与病毒的搏弈——毒来毒往

　　毒来毒往——面对篇

　　可能感染病毒的不良习惯

　　日常使用中，操作电脑的不良习惯和疏忽很容易感染病毒。由于感染途径的扩大，病毒的感染并没有固定的模式，主要分为主动感染和被动感染。主动感染是病毒主动在网络上搜索存在漏洞的计算机，并种植病毒；被动感染是病毒通过伪装、邮件或者网页引诱计算机用户点击链接，从而在用户计算机上种植病毒。同一种病毒也可能具备此两种的感染方式，所以用户必须要谨慎，减少感染病毒的机会。

　　总体来说，可能感染病毒的不良习惯包括：

　　1．系统不安装杀毒软件及软件防火墙。

　　2．不能够及时给系统及应用软件打上最新的补丁。

　　3．浏览含有不良信息的网站。

　　4．轻易打开来历不明的邮件、附件和一些网友发来的网址、文件。

　　5．开启太多不需要的服务。

　　6．系统及系统使用的软件密码过于简单。

　　7．需要共享的文件夹没有设置适当的存取权限。

　　8．安装的防病毒产品没有及时更新病毒定义库和杀毒引擎。

　　中毒后的表现

　　计算机中毒后由于感染的病毒种类不同，其症状也不同。

　　虽然病毒隐藏的深，但是只要留心，计算机中毒后的表现还是很容易被发现的。当发现系统缓慢，服务中断，网络和CPU利用率很高时，应该警惕是不是中了漏洞类病毒；屏幕上鼠标自己乱动，程序莫名其妙打开，CPU利用率猛然升高，鼠标键盘出现暂停响应，就应该怀疑感染上木马类病毒了；当文件无法打开，上网时自动弹出不相关网页时，就应该怀疑是否被脚本类病毒捉弄了；如果系统无法启动、分区大小被改变或者不见了、文件名变成乱码了，那么可能被硬盘类病毒看上了；病毒防火墙无法正常工作，那么防火墙可能是被一种很厉害的病毒攻破了。平时多留意网上对各类病毒的表现的描述，对于及时发现病毒，会有事半功倍的成效。

　　总体来说，计算机中毒后大概有以下几种症状：

　　1．屏幕上突然出现特定画面或一些莫名其妙的信息。如“离关机时间还有××秒”或屏幕黑屏等。

　　2．原来运行良好的程序，突然出现了异常现象或荒谬的结果；一些可执行文件无法运行或突然丢失等。

　　3．计算机运行速度明显降低。

　　4．计算机经常莫名其妙地宕机、不能正常启动。

　　5．系统无故进行磁盘读写或格式化操作，无缘无故访问软驱和光驱。

　　6．文件长度奇怪地增加、减少，或产生特殊文件。

　　7．磁盘上突然出现坏的扇区或磁盘信息严重丢失。

　　8．磁盘空间仍有空闲，但不能存储文件，或提示内存不够。

　　9．打印机、扫描仪等外部设备不能正常使用。

　　10．计算机运行时突然有蜂鸣声、尖叫声、报警声或重复演奏某种音乐等。

　　11．系统资源和网络资源被大量占用。

　　判断系统中毒的方法

　　计算机看似中毒，但并不一定是真正中毒，有可能是其他正常程序造成的。譬如，打开网页后出现短暂的暂停响应，可能是CPU忙；程序莫名其妙打开可能是有定时计划或者误碰了快捷键；系统缓慢、服务中断，也需要查明究竟是内部需求增加还是外部连接造成；文件不能打开，参见系统提示看看系统资源是不是太小了；系统无法启动、分区改变、文件出现乱码，很有可能是硬盘的损坏造成；病毒防火墙不能正常工作，也可能是程序出现错误了。判断系统是否真正中毒很重要，可以避免误认中毒而执行不必要的操作，导致浪费人力物力。

　　判断系统是否中毒的方法很多，下面简单介绍几种：

　　一．使用杀毒软件进行全面病毒扫描，一般的已知病毒都能查杀出来。

　　二．进行手动检查：

　　1.使用msconfig命令来启动系统配置文件，查看启动选项和加载服务选项，如果发现非正常的启动项，应该是有病毒入侵。

　　2.利用一些功能比较强的计算机线程查看工具，查看计算机运行时有哪些线程在运行，可以查找可疑线程。

　　3.查看计算机打开端口及连接。使用专门的端口监视软件或netstat查看计算机打开的端口，出现异常端口通讯应该有病毒。

　　4.打开注册表编辑器，查看Run/RunOnce/RunOnceEx/RunService键值，是否有可疑程序在计算机启动时自动运行

　　注意：对可疑程序进行定位、查找过程中，要显示所有文件和文件夹。找到可疑程序文件，可以查看文件创建时间，如果是计算机出现问题的那几天创建的，一般来说就是计算机感染了病毒。

　　5．在企业中使用虚拟服务器或虚拟计算机组成“蜜罐”来诱捕病毒，查看防火墙日志，监控网络流量，使用入侵监控系统捕捉等。

　　对付“顽固”的病毒

　　安装了杀毒软件，并不意味着就可以高枕无忧了。有时，对于已知病毒的变种或者是未知病毒，杀毒软件可能是无能为力的。出现这种情况时，首先要判断是已知还是未知病毒，这一步很关键。

　　对于已知的计算机病毒，我们在Windows正常状态下无法查杀，可以启动到安全模式下使用杀毒软件查杀。有些病毒在安全状态下也运行（如Rootkit类病毒），我们就要在纯DOS或使用Linux启动盘启动后查杀，一般情况下都能解决问题。

　　对于未知病毒，在企业中首先要找到计算机病毒的源头，然后再进行病毒分析。

　　找到感染病毒计算机后，首先要断开网络，依据不同中毒特征分别处理。首先备份计算机中的有用文件；然后处理内存及系统核心病毒，杀死病毒线程，修补被病毒所害的系统；最后，删除病毒体及病毒所衍生的垃圾文件，给系统安装好补丁后接入网络。

　　提示：备份重要数据时，要断开网络，使用工具软件清除内存中的病毒线程，清除病毒的加载项，使用系统盘恢复被病毒破坏的系统文件，删除病毒体及其衍生的文件，重新启动后给系统打好补丁，更新杀毒软件的病毒库。如果是Windows XP可以使用系统还原功能还原到以前未感染病毒的时候。

　　杀毒软件失效及处理办法

　　失效原因

　　1.杀毒软件未能及时更新病毒库，造成无法查杀的新病毒（最主要原因）。

　　2.有些病毒对专门的杀毒软件进行处理，使用加壳或一些捆绑软件加密病毒体，造成与病毒库代码对比不同而漏杀。

　　3.有些用户为了提高上网速度关闭杀毒软件的实时监控功能，下载文件或直接打开邮件附件而不进行病毒扫描。

　　4.有些杀毒软件本身的漏洞造成病毒漏网。

　　处理办法

　　1.将计算机连接到互联网，在线更新病毒库。如果无法接入互联网，就找一台能上网的计算机下载离线升级包升级，升级后使用杀毒软件进行查杀。

　　2.如果无法启用杀毒软件，根据病毒特性，使用手动方法删除计算机内的病毒，不要求完全杀光病毒，至少要求计算机再次启动时内存没有病毒线程即可。重新启动计算机，安装杀毒软件，更新病毒库，使用杀毒软件查杀。

　　3.上网给系统打好补丁。

　　计算机感染病毒，一般和计算机使用者的不良习惯有关系。计算机网络日益发展的今天，随着我们对网络的依赖程度越来越高，更应该提高预防病毒的警惕性，做到防毒之心不可无。

　　在中毒后查杀病毒并不是最聪明的做法，如果在事前做好防范工作，就可以更彻底地把病毒拒之门外。下一篇您将学到如何未雨绸缪，应对病毒。

　　上一篇我们学到了如何面对病毒，事实上，防患于未然远比亡羊补牢的补救好很多。以下将您介绍如何应对病毒，您将分享到：从中毒事件中可以汲取什么教训，如何设置可以远离病毒的威胁。