义工培训之一 病毒防治

行者

传染性

　　计算机病毒的传染性是指病毒具有把自身复制到其他程序中的特性。计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，它会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。只要一台计算机染毒，如不及时处理，那么病毒会在这台机子上迅速扩散，其中的大量文
件(一般是可执行文件)会被感染。而被感染的文件又成了新的传染源，再与其他机器进行数据交换或通过网络接触，病毒会继续进行传染。

　　正常的计算机程序一般是不会将自身的代码强行连接到其它程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道，如软盘、计算机网络去传染其它的计算机。当你在一台机器上发现了病毒时，往往曾在这台计算机上用过的软盘已感染上了病毒，而与这台机器相联网的其它计算机也许也被该病毒侵染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。

　　非授权性

　　一般正常的程序是由用户调用，再由系统分配资源，完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性，它隐藏在正常程序中，当用户调用正常程序时窃取到系统的控制权，先于正常程序执行，病毒的动作、目的对用户是未知的，是未经用户允许的。

　　隐蔽性

　　病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。如果不经过代码分析，病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。而且受到传染后，计算机系统通常仍能正常运行，使用户不会感到任何异常。试想，如果病毒在传染到计算机上之后，机器马上无法正常运行，那么它本身便无法继续进行传染了。正是由于隐蔽性，计算机病毒得以在用户没有察觉的情况下扩散到上百万台计算机中。

　　大部分的病毒的代码之所以设计得非常短小，也是为了隐藏。病毒一般只有几百或1k字节，而PC机对DOS文件的存取速度可达每秒几百KB以上，所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中，使人非常不易被察觉。

　　潜伏性

　　大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现(破坏)模块。只有这样它才可进行广泛地传播。如“PETER-2”在每年2月27日会提三个问题，答错后会将硬盘加密。著名的“黑色星期五”在逢13号的星期五发作。国内的“上海一号”会在每年三、六、九月的13日发作。当然，最令人难忘的便是26日发作的CIH。这些病毒在平时会隐藏得很好，只有在发作日才会露出本来面目。

　　破坏性

　　任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率，占用系统资源，重者可导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。良性病毒可能只显示些画面或出点音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源。这类病毒较多，如：GENP、小球、W-BOOT等。恶性病毒则有明确的目的，或破坏数据、删除文件或加密磁盘、格式化磁盘，有的对数据造成不可挽回的破坏。这也反映出病毒编制者的险恶用心。

　　不可预见性

　　从对病毒的检测方面来看，病毒还有不可预见性。不同种类的病毒，它们的代码千差万别，但有些操作是共有的(如驻内存，改中断)。有些人利用病毒的这种共性，制作了声称可查所有病毒的程序。这种程序的确可查出一些新病毒，但由于目前的软件种类极其丰富，且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。使用这种方法对病毒进行检测势必会造成较多的误报情况。而且病毒的制作技术也在不断的提高，病毒对反病毒软件永远是超前的。

行者

简单说,病毒会使你的电脑异常,最常见的会让你的电脑运行速度变得很慢,严重的会让系统崩溃.

如果你的电脑出现了莫名其妙的问题,我们首先要检查是不是中毒了.

行者

防病毒软件可以帮助您保护计算机不受病毒的干扰。许多计算机在购买时便附带有已安装的防病毒软件。您也可以自己购买并安装防病毒软件。不过，只安装防病毒程序是不够的。您还需要将防病毒软件的病毒定义保持在最新的更新状态。

在此步骤中，我们将为您介绍如何获取、安装并更新防病毒软件。

查找单词“antivirus”。您还可能看到许多常见的防病毒软件制造商或软件包的名称，其中包括：McAfee、Norton、Trend Micro 以及 Symantec。

我的防病毒软件处于最新状态吗？

安装防病毒软件只能保护您抵御以前的安全问题。为了帮助确保您的计算机时刻处于安全保护之下，需要将您的防病毒软件保持在最新的更新状态。大多数防病毒软件公司都提供订阅服务以确保您可获得最新的更新。

要检查您的防病毒软件是否处于最新的更新状态，请执行以下操作：从开始菜单或任务栏通知区域打开防病毒程序，并查找更新状态。

如果您仍不能确定防病毒软件是否处于最新的更新状态，可联系您的防病毒软件提供商。

行者

为了让您的电脑不受病毒所害,我们一般都会安装防病毒软件并保持其不断更新.

一般来说,会直接去买正版杀毒软件,单机版在50-100元之间.

如果你有足够的时间,也可以在网络上找一些免费的杀毒软件来使用,但可能在升级病毒库方面没有正版软件有优势.

要注意的是,不光是安装软件就行了,而且必须保证其正常运行和正常的升级病毒库,这样才能防范病毒.

小青

猴子老师，能介绍在网洛上就能找到的，免费的、方便的、有效的杀毒工具吗？
近几次杀毒没杀到一个，但我估计我电脑的病毒多得如天上繁星。。。
老是莫名其妙死机、重启  (-010-)

特级菜鸟要求：最好操作步骤写的尽量详细点  (-011-)

还有，如果电脑上已经有ghost，怎么用？ (-020-)

行者

我们会在下面的回复里增加一些免费的杀毒软件下载的链接和用法.

如果你暂时没有安装,也可以采用在线杀毒的方法.

比如,去一些有在线杀毒功能的网站:
趋势科技   <!-- m --><a class=\"postlink\" href=\"http://www.trendmicro.com.cn/housecall/start_corp.asp\">http://www.trendmicro.com.cn/housecall/start_corp.asp</a><!-- m -->
瑞星在线查毒   <!-- m --><a class=\"postlink\" href=\"http://online.rising.com.cn/free/index.htm\">http://online.rising.com.cn/free/index.htm</a><!-- m -->
江民在线查毒  <!-- m --><a class=\"postlink\" href=\"http://online.jiangmin.com/chadu.asp\">http://online.jiangmin.com/chadu.asp</a><!-- m -->

按提示检查出病毒后,可以直接去搜该病毒的防治方法,按步清除.

病毒百科全书,也有若干地方有的:
趋势的 <!-- m --><a class=\"postlink\" href=\"http://www.trendmicro.com/vinfo/zh-cn/virusencyclo/default.asp\">http://www.trendmicro.com/vinfo/zh-cn/v ... efault.asp</a><!-- m -->

金山的 <!-- m --><a class=\"postlink\" href=\"http://vi.db.kingsoft.com/virus.php?fid=37657\">http://vi.db.kingsoft.com/virus.php?fid=37657</a><!-- m -->

行者

呵呵,小青好着急啊,

不用急,我会尽量讲得详细些,只要你们有时间,就可以做个病毒专家,不用再怕它们.呵呵

许多时候,大家都装了杀毒软件,也升级的病毒库,但就是查不出病毒,电脑还是变慢了,有莫名其妙的故障了,IE也不正常了.那是怎么回事呢?

其实,除了病毒,还有若干的木马或恶意程序也会造成这样的后果. 而这些,一般的杀毒软件是查不出来的.因为他们基本没有病毒的具传染性的特征.

如何识别这些呢?如果你的电脑的右下角就是有时间输入法那些的地方,多出了若干个莫名其妙的小图标,这些就是那些烦人的程序了.或者,你的IE等浏览器,总是被指向一个乱七八糟的网址等,也是有了这些麻烦了.

一般简单的做法,可以直接去用工具解决,比如,WINDOWS优化大师/3721上网助手等进行注册表优化和清理.
<!-- m --><a class=\"postlink\" href=\"http://cn.zs.yahoo.com/start.htm\">http://cn.zs.yahoo.com/start.htm</a><!-- m -->

而我一般都是通过直接编辑注册表来解决这些问题的.因为若干的木马和恶意程序都是随着系统一同启动的,所以在注册表的相应位置删除了它们的启动信息,就搞定啦.不用怕,随着我来吧,看看我是咋弄的.

行者

无论你用的是WINDOWS98 还是 WINDOWS2000 或者 WINODWS XP,都可以单击 程序  --  运行 在对话框中输入 REGEDIT  就会弹出注册表编辑器窗口来.

左侧有五个根系,我们要看的,是第二个和第三个.

第二个,点前面的+号展开,一层层的直至RUN为止:
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
看看右边框里面有几行?
正常会是两至三行,比如 ctfmon.exe 和你的杀毒软件的启动项.

第三个,同第二个一样的展开,找到RUN为止.
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
这个右边的选项会多一些,你得分辨出哪些是你需要的,哪些是不要的.

例如,我的注册表里目前有以下几项:

值  0
  名称:            IMJPMIG8.1
  类型:            REG_SZ
  数据:            \"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32

值  1
  名称:            PHIME2002ASync
  类型:            REG_SZ
  数据:            C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC

值  2
  名称:            PHIME2002A
  类型:            REG_SZ
  数据:            C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName

值  3
  名称:            SoundMan
  类型:            REG_SZ
  数据:            SOUNDMAN.EXE

值  4
  名称:            MoveSearch
  类型:            REG_SZ
  数据:            C:\\Program Files\\wsearch\\Search.exe

值  5
  名称:            Thunder
  类型:            REG_SZ
  数据:            \"D:\\swl\\net\\Thunder\\ThunderShell.exe\" /s

值  6
  名称:            KvMonXP
  类型:            REG_SZ
  数据:            D:\\swl\\kv\\KV2005\\KVMonXP.kxp /auto

除了第三项是声卡程序,第六项是江民杀毒软件外,其他的都可以删了不要.

删除的方法就是点中名称,右键选择删除即可.删完了重启一下系统,你就会发现电脑速度比以前快多了.

butterfly

(-003-) 猴子的方法超级管用，前段时间我就是这样解决的病毒


(-012-) 蝴蝶版病毒防治：格式化----最彻底最有效最高级的解决方式，简称“三最法”

行者

在刚刚看的注册表的RUN项(在注册表编辑器的左侧框内)的下面,有时会有RUNONCE RUNONECEX等项,这些都可以直接删除了,方法是在RUNONECE上右键,选择删除即可.

注意,注册表的内容很多,你不清楚的部分,千万别动,不小心删了,可能会造成你的整个系统崩溃的!

在你做了删除以后,重新打开注册表编辑器,有时你会发现刚刚删除的选项,又出现了,呵呵,很顽固的,这些程序通常都是那些恶意程序或者病毒了,它会自动检测并保护自己.这时候,你就需要在安全模式下去删除它.

具体方法是,重启电脑,在系统刚启动时按 F8 键,让WINDOWS出现启动菜单.选择SAFE MODE 安全模式 启动. 启动正常后,同上一步,去找RUN选项,然后将那个重复出现的东东删了去.一般就解决问题了.