病毒危險不可不防
一個叫“熊貓燒香”的病毒把電腦用戶折騰得苦不堪言,在人們心目中,“熊貓”這個國寶似乎不再可愛,卻成了人人喊打的過街老鼠。而“熊貓燒香” 這場大風卻還未完全散去,各種“熊貓燒香”的變種更是表現的異常活躍,近半數的網民深受其害。目前已經有許多用戶反映遭遇 “鹵豬病毒”(win32.iuhzu.a)這款變種病毒重度感染,眼看此款病毒就要大麵積肆虐,挑戰互聯網的安全。
鹵豬病毒(win32.iuhzu.a)和“熊貓燒香”有很多相同的地方,傳播方式相同,都利用移動設備以及局域網共享傳播,都將病毒的感染性、流行性、選擇性、抗反病毒軟件性發揮的淋漓盡致,但是這種變毒比“熊貓燒香”危害更大,用戶中毒後,病毒會感染電腦上運行的軟件,導致係統軟件崩潰。
而一些常用的殺毒軟件、360衛士、超級兔子等抗殺防禦病毒的軟件也在所難免,電腦操作係統運行時如老牛拖車,嚴重時還會出現藍屏死機、係統崩潰,想修複係統卻進不了安全模式,啟動項裏永遠都是殺不完的危險進程,此類病毒殺毒軟件廠商還未研究出專殺工具,所以大家一定要做好病毒防禦工作,保證係統安全。
對於這個病毒我們要提高警惕,做好防禦工作,除了為一個完全幹淨無毒係統做個備份,還需要做到以下幾點:
1.關閉所有默認共享(net share admin$ /del)不要使用任何共享。
2.很多病毒都是利用漏洞傳播,所以要及時更新最新補丁,並將補丁備份在移動硬盤中,以防係統中毒後無法上網升級。
3.不接受任何陌生人的郵件、網址、視頻等網絡文件或信息,如遇好友網絡上發送文件,最好使用殺毒軟件查殺再打開,以免由於對方電腦已經中毒而感染。
4.使用閃存、移動硬盤、存儲卡、MP3等移動存儲設備時,要開啟殺毒軟件實時監控功能。
6.利用專業的殺毒軟件和防火牆的功能提高係統安全,及時升級殺毒軟件病毒庫,有條件的情況下將升級包備份到移動硬盤中。
7.平時不但要將一些常用係統檢測修複工具以及木馬查殺工具保存在移動硬盤中,還要經常對電腦進行定期檢測和修複殺毒。
8.為本機管理員帳號設置較為複雜的密碼,預防一些變種病毒通過密碼猜測進行傳播。
掐斷病毒傳播途徑
在這個病毒的傳播途徑中,閃存、移動硬盤、存儲卡、MP3等移動存儲設備是重要傳播媒介,如果閃存中感染了此病毒,會在閃存的驅動器裏建立多個隱藏的文件,其中會有一個名為autorun.inf的文件,這個文件會為閃存添加一個自動運行的菜單,如果把默認“打開”操作改成關聯病毒程序,那麽在你雙擊閃存的時候,就會感染閃存所帶的病毒,通常情況下無法看到這些文件就沒辦法刪除,我們可以利用CMD命令來解決這一問題(這種殺毒方法也適用於硬盤驅動器):
1.在用殺毒軟件全麵查殺過後,大部分移動存儲設備中的病毒都可以被殺掉,接下來在計算機中右擊移動存儲裝備,看快捷菜單中的顯示,如果有“auto”,則表示移動存儲設備還是處於中毒狀態。
2.單擊“開始→運行”命令,在命令行中輸入CMD並“確定”,打開CMD窗口。
3.在命令行模式下,輸入移動存儲裝備盤符名稱,比如移動硬盤是K,那就輸入K:按回車進入K盤根目錄。
4.在命令行下輸入attrib按回車,這時在下方列出來文件中看到有一個名為SH autorun.inf的文件(圖1)。(attrib指令:用於修改文件的屬性。文件的常見屬性有隻讀、存檔、隱藏和係統)
提示:也可以使用dir/a 這個命令來查看當前目錄全部的文件,包括有隱藏屬性的,可以用來查看是否有autorun.inf等文件。
5.在命令行中輸入“attrib空格-s空格-h空格autorun.inf”,更改autorun.inf文件的隱藏屬性,這樣利用右鍵打開移動存儲設備,看到在根目錄下有一個autorun.inf文件顯示出來,將它刪除。
最後拔掉硬盤存儲設備,當再一次連接的時候自動運行菜單就沒有了,同理,其他的病毒程序也可以如此操作。
注意:各種工具的使用、手工查殺與殺毒軟件相互配合可以達到最好的效果。
係統中毒後 盡快清除
如果你不幸中了“鹵豬病毒”(win32.iuhzu.a)或是類似的變種病毒,可以利用下麵的方法進行清除。
初級方法
適用人群:初學者,電腦中沒有重要資料
操作難度:★
如果你電腦中沒有重要的資料,並且不會使用DOS命令,不會使用殺毒軟件,不會手工查殺,那麽就隻好使用傻瓜級的“殺毒”方法,把硬盤整個都格式化,重新分區(注意在安裝係統時一定要斷開網絡連接)。
這樣做的結果就是能完全保證硬盤上的病毒被清除幹淨,但是硬盤上所有的數據都不見了,對於我們這些使用電腦頻繁,硬盤中數據資料較多的人來說,這種方法會毀了辛辛苦苦保存了下來的資料或文檔。
進階方法
適用人群:電腦操作熟悉者,在C盤下沒有重要資料
操作難度:★★★
1.在斷開網絡的安裝環境下利用光盤引導將C盤格式化後重新安裝係統,安裝殺毒軟件,然後升級補丁升級病毒庫,如果備份有一鍵Ghost或還原精靈之類的,你要做的就是將係統還原(或重裝操作係統)。推薦安裝係統後先用360安全衛士先打好係統補丁和做好清理流氓軟件的工作。
提示:裝完係統後,不要馬上打開其他盤符(切記),如果非要打開,就用WinRAR或資源管理器進行查看。
2.重啟後進入安全模式,利用殺毒軟件再進行查殺,一些殺毒軟件殺不掉就按照殺毒軟件對應的路徑找到後手工刪除,手工刪除不掉,就先結束進程再刪。
高級方法
適用人群:電腦高手,係統中存有重要資料者
操作難度:★★★★★
準備好需要的工具:SREng、Autoruns、修複安全模式.REG、恢複顯示隱藏文件.REG(以上工具均可在http://www.cpcw.com/bzsoft下載)
SREng:是一款係統診斷配置工具,主要用於發現、發掘潛在的計算機故障和大多數由於計算機病毒造成的破壞。
Autoruns:可查看、刪除注冊表及Win.ini文件等處的自啟動項目。
1.如果安全模式不能進,那麽可以利用SREng軟件進行修複,下載回來後,運行前先改名(必須改名,不然是無法運行的),打開界麵後選擇“係統修複→高級修複→自動修複”,再點修複安全模式
實際上,用此方法並不能完全修複所有不能進入安全模式的病毒劫持。所以還要利用SREng選擇啟動項目,刪除所有.EXE和.DLL以及相關的項目,之後在“服務”中Win32服務應用程序裏,選擇隱藏微軟已認證的服務,之後刪除其他所以的不明服務。
2.運行修複安全模式.REG軟件,導入注冊表後重啟,不出意外的話,此時可以進入安全模式了。重起啟動後,進入安全模式,將Autoruns 也改名(改名後可以防止因Autoruns被劫持而無法運行的情況),然後再運行,選擇映像劫持項目,刪除除Your Image File Name Here without a pathSymbolic Debugger for Windows 2000 之外的所有項目!病毒劫持了很多殺毒軟件,手工一項一項的刪除可能比較辛苦,所以大家可以利用快捷鍵Ctrl+D和回車進行刪除。
3.將係統臨時目錄比如C:Documents and SettingsAdministratorLocal SettingsTemp下的各個項目都刪除。這時候就把病毒庫升級到最新,進行殺毒,殺毒軟件被其清除的就重裝吧。
4.由於病毒的原因,隱藏文件沒辦法顯示,這裏我們單擊“開始→運行”,輸入regedit展開注冊表,將HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL右邊的CheckedValue鍵值設為1,也可以應用“隱藏文件夾的.reg”導入注冊表,這樣就可以顯示隱藏文件了
| | | |