主板了。
二、CMOS被破坏。 将CMOS放电,然后进行重新设置。有的主板提供了键盘恢复功能,只要开机时按住"Insert"键不放,即可恢复"CMOS"至初始状态。
三、引导区或主引导扇区被破坏。某些杀毒软件可以备份和恢复系统主引导和引导区记录的用户,可以使用相关的工具来恢复。如果确认为引导区病毒破坏的情况(通常的征兆是计算机无法检测到硬盘的情况),数据本身还在,只是链接文件被破坏,此时可使用金山毒霸的硬盘修复工具Kavfix.exe进行修复,Kavfix软件中的0号功能专门用来处理硬盘分区出错的情况,具体的使用方法在Kavfix软件中有详细的叙述.。
四、系统文件丢失。如能正常启动,只需运行系统文件检查器进行恢复。Windows操作方法如下:
1、通过提示得知丢失文件的名称和路径。随后单击"开始"-"附件"-"系统工具"-"系统信息"程序。
2、单击"系统信息"--"工具"--"系统文件检查器"。
3、选中"系统文件检查器"中的"从安装软盘提取一个文件",然后在下面 的文本框中输入要提取的文件名。
4、单击对话框左下方的"开始"按钮,打开"提取文件"对话框。如果你使用原始安装盘进行恢复且事先用"系统文件检查器"扫描过系统,它会自动在"还原自"和"将文件保存到"框内给出文件的源路径和恢复路径,然后单击"确定",即可自动完成丢失文件的提取和恢复。
Windows 2000中,可在"开始 - 运行"中输入"SFC/SCANNOW"。系统会自动启动文件保护,Windows会验证所有受保护的系统文件,此时插入Windows 2000安装盘,选择修复即可。
如果系统文件丢失,导致Windows不能启动,此时需要在DOS下进行恢复。记下机器提示丢失的文件名称和路径,然后用Windows 98启动盘启动计算机,选择多重配置启动菜单中的第一项,即加载通用CD-ROM驱动程序并创建一个大小为2MB和RAM驱动器,这个RAM驱动器的盘符会有提示,进入该驱动器,敲入Ext.cxc后回车。输入Windows安装压缩包所在的完整路径,回车,输入丢失的文件后再回车,接着输入目标路径,如C:\Windows\System,回车。最后出现提示"Isthis OK?(Y/n):",输入"Y"后回车。EXT程序会自动查找安装盘中的CAB压缩包,并将文件释放到指定的位置。
五、应用程序文件丢失。
出现这种情况,重新安装应用程序即可。
还有一种硬盘克隆的办法,也可以用于修复因病毒破坏而不能启动的计算机。将不能启动的计算机硬盘跳线设置为SLAVE,接到另一台可以正常启动的计算机上,进入CMOS设置程序,设好硬盘参数,重新启动计算机,再进入纯DOS方式,运行GHOST.EXE,将正常硬盘的内容克隆到有故障的硬盘上,然后将有故障硬盘的跳线设为MASTER,接到他原先的计算机上启动,OK,启动成功!这个被病毒破坏的硬盘修复成功。
随着新型病毒的不断出现,旧的防毒措施遇到了无情的挑战。采取新的反病毒措施,开发新的反病毒软件,日益提到了反病毒专家的日程上来。2002年10月至11月,防病毒软件开发商发表了新的产品,强化了外部功能,将防毒重点转移到对未知病毒的预测上。他们不仅提高了检测的准确度,更新了软件的自动化程度,而且在万一感染病毒时,还能防止病毒向其他机器繁殖传播,并发布警报等。
窥探者变种C(Worm.Rrandex.C)病毒特征:
1、病毒运行时会建立30个线程,利用网络扫描技术随机扫描网络,如果发现有连接的计算机,病毒会用猜密码的方法,试图获取用户密码。当病毒一旦获取密码后,会将自成拷贝成:Admin$\\system32\\msmsgri32.exe与c$\\Winnt\\system32\\msmsgri32.exe。
2、病毒会通过修改注册表的自启动项来进行自启动,病毒会修改HKEYLOCAL MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,在其中加入名为:"mssyslanhelper"注册表键值。用户可以用REGEDIT等注册表编辑工具直接删除病毒产生的键值,以防止病毒自动启动。
3、病毒运行后会释放出一个后门病毒并运行,此后门病毒运行时会试连接217.21.117.104网站的54545端口,等待该网站的后门命令。用户可以用抓包工具监测该端口,看是否有异常。如果发现异常,可以使用防火墙软件进行端口禁止或者使用"TCP/IP筛选"功能,禁止该端口。
"2003年8月3日,"流言"蠕虫病毒开始传播。该病毒主要利用微软操作系统RPC漏洞攻击远端系统。这是全球第一次利用此漏洞的病毒。"流言"蠕虫病毒会利用IRC聊天工具在受感染的机器上留后门,然后等待远端控制者的命令,还可通过IRC进行病毒的升级和传播等操作,造成远端系统无法使用RPC服务,甚至导致系统崩溃。用户常用的聊天工具IRC成了"流言"病毒攻击的对象和帮凶。
2003年8月11日,一种名为"冲击波"(WORM MSBLast.A)的新型蠕虫病毒开始在国内互联网和部分专用信息网络上传播。感染计算机的Word、Excel、Powerpoint等文件,弹出找不到链接文件的对话框,"粘贴"等一些功能无法正常使用,同时,计算机出现反复重新启动等现象。经国家计算机病毒应急处理中心确认,该病毒是利用前不久微软公司公布的Windows操作系统RPCDCOM漏洞进行传播,能够使遭受攻击的系统崩溃,并通过网络向仍有此漏洞的计算机传播。
5、良好的售后服务。提供免费的病毒特征代码和更新服务,通过电子邮件通知用户重大病毒的发作日或免费的病毒防范知识,提供合理的技术支持。
计算机病毒永远走在反病毒软件之前,没有一款反病毒软件敢于承诺对未知病毒100%的查杀。所以,您需要经常更新病毒特征代码,下载最新的操作系统补丁软件,以确保您的计算机始终保持最佳状态。(切记!不可安装盗版杀毒软件,因为他不仅起不到杀毒作用,本身就带有病毒)。
诚如是,你的计算机则可高枕无忧。进而达到万毒身边过,片毒不染身的最高境界。
如果你的计算机已经感染了病毒,那就可能造成一定的破坏。依据破坏程度的不同,我们可采取一些相应的补救措施:
一、Flash BIOS被破坏。重写BIOS程序,这项操作最好由专业技术人员进行。否则,你的主板极易报废。某些主板可能无法重写BIOS,那就只能更换主板了。
二、CMOS被破坏。 将CMOS放电,然后进行重新设置。有的主板提供了键盘恢复功能,只要开机时按住"Insert"键不放,即可恢复"CMOS"至初始状态。
三、引导区或主引导扇区被破坏。某些杀毒软件可以备份和恢复系统主引导和引导区记录的用户,可以使用相关的工具来恢复。如果确认为引导区病毒破坏的情况(通常的征兆是计算机无法检测到硬盘的情况),数据本身还在,只是链接文件被破坏,此时可使用金山毒霸的硬盘修复工具Kavfix.exe进行修复,Kavfix软件中的0号功能专门用来处理硬盘分区出错的情况,具体的使用方法在Kavfix软件中有详细的叙述.。
四、系统文件丢失。如能正常启动,只需运行系统文件检查器进行恢复。Windows操作方法如下:
1、通过提示得知丢失文件的名称和路径。随后单击"开始"-"附件"-"系统工具"-"系统信息"程序。
2、单击"系统信息"--"工具"--"系统文件检查器"。
3、选中"系统文件检查器"中的"从安装软盘提取一个文件",然后在下面 的文本框中输入要提取的文件名。
4、单击对话框左下方的"开始"按钮,打开"提取文件"对话框。如果你使用原始安装盘进行恢复且事先用"系统文件检查器"扫描过系统,它会自动在"还原自"和"将文件保存到"框内给出文件的源路径和恢复路径,然后单击"确定",即可自动完成丢失文件的提取和恢复。
Windows 2000中,可在"开始 - 运行"中输入"SFC/SCANNOW"。系统会自动启动文件保护,Windows会验证所有受保护的系统文件,此时插入Windows 2000安装盘,选择修复即可。
如果系统文件丢失,导致Windows不能启动,此时需要在DOS下进行恢复。记下机器提示丢失的文件名称和路径,然后用Windows 98启动盘启动计算机,选择多重配置启动菜单中的第一项,即加载通用CD-ROM驱动程序并创建一个大小为2MB和RAM驱动器,这个RAM驱动器的盘符会有提示,进入该驱动器,敲入Ext.cxc后回车。输入Windows安装压缩包所在的完整路径,回车,输入丢失的文件后再回车,接着输入目标路径,如C:\Windows\System,回车。最后出现提示"Isthis OK?(Y/n):",输入"Y"后回车。EXT程序会自动查找安装盘中的CAB压缩包,并将文件释放到指定的位置。
五、应用程序文件丢失。
出现这种情况,重新安装应用程序即可。
还有一种硬盘克隆的办法,也可以用于修复因病毒破坏而不能启动的计算机。将不能启动的计算机硬盘跳线设置为SLAVE,接到另一台可以正常启动的计算机上,进入CMOS设置程序,设好硬盘参数,重新启动计算机,再进入纯DOS方式,运行GHOST.EXE,将正常硬盘的内容克隆到有故障的硬盘上,然后将有故障硬盘的跳线设为MASTER,接到他原先的计算机上启动,OK,启动成功!这个被病毒破坏的硬盘修复成功。
随着新型病毒的不断出现,旧的防毒措施遇到了无情的挑战。采取新的反病毒措施,开发新的反病毒软件,日益提到了反病毒专家的日程上来。2002年10月至11月,防病毒软件开发商发表了新的产品,强化了外部功能,将防毒重点转移到对未知病毒的预测上。他们不仅提高了检测的准确度,更新了软件的自动化程度,而且在万一感染病毒时,还能防止病毒向其他机器繁殖传播,并发布警报等。
窥探者变种C(Worm.Rrandex.C)病毒特征:
1、病毒运行时会建立30个线程,利用网络扫描技术随机扫描网络,如果发现有连接的计算机,病毒会用猜密码的方法,试图获取用户密码。当病毒一旦获取密码后,会将自成拷贝成:Admin$\\system32\\msmsgri32.exe与c$\\Winnt\\system32\\msmsgri32.exe。
2、病毒会通过修改注册表的自启动项来进行自启动,病毒会修改HKEYLOCAL MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,在其中加入名为:"mssyslanhelper"注册表键值。用户可以用REGEDIT等注册表编辑工具直接删除病毒产生的键值,以防止病毒自动启动。
3、病毒运行后会释放出一个后门病毒并运行,此后门病毒运行时会试连接217.21.117.104网站的54545端口,等待该网站的后门命令。用户可以用抓包工具监测该端口,看是否有异常。如果发现异常,可以使用防火墙软件进行端口禁止或者使用"TCP/IP筛选"功能,禁止该端口。
"2003年8月3日,"流言"蠕虫病毒开始传播。该病毒主要利用微软操作系统RPC漏洞攻击远端系统。这是全球第一次利用此漏洞的病毒。"流言"蠕虫病毒会利用IRC聊天工具在受感染的机器上留后门,然后等待远端控制者的命令,还可通过IRC进行病毒的升级和传播等操作,造成远端系统无法使用RPC服务,甚至导致系统崩溃。用户常用的聊天工具IRC成了"流言"病毒攻击的对象和帮凶。
2003年8月11日,一种名为"冲击波"(WORM MSBLast.A)的新型蠕虫病毒开始在国内互联网和部分专用信息网络上传播。感染计算机的Word、Excel、Powerpoint等文件,弹出找不到链接文件的对话框,"粘贴"等一些功能无法正常使用,同时,计算机出现反复重新启动等现象。经国家计算机病毒应急处理中心确认,该病毒是利用前不久微软公司公布的Windows操作系统RPCDCOM漏洞进行传播,能够使遭受攻击的系统崩溃,并通过网络向仍有此漏洞的计算机传播。
