局域網(wǎng)病毒的防范和處理

1、局域網(wǎng)病毒的防范和處理,——用服培訓(xùn)文檔,計(jì)算機(jī)病毒在網(wǎng)絡(luò)中泛濫已久，而其在局域網(wǎng)中也能快速繁殖，導(dǎo)致局域網(wǎng)計(jì)算機(jī)的相互感染，下面將為大家介紹有關(guān)局域網(wǎng)病毒的入侵原理及防范方法。,局域網(wǎng)病毒入侵原理及現(xiàn)象局域網(wǎng)病毒的特點(diǎn)局域網(wǎng)病毒防范方法局域網(wǎng)病毒的診斷和處理,局域網(wǎng)病毒入侵原理及現(xiàn)象,先來(lái)剖析一下其網(wǎng)絡(luò)的基本結(jié)構(gòu)，中小型企業(yè)使用的辦公局域網(wǎng)不外乎計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的一個(gè)分支，因此它離不開(kāi)網(wǎng)絡(luò)的基本構(gòu)成形式。從本質(zhì)上來(lái)看，中小企業(yè)的網(wǎng)

2、絡(luò)同樣是由一個(gè)個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)站所組成的（也可以稱(chēng)其為網(wǎng)絡(luò)上的一個(gè)個(gè)站點(diǎn)），站點(diǎn)就可以具體為網(wǎng)絡(luò)服務(wù)器和客戶(hù)機(jī)。計(jì)算機(jī)病毒可以通過(guò)各種途徑進(jìn)入到網(wǎng)絡(luò)中的一個(gè)站點(diǎn)（包括服務(wù)器），然后再通過(guò)局域網(wǎng)絡(luò)中的各種特定環(huán)境進(jìn)行傳播。具體地說(shuō)，我們可以把它的傳播方式歸納為以下幾種。,1.局域網(wǎng)資源共享感染病毒,中小型企業(yè)組建的局域網(wǎng)很大的一部分用處是在共享資源方面，而正是由于共享資源的“數(shù)據(jù)開(kāi)放性”，造就了病毒感染的有效渠道。,2.服務(wù)器數(shù)據(jù)傳播病毒,中小

3、型企業(yè)不可能像花大成本構(gòu)建含“路由器”等高端網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)環(huán)境，很多工作都會(huì)丟給一臺(tái)普通PC代替的服務(wù)器去做，網(wǎng)絡(luò)中的客戶(hù)機(jī)可以通過(guò)服務(wù)器來(lái)和外界聯(lián)系，而客戶(hù)機(jī)自間的內(nèi)部郵件傳遞也可以通過(guò)服務(wù)器完成，但普通PC的性能特點(diǎn)，不可避免地在病毒面前有其脆弱性。一旦服務(wù)器感染病毒，所有需要經(jīng)過(guò)服務(wù)器的數(shù)據(jù)也會(huì)被順帶感染，進(jìn)而造成整個(gè)網(wǎng)絡(luò)感染病毒的情況。,3.客戶(hù)機(jī)之間的數(shù)據(jù)傳遞攜帶病毒,客戶(hù)機(jī)除了和服務(wù)器通訊之外，相互之間也需要進(jìn)行數(shù)據(jù)傳遞，如

4、果其中一臺(tái)計(jì)算機(jī)感染病毒，在與另一臺(tái)客戶(hù)機(jī)傳遞數(shù)據(jù)時(shí)，勢(shì)必會(huì)將病毒帶給對(duì)方。,4.客戶(hù)機(jī)帶動(dòng)服務(wù)器染毒，進(jìn)而感染網(wǎng)絡(luò)中的其他客戶(hù)機(jī),這種形式可以說(shuō)是綜合了前三種形式。網(wǎng)絡(luò)中的某一臺(tái)客戶(hù)機(jī)染毒，通過(guò)1、3種形式感染服務(wù)器，服務(wù)器再由第2種形式感染其他客戶(hù)機(jī)。如果企業(yè)使用的是“無(wú)盤(pán)工作站”形式，那么病毒的傳播將更為簡(jiǎn)易。因?yàn)槠洹盁o(wú)盤(pán)”并非真的“無(wú)盤(pán)”（它的盤(pán)是網(wǎng)絡(luò)盤(pán)），當(dāng)其運(yùn)行網(wǎng)絡(luò)盤(pán)上的一個(gè)帶毒程序時(shí)，便將內(nèi)存中的病毒傳染給該程序或通過(guò)映

5、像路徑傳染到服務(wù)器的其他的文件上，因此整個(gè)“無(wú)盤(pán)”網(wǎng)絡(luò)就徹底地被病毒感染了。,局域網(wǎng)病毒的特點(diǎn),知道了病毒的傳播方式，再來(lái)看看它的特點(diǎn)。在中小型企業(yè)網(wǎng)絡(luò)的特定環(huán)境下，病毒除了與生俱來(lái)的可傳播性、可執(zhí)行性、破壞性等常規(guī)病毒的共性外，還具有一些其他的特點(diǎn)：,1. 感染速度快,病毒的傳播必須要一定的途徑，在完全封閉的單機(jī)情況下，病毒是無(wú)法從一臺(tái)計(jì)算機(jī)傳給另一臺(tái)計(jì)算機(jī)的。不過(guò)在企業(yè)簡(jiǎn)單的網(wǎng)絡(luò)環(huán)境下，病毒的傳播可以利用充分的介質(zhì)，通過(guò)簡(jiǎn)單而快速的

6、內(nèi)部網(wǎng)絡(luò)，病毒可以迅速地傳播，舉個(gè)例子：在常見(jiàn)的100M辦公網(wǎng)絡(luò)內(nèi)，只要有一臺(tái)工作站染毒，就可在幾十秒鐘內(nèi)將同一網(wǎng)絡(luò)中的數(shù)百臺(tái)計(jì)算機(jī)全部感染。,2. 擴(kuò)散面廣,病毒感染了局域網(wǎng)中某一臺(tái)客戶(hù)機(jī)，而客戶(hù)機(jī)又可以進(jìn)一步感染網(wǎng)絡(luò)中的其他客戶(hù)機(jī)（也包括服務(wù)器），而感染了病毒的客戶(hù)機(jī)又可以更進(jìn)一步的感染更多客戶(hù)機(jī)（也包括了局域網(wǎng)以外的計(jì)算機(jī)）如此反復(fù)交叉感染，病毒在網(wǎng)絡(luò)中擴(kuò)散時(shí)，除了速度快以外，其擴(kuò)散范圍也相當(dāng)驚人。,3. 傳播的形式復(fù)雜多樣,網(wǎng)絡(luò)

7、內(nèi)病毒的傳播形式前面我們已經(jīng)做了介紹，這里就不再詳細(xì)說(shuō)明，不過(guò)隨著計(jì)算機(jī)病毒的推陳出新，相信還會(huì)有更多的我們所無(wú)法預(yù)計(jì)的傳播形式。,4. 難于徹底清除,單機(jī)上的計(jì)算機(jī)病毒有時(shí)可以通過(guò)殺毒和刪除帶毒文件來(lái)解決。如果還不行，低級(jí)格式化硬盤(pán)等措施總能將病毒徹底清除。而網(wǎng)絡(luò)中只要有一臺(tái)工作站未能清除干凈，就可使整個(gè)網(wǎng)絡(luò)重新被病毒感染，甚至剛剛完成殺毒工作的一臺(tái)工作站，就有可能被網(wǎng)上另一臺(tái)帶毒工作站所感染。因此，以對(duì)付單機(jī)形式的殺毒方法，在局域

8、網(wǎng)內(nèi)會(huì)顯得捉襟見(jiàn)肘，心有余而力不足。,5. 破壞性大,中小型企業(yè)的辦公網(wǎng)絡(luò)，主要就是為企業(yè)的工作服務(wù)。受到病毒襲擊后，不但影響網(wǎng)絡(luò)正常的工作，而更可怕的是它會(huì)使網(wǎng)絡(luò)崩潰，破壞網(wǎng)絡(luò)中計(jì)算機(jī)的數(shù)據(jù)，使工作成果毀于一旦。,6. 可激發(fā)性,它可以稱(chēng)得上是病毒的隱蔽性在網(wǎng)絡(luò)上的延伸，網(wǎng)絡(luò)病毒激發(fā)的條件多樣化，可以是內(nèi)部時(shí)鐘、系統(tǒng)的日期和用戶(hù)名，也可以是網(wǎng)絡(luò)的一次通信等等。一個(gè)病毒程序可以按照病毒設(shè)計(jì)者的要求，在某個(gè)工作站上爆發(fā)，并傳播給整個(gè)網(wǎng)絡(luò)。

9、,7. 潛在性,在網(wǎng)絡(luò)中，一旦感染了病毒，即使病毒已被清除，其潛在的危險(xiǎn)性也是巨大的。根據(jù)對(duì)企業(yè)的網(wǎng)絡(luò)統(tǒng)計(jì)，病毒被清除后，85%的會(huì)在30天內(nèi)會(huì)被再次感染。,案例,例如尼姆達(dá)病毒，會(huì)搜索本地網(wǎng)絡(luò)的文件共享，無(wú)論是文件服務(wù)器還是終端客戶(hù)機(jī)，一旦找到，便安裝一個(gè)隱藏文件，名為Riched20.DLL到每一個(gè)包含"DOC"和"eml"文件的目錄中，當(dāng)用戶(hù)通過(guò)Word、寫(xiě)字板、Outlook打開(kāi)"

10、;DOC"和"eml"文檔時(shí)，這些應(yīng)用程序?qū)?zhí)行Riched20.DLL文件，從而使機(jī)器被感染，同時(shí)該病毒還可以感染遠(yuǎn)程服務(wù)器被啟動(dòng)的文件。帶有尼姆達(dá)病毒的電子郵件，不需你打開(kāi)附件，只要閱讀或預(yù)覽了帶病毒的郵件，就會(huì)繼續(xù)發(fā)送帶毒郵件給你通訊簿里的朋友。,,企業(yè)還在使用單機(jī)版殺毒軟件來(lái)防御病毒的同時(shí)，病毒卻在以多種形式借助局域網(wǎng)迅速傳播，它們攻擊客戶(hù)端、服務(wù)器、網(wǎng)關(guān)，幾乎無(wú)孔不入，不夸張地說(shuō)，輕而易舉地就可以

11、使整個(gè)局域網(wǎng)陷于癱瘓，難道我們真的要坐已待斃嗎？,局域網(wǎng)病毒防范方法,以"尼姆達(dá)"病毒為例，個(gè)人用戶(hù)感染該病毒后，使用單機(jī)版殺毒軟件即可清除；然而企業(yè)的網(wǎng)絡(luò)中，一臺(tái)機(jī)器一旦感染"尼姆達(dá)"，病毒便會(huì)自動(dòng)復(fù)制、發(fā)送并采用各種手段不停交叉感染局域網(wǎng)內(nèi)的其他用戶(hù)。 計(jì)算機(jī)病毒形式及傳播途徑日趨多樣化，因此，大型企業(yè)網(wǎng)絡(luò)系統(tǒng)的防病毒工作已不再像單臺(tái)計(jì)算機(jī)病毒的檢測(cè)及清除那樣簡(jiǎn)單，而需要建立多層次的、立體的

12、病毒防護(hù)體系，而且要具備完善的管理系統(tǒng)來(lái)設(shè)置和維護(hù)對(duì)病毒的防護(hù)策略。 一個(gè)企業(yè)網(wǎng)的防病毒體系是建立在每個(gè)局域網(wǎng)的防病毒系統(tǒng)上的，應(yīng)該根據(jù)每個(gè)局域網(wǎng)的防病毒要求，建立局域網(wǎng)防病毒控制系統(tǒng)，分別設(shè)置有針對(duì)性的防病毒策略。,1.增加安全意識(shí),杜絕病毒，主觀能動(dòng)性起到很重要的作用。病毒的蔓延，經(jīng)常是由于企業(yè)內(nèi)部員工對(duì)病毒的傳播方式不夠了解，病毒傳播的渠道有很多種，可通過(guò)網(wǎng)絡(luò)、物理介質(zhì)等。查殺病毒，首先要知道病毒到底是什么，它的危害是怎么樣的，

13、知道了病毒危害性，提高了安全意識(shí)，杜絕毒瘤的戰(zhàn)役就已經(jīng)成功了一半。平時(shí)，企業(yè)要從加強(qiáng)安全意識(shí)著手，對(duì)日常工作中隱藏的病毒危害增加警覺(jué)性，如安裝一種大眾認(rèn)可的網(wǎng)絡(luò)版殺毒軟件，定時(shí)更新病毒定義，對(duì)來(lái)歷不明的文件運(yùn)行前進(jìn)行查殺，每周查殺一次病毒，減少共享文件夾的數(shù)量，文件共享的時(shí)候盡量控制權(quán)限和增加密碼等，都可以很好地防止病毒在網(wǎng)絡(luò)中的傳播。,2.小心郵件,隨著網(wǎng)絡(luò)的普及，電子信箱成了人們工作中不可缺少的一種媒介。它方便快捷在提高了人們的工作

14、效率的同時(shí)，也無(wú)意之中成為了病毒的幫兇。有數(shù)據(jù)顯示，如今有超過(guò)90％的病毒通過(guò)郵件進(jìn)行傳播。盡管這些病毒的傳播原理很簡(jiǎn)單，但這塊決非僅僅是技術(shù)問(wèn)題，還應(yīng)該教育用戶(hù)和企業(yè)，讓它們采取適當(dāng)?shù)拇胧?。只要用?hù)隨時(shí)小心警惕，不要打開(kāi)值得懷疑的郵件，就可把病毒拒絕在外。,3.挑選網(wǎng)絡(luò)版殺毒軟件,選擇一個(gè)功力高深的網(wǎng)絡(luò)版病毒"殺手"就至關(guān)重要了。一般而言，查殺是否徹底，界面是否友好、方便，能否集中管理是決定一個(gè)網(wǎng)絡(luò)殺毒軟件的三大要

15、素。,局域網(wǎng)病毒的診斷和處理,局域網(wǎng)病毒的診斷局域網(wǎng)病毒的處理單機(jī)病毒的處理WINPE的使用,快速找出局域網(wǎng)中病毒源頭,在局域網(wǎng)環(huán)境中上網(wǎng)的朋友會(huì)經(jīng)常碰到無(wú)故斷線(xiàn)的情況，并且檢查電腦也檢查不出什么原因。其實(shí)出現(xiàn)這種情況，大部分情況下都是局域網(wǎng)中的某一臺(tái)電腦感染了ARP類(lèi)型的病毒所至。感染病毒，電腦一一殺毒，電腦過(guò)多的情況下顯然很費(fèi)時(shí)費(fèi)力?，F(xiàn)在就告訴你這三招兩式，快速找出局域網(wǎng)中的“毒瘤”。,,ARP：Address Resolut

16、ion Protocol的縮寫(xiě)，即地址解析協(xié)議。ARP負(fù)責(zé)將電腦的IP地址轉(zhuǎn)換為對(duì)應(yīng)的物理地址，即網(wǎng)卡的MAC地址。當(dāng)發(fā)生ARP欺騙時(shí)，相關(guān)主機(jī)會(huì)收到錯(cuò)誤的數(shù)據(jù)，從而造成斷網(wǎng)的情況發(fā)生。,一、查看防火墻,日志局域網(wǎng)中有電腦感染ARP類(lèi)型病毒后，一般從防火墻的日志中可以初步判斷出感染病毒的主機(jī)。 感染病毒的機(jī)器的典型特征便是會(huì)不斷的發(fā)出大量數(shù)據(jù)包，如果在日志中能看到來(lái)自同一IP的大量數(shù)據(jù)包，多半情況下是這臺(tái)機(jī)器感染病毒了。,,這里以No

17、kia IP40防火墻為例，進(jìn)入防火墻管理界面后，查看日志項(xiàng)，在“Event Log”標(biāo)簽下可以明顯看到內(nèi)網(wǎng)中有一臺(tái)機(jī)器不斷的有數(shù)據(jù)包被防火墻攔截，并且間隔的時(shí)間都很短。目標(biāo)地址為公司W(wǎng)EB服務(wù)器的外網(wǎng)IP地址，設(shè)置過(guò)濾策略時(shí)對(duì)WEB服務(wù)器特意加強(qiáng)保護(hù)，所以可以看到這些項(xiàng)目全部是紅色標(biāo)示出來(lái)的。,到WEB服務(wù)器的數(shù)據(jù)包被攔截了，那些沒(méi)有攔截的數(shù)據(jù)包呢？自然是到達(dá)了目的地，而“目的”主機(jī)自然會(huì)不間斷的掉線(xiàn)了。,,由于內(nèi)網(wǎng)采用的DHCP服務(wù)

18、器的方法，所以只知道IP地址還沒(méi)有用，必須知道對(duì)應(yīng)的MAC地址，才能查到病毒源。我們可以利用NBTSCAN來(lái)查找IP所對(duì)應(yīng)的MAC地址。如果是知道MAC地址，同樣可以使用NBBSCAN來(lái)得到IP地址。,,由此可見(jiàn)，防火墻日志，有些時(shí)候還是可以幫上點(diǎn)忙的。 如果沒(méi)有專(zhuān)業(yè)的防火墻，那么直接在一臺(tái)客戶(hù)機(jī)上安裝天網(wǎng)防火墻之類(lèi)的軟件產(chǎn)品，同樣能夠看到類(lèi)似的提醒。,二、利用現(xiàn)有工具,如果覺(jué)得上面的方法有點(diǎn)麻煩，且效率低下的話(huà)，那么使用專(zhuān)業(yè)的ARP

19、檢測(cè)工具是最容易不過(guò)的事了。這里就請(qǐng)出簡(jiǎn)單易用，但功能一點(diǎn)也不含糊的ARP 防火墻。 ARP防火墻可以快速的找出局域網(wǎng)中ARP攻擊源，并且保護(hù)本機(jī)與網(wǎng)關(guān)之間的通信，保護(hù)本機(jī)的網(wǎng)絡(luò)連接，避免因ARP攻擊而造成掉線(xiàn)的情況發(fā)生。軟件運(yùn)行后會(huì)自動(dòng)檢測(cè)網(wǎng)關(guān)IP及MAC地址并自動(dòng)保護(hù)電腦。如果軟件自動(dòng)獲取的地址有錯(cuò)誤，可單擊“停止保護(hù)”按鈕，填入正確的IP地址后，單擊“枚取MAC”按鈕，成功獲取MAC地址后，單擊“自動(dòng)保護(hù)”按鈕開(kāi)始保護(hù)電腦。,,當(dāng)

20、本機(jī)接收到ARP欺騙數(shù)據(jù)包時(shí)，軟件便會(huì)彈出氣泡提示，并且指出機(jī)器的MAC地址 。單擊“停止保護(hù)”按鈕，選中“欺騙數(shù)據(jù)詳細(xì)記錄”中的條目，再單擊“追捕攻擊者”按鈕，在彈出的對(duì)話(huà)框中單擊確定按鈕。,,軟件便開(kāi)始追捕攻擊源，稍等之后，軟件會(huì)提示追捕到的攻擊者的IP地址。其實(shí)大多數(shù)時(shí)候，不用手工追捕，軟件會(huì)自動(dòng)捕獲到攻擊源的MAC地址及IP地址。,手動(dòng)查找中毒機(jī)器,在電腦上ping 一下網(wǎng)關(guān)的IP 地址，然后使用ARP －a 的命令看得到的網(wǎng)關(guān)

21、對(duì)應(yīng)的MAC 地址是否與實(shí)際情況相符，如不符，可去查找與該MAC 地址對(duì)應(yīng)的電腦。,三、有效防守,俗話(huà)說(shuō)，進(jìn)攻才是最好的防守。雖然通過(guò)上面的方法可以找到病毒源，并最終解決問(wèn)題，不過(guò)長(zhǎng)期有人打電話(huà)抱怨“又?jǐn)嗑€(xiàn)了……”?？偸沁@樣擦屁股，似乎不是長(zhǎng)久之際，因此有效保護(hù)每一臺(tái)機(jī)器不被ARP欺騙攻擊才是上策。比較有效的方法之一便是在每一臺(tái)機(jī)器上安裝ARP防火墻，設(shè)置開(kāi)機(jī)自啟動(dòng)，并且在“攔截本機(jī)發(fā)送的攻擊包”項(xiàng)打勾，這樣不僅可以保護(hù)不受攻擊，還可以

22、防止本機(jī)已感染病毒的情況下，發(fā)送欺騙數(shù)據(jù)攻擊別的機(jī)器的情況發(fā)生。,,,應(yīng)急的方法,手動(dòng)ARP地址綁定使用這種方法綁定的弱點(diǎn)便是，機(jī)器重新啟動(dòng)之后，綁定便會(huì)失效，需要重新綁定。因此可將上面的命令行做成一個(gè)批處理文件，并將快捷方式拖放到開(kāi)始菜單的“啟動(dòng)”項(xiàng)目中，這樣就實(shí)現(xiàn)每次開(kāi)機(jī)自動(dòng)綁定了。,,方法一：編輯個(gè)***.bat 文件內(nèi)容如下：arp.exe s**.**.**.**（網(wǎng)關(guān)ip） ************（網(wǎng)關(guān)mac

23、 地址）end讓網(wǎng)絡(luò)用戶(hù)點(diǎn)擊就可以了!,,辦法二：編輯一個(gè)注冊(cè)表問(wèn)題，鍵值如下：Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]“mac”=“arp s網(wǎng)關(guān)IP 地址網(wǎng)關(guān)Mac 地址”,,所謂“道高一尺，魔高一丈”，技術(shù)總是在不斷更新，病毒也在不斷的發(fā)展。使用可防御ARP

24、攻擊的三層交換機(jī)，綁定端口MAC-IP，合理劃分VLAN，徹底阻止盜用IP、MAC地址，杜絕ARP的攻擊，才是最佳的防范策略。對(duì)于經(jīng)常爆發(fā)病毒的網(wǎng)絡(luò)，可以進(jìn)行Internet訪(fǎng)問(wèn)控制，限制用戶(hù)對(duì)網(wǎng)絡(luò)的訪(fǎng)問(wèn)。因?yàn)榇蟛糠諥RP攻擊程序網(wǎng)絡(luò)下載到客戶(hù)端，如果能夠加強(qiáng)用戶(hù)上網(wǎng)的訪(fǎng)問(wèn)控制，就能很好的阻止這類(lèi)問(wèn)題的發(fā)生。,單機(jī)病毒的查殺,中毒的一些表現(xiàn) 中毒診斷查殺病毒,中毒的一些表現(xiàn),我們?cè)鯓又离娔X中病毒了呢？其實(shí)電腦中毒跟人生病一樣，總會(huì)

25、有一些明顯的癥狀表現(xiàn)出來(lái)。例如機(jī)器運(yùn)行十分緩慢，殺毒軟件生不了級(jí)、word文檔打不開(kāi)，電腦不能正常啟動(dòng)、硬盤(pán)分區(qū)找不到了、數(shù)據(jù)丟失等等，就是中毒的一些征兆。,中毒診斷,按Ctrl+Alt+Del鍵（同時(shí)按此三鍵），調(diào)出windows任務(wù)管理器查看系統(tǒng)運(yùn)行的進(jìn)程，找出不熟悉進(jìn)程并記下其名稱(chēng)（這需要經(jīng)驗(yàn)），如果這些進(jìn)程是病毒的話(huà)，以便于后面的清除。暫時(shí)不要結(jié)束這些進(jìn)程，因?yàn)橛械牟《净蚍欠ǖ倪M(jìn)程可能在此沒(méi)法結(jié)束。點(diǎn)擊性能查看CPU和內(nèi)存的當(dāng)前

26、狀態(tài)，如果CPU的利用率接近100%或內(nèi)存的占用值居高不下，此時(shí)電腦中毒的可能性是95%。,,查看windows當(dāng)前啟動(dòng)的服務(wù)項(xiàng)，由“控制面板”的“管理工具”里打開(kāi)“服務(wù)”?？从覚跔顟B(tài)為“啟動(dòng)”啟動(dòng)類(lèi)別為“自動(dòng)”項(xiàng)的行；一般而言，正常的windows服務(wù)，基本上是有描述內(nèi)容的（少數(shù)被駭客或蠕蟲(chóng)病毒偽造的除外），此時(shí)雙擊打開(kāi)認(rèn)為有問(wèn)題的服務(wù)項(xiàng)查看其屬性里的可執(zhí)行文件的路徑和名稱(chēng)，假如其名稱(chēng)和路徑為C:\winnt\system32\exp

27、lored.exe，計(jì)算機(jī)中招。有一種情況是“控制面板”打不開(kāi)或者是所有里面的圖標(biāo)跑到左邊，中間有一縱向的滾動(dòng)條，而右邊為空白，再雙擊添加/刪除程序或管理工具，窗體內(nèi)是空的，這是病毒文件winhlpp32.exe發(fā)作的特性。,,運(yùn)行注冊(cè)表編輯器，命令為regedit或regedt32,查看都有那些程序與windows一起啟動(dòng)。主要看Hkey_Local_Machine\Software\MicroSoft\Windows\Current

28、Version\Run和后面幾個(gè)RunOnce等，查看窗體右側(cè)的項(xiàng)值，看是否有非法的啟動(dòng)項(xiàng)。WindowsXp運(yùn)行msconfig也起相同的作用。隨著經(jīng)驗(yàn)的積累，你可以輕易的判斷病毒的啟動(dòng)項(xiàng)。,,用瀏覽器上網(wǎng)判斷。前一陣發(fā)作的Gaobot病毒，可以上新浪、搜狐、網(wǎng)易等網(wǎng)站，但是不能訪(fǎng)問(wèn)安全軟件廠商的網(wǎng)站，安裝了殺毒軟件不能上網(wǎng)升級(jí)。由殺毒軟件判斷是否中毒，如果中毒，殺毒軟件會(huì)被病毒程序自動(dòng)終止，并且手動(dòng)升級(jí)失敗。甚至無(wú)法打開(kāi)殺毒軟件。

29、,,取消文件夾選項(xiàng)的隱藏屬性，查看系統(tǒng)文件夾winnt(windows)\system32,如果打開(kāi)后文件夾為空，表明電腦已經(jīng)中毒；打開(kāi)system32后，可以對(duì)圖標(biāo)按類(lèi)型排序，看有沒(méi)有流行病毒的執(zhí)行文件存在。順便查一下文件夾Tasks,wins,drivers.目前有的病毒執(zhí)行文件就藏身于此；drivers\etc下的文件hosts是病毒喜歡篡改的對(duì)象，它本來(lái)只有700字節(jié)左右，被篡改后就成了1Kb以上，這是造成一般網(wǎng)站能訪(fǎng)問(wèn)而安全廠

30、商網(wǎng)站不能訪(fǎng)問(wèn)、著名殺毒軟件不能升級(jí)的原因所在。,查殺病毒,在注冊(cè)表里刪除隨系統(tǒng)啟動(dòng)的非法程序，然后在注冊(cè)表中搜索所有該鍵值，刪除之。當(dāng)成系統(tǒng)服務(wù)啟動(dòng)的病毒程序，會(huì)在Hkey_Local_Machine\System\ControlSet001\services和controlset002\services里藏身，找到之后一并消滅。停止有問(wèn)題的服務(wù)，改自動(dòng)為禁止。如果文件system32\drivers\etc\hosts被篡改，恢

31、復(fù)它，即只剩下一行有效值“127.0.0.1localhost”,其余的行刪除。再把host設(shè)置成只讀。,,重啟電腦，摁F8進(jìn)“帶網(wǎng)絡(luò)的安全模式”。目的是不讓病毒程序啟動(dòng)，又可以對(duì)Windows升級(jí)打補(bǔ)丁和對(duì)殺毒軟件升級(jí)。搜索病毒的執(zhí)行文件，手動(dòng)消滅之。對(duì)Windows升級(jí)打補(bǔ)丁和對(duì)殺毒軟件升級(jí)。關(guān)閉不必要的系統(tǒng)服務(wù)，如remoteregistryservice。第6步完成后用殺毒軟件對(duì)系統(tǒng)進(jìn)行全面的掃描，剿滅漏網(wǎng)之魚(yú)。上步完

32、成后，重啟計(jì)算機(jī)，完成所有操作。,WINPE的使用,在某些時(shí)候，病毒可能導(dǎo)致以下特性因而查殺病毒失?。簾o(wú)法進(jìn)入安全模式無(wú)法打開(kāi)任務(wù)管理器無(wú)法打開(kāi)系統(tǒng)服務(wù)注冊(cè)表無(wú)法打開(kāi)安全軟件無(wú)法使用因此，我們還需要用到WINPE系統(tǒng)來(lái)手動(dòng)查殺,,,,我們使用WINPE光盤(pán)或者U盤(pán)版的WINPE進(jìn)入PE系統(tǒng)后，可以使用里面的注冊(cè)表編輯器或者使用資源管理器查找病毒文件，如果有懷疑某些文件是病毒的時(shí)候，并不建議直接刪除，而是在某個(gè)盤(pán)上建立一個(gè)文件

33、夾，將懷疑是病毒的文件全部移動(dòng)到這里。如果有需要更改或者刪除注冊(cè)表，也需要先備份注冊(cè)表值，同樣保存到這里。清除病毒文件后重啟電腦看電腦啟動(dòng)是否正常。如恢復(fù)正常則應(yīng)當(dāng)重新啟動(dòng)殺毒軟件升級(jí)最新病毒庫(kù)來(lái)查殺病毒。,,病毒文件的特性：一般病毒文件都喜歡放在系統(tǒng)文件夾內(nèi)，有可能更改成類(lèi)似系統(tǒng)核心文件的文件名（例如EXPL0RER.EXE,不是字母“o”，而是數(shù)字“0”），還有可能將自身的文件屬性修改成“系統(tǒng)”、“隱藏”等，需要注意的是：除了根