电脑中毒后的表现及诊断

转自 [url]http://www.cnpaf.net/ 作者：xinyu

    一、中毒的一些表现 
    我们怎样知道电脑中病毒了呢？其实电脑中毒跟人生病一样，总会有一些明显的症状表现出来。例如机器运行十分缓慢、上不了网、杀毒软件生不了级、 word 文档打不开，电脑不能正常启动、硬盘分区找不到了、数据丢失等等，就是中毒的一些征兆。 
    二、中毒诊断 
    1 、按 Ctrl+Shift+Ese 键（同时按此三键），调出 windows 任务管理器查看系统运行的进程，找出不熟悉进程并记下其名称（这需要经验），如果这些进程是病毒的话，以便于后面的清除。暂时不要结束这些进程，因为有的病毒或非法的进程可能在此没法结束。点击性能查看 CPU 和内存的当前状态，如果 CPU 的利用率接近 100% 或内存的占用值居高不下，此时电脑中毒的可能性是 95%. 
    2 、查看 windows 当前启动的服务项，由 “ 控制面板 ” 的 “ 管理工具 ” 里打开 “ 服务 ” 。看右栏状态为 “ 启动 ” 启动类别为 “ 自动 ” 项的行；一般而言，正常的 windows 服务，基本上是有描述内容的（少数被骇客或蠕虫病毒伪造的除外），此时双击打开认为有问题的服务项查看其属性里的可执行文件的路径和名称，假如其名称和路径为 C ： winntsystem32explored.exe ，计算机中招。有一种情况是 “ 控制面板 ” 打不开或者是所有里面的图标跑到左边，中间有一纵向的滚动条，而右边为空白，再双击添加 / 删除程序或管理工具，窗体内是空的，这是病毒文件 winhlpp32.exe 发作的特性。 
    3 、运行注册表编辑器，命令为 regedit 或 regedt32 ，查看都有那些程序与 windows 一起启动。主要看 Hkey_Local_MachineSoftwareMicroSoftWindowsCurrentVersionRun 和后面几个 RunOnce 等，查看窗体右侧的项值，看是否有非法的启动项。 WindowsXp 运行 msconfig 也起相同的作用。随着经验的积累，你可以轻易的判断病毒的启动项。 
    4 、用浏览器上网判断。前一阵发作的 Gaobot 病毒，可以上 yahoo.com ， sony.com 等网站，但是不能访问诸如 [url]www.symantec.com[/url] ， [url]www.ca.com[/url] 这样著名的安全厂商的网站，安装了 symantecNorton2004 的杀毒软件不能上网升级。 
    5 、取消隐藏属性，查看系统文件夹 winnt （ windows ） system32 ，如果打开后文件夹为空，表明电脑已经中毒；打开 system32 后，可以对图标按类型排序，看有没有流行病毒的执行文件存在。顺便查一下文件夹 Tasks ， wins ， drivers. 目前有的病毒执行文件就藏身于此； driversetc 下的文件 hosts 是病毒喜欢篡改的对象，它本来只有 700 字节左右，被篡改后就成了 1Kb 以上，这是造成一般网站能访问而安全厂商网站不能访问、著名杀毒软件不能升级的原因所在。 
    6 、由杀毒软件判断是否中毒，如果中毒，杀毒软件会被病毒程序自动终止，并且手动升级失败 …… 杀毒、建议 
   7、在cmd命令行下通过netstat －an命令行查看主机自身开启的端口。如果自身的主机在没有正常的网络程序运行的情况下，发现有大量的会话，说明主机存在问题。
    三、杀毒 
    1 、在注册表里删除随系统启动的非法程序，然后在注册表中搜索所有该键值，删除之。当成系统服务启动的病毒程序，会在 Hkey_Local_MachineSystemControlSet001services 和 controlset002services 里藏身，找到之后一并消灭。 
    2 、停止有问题的服务，改自动为禁止。 
    3 、如果文件 system32driversetchosts 被篡改，恢复它，即只剩下一行有效值 “127.0.0.1localhost” ，其余的行删除。再把 host 设置成只读。 
    4 、重启电脑，摁 F8 进 “ 带网络的安全模式 ” 。目的是不让病毒程序启动，又可以对 Windows 升级打补丁和对杀毒软件升级。 
    5 、搜索病毒的执行文件，手动消灭之。 
    6 、对 Windows 升级打补丁和对杀毒软件升级。 
    7 、关闭不必要的系统服务，如 remoteregistryservice. 8 、第 6 步完成后用杀毒软件对系统进行全面的扫描，剿灭漏网之鱼。 
    9 、上步完成后，重启计算机，完成所有操作。

 

 

转自 [url]http://www.cnpaf.net/forum/frame.php?frameon=yes&referer=http%3A//www.cnpaf.net/forum/viewthread.php%3Ftid%3D13341%26extra%3Dpage%253D1%2526amp%253Bfilter%253Dtype%2526amp%253Btypeid%253D6[/url]