計算機與信息安全

1、一、計算機病毒的防治一、計算機病毒的防治計算機與網(wǎng)絡安全計算機與網(wǎng)絡安全用戶面臨的尷尬：用戶面臨的尷尬：不用殺毒軟件不行、用了殺毒軟不用殺毒軟件不行、用了殺毒軟件作用不大件作用不大 中國計算機病毒疫情調(diào)查技術分析年份中毒率200173%200385.37%200791.47% 國內(nèi)外反病毒公司普通認為，國內(nèi)外反病毒公司普通認為，20082008年新病毒的數(shù)量將突破年新病毒的數(shù)量將突破10001000萬個，也萬個，也就是說每個小時都會有就是說每個小時都會有10001000多個新病多個新病毒涌現(xiàn)出來毒涌現(xiàn)出來 殺毒軟件類型殺毒軟件類型1-1-采用傳統(tǒng)的反病毒軟件工采用傳統(tǒng)的反病毒軟件工作流程作流程

2、- - “特征值特征值”識別技術識別技術1.1.計算機異常計算機異常 2.2.將可疑文件發(fā)送至反病毒公司將可疑文件發(fā)送至反病毒公司 3.3.分析可疑文件分析可疑文件4.4.提取病毒特征值提取病毒特征值 5.5.編制殺毒軟件的升級程序編制殺毒軟件的升級程序 6.6.升級后再查殺該病毒升級后再查殺該病毒 利用病毒制造工具來利用病毒制造工具來“工業(yè)化、自動化工業(yè)化、自動化”地生產(chǎn)木馬病毒變種，其升級的速度甚至地生產(chǎn)木馬病毒變種，其升級的速度甚至超過了殺毒軟件的升級速度。超過了殺毒軟件的升級速度。 結論：傳統(tǒng)反病毒是完全的被動、弱勢地位。結論：傳統(tǒng)反病毒是完全的被動、弱勢地位。 近年來傳統(tǒng)反病毒產(chǎn)業(yè)在

3、與近年來傳統(tǒng)反病毒產(chǎn)業(yè)在與“熊熊貓燒香貓燒香”“”“機器狗機器狗”“”“木馬群木馬群”等超等超級病毒的交鋒中屢屢敗陣級病毒的交鋒中屢屢敗陣 傳統(tǒng)反病毒產(chǎn)業(yè)若不能在技術上有脫胎換骨的傳統(tǒng)反病毒產(chǎn)業(yè)若不能在技術上有脫胎換骨的變革，就不可能再勝任反病毒的重任變革，就不可能再勝任反病毒的重任解決辦法：解決辦法：北京東方微點信息技術北京東方微點信息技術有限責任公司有限責任公司自主研制了自主研制了“微點微點主動防御軟件主動防御軟件” ” 殺毒軟件類型殺毒軟件類型2-“基于程序行為自主分基于程序行為自主分析判斷的實時防護技術析判斷的實時防護技術 “ “微點主動防御軟件微點主動防御軟件”20052005年誕生

4、，年誕生，20072007年，年，科技部將其列入我國反病毒領域唯一國家科技部將其列入我國反病毒領域唯一國家863863計計劃的技術。劃的技術。 從根本上改變了識別病毒的方式，變從根本上改變了識別病毒的方式，變“特特征值征值”識別為識別為“行為判斷行為判斷”識別識別 東方微點東方微點: :http:/ 1) 國家國家863863科技項目科技項目 反病毒技術國際領先反病毒技術國際領先2) 2) 第三代反病毒產(chǎn)品第三代反病毒產(chǎn)品 著名反病毒專家劉旭領銜著名反病毒專家劉旭領銜打造打造3) 3) 主動防殺主動防殺99%99%以上新病毒以上新病毒 開創(chuàng)病毒免疫時代開創(chuàng)病毒免疫時代4) 4) 無需掃描無需掃

5、描 不依賴升級不依賴升級 簡單易用簡單易用 安全省心安全省心5) 5) 電腦快似電腦快似“裸奔裸奔” ” 系統(tǒng)資源占用低系統(tǒng)資源占用低6) 6) 歷經(jīng)數(shù)百萬用戶三年公測歷經(jīng)數(shù)百萬用戶三年公測 產(chǎn)品成熟品質(zhì)卓越產(chǎn)品成熟品質(zhì)卓越應用背景應用背景局域網(wǎng)電腦使用者經(jīng)常私自更改自己的局域網(wǎng)電腦使用者經(jīng)常私自更改自己的IP地址，造成地址，造成多個電腦多個電腦共用一個共用一個IP的現(xiàn)象的現(xiàn)象，從而出現(xiàn)，從而出現(xiàn)IP地址沖突，導致局域網(wǎng)電腦掉地址沖突，導致局域網(wǎng)電腦掉線、網(wǎng)絡運行不穩(wěn)定等現(xiàn)象；局域網(wǎng)內(nèi)流行的線、網(wǎng)絡運行不穩(wěn)定等現(xiàn)象；局域網(wǎng)內(nèi)流行的ARP病毒，通過病毒，通過向局域網(wǎng)的向局域網(wǎng)的其他電腦發(fā)動其他電

6、腦發(fā)動ARP欺騙欺騙，將局域網(wǎng)其他電腦的，將局域網(wǎng)其他電腦的ARP緩存表里面存儲的默認網(wǎng)關的緩存表里面存儲的默認網(wǎng)關的MAC（Media Access Control, 介質(zhì)訪問控制介質(zhì)訪問控制,即即:Physical Address ） 地址更改為一個不存在的地址更改為一個不存在的MAC地址，從而引發(fā)局域網(wǎng)電腦無地址，從而引發(fā)局域網(wǎng)電腦無法上網(wǎng)的情況。法上網(wǎng)的情況。如如: :啟用防御啟用防御ARP(ARP(（Address Resolution Protocol） ) )欺騙功能的方法欺騙功能的方法解決辦法解決辦法: :將將IPIP和和MACMAC地址綁定，這樣如果電地址綁定，這樣如果電腦私

7、自更改自己的腦私自更改自己的IPIP地址就會無法上網(wǎng)，從地址就會無法上網(wǎng)，從而達到控制局域網(wǎng)電腦私自更改而達到控制局域網(wǎng)電腦私自更改IPIP地址的行地址的行為為 提示提示: :IP地址就如同一個職位，而地址就如同一個職位，而MAC地址則好像是去應聘這地址則好像是去應聘這個職位的人才，職位既可以讓甲坐，也可以讓乙坐，同樣的道理一個職位的人才，職位既可以讓甲坐，也可以讓乙坐，同樣的道理一個節(jié)點的個節(jié)點的IP地址對于網(wǎng)卡是不做要求，基本上什么樣的廠家都可以地址對于網(wǎng)卡是不做要求，基本上什么樣的廠家都可以用，也就是說用，也就是說IP地址與地址與MAC地址并不存在著綁定關系地址并不存在著綁定關系 利用微

8、點主動防御軟件設置綁定利用微點主動防御軟件設置綁定: :在在其主界面，【安全防護與策略】其主界面，【安全防護與策略】| |【傳統(tǒng)防火墻設置】【傳統(tǒng)防火墻設置】| |【綁定【綁定MACMAC地址】，在右邊的窗口中會自動掃描出當前網(wǎng)關地址】，在右邊的窗口中會自動掃描出當前網(wǎng)關的的IPIP地址與對應的地址與對應的MACMAC地址，選中標記為當前網(wǎng)關的信息，地址，選中標記為當前網(wǎng)關的信息，點擊中間的箭頭，待左側窗口中出現(xiàn)網(wǎng)關的點擊中間的箭頭，待左側窗口中出現(xiàn)網(wǎng)關的IP MACIP MAC對應關對應關系后，勾選系后，勾選“啟用綁定啟用綁定”即可。即可。 溫馨提示溫馨提示:現(xiàn)在很多殺毒軟件均現(xiàn)在很多殺毒軟

9、件均可具備主動防御可具備主動防御病毒和反病毒關系就象為警察抓小偷病毒和反病毒關系就象為警察抓小偷 “特征值特征值”就是以小偷的外部特征為識別標就是以小偷的外部特征為識別標志，志，“行為判斷行為判斷”就是以是否有偷盜行為為就是以是否有偷盜行為為識別標志。識別標志。 “微點主動防御軟件微點主動防御軟件”就是以某個計算機程序就是以某個計算機程序是否有破壞和影響其他正常計算機程序的行為是否有破壞和影響其他正常計算機程序的行為來判斷其是否是病毒，基于這種識別方式的反來判斷其是否是病毒，基于這種識別方式的反病毒軟件就可以實現(xiàn)對未知計算機病毒的查殺。病毒軟件就可以實現(xiàn)對未知計算機病毒的查殺。 基本原理基本原

10、理: :主動防御的核心思想則是從病毒定義出發(fā)，主動防御的核心思想則是從病毒定義出發(fā)，將程序的行為作為判斷病毒的依據(jù)。通過將程序的行為作為判斷病毒的依據(jù)。通過分析、歸納各種病毒行為，形成病毒行為分析、歸納各種病毒行為，形成病毒行為知識庫，建立仿真反病毒專家系統(tǒng)，模擬知識庫，建立仿真反病毒專家系統(tǒng)，模擬人工識別病毒的過程，融合仿真反病毒評人工識別病毒的過程，融合仿真反病毒評估模型的智能化技術，實現(xiàn)對未知病毒和估模型的智能化技術，實現(xiàn)對未知病毒和新病毒的自主識別、明確報出和自動清除，新病毒的自主識別、明確報出和自動清除，從而達到防范病毒的效果。微點公司透露，從而達到防范病毒的效果。微點公司透露，這相

11、當把相當于把人工智能程序放到軟件這相當把相當于把人工智能程序放到軟件里，由軟件自行識別病毒，報出并自動清里，由軟件自行識別病毒，報出并自動清除，這基本上與生物學的免疫機能吻合。除，這基本上與生物學的免疫機能吻合。 計算機病毒的防治計算機病毒的防治l計算機病毒的預防 病毒防治的關鍵是做好預防工作病毒防治的關鍵是做好預防工作 。其主要措施：。其主要措施：（）安裝并升級殺毒軟件或防病毒卡、安裝放（）安裝并升級殺毒軟件或防病毒卡、安裝放火墻火墻（）運行（）運行indowsindowspdatapdata，安裝操作系統(tǒng)的，安裝操作系統(tǒng)的補丁程序補丁程序（）不使用隨意打開來歷不明的郵件（包括附（）不使用隨

12、意打開來歷不明的郵件（包括附件）及頁面連接；不安裝來歷不明的插件程序、件）及頁面連接；不安裝來歷不明的插件程序、不使用盜版游戲軟件。不使用盜版游戲軟件。（4 4）備份重要數(shù)據(jù)）備份重要數(shù)據(jù)（5 5）一般不要將磁盤上的文件夾或文件設置共享）一般不要將磁盤上的文件夾或文件設置共享計算機病毒的清除方法 1.1.使用殺毒軟件使用殺毒軟件-常用的殺毒軟件有常用的殺毒軟件有金山毒霸（金山毒霸（http:/http:/）瑞星殺毒軟件（瑞星殺毒軟件（http:/http:/）諾頓防毒軟件（諾頓防毒軟件（http:/http:/）江民殺毒軟件（江民殺毒軟件（http:/http:/）-使用專殺工具各網(wǎng)站上提供的

13、病毒專殺工使用專殺工具各網(wǎng)站上提供的病毒專殺工具，對特定病毒進行清殺具，對特定病毒進行清殺. .通過搜索引擎查找特通過搜索引擎查找特定病毒所采用的殺毒軟件定病毒所采用的殺毒軟件提倡采用多種殺毒軟件進行綜合殺毒提倡采用多種殺毒軟件進行綜合殺毒- -有關病毒的認識可查閱網(wǎng)上信息有關病毒的認識可查閱網(wǎng)上信息在某些網(wǎng)站上查閱病毒警報在某些網(wǎng)站上查閱病毒警報, ,根據(jù)病毒的根據(jù)病毒的作用機制作用機制, ,來做出相應的防范措施來做出相應的防范措施, ,提前提前預防病毒的襲擊預防病毒的襲擊, ,保證系統(tǒng)的安全保證系統(tǒng)的安全http:/ 實例實例現(xiàn)象現(xiàn)象: :計算機上有大量計算機上有大量 的_desktop.

14、ini文件,刪除后馬上又出現(xiàn),導致計算機速度變慢,時而導致藍屏,用殺毒軟件也無濟于事處理辦法:在網(wǎng)上搜索,查找有關手工輸出病毒的方法網(wǎng)上查找網(wǎng)上查找, ,了解該病毒的知識了解該病毒的知識“威金（威金（Worm.Viking）”病毒特點病毒特點-專殺及專殺及_desktop.ini刪除刪除 很麻煩的威金很麻煩的威金Worm.Viking病毒，今天發(fā)現(xiàn)電腦中出病毒，今天發(fā)現(xiàn)電腦中出現(xiàn)了現(xiàn)了_desktop.ini的文件的文件,才知道中了名為威金才知道中了名為威金（Worm.Viking）的病毒）的病毒,而安裝的殺毒軟件竟然殺不而安裝的殺毒軟件竟然殺不了了,沒辦法了沒辦法了,只好上網(wǎng)查找解決方法只好

15、上網(wǎng)查找解決方法,還真讓我給找到還真讓我給找到了了,問題解決了問題解決了,方法不敢獨享方法不敢獨享,介紹給機器出了同樣問介紹給機器出了同樣問題的人題的人.新聞來自新聞來自: 新客網(wǎng)新客網(wǎng)() 詳文參考：詳文參考：http:/ 威脅級別：威脅級別： 病毒類型：蠕蟲病毒類型：蠕蟲 影響系統(tǒng)：影響系統(tǒng)：Win 9x/ME,Win 2000/NT,Win XP,Win 2003 病毒行為病毒行為: 該病毒為該病毒為Windows平臺下集成可執(zhí)行文件感染、網(wǎng)絡感染、平臺下集成可執(zhí)行文件感染、網(wǎng)絡感染、下載網(wǎng)絡木馬或其它病毒的復合型病毒，下載網(wǎng)絡木馬或其它病毒的復合型病毒，病毒運行后病毒運行后將自身將自身

16、偽裝成系統(tǒng)偽裝成系統(tǒng)正常文件，通過正常文件，通過修改注冊表項使病毒開機時可以修改注冊表項使病毒開機時可以自動運行自動運行，同時病毒通過，同時病毒通過線程注入技術繞過防火墻的監(jiān)視線程注入技術繞過防火墻的監(jiān)視，連接到病毒作者指定的網(wǎng)站下載特定的木馬連接到病毒作者指定的網(wǎng)站下載特定的木馬或其它病毒，同或其它病毒，同時病毒運行后枚舉內(nèi)網(wǎng)的所有可用共享，并嘗試通過弱口令時病毒運行后枚舉內(nèi)網(wǎng)的所有可用共享，并嘗試通過弱口令方式連接感染目標計算機。方式連接感染目標計算機。運行過程過感染用戶機器上的可執(zhí)行文件，造成用戶機器運運行過程過感染用戶機器上的可執(zhí)行文件，造成用戶機器運行速度變慢，破壞用戶機器的可執(zhí)行文

17、件，給用戶安全性構行速度變慢，破壞用戶機器的可執(zhí)行文件，給用戶安全性構成危害。成危害。傳播途徑傳播途徑: :病毒主要通過共享目錄、文件捆綁、病毒主要通過共享目錄、文件捆綁、運行被感染病毒的程序、可帶病毒的郵件附運行被感染病毒的程序、可帶病毒的郵件附件等方式進行傳播。件等方式進行傳播。1 1、病毒運行后將自身復制到、病毒運行后將自身復制到WindowsWindows文件夾下文件夾下, ,文件名為文件名為: :%SystemRoot%SystemRoot%rundl132.exerundl132.exe2 2、運行被感染的文件后，病毒將病毒體復制到為以下文件、運行被感染的文件后，病毒將病毒體復制到

18、為以下文件: :%SystemRoot%logo_1.exe%SystemRoot%logo_1.exe3 3、同時病毒會在病毒文件夾下生成、同時病毒會在病毒文件夾下生成: :病毒目錄病毒目錄vdll.dllvdll.dll4 4、病毒從、病毒從Z Z盤開始向前搜索所有可用分區(qū)中的盤開始向前搜索所有可用分區(qū)中的exeexe文件，然后文件，然后感染所有大小感染所有大小27kb-10mb27kb-10mb的可執(zhí)行文件，感染完畢在被感染的的可執(zhí)行文件，感染完畢在被感染的文件夾中生成文件夾中生成: :_desktop.ini (_desktop.ini (文件屬性文件屬性: :系統(tǒng)、隱藏。系統(tǒng)、隱藏。

19、) )5 5、病毒會嘗試修改、病毒會嘗試修改%SysRoot%system32driversetchosts%SysRoot%system32driversetchosts文件。文件。6、病毒通過添加如下注冊表項實現(xiàn)病毒開機自動運行、病毒通過添加如下注冊表項實現(xiàn)病毒開機自動運行:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunload=C:WINNTrundl132.exeHKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindowsload=C:WINNT

20、rundl132.exe7、病毒運行時嘗試查找窗體名為、病毒運行時嘗試查找窗體名為:RavMonClass的程序，的程序，查找到窗體后發(fā)送消息關閉該程序。查找到窗體后發(fā)送消息關閉該程序。8、枚舉以下殺毒軟件進程名，查找到后終止其進程、枚舉以下殺毒軟件進程名，查找到后終止其進程:Ravmon.exeEghost.exeMailmon.exeKAVPFW.EXEIPARMOR.EXERavmond.exe9、同時病毒嘗試利用以下命令終止相關殺病毒軟件：、同時病毒嘗試利用以下命令終止相關殺病毒軟件：net stop Kingsoft AntiVirus Service10、發(fā)送、發(fā)送ICMP(Int

21、ernet Control Message Protocol )探測數(shù)據(jù)探測數(shù)據(jù)Hello,World，判斷網(wǎng)絡狀，判斷網(wǎng)絡狀態(tài)，網(wǎng)絡可用時，態(tài)，網(wǎng)絡可用時，枚舉內(nèi)網(wǎng)所有共享主機，并嘗試用弱口令連接枚舉內(nèi)網(wǎng)所有共享主機，并嘗試用弱口令連接IPC$、admin$等共享目錄，連接成功后進行網(wǎng)絡等共享目錄，連接成功后進行網(wǎng)絡感染。感染。 11、感染用戶機器上的、感染用戶機器上的exe文件文件 12、枚舉系統(tǒng)進程，嘗試將病毒、枚舉系統(tǒng)進程，嘗試將病毒dll(vdll.dll)選擇性注入以下進選擇性注入以下進程名對應的進程程名對應的進程:Explorer Iexplore找到符合條件的進程后隨機注入以上

22、兩個進程中的其中一個。找到符合條件的進程后隨機注入以上兩個進程中的其中一個。13、當外網(wǎng)可用時，被注入的、當外網(wǎng)可用時，被注入的dll文件嘗試連接以下網(wǎng)站下載并文件嘗試連接以下網(wǎng)站下載并運行相關程序運行相關程序:http:/www.17*.com/gua/zt.txt 保存為保存為:c:1.txthttp:/www.17*.com/gua/wow.txt 保存為保存為:c:1.txthttp:/www.17*.com/gua/mx.txt 保存為保存為:c:1.txthttp:/www.17*.com/gua/zt.exe 保存保存為為:%SystemRoot%Sy.exehttp:/www.

23、17*.com/gua/wow.exe 保存保存為為:%SystemRoot%1Sy.exehttp:/www.17*.com/gua/mx.exe 保存保存為為:%SystemRoot%2Sy.exe注：三個程序都為木馬程序注：三個程序都為木馬程序 14、病毒會將下載后的、病毒會將下載后的1.txt的內(nèi)容添加到以下相關注冊表項：的內(nèi)容添加到以下相關注冊表項：恢復病毒修改的注冊表項目，刪除病毒添加的注冊表項恢復病毒修改的注冊表項目，刪除病毒添加的注冊表項HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows鍵值鍵值:

24、字串字串: load =C:WINDOWSrundl132.exeHKEY_LOCAL_MACHINESOFTWAREMicrosoftDownloadManagerHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsver_down0值值: dsfsfaaStartup.AppName=ATISoftwarer=sssHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows鍵鍵值值: 字串字串: ver_down1=COM+7:18:32: Setup started- DATE:05,22,2006 TIME: 07:18 pm1

25、1111HKEY_LOCAL_MACHINESOFTWARESoftHKEY_LOCAL_MACHINESOFTWARESoftDownloadWWWHKEY_LOCAL_MACHINESOFTWARESoftDownloadWWWauto值值: 1二、二、desktop.ini病毒刪除方法病毒刪除方法該病毒會在每個文件夾中生成一個名為該病毒會在每個文件夾中生成一個名為_desktop.ini的文件，一個個去刪的文件，一個個去刪除，顯然太費勁，（我的機器的操作系統(tǒng)因安裝在除，顯然太費勁，（我的機器的操作系統(tǒng)因安裝在NTFS格式下，所以系格式下，所以系統(tǒng)盤下的文件夾中沒有這個文件，另外盤下的文件

26、夾無一幸免），因此在統(tǒng)盤下的文件夾中沒有這個文件，另外盤下的文件夾無一幸免），因此在這里介紹給大家一個批處理命令這里介紹給大家一個批處理命令 del d:_desktop.ini /f/s/q/a，該命令的，該命令的作用是：作用是：強制刪除強制刪除d盤下所有目錄內(nèi)（包括盤下所有目錄內(nèi)（包括d盤本身）的盤本身）的_desktop.ini文件并且不提文件并且不提示是否刪除示是否刪除 /f 強制刪除只讀文件強制刪除只讀文件 /q 指定靜音狀態(tài)。不提示您確認刪除。指定靜音狀態(tài)。不提示您確認刪除。 /s 從當前目錄及其所有子目錄中刪除指定文件。顯示正在被刪除的文件名。從當前目錄及其所有子目錄中刪除指定文

27、件。顯示正在被刪除的文件名。 /a的意思是按照屬性來刪除了的意思是按照屬性來刪除了 這個命令的作用是在殺掉這個命令的作用是在殺掉viking病毒之后清理系統(tǒng)內(nèi)殘留的病毒之后清理系統(tǒng)內(nèi)殘留的_desktop.ini文件用的文件用的使用方法是開始使用方法是開始-所有程序所有程序-附件附件-命令提示符，鍵入上述命令（也可復制命令提示符，鍵入上述命令（也可復制粘貼），首先刪除粘貼），首先刪除D盤中的盤中的_desktop.ini，然后依此刪除另外盤中的，然后依此刪除另外盤中的_desktop.ini。至此，該病毒對機器造成的影響全部消除。至此，該病毒對機器造成的影響全部消除。 可確定進程、文件、注冊表

28、和垃圾文件可確定進程、文件、注冊表和垃圾文件進程為：進程為：rundl132.exe文件：文件：rundl132.exe，wow.exe ， 1Sy.exe， 2Sy.exe垃圾文件：垃圾文件： _desktop.ini注冊表信息注冊表信息清除方法流程：清除方法流程：停止病毒進程，刪除相關文件，更改注冊表停止病毒進程，刪除相關文件，更改注冊表Step1-Step1-用用Ctrl+Alt+delCtrl+Alt+del打開任務管理器結打開任務管理器結束病毒進程束病毒進程rundl132.exerundl132.exe如果還是不能夠結束進程，可用命令來強制如果還是不能夠結束進程，可用命令來強制結束

29、結束(P實踐教程實踐教程108) ntsd c q p PID(進程進程ID)Step2-Step2-刪除與病毒有關的文件刪除與病毒有關的文件刪除根目錄下的刪除根目錄下的rundl132.exe，wow.exe ，1Sy.exe， 2Sy.exe若刪除的文件隱藏時，需要首先設置顯示所若刪除的文件隱藏時，需要首先設置顯示所有的隱藏文件、系統(tǒng)文件并顯示文件擴展名有的隱藏文件、系統(tǒng)文件并顯示文件擴展名; ;我的電腦我的電腦-工具工具(T)-(T)-文件夾選項文件夾選項(O).-(O).-查看查看-選擇選擇 顯示所有文件和文件夾顯示所有文件和文件夾,并并把隱藏受保護的操作系統(tǒng)文件把隱藏受保護的操作系統(tǒng)

30、文件( (推薦推薦) )前的勾前的勾去掉去掉, ,這時會彈出一個警告這時會彈出一個警告, ,選擇是選擇是. .至此就顯至此就顯示了所有的隱藏文件了示了所有的隱藏文件了 溫馨提示溫馨提示HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows中的鍵值中的鍵值:load =C:WINDOWSrundl132.exeHKEY_LOCAL_MACHINESOFTWAREMicrosoftDownloadManagerHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsver_down0中的中的:

31、dsfsfaaStartup.AppName=ATISoftwarer=sssHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows中中的的: ver_down1=COM+7:18:32: Setup started- DATE:05,22,2006 TIME: 07:18 pm11111“HKEY_LOCAL_MACHINESOFTWARESoftHKEY_LOCAL_MACHINESOFTWARESoftDownloadWWWHKEY_LOCAL_MACHINESOFTWARESoftDownloadWWW中中的：的：auto值值: 1Step3-恢復病毒修改

32、的注冊表項目，恢復病毒修改的注冊表項目，刪除刪除病毒添加的注冊表項病毒添加的注冊表項溫馨提示溫馨提示為安全起見，在更改注為安全起見，在更改注 冊表之冊表之前，一定要把注冊表導出，以前，一定要把注冊表導出，以免更改后出現(xiàn)問題時，不能還免更改后出現(xiàn)問題時，不能還原。若出現(xiàn)錯誤，可把備份的原。若出現(xiàn)錯誤，可把備份的注冊表導入。注冊表導入。Step4-刪除垃圾文件刪除垃圾文件del d:_desktop.ini /f/s/q/a強制刪除強制刪除d盤下所有目錄內(nèi)（包括盤下所有目錄內(nèi)（包括d盤本身）的盤本身）的_desktop.ini文件并且不提示是否刪除文件并且不提示是否刪除 /f 強制刪除只讀文件強制

33、刪除只讀文件 /q 指定靜音狀態(tài)。不提示您確認刪除。指定靜音狀態(tài)。不提示您確認刪除。 /s 從當前目錄及其所有子目錄中刪除指定文件。顯示從當前目錄及其所有子目錄中刪除指定文件。顯示正在被刪除的文件名。正在被刪除的文件名。 /a的意思是按照屬性來刪除了的意思是按照屬性來刪除了 這個命令的作用是在殺掉這個命令的作用是在殺掉viking病毒之后清理系統(tǒng)內(nèi)病毒之后清理系統(tǒng)內(nèi)殘留的殘留的_desktop.ini文件用的文件用的如：如：HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows中的鍵值中的鍵值:load =C:WIND

34、OWSrundl132.exe溫馨提示溫馨提示手工殺毒后，應該做下列檢查：手工殺毒后，應該做下列檢查：(1)(1)硬盤引導時，是否出現(xiàn)死機、引導時間是否硬盤引導時，是否出現(xiàn)死機、引導時間是否太長、運行速度太慢等太長、運行速度太慢等(2)(2)任務管理器中查看是否有無可疑進程任務管理器中查看是否有無可疑進程(3)(3)在注冊表中有無可疑鍵值：在注冊表中有無可疑鍵值：HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionrunrunone|runservices|手工清除方法適用范圍手工清除方法適用范圍 u該方法是復雜而又花費時間，清除過程比較該方法是復雜而又花費時間，清除過程比較麻煩，因此，主要針對一些對專業(yè)人士使用。麻煩，因此，主要針對一些對專業(yè)人士使用。u不同的病毒，手工清除方法不同具體方法不同的病毒，手工清除方法不同具體方法讀者可通過搜索引擎去查找相應方法讀者可通過搜索引擎去查找相應方法u一般方法都是通過主要利用一些工具軟件找一般方法都是通過主要利用一些工具軟件找到感染病毒的文件，通過修改安全設置參數(shù)到感染病毒的文件，通過修改安全設置參數(shù), ,在注冊表編輯器中通過手工清除病毒代碼。在注冊表編輯器中通過手工清除病毒代碼。 關于計算機病毒的清