computer 版 (精华区)

发信人: chumsdock (微笑服务), 信区: computer       
标  题: 病毒防治FAQ   [smth]
发信站: BBS 听涛站 (Sun Jun 20 12:05:45 2004), 转信

发信人: RonLiang (俩零), 信区: Virus
标  题: ☆☆发文前请先看☆☆近期病毒版常见问题☆☆
发信站: BBS 水木清华站 (Mon Jun 16 17:09:42 2003), 转信

      强烈建议你耐心看完本文并关注进版画面。有什么问题学着自己动手慢慢解决。
  清除病毒，没有什么捷径。做好防范工作最重要。

                           Virus版近期常见问题
                    作者：RonLiang  补充：adriftleaf baojr
      欢迎网友就此常见问题提出意见和补充，mail RonLiang，共建virus！
 ┌────────────────────────────────────┐
 │    1. 我是不是中了什么病毒/木马？如何查看可疑进程/网络活动/启动项？    │
 │    2. 我的Norton无法打开实时监控了！/ 无法启动即时信息扫描程序！       │
 │    3. 我的Norton到期了，怎么办？                                       │
 │    4. Norton说某某病毒只能隔离！怎么彻底干掉它？                       │
 │    5. Norton最新的病毒库是？我的Liveupdate不能升级病毒库了！           │
 │    6. 经常弹出一个消息框，有的说是病毒，真烦！                         │
 │    7. QQ发送消息时自动带上某网址？                                     │
 │    8. 我的IE被恶意代码感染！总弹出窗口！                               │
 │    9. Lovgate/Supnot/Netservices/winexe.exe/DRWTSN16.exe是什么？       │
 │   10. 所有的.exe文件打不开了，程序不能运行！                           │
 │   11. 某某病毒/进程是什么？                                            │
 │   12. 文本文件打不开了，怎么恢复.txt文件的关联方式？                   │
 │   13. 发现大量cmd进程/Hfind.exe/ntservice.exe/Bat.Mumu.A.Worm病毒      │
 └────────────────────────────────────┘


1、怀疑是不是中了病毒/木马 
   最好装一个杀毒软件，升级病毒库，在安全模式下查。杀毒软件的病毒库比人全。 
   安全模式：重启之后按住f8，一般选择“安全模式”，若出错就进入“带网络连接的
安全模式。”
   如果实在装不了杀毒软件，或者最新病毒库仍检测不出病毒，发文前关注一下进版画
面之后用任务管理器看看可疑的进 程，用netstat -a察看一下可疑的网络活动，把可疑
的结果发到讨论区，描述尽可能的 详尽。比如用的是什么操作系统，如何操作产生的后
果。
   WinNT4/2000/XP用户可以使用fport察看某端口对应的程序。fport是个命令行下运行
的软件，可以到下面网址下载：(www方式下精华区3-2中提供下载）
   http://www.foundstone.com/resources/freetools/fport.zip
   相关介绍看精华区热门问题中的端口问题。
   Win2000/XP用户可以用tlist -s查看每个进程中的活动服务列表。tlist是Windows 
2000的光盘中提供的一个命令行下使用的工具，可以在\Support\Tools目录中找到。
   推荐使用下面这个工具查看启动项：精华区3-2-3

2、我的Norton无法打开实时监控了！无法启动即时信息扫描程序！ 
   突然发生的情况，两种可能：系统中毒。建议升级病毒库之后在安全模式下杀毒。 
第二种：检查最近是不是动过系统的启动项，或者使用过注册表的清理软件。把对系统 
作的修改恢复。如果是刚装上的Norton无法打开实时监控，很有可能是以前的Norton没 
有卸干净。在控制面板的添加/删除程序里面把Norton的东西都删掉，Norton的其他组
件，Norton的Liveupdate和Livereg组件。然后在注册表里把有关Norton和Symantec的
东西删除。如果是新装的系统，那就是下载的版本的问题了。 
   对于norton无法启动即时信息扫描程序，原因是Norton不支持你安装的新版本的聊天
工具，MSN或massenger等。解决办法：
   运行Liveupdate，看Norton有没有组件升级解决这个问题。
如果没有，请：
   在选项中关闭聊天程序监控。或换回旧版本的msn等。

  
3、我的Norton到期了？ 
   换个版本。2003的。2003的正式版最早会在今年的9月份过期。如果现在过期了，证 
明下载的版本有问题。 
   替代方案：安装不限时的Symantec CE版。（最新的是8.1）或打不限时补丁（注： 
这个补丁有可能Beta版的病毒库存在兼容性问题）。 
  
4、Norton说某某病毒只能隔离！ 
   这正是Norton的优点。 
   Norton的清除指的是不破坏原文件的clean，而对某些文件本身就是病毒，只能删除
的情况，Norton叫删除，优先级排在隔离之后；而别的杀毒软件则叫清除，有最高的优
先级。隔离技术的出现是杀毒软件的一大进步，在隔离区里的文件不会丢失数据，而且
病毒不会发作。 
   有时候病毒发作比较紧急，对这个病毒了解不多的时候Norton有可能把本来可以修复
清除病毒的文件认定为无法修复。但日后对病毒了解深入之后，有可能发现修复的办法。
呵呵，Norton会在你察看隔离区的时候询问病毒定义已变，要不要重新看看有没有可以修
复的文件。二者么，也有可能文件十分重要，宁可再次中毒也要把内容保存下来时候。


5、Norton最新的病毒库是？我的Liveupdate不能升级病毒库了！
   每天Norton最新的病毒库信息请Ctrl+g看文摘区。
   Liveupdate组件负责Norton的各个组件的更新。不同的Norton的组件在liveupdate注
册它的产品信息以完成在线升级（个人版和企业版在Liveupdate中分开注册）。一般Live
update组件对它推出之前的产品兼容而和他之后的不兼容。
   如果出现病毒定义不能被Liveupdate更新的情况，那是因为病毒定义组件失去了在
Liveupdate的定义。因此建议你重新安装你的Norton。若还不能解决问题，请参照第2篇
。

6、经常弹出一个消息框，有的说是病毒，真烦！
   网络信使服务。可以禁用它。(2000/XP)
   控制面板---管理工具--服务。先把messenger关闭，然后禁用。

7、QQ发送消息时自动带上某网址？ 
   请看精华区4-12,尤其是第一篇文章。
   精华区里提到的网址是会变的，关键是里面提到的进程。
   鉴于此类病毒变种层出不穷，杀毒软件有时候难以应付新的变种。因此除了及时升级
病毒库之外，还应该及时打齐所有的IE补丁，而且建议大家升级到IE6sp1。并安装最新
版本的QQ（Beta版也算）。

8、我的IE被恶意代码感染了，总弹出窗口！
   （感谢baojr网友以自己种的WWW.58Q.COM的经历撰文提供解决办法！）
   1。 打开注册表：在运行里  REGEDIT  确定。
   2。查找：WINCER.SYS。
     发现有-S REG****的健值删除掉（意思是修改IE注册主页的注册表相关内容）
   3。查找www.okww.net。将该所有注册项删掉。
   4。在C盘查找所有文件，显示所有文件和系统保护文件，发现有个文件夹叫$***的，里面有VBSCRIPT（或JAVASCRIPT）和WINCER.SYS2个文件，将该$***删掉，然后就OK拉。

其他网站的情况与此类似。
可以参看精华区4-11或者下载金山论坛提供的常见病毒专杀（可能会有效）。

9、Lovgate/Supnot/Netservices/winexe.exe/DRWTSN16.exe
   请看精华区4-10
   Netservices不断出现的问题是由于局域网周围的染毒机器试图感染你的机器。Norton拒
绝了病毒文件的访问。机器目前是安全的。如果不想再看到报警，请按照精华区4-10-3中
如何防止病毒感染的办法，对所有的用户设置强健的密码，升级系统补丁，去共享等等。

10、.exe文件打不开了！
   请看精华区4-1-2，恢复.exe文件关联，然后推荐在安全模式下杀毒。
   也可以通过www.j3j4.com在线修改注册表以恢复EXE文件的打开方式。

11、某某病毒/进程是什么？
   对于进程，建议去NTtech版的精华区或者google。关于病毒，谁报的就用谁在安全模式
杀毒。如果你确实需要了解该病毒的详细信息，建议用google搜索。

12、文本文件打不开了，怎么恢复.txt文件的关联方式？
   新建一个txt文件，选中它按住Shift点击右键，点击“打开方式…”，选择记事本
NOTEPAD并勾上“始终使用该程序打开这种类型的文件”。
   或者修改注册表将HKEY_CLASSES_ROOT\txtfile\shell\open\command的键值改回默
认值：NOTEPAD.EXE %1

13、发现大量cmd进程/Hfind.exe/ntservice.exe/Bat.Mumu.A.Worm病毒
    Ctrl+g看被m文章1765,1767篇（精华区4-16）。
    安全模式下更新病毒库（6月3日以后的）杀完毒删除病毒生成的文件，然后记得更
改用户密码，密码要足够复杂。
    另外，删除病毒建立的账号（注意所有Administrators组的账号）。
    也可以考虑用Symantec的这个专杀工具（把网址粘贴到地址栏的时候把两行合并成
一行）：
    http://securityresponse.symantec.com/avcenter/venc/data
    /bat.mumu.a.worm.removal.tool.html
    我们注意到这个病毒传播过程中可能被另一个病毒W32.Valla.2048感染了，而Valla
病毒是会感染所有exe文件的，所以这个病毒实际上起到了Valla的载体的作用。也就是说
用户一旦感染了被Valla感染的Mumu病毒的话，同时也就被Valla感染了。
    所以我们建议杀完这个病毒后再用杀毒软件全面扫描一次，确定有无W32.Valla.2048
病毒存在。
    中了W32.Valla.2048病毒可能出现提示:"Windows文件保护,正常运行Windows所需的文
件已被替换成无法识别的版本,要保持系统的稳定,Windows必须复原这些文件的原有版本"
    被感染的文件末尾包含如下字符：-= XOR 2009 Valhalla =- Assembled 1997 .. 
Activated 07.2002 - devoted for peace and harmony in universe against war, 
racism, terrorism and cruel brutality .. remember .. life is the most important 
thing - not money .. it's time for a revolution NOW .... 
    感染W32.Valla.2048病毒（又名Win32.xorala）的可以试试北信源提供的这个专杀工
具：
    http://www.vrv.com.cn/tools/killxorala.com

--
来路短去路长          风雨中热心肠          红尘滚滚
  人生百年多思量        悬壶济世岁岁忙        天意无常
    薪火相传煮忧患        千回百转问出路        不遂我心不勉强
      说轻说重说兴亡        驱邪扶正有主张        悠悠一笑传四方
※ 来源:·BBS 水木清华站 smth.org·[FROM: 166.111.173.9]

--
                   Deutschland 1:1 Niederlande 
                   Deutschland 0:0 Lettland     
                   Deutschland     Tschechische 
                                                
                                                
  -   EM 2004   -                               


※ 修改:·chumsdock 于 Jun 20 12:06:13 修改本文·[FROM: 219.224.174.181]
※ 来源:·BBS 听涛站 tingtao.net·[FROM: 219.224.174.181]