以下是小编帮大家整理的关于杀毒基础知识(共含9篇),供大家参考借鉴,希望可以帮助到您。同时,但愿您也能像本文投稿人“假心海苔脆”一样,积极向本站投稿分享好文章。
当你开启的你爱机发现,反应相当迟钝时.不用怀疑了!恭喜你中毒了!(当然也可能是机内灰尘过厚导致,内存过小.可能性颇多.=.=!!既然这里是讲杀毒其他可能性就估且不论了)中毒症状:杀毒软件打不开,比如瑞星小雨伞自动变红色.360安全卫士打不开(此为木马可能性居多)解决方案:确定是否为路由器上网.因为要确保把杀毒和360升级到最新版本.(理由每天都可能出新的病毒或变种,旧的病毒库里能认知的不可能杀掉最新的病毒)是路由器上网的朋友请继续往下看好了.步骤一:重新启动或开机一下一下按F8进入带网络的安全模式.(所谓安全模式既是不带任何启动项的包括声卡.显卡当然也包括可能性开机跟随启动的病毒)注意事项什么都不要点.只开360安全卫士升级到最新版本.接着把杀毒软件也升级吧步骤二:因为现在是带网络命令的安全模式,既然要杀毒自然要彻底.此时的电脑可能已经是别人的肉机.那么请在重启依然按F8进入安全模式.依然什么不都要点.因为或许你点的某个可执行程序的图标就已经中毒了.(此操作包括不要去双击我的电脑里的任何盘符)360安全卫士开起查杀恶意插件包括其他插件里不认识的全删了.查杀木马(木马有可能屏蔽杀毒软件的眼睛导致杀不到毒).接着在高级里修复IE防止被串改.操作结束开杀毒软件全盘查杀吧.记得设置成查到病毒先清楚,清楚不了后删除.隔离失败后删除.省却一些可能用到的再也开不起里的麻烦.步骤三:杀毒结束后仔细看是否有写需解压后删除的病.右键定位打开直接删了那文件(此文件可能被人加过壳)重启后既可正常使用爱机.针对个人机不推荐此方法.只要C盘桌面收藏夹我的文档内无重要资料重新做系统都比这样来的省时省力P.S:删除注册表启动项.注册表开启为左下角开始处点运行输入regedit.删除完后记得顺便在运行处输入msconfig的最后一项启动里看看有没什么莫名其妙的都不要勾起至于进不了安全模式的朋友恭喜你重新做系统吧杀毒软件不是万能的.请自觉做好良好上网意识.要补充的太多不做交代. 『关闭该页』 『打印该页』
它弹出一个窗口:“警告!警告!发现广告程序,请立刻清除文件,否则你的电脑将受到病毒侵害!”什么?居然是我下载的积分工具条!算了吧,我才不肯呢!谁知道几分钟后,那“歹毒”的家伙居然将“时代遗弃者”强制关机了!没办法,删就删吧……我的积分!……
“疯狂”攻略三:“创网”=不明网站?
本人在百度搜索上查找“创网”,嘴里一直喃喃自语:“创网,我来啦!哈哈!”呃?什么?-----刚搜索到“创网”页面,那杀毒软件又开始不安分的!“滴滴滴!对不起!此网站您还没进行扫描,如果你要进行扫描请按“1”;如果你拒绝扫描,我将强制阻止弹出窗口,以免受到不明网站攻击……”什么!我最最最爱的“创网”什么时候变成“不明网站”啦?该死的杀毒软件,我要告你 !还没等我说完,窗口就被“疯狂杀毒”打上了¢……那家伙的“疯狂”行为还有很多,有时候我在想:哼!等哪天老爸老妈不在家,我就把你拆掉!过时的家伙!
瑞星杀毒
瑞星杀毒软件单机版
瑞星推出的立体防护体系,网络威胁,一网打尽。
第七代极速引擎,查杀毒速度提升30% 瑞星杀毒软件2006版采用第七代极速杀毒引擎。该引擎在版的基础上进行了改进,增加了对7-ZIP压缩格式以及多种壳的扫描,使查杀病毒更为细致、准确。第七代极速引擎对性能做了进一步优化。与2005版相比,查毒速度提升30%,扫描相同的文件量可以大幅度节省用户的时间。抢先启动杀毒 瑞星杀毒软件2006版不仅可在Windows的登录界面下(即系统还未完全启动时)开启实时监控进行防毒,还可以直接启动杀毒软件进行杀毒。通过此功能可以有效查杀一些顽固病毒、木马。未知病毒查杀(已获国家专利,专利号:ZL 01 1 17726.8) hot 瑞星杀毒软件2006版采用“未知病毒查杀”专利技术,不仅可查杀 DOS 、邮件、脚本以及宏病毒等未知病毒,还可自动查杀 Windows 未知病毒,在国际上率先使杀毒软件走在了病毒前面。八大监控系统,系统安全实时监控 瑞星杀毒软件2006版提供了“文件、注册表、内存、网页、邮件发送、邮件接收、漏洞攻击、引导区”八大监控系统,给计算机提供完整全面的保护。八大监控系统不仅能够轻松查杀现阶段所出现的所有已知病毒,更能对未知的病毒、木马、间谍软件进行预先防范。在线专家门诊 new 首创在线互动式服务模式,可实现远程诊断、远程维护、实时交流的.全新互联网服务。迷你杀毒 new 许多用户希望杀毒时不影响自己的工作,而传统的杀毒软件检查病毒通常需要较长的时间,且会明显减慢计算机的运行速度。瑞星杀毒软件2006版针对此问题提供了迷你杀毒功能,它只占用极小的系统资源。用户可以在查杀病毒过程中进行其他的工作,而不会感到速度有所减慢。全自动无缝升级 (已获国家专利,专利号:ZL 01 1 142155.X)new 不必为软件升级操心,瑞星杀毒软件2006版的主动式智能升级技术会自动检测最新的版本并自动为您升级。瑞星杀毒软件2006版采用国内独家的无缝安全升级技术,可以实现在查杀病毒的同时进行升级操作且无需关闭监控程序。通过与瑞星个人防火墙2006版联动,可以保证在升级过程中不受诸如冲击波、震荡波、Zotob蠕虫病毒、木马、间谍软件及黑客等的侵袭。数据恢复(已获国家专利,专利号:ZL 01 1 17730.6) 瑞星杀毒软件2006版在原有的“超容压缩数据保护技术”的基础上进行了重新设计、改进,占用硬盘空间更少,效率更高。该功能将备份数据保存在硬盘中,当用户数据丢失时,可以极大限度地进行修复。实时更新的信息中心让您轻松掌握第一手的安全资讯 hot憨态可掬的小狮子卡卡是您系统保护的好帮手 hot内嵌“木马墙”技术,彻底解决账号、密码丢失问题 new 传统的隐私保护、密码保护都要求用户事先输入自己的账号、密码等信息,以防止木马对外发送密码。此类隐私保护只能防止发送密码明文的木马,如果密码信息稍加变形或加密就会使此种保护方式失效。瑞星个人防火墙2006版内嵌“木马墙”技术,通过使用反挂钩、反消息拦截以及反进程注入等方式,直接阻断木马、间谍软件、恶意程序等对用户隐私信息的获取,从根本上解决盗号等问题。可疑文件定位 很多病毒、木马、间谍软件及恶意程序都会将自身添加到计算机的启动项目中以实现打开计算机自动运行的目的。瑞星个人防火墙2006版可以列出注册表、ini文件、系统服务和开始菜单等随机启动项目,并可以对其进行禁用和删除等操作。网络可信区域设置 瑞星个人防火墙2006版通过对可信区域进行设置,可以在同一台计算机上设置不同的安全策略。软件可以自动识别出计算机访问的是局域网还是互联网,并采用与之对应的安全策略。IP攻击追踪 当遇到黑客入侵时,不但可以拦截攻击数据包取得黑客的IP地址信息,还可以根据获取的IP地址找到黑客的物理所在位置。“IP攻击追踪”功能极大方便了用户对黑客攻击的取证,使得用户在面对黑客攻击时由“被动挨打”变为“主动出击”。家长保护 new 自动屏蔽常见的不适合青少年浏览的色情、反动网站,给孩子创建一个绿色健康的上网环境。网络游戏账号保护功能 根据国内的实际应用情况,瑞星独创网络游戏帐号保护功能,可自动识别流行的网络游戏并进行安全防护。同时,灵活的扩展性允许用户自定义要保护的帐号和安全策略。根除恶意软件、流氓软件等恶意程序 hot 更好地管理插件加载项,快速删除恶意程序;并且彻底免疫插件的自动下载。钓鱼网站拦截 hot 瑞星建立的举报系统,实时收集、屏蔽钓鱼网站,开启不良网站访问提示功能,访问时即可进行拦截。病毒网站、浏览器劫持网站拦截 瑞星建立的举报系统,实时收集、屏蔽各类恶意网站,开启不良网站访问提示功能,访问时即可进行拦截。系统修复 快速修复由于病毒或某些恶意程序、网站造成的系统故障。发现大家(特别是新手)经常询问,“为什么XXX病毒杀不掉”,“为什么XXX病毒当时杀掉,过两天又来了”,等等问题,看者他们焦急的样子,作为先驱者的我真是不忍心啊。毕竟我也是从那中懵懂的过程走过来的,其中坎坷,也只有自己知道。所以还是抽些时间,发篇小文,希望能给大家指点迷津。
其实这样的问题很简单也很容易解决,但是需要一点病毒的基础知识,在下不才,提示一些注意的方面,旨在给新手一些提醒,并希望达到抛砖引玉的效果,请各位DX以及老前辈们不吝赐教。现在,请各位听我慢慢道来。
早在win95盛行的年代,流行在机器上的病毒,也不过就是一些文件型病毒和引导区型病毒,最大的破坏效果也就是导致系统运行变慢、文件不能运行,遇到BT一点的,还会删除或者格式化硬盘和破坏硬盘分区表。那时的网络没有现在这样普及,个人上网还是一件“奢侈”的事情。NTFS分区也没有应用到个人家庭的PC中(仅仅在NT操作系统中应用)。所以那个时候病毒也没有现在这样厉害,在传播性和杀伤程度上都不如现在,也没有很多的木马病毒,最多也就是“冰河木马”和“ BO ”。但是由于他们的病毒机制和语言编写方面的原因,导致他们的客户端隐蔽性不好,可以在按下“ctrl+alt+del”键的时候,被用户发现运行在内存中。对于注册表的修改,也仅仅限于修改启动项目,使自己可以开机加载。在那个年代,我们防范病毒的意识也仅仅停留在D版软件和软盘的使用方面。到现在我还清楚的记得,当时学校机房的老师不允许使用自己的软盘时的情景DD脸拉的老长,在每个人身边渡来渡去的,要是被发现谁偷偷使用,轻者遭到横眉冷对,重者会被“驱逐出境”。而且在不了解内情的情况下,还会遭到“千夫指”DD众多同学认为你是害群之马,抛以鄙夷的眼光。(其实是老师生气,不许玩那时经典的、盼望以久的、打发时间的好游戏-“玛力兄弟”)
在那个时候杀毒也显得是那么简单(技术方面)的事情,插入张D版的K***的软盘(那时玩电脑的人手一张,代替计算机系学生证了),启动机器,一阵硬盘配合小喇叭(那时没有音箱)“滴、滴..”的声音响过,和满屏幕的“found xxxx virus ,killed!!不停的闪过,病毒就解决完了。
但是现在的病毒远远没有那么简单,不论是传播方法还是杀伤力,都更胜一筹。由于操作系统的不断升级(98-->98se-->me-->-->xp),病毒也在不断的升级。过去DOS下的引导区病毒已经不是病毒世界的中心(有消息说最近引导型病毒有回升的趋势),开始发展到以木马病毒为主的局面。由于现在网络的飞速发展和普及,几乎每个人都可以上网,所以给病毒带来了传播的“温床”。以哲学角度看问题,这些都是不可避免的(事物个有利弊么),唯有加紧防范。而现在的木马病毒远非最初的“冰河”和“BO”那么简单。开后门、监听端口、自我隐藏、复制、偷取游戏密码、银行、股票账号及机器上其他重要信息、恶意删除文件、甚至是偷偷干掉正在运行的各种实时杀毒监控程序……等等,让我们感到防不胜防。
最初的木马不过是通过文件合并器合并成其他类型的文件引诱用户运行或者D版软件盘上本身携带,通过邮件传播的都很少。但是现在的网络安全随着我们网络更加平民化显得更加脆弱。多少年前,我们从没有想到过浏览一个网站,就会使机器中毒的事情,现在层出不穷、笔笔皆是。(很多网友莫名其妙的中毒也是由于此类恶意网站所至)如何防范网络安全,如何使自己免受病毒困扰,成了现在每个人关心的话题。毕竟病毒带给我们的损失太大了。当年CIH病毒肆虐的时候导致主板报废的消息,震惊了多少业界人士。
在这里我提醒大家注意的一点就是:“千万不要以为杀毒软件是万能的,有了正版杀毒软件和最新病毒库就‘无敌’了!”这是极其错误的概念。毕竟病毒数据库都是在出现新病毒之后,分析出病毒代码填充的,才可以查杀。万一哪天“横走江湖”的你正好“倒霉”,遇见“新品种”,偏偏又是一个“狠角”%#……^#¥^#%#…… 恐怕到时候预哭无泪啊!杀毒软件永远是跑在病毒后面的“追捕”,而不是预知灾难和未来的“先知”。先有鸡和先有蛋的问题也许我们永远也弄不清楚,但是病毒和杀毒软件两者,永远是病毒在先!请大家时刻注意自我安全防范。谨记!!
病毒的简单发展和危害,我想给大家介绍的差不多了,接着就是要回答大家提出的为什么有些病毒“杀不掉”或者“再次回来”这个问题。其实这两个问题涉及的完全是同一个方面,就是是如何杀毒?别笑,杀毒不是每个人都会的。有人认为“不就是简单的WIN操作么?在windows下运行瑞星就可以了,我常常那么杀,也没有什么问题啊?”实际非也。我只能说那是你老兄运气好,运气不好的可是大多数。绝对不要在带毒环境下杀毒,那样做几乎是零效果。
现在拥有电脑的朋友们,很多没有经历过DOS时代(绝非以老卖老),仅仅是在图形桌面和鼠标点击下成长的,所以对于引导区、病毒的传染、复制方面不是很了解,有的甚至跟本就不了解。甚至是谈“毒”色变,把机器一切不正常现象都归于-“是有病毒了吧?”非也,告诉大家病毒很简单,人做的程序而已,别怕。其实病毒机理无非就是“感染-》优先运行-》自我复制-》隐藏、破坏-》传播”几个步骤,
熟悉了这些,我们就可以知道,杀毒到底要从什么方面入手。先就简单的说说病毒的感染和传播方法。
1、 引导区型病毒 感染启动扇区(包括软盘),在每次开机时读区引导区也就激活了病毒 加入内存。传播方式是通过软盘的读写。
2、 文件型病毒 感染 .exe .com为扩展名的可执行文件,常驻内存,感染此后加载到内存的应用程序。修改程序文件,导致文件不能使用。
3、 破坏型病毒 恶意删除文件或者格式化硬盘,第一时间加入内存,实行破坏活动
4、 木马型病毒 自我复制、自我隐藏、开机加载、窃取破坏于一身的病毒
5、 恶意网站 通过恶意代码和IE漏洞侵害用户,偷偷下载和运行带有木马的程序
剩下的宏病毒和脚本病毒先不讨论
不难发现,所有病毒的感染方式都是以第一时间占领机器,取得领导权,并且常驻内存,感染所有今后进入内存的程序为目的。所以对他们下手,也就有了初步的思路。这就是你和病毒之间,到底谁能先拥有机器的“领导权”问题。如果先让病毒占领机器,无疑你就是“攻击战”,攻击战看似简单,但是可惜和病毒使用的武器是同一个东东DD“你的爱机”。如果你的爱机先听了病毒的指挥,恐怕攻击战不好打啊,既要夺“武器”,又要“擒贼首”,太被动了。有的时候,爱机跟本不会帮你解决问题,就是因为病毒先占领了机器。
举个例子,比如很多时候,我们杀毒时遇见“文件正在使用“或者”清除失败”这样的报告,原因就是如此,病毒先占领了机器,启动了windows。Windows是决不会允许你对正在运行的程序进行杀毒和删除的。(加一个特殊情况:当检查到压缩文件的时候,瑞星可能提示,需要解压缩之后才可以删除病毒。因为瑞星不能改变你的压缩文件内部结构,所以你最好乖乖的听话,把这个压缩文件解压到一个临时目录下 杀毒后 再次压缩打包就可以了。如果这个压缩文件不是很重要,就直接删除好了,再次去下载新的无毒的压缩文件,不要解压的时候处理不善 造成病毒泄露)
而很多病毒在当时被报告“已清除”但是再次开机或者过几天再次出现的原因是因为病毒有复制功能,并且先占领机器并执行了自己,只要让它先拥有了机器的“领导权”,他会再次将自己复制,并再次感染。这样的恶梦循环不断。所以这就是为什么常常我们在windows下杀毒杀不掉或者杀掉之后再次感染的原因。
既然问题分析清楚了,那么解决的办法也应运而生,那就是脱离windows环境杀毒,争取第一时间取得机器领导权是首要问题。也就是我们常说的使用DOS启动盘杀毒(瑞星A盘)。为什么使用DOS启动盘杀毒就可以真正的杀掉病毒呢?不是启动盘里的瑞星更厉害,而是用软盘启动的时候,不通过硬盘引导,不启动windows。Windows启动的时候根据注册表加载了大量的程序,其中就包括病毒程序,因为经过病毒的修改,启动项目和其他驱动一样被写进了注册表启动项目。但是一但通过软盘引导系统,就不会执行windows注册表配置,病毒自然也就无法第一时间占领机器了。机器已经归我们所有了,病毒只能是束手就擒。同志们!杀啊!杀 杀!!解气去!!
有很多朋友是浏览网页的时候,不知不觉的中了“招”。解决办法只能是防范第一,杀毒第二。主要是打开瑞星监控并及时的把IE的补丁打上,升级最高版本。打上系统补丁。但是对于病毒,我们始终只能是防范,而不是先知。所以给各位常在网上走的朋友提个醒“防患于未然,多多提高警惕吧”!
回答一些朋友的问题
很多朋友说我的机器是2000系统和XP系统 系统分区是NTFS的,据我看瑞星说明书,瑞星A盘具有杀NTFS分区的功能,请各位放心好了。
还有朋友说自己的机器上没有软驱怎么办?我只能说很遗憾,也许你可以杀毒(安全模式),但是远不如DOS下杀的更彻底。我在这里建议大家配机器的时候,给自己的机器加个软驱有利无害!大家肯定都懂得什么是有备无患,真正遇见问题的时候,我想远不是几十块钱钞票可以解决的吧,钞票不能恢复数据,不能杀毒,不能启动!还是加个软驱吧。
看了很多朋友的回复帖子,发现很多人建议在安全模式下杀毒。我一直对这个方法持不赞成态度。实际安全模式也仅仅是不加载一些驱动程序,当你执行安全模式的时候,相信你也能看见一大堆.dll文件执行了(2000和xp)。对于是不是所有病毒都不会运行在安全模式,这个有待考证。我只能说这个方法是没有软驱朋友的唯一可行方案,但不是其他朋友的最佳方案。强烈建议DOS下杀毒,尽管麻烦,尽管慢 ,但是出于安全角度考虑,牺牲这点时间还是值得的。
(附言)
DOS下杀毒前的准备工作
1、 保证自己的瑞星A盘B盘内的DOS版杀毒和病毒数据库为最新或接近最新!
2、 升级瑞星A盘之后,一定要打开写保护,避免A盘带毒,否则杀毒无效
3、 将机器调整为软盘启动(对于电脑盲的 提醒)
4、 杀毒时选择“所有文件”而非“程序文件”
系统工具有妙用 详解命令行强力抗毒武器
早在几年前,就有先知先觉的网友感叹道:人在网上漂,哪能不中标,而到如今,电脑中招更是成了家常便饭。面对这来势汹汹病毒木马们,杀毒软件和防火墙自然是一个都不能少。但有时还是有许多仅仅依靠杀毒软件和防火墙对付不了的顽固分子,这时该怎么办呢?而你可曾知道,在 Windows 系统的命令行中,已经为我们提供一些非常有用的工具,充分利用就会变成我们对抗病毒的强力武器,我们就能更有效地对抗病毒。下面我们就来看看命令行下的强力抗毒武器。
一、TASKLIST——火眼金睛
如今的病毒越来越狡猾,常常不见首也不见尾。但许多病毒往往在进程这一环节中露出狐狸尾巴,因而查看进程是查杀病毒的一个重要的方法。当然我们通过系统的任务管理器或其它功能更强大的进程查看器来查看分析进程,而实际上在命令行也提供了进程查看的命令工具——Tasklist(Windows XP 或更新版本)。此命令与任务管理器一样可以显示活动进程的列表。但通过使用参数,可以看到任务管理器查看不到的信息,但通过运用参数,我们可以实现更强大的功能。使用参数“/M”,运行“Tasklist /M”将显示每个任务加载的所有的 DLL 模块,如图1所示;使用参数“/SVC”,运行“Tasklist /SVC”命令则会显示每个进程中活动服务的列表,如图2,从中我们可以看到进程svchost.exe加载的服务,通过服务就能分辨出究竟是不是恶意病毒进程。此外,我们还能利用Tasklist命令来查看远程系统的进程,例如在命令提示符下输入“Tasklist /s 208.202.12.206 /u friend /p 123456”(不包括引号)即可查看到IP地址为208.202.12.206的远程系统的进程,。其中/s参数后的“208.202.12.206”指要查看的远程系统的IP地址,/u后的“friend”指Tasklist命令使用的用户账号,它必须是远程系统上的一个合法账号,/p后的“123456”指friend账号的密码。这样,网管进行远程查杀病毒也就方便多了。
Tasklist命令
Tasklist命令
二.TASKKILL——进程杀手
有了Tasklist这双火眼金睛,许多病毒就现身了,但更重要的不是找出病毒,而是还要清除它们,这时另一个命令——TASKKIL也就能派上用场了。例如想结束某个进程,只需从任务管理器中记下进程名,运行下列命令即可:“TASKKILL /F /IM 进程名”;你也可以通过连接PID的方式,可先运行“Tasklist”命令,记下进程的PID号,在命令提符下输入“taskkill /pid PID号”即可。如图3,运行“taskkill /pid 1656”结束了 PID 为 1656 的进程。说到这里恐怕有人要说这还不如直接利用任务管理器方便。而实际上TASKKILL命令的独门绝技就在于它能结束一些在任务管理器中不能直接中止的进程,这时就要加上参数“/F”,这样就能强制关闭进程,例如运行“TASKKILL /F /pid 1606”命令就能强制结束 PID 为 1656 的进程。除此之外,TASKKILL命令还能结束进程树、远程进程、指定筛选进或筛选出查询的的进程,具体操作可利用“taskkill/?”命令进行查看。
taskkill命令
三. Netstat——端口侦探
如今的木马越来越多,造成的威胁也越来越大,于是出现许多专门用于木马查杀的工具。其实只要我们合理使用命令行下的Netstat命令就能查出大部分隐藏在电脑中的木马。我们知道,大部分木马感染系统后都留有服务端口,而这类服务端口通常都处于LISTENING状态,因而从端口的使用情况可以查到木马的踪迹,而这利用Netstat命令就能轻松实现。在命令行中运行“Netstat –a”,这个命令将显示一个所有的有效连接信息列表,包括已建立的连接(ESTABLISHED),也包括监听连接请求(LISTENING)的那些连接,如图4所示.其中Proto代表协议,Local Address代表本机地址,该地址冒号后的数字就是开放的端口号,Foreign Address代表远程地址,如果和其它机器正在通信,显示的就是对方的地址,State代表状态,显示的LISTENING表示处于侦听状态,就是说该端口是开放的,由于木马开启后门成功后该后门处于LISTENING状态,因此你需要注意的就是处于LISTENING状态的端口,如果该端口号陌生,而且端口号数很大,你就应该有所警觉,
你还可以查看使用端口所对应的进程来进一步确认,这就需要加上参数“-O”,运行“Netstat –ao”命令就会显示一个所有的有效连接信息列表,并给出端口对应的PID号。
Netstat命令
四. FIND——捆绑克星
相信许多人都上过文件捆绑木马的当,表面看起来是一张漂亮MM的图片,而暗地里却隐藏着木马,这种通过文件捆绑进行隐藏是木马的惯用伎俩。而对可疑文件进行必要的检查及时处理往往就能防止产生更严重的后果,于是网上也出现了一些检查捆绑文件的工具。而实际上,在Windows 中,也可通过命令行巧妙地进行简单的检查。这里要用到字符串搜索命令——FIND,它的主要功能是在文件中搜索字符串,我们可以利用它进行捆绑文件的检查。方法为:在命令行下运行“FIND /C /I “This program ” 待查文件的路径 ”(不包括外面的引号),如果是EXE文件,正常情况下返回值应该为“1”,如果出现大于1的情况,你就必须小心了;如果是图片之类的不可执行文件,正常情况下返回值应该为“0”,如果出现大于0的情况,就应该引起你的注意。
五. NTSD——强力终结者
如今的病毒越来越狡猾,经常出现即使你能找到它的进程,却不能结束的情况用任务管理器和前面提到的TASKKILL命令都没有办法中止。当然我们可以使用进程管理工具,比如功能强大Process Explorer、IceSword。而实际上使用Windows自带的一个秘密工具就能强制结大部分进程,包括一些十分顽固的进程,这就是NTSD命令。
在命令行中运行以下命令:
ntsd -c q -p PID
最后那个PID指你要终止的进程的ID。当然如果你不知道进程的ID,可通过Tasklist命令,或只需通过任务管理器->进程选项卡->查看->选择列->勾上“PID(进程标识符)”,然后就能看见了。
利用NTSD命令,除了System、SMSS.EXE和CSRSS.EXE等极少核心进程不能杀外,其它进程都可以强行结束,几乎能达到IceSword相同的水平。
六. FTYPE——文件关联修复专家
和文件捆绑一样,篡改文件关联也是病毒或木马的惯用伎俩,通常的恢复方法主要是通过修改 注册表,但注册表操作通常比较麻烦而且容易出错,而实际上在 Windows 系统中,有另一个更方便的命令行工具——FTYPE,利用它可以非常轻松地恢复文件关联。比如exefile的文件关联最容易被修改,它的正常的文件关联为:“%1” %* 。恢复的时候,只需在命令行中运行下列命令:“ftype exefile=“%1” %* ”就可以了。如果要修复txtfile的文件关联,只需输入:“ftype txtfile= %SystemRoot%system32NOTEPAD.EXE %1 ”即可。
七. FC——注册表监控器
大家都知道,许多病毒木马都把注册表当作攻击对象,如上面提到的文件关联篡改,而现在所谓的流氓软件之流的不安分的软件在注册表中添加本不应该添加的项值,因而注册表监控就变成十分必要的了。于是出现了许多注册表监控类软件,其实我们完全可以仅用Windows 系统提供的工具就能实现监控(当然这样提到的监控主要是指检查出某个时刻究竟注册表发生的变化)。
下面就以监控安装软件过程对注册表做的修改为例介绍如何实现“监控”:
首先,我们可以在安装软件前备份一次注册表(存储为REG文件,如1.reg),安装后再导出注册表文件(2.reg)然后再在Windows XP 的命令提示行下执行下列命令:
D:>fc /u 1.reg 2.reg>changes.txt
在D盘根目录下再打开changes.txt文件,即可清楚地查看该软件对注册表添加了哪些子项,做了什么修改了。上例中的安装软件是一个特定的时刻,你可能用此方法分析任一时刻注册表可能发生的变化。
怎么样,通过上面的命令行下七种强力抗毒武器,你还是对命令行的功能有了更新的认识了呢?有了这一群命令行下随时等待召唤的抗毒精英,以后对抗病毒也就更有效、更方便,病毒木马们也就难逃法网了。
前些日子一位同学电脑感染了凶猛的病毒,找我过去看了看,场面甚是悲壮:屏幕右下角不断弹出不良广告、系统图标部分更改、电脑无端多出许多程序、CPU占用率100%、鼠标键盘几近无法使用,
杀毒的过程很费时间,从上午10点一直到下午5点。有些同学说了,这么长时间重装系统吧,普通病毒可以,但这位同学中了感染型病毒,除了C盘其他盘也都感染了病毒,除非全盘格式化,否则重装系统后病毒依然存在。
一、断开网络
二、进入普通安全模式
三、查杀病毒 顺便了解病因
四、进入联网安全模式 查杀病毒
五、检查开机启动项和服务 卸载部分残留软件
一、断开网络
一旦发现电脑中了病毒,如果不是U盘感染的,病毒一定是通过网络传播的(不联网的电脑,好端端的也不会中病毒),我的经验就是立即断开网络,拔掉网线,防止病毒的进一步感染,另外有些病毒植入特定文件传输软件,会把你的文件资料通过网络传给入侵者。所以一定要断网,不用担心很多杀毒软件是可以离线杀毒的。
二、进入普通安全模式
断开网络后就要开始杀毒了,在原系统中杀毒是肯定做不到了,一个是因为病毒已经入侵了(一边杀,一边感染),另一个原因是之前说过的,这台电脑cpu占用率100%,根本无法正常运行杀毒软件。
进入安全模式是一个好主意,安全模式只加载系统核心进程和部分硬件驱动进程,病毒不会仅需入侵感染文件,处于任人宰割的状态。这里为什么说普通安全模式,是因为这个模式不能联网,这里离线杀毒也是为了安全起见,万一遇到强悍的病毒就麻烦了,所以我们选择进入普通安全模式(就是人们常说的安全模式,说成普通,是为了与后面的区分)。
重启电脑,在开机时按F8即可进入选择界面,上下键选择安全模式即可。我遇到的有一个特殊情况,也是就这位同学的电脑,这台电脑是一个华硕主板的台式机,开机时按F8居然进入了华硕主板的设置界面(哎,真不明白,华硕公司把这个设置成F7又不会丢人),尝试了很久,也在网上查找资料最后得知了一个方法:按F8之后进入设置界面然后按ESC,之后立刻吐血狂按F8,就进入选择界面了,选择安全模式即可,
三、查杀病毒 顺便了解病因
进入安全模式后,就可以启动杀毒软件杀毒了。启动杀毒软件,这里大家使用大众的杀毒软件都可以,没有什么特别推荐。开始查杀之后,你就可以做别的事情了,我是等了大约2个多小时才查完,大约查了582个病毒(真实强悍),然后就开始杀毒了,又是漫长的等待,这次我没有选择做别的事情而是看看到底都有哪些病毒。
我发现有很多植入的视频转换软件,这让我很奇怪,后来查资料才知道,这些软件是病毒植入电脑为了是CPU占用率达到100%,视频软件一般都很占用CPU,病毒正是利用了这一点,大肆占用CPU资源,让机主不能运行程序,趁机入侵电脑文件。
果不出所料,还有很多专门用来传输文件的软件,比如飞鸽传书。还好断网即使,不然文件已经被传到了入侵者的手中。
另外,病毒页入侵了很多文件资料,致使不得不杀掉这些文件,牺牲个体,保障全局。
四、进入联网安全模式 查杀病毒
第一次查杀病毒之后,我又查了一遍,刚查了几分钟,又查到了仍有病毒存在,因为大部分病毒还是被消灭了,于是我想现在可以进行联网查杀,更加全面,不过还是安全模式,这次是带有联网功能的安全模式,然后再次病毒查杀。这期间为了更彻底的杀死病毒,除了使用杀毒软件,我也有使用了急救箱(360或者金山),急救箱不可当成杀毒软件使用,会对系统有所损伤,中毒不深的情况下最好不要使用。
查杀之后,再次检查,终于没有病毒了,可以进入正常的系统啦。
五、检查开机启动项和服务 卸载部分残留软件
进入系统后,如果发现之前病毒给你安装的软件还在,也不要紧张,这是残留下来的,没有被识别成病毒的流氓软件,卸载就好了。
另外,由于这次中毒比较深,为了安全起见,我查看了一下开机启动项和服务:win+R,然后输入msconfig,即可查看。秉着宁可错杀也不放过的态度,我只保留了微软的服务,开机启动项也只保留自己熟悉的。不过其实也并没有错杀,如果有些软件出现问题,你可以用同样的方法设置成开机启动项和服务,比如输入法的服务。
好了,电脑杀毒记就到这里吧。只是谈谈自己的经验,并不是什么金科玉律,甚至这其中仍有些错误的说法,不过,不要在意细节嘛。
电脑安全工程师今天接到了一封网友咨询电脑中病毒的问题求助,网友还询问了lpk.dll是什么和usp10.dll是什么的问题,经过调查发现就出现的lpk.dll,usp10.dll病毒又开始有了流行的趋势,为了能让网友很好的清除该病毒,接下将为大家简单的介绍怎么杀的实用方法,
lpk.dll,usp10.dll是什么文件首先让大家先了解下关于lpk.dll是什么和usp10.dll是什么的问题,在此做一个简单的介绍。系统正常的lpk.dll文件是微软操作系统的语言包,位于system32目录下面;而usp10.dll则是操作系统字符显示脚本应用程序接口相关文件,也位于system32目录下,
正常的操作系统在系统目录下是有lpk.dll和usp10.dll的,但是 却利用Windows程序加载机制,将病毒文件改名为 lpk.dll和usp10.dll,这样程序就可以自动加载它们了。电脑中出现大量lpk.dll或者usp10.dll就很有可能是中了这个病毒了。
lpk.dll,usp10.dll怎么杀如果有网友在电脑中发现大量的lpk.dll或usp10.dll,可以下载lpk.dll专杀工具和usp10.dll专杀工具进行查杀,在查杀的过程中最好将文件共享和杀软的实时监控都关闭了,这样防止出现lpk.dll清除不彻底的现象。推荐用这个:lpk-usp10感染病毒专杀工具
1994年2月18日,我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》,在《条例》,第二十八条中明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码,”这是我国对于计算机病毒的正式定义,但是在实际中,所有会对用户的计算机安全产生威胁的,都被划入了广义的病毒范畴。
病毒大致分为以下几类:传统病毒,宏病毒,恶意脚本,木马、 、蠕虫、破坏性程序。
1. 传统病毒:能够感染的程序。通过改变文件或者其他东西进行传播,通常有感染可执行文件的文件型病毒和感染引导扇区的引导型病毒; 2.宏病毒(Macro):利用Word、Excel等的宏脚本功能进行传播的病毒;
3.恶意脚本(s cript)、:做破坏的脚本程序。包括HTML脚本、批处理脚本、VB、JS脚本等;
4.木马(Trojan)程序:当病毒程序被激活或启动后用户无法终止其运行。广义上说,所有的网络服务程序都是木马,判定是否是木马病毒的标准不好确定,通常的标准是:在用户不知情的情况下安装,隐藏在后台,服务器端一般没有界面无法配置;
5. (Hack) 程序:利用网络来攻击其他计算机的网络工具,被运行或激活后就象其他正常程序一样有界面; 程序是用来攻击/破坏别人的计算机,对使用者本身的机器没有损害;
6.蠕虫(Worm)程序:蠕虫病毒是一种可以利用操作系统的漏洞、电子邮件、P2P软件等自动传播自身的病毒;
7.破坏性程序(Harm):病毒启动后,破坏用户计算机系统,如删除文件,格式化硬盘等。常见的是bat文件,也有一些是可执行文件,有一部分和恶意网页结合使用。
病毒与引擎的变迁
简单特征码
80年代末期,基于个人电脑病毒的诞生,随即就有了清除病毒的工具──反病毒软件。这一时期,病毒所使用的技术还比较简单,从而检测相对容易,最广泛使用的就是特征码匹配的方法。
特征码是什么呢?比如说,“如果在第1034字节处是下面的内容:0xec , 0x99, 0x80,0x99,就表示是 病毒。”这就是特征码,一串表明病毒自身特征的十六进制的字串,
特征码一般都选得很长,有时可达数十字节,一般也会选取多个,以保证正确判断。杀毒软件通过利用特征串,可以非常容易的查出病毒。
广谱特征
为了躲避杀毒软件的查杀,电脑病毒开始进化。病毒为了躲避杀毒软件的查杀,逐渐演变为变形的形式,每感染一次,就对自身变一次形,通过对自身的变形来躲避查杀。这样一来,同一种病毒的变种病毒大量增加,甚至可以到达天文数字的量级。大量的变形病毒不同形态之间甚至可以做到没有超过三个连续字节是相同的。
为了对付这种情况,首先特征码的获取不可能再是简单的取出一段代码来,而是分段的,中间可以包含任意的内容(也就是增加了一些不参加比较的“掩码字节”,在出现“掩码字节”的地方,出现什么内容都不参加比较)。这就是曾经提出的广谱特征码的概念。这个技术在一段时间内,对于处理某些变形的病毒提供了一种方法,但是也使误报率大大增加,所以采用广谱特征码的技术目前已不能有效的对新病毒进行查杀,并且还可能把正规程序当作病毒误报给用户。
启发式扫描
为了对付病毒的不断变化和对未知病毒的研究,启发式扫描方式出现了。启发式扫描是通过分析指令出现的顺序,或特定组合情况等常见病毒的标准特征来决定文件是否感染未知病毒。因为病毒要达到感染和破坏的目的,通常的行为都会有一定的特征,例如非常规读写文件,终结自身,非常规切入零环等等。所以可以根据扫描特定的行为或多种行为的组合来判断一个程序是否是病毒。
这种启发式扫描比起静态的特征码扫描要先进的多,可以达到一定的未知病毒处理能力,但还是会有不准确的时候。特别是因为无法确定一定是病毒,而不可能做未知病毒杀毒。
行为判定
针对变形病毒、未知病毒等复杂的病毒情况,极少数杀毒软件采用了虚拟机技术,达到了对未知病毒良好的查杀效果。它实际上是一种可控的,由软件模拟出来的程序虚拟运行环境,就像我们看的电影《 帝国》一样。在这一环境中虚拟执行的程序,就像生活在母体(Matrix)中的人,不论好坏,其一切行为都是受到建筑师(architect)控制的。虽然病毒通过各种方式来躲避杀毒软件,但是当它运行在虚拟机中时,它并不知道自己的一切行为都在被虚拟机所监控,所以当它在虚拟机中脱去伪装进行传染时,就会被虚拟机所发现,如此一来,利用虚拟机技术就可以发现大部分的变形病毒和大量的未知病毒。
手动杀毒之准备:
1、做完系统后,安装好杀软和常用的几款工具软件后,给系统打安全补丁;
2、用备份软件给系统备份;如果磁盘空间比较大,把备份文件再备份一下,但要重新命名,防止病毒木马搜索删除备份文件,导致系统恢复无法找到备份文件;
3、学习熟练使用组策略里的软件限制策略
4、给初装系统的任务管理器进程和进程用户名抓图备份,保存备份图片;
5、平时要留心系统进程的用户名和占有cpu的份额,建立文本稳当保存;
手动杀毒步骤:
一、手杀分析与准备
1、打开任务管理器,选进程按钮,先双击cpu,让cpu占有率从大到小排列,看那个进程占cpu比较大,和以往的备份材料对比,找异常进程;如果应用软件进程异常,考虑有可能是该软件安装路径插入了病毒进程,或者软件关联文件缺损,建议卸载,删除安装路径残留文件夹,
2、鼠标左点击任务管理器“映像名称”按钮,让所有进程名字分类排列,看看有没有同名的进程,有几个,和以前进程情况抓图备份对比,不懂的重名进程,打到百度搜索,看看进程在磁盘文件路径上有无异常、是否是系统的进程.......;
3、借助端口分析软件,如兵刃,分析端口、磁盘文件、远程地址与进程的关系;
4、揪出可疑进程,找到进程磁盘路径文件;
5、对系统文件不熟悉,就把可疑进程文件名字打到百度,百度会告诉你该进程的作用,属于什么服务或者是什么软件进程,如果是病毒,会有什么关联的文件,还有手动清除的方法.......
6、在注册表中查找,找到进程文件的键值,先不要做什么操作;
二、手杀病毒程序
1、先结束任务管理器中的可以进程’
2、找到磁盘路径中的病毒文件,删除掉;注意要在“我的电脑”中搜索,根据可疑文件的全称,依据文件建立时间,区分是不是系统或者正常软件文件,去伪存真哦!删除可以时间下的病毒文件;
3、打开注册表编辑器,查找病毒文件注册表键值,删除,查找下一个,再删除.....
4、运行msconfig,打开系统配置使用程序,清理启动项,只留下输入法(ctfmon)、杀软、防火墙;
5、如果出现病毒文件无法删除,回到任务管理器中,对比以前备份的进程信息,找其他陌生进程,结束它,再试试;如果结束另外一个进程可以删除掉病毒文件,说明那个进程也有问题;如果病毒文件路径指向系统还原相关的文件,就关闭磁盘的系统还原,操作提示将删除所有还原点,确定;
6、手动杀毒过程会出现结束的进程死灰复燃,这个我们就要分析进程是不是关联到了系统服务,到百度搜索进程信息,如果关联到系统服务,就调出服务,禁止或者变手动,结束该服务;在结束进程,删除病毒文件;
7、很多病毒都写保护,有很多办法重生,这时候,我们就要用组策略的软件限制策略,限制病毒进程运行;要先在我的电脑中搜索病毒文件名,如和系统文件重名,就要先建立散列,浏览到正常的系统文件磁盘路径下,放行系统文件,选择不受限制的散列;如果无系统文件和病毒文件重名,直接新建路径,输入病毒文件名字,注意,这个时候要看你删除病毒文件的格式,我遇到过模仿系统更新升级进程的病毒,它前边的名字和系统文件一至,后边多了个.ps,所以新建路径是要用通配符,如新建散列,选择不受限的,放行系统的wuauclt.exe(该文件和装机时间相同),新建路径,禁止wuauclt.*运行,还要针对wuauclt.exe.2568acp.ps病毒,建立个路径,输入wuauclt.*.*,设置为不如许的......病毒很狡猾哈!
8、用超级兔子清理系统,清理病毒残留的启动项,重新启动,看看任务管理器中的病毒进程在不在了?
9、很多杀软在你手杀成功后,它们的作用都发掘出来了,扫描一下系统,可以发现N个病毒残留,轻而易举的杀死些东东
其他方法:
如果可以的话进入安全模式,既然杀毒软件无法搞定你可以采取手工杀毒的方法,
你需要拥有一下软件(冰刃,超级巡警,SReng,windows清理助手,注册表医生)
步骤如下,首先利用超级巡警+Windows清理助手扫描整个硬盘,重点在于引导磁盘,扫描完毕后重启机器,看看能否进入正常桌面
如果不行的话依旧进入安全模式,用SReng进行智能分析,查找启动项和进程中的可疑程序,然后用冰刃搜索隐藏进程,并且比对进程内核模块,结束病毒内核模块,锁定注册表,删除病毒源文件,删除病毒启动项,最后用注册表医生修复注册表.
大致流程是这样,具体细微方法难以赘述
第三种方法:
上网最恐怖的事莫过于新病毒出来的时候,尽管电脑上我们都装有各种强大的杀毒软件,也配置了定时自动更新病毒库,但病毒总是要先于病毒库的更新的,所以中招的每次都不会是少数,这里列举一些通用的杀毒方法,自己亲自动手来用系统自带的工具绞杀病毒:
一、自己动手前,切记有备无患——用TaskList备份系统进程
新型病毒都学会了用进程来隐藏自己,所以我们最好在系统正常的时候,备份一下电脑的进程列表,当然最好在刚进入Windows时不要运行任何程序的情况下备份,样以后感觉电脑异常的时候可以通过比较进程列表,找出可能是病毒的进程,
在命令提示符下输入:
TaskList /fo:csv>g:zc.csv
上述命令的作用是将当前进程列表以csv格式输出到“zc.csv”文件中,g:为你要保存到的盘,可以用Excel打开该文件.
二、自己动手时,必须火眼金睛——用FC比较进程列表文件 如果感觉电脑异常,或者知道最近有流行病毒,那么就有必要检查一下。
进入命令提示符下,输入下列命令:
TaskList /fo:csv>g:yc.csv
生成一个当前进程的yc.csv文件列表,然后输入:
FC g:zccsv g:yc.csy
回车后就可以看到前后列表文件的不同了,通过比较发现,电脑多了一个名为“Winion0n.exe”(这里以这个进程为例)不是“Winionon.exe”的异常进程。[]
★ 面膜基础知识
★ QFD基础知识
★ 食品安全基础知识
★ 比喻句基础知识
★ 问候礼仪基础知识
★ 小说鉴赏基础知识
