自己动手检查是否中毒

gouying0907

自己动手检查是否中毒

1、反病毒软件的扫描法

这恐怕是我们绝大数朋友首选，也恐怕是唯一的选择，现在病毒种类是越来越多，隐蔽的手段也越来越高明，所以给查杀病毒带来了新的难度，也给反病毒软件开发商带来挑战。但随着计算机程序开发语言的技术性提高、计算机网络越来越普及，病毒的开发和传播是越来越容易了，因而反病毒软件开发公司也是越来越多了。但目前比较有名的还是那么几个系统的反病毒软件，如金山毒霸、KV300、KILL、PC-cillin、VRV、瑞星、*等。至于这些反病毒软件的使用在此就不必说叙了，我相信大家都有这个水平！

2、观察法

这一方法只有在了解了一些病毒发作的症状及常栖身的地方才能准确地观察到。如硬盘引导时经常出现死机、系统引导时间较长、运行速度很慢、不能访问硬盘、出现特殊的声音或提示等上述在第一大点中出现的故障时，我们首先要考虑的是病毒在作怪，但也不能一条胡洞走到底，上面我不是讲了软、硬件出现故障同样也可能出现那些症状嘛！对于如属病毒引起的我们可以从以下几个方面来观察：

a、内存观察

这一方法一般用在DOS下发现的病毒，我们可用DOS下的“mem/c/p”命令来查看各程序占用内存的情况，从中发现病毒占用内存的情况（一般不单独占用，而是依附在其它程序之中），有的病毒占用内存也比较隐蔽，用“mem/c/p”发现不了它，但可以看到总的基本内存640K之中少了那么区区1k或几K。

b、注册表观察法

这类方法一般适用于近来出现的所谓黑客程序，如木马程序，这些病毒一般是通过修改注册表中的启动、加载配置来达到自动启动或加载的，一般是在如下几个地方实现：

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion

c、系统配置文件观察法

这类方法一般也是适用于黑客类程序，这类病毒一般在隐藏在system.ini 、wini.ini（Win9x/WinME）和启动组中，在system.ini文件中有一个"shell=”项，而在wini.ini文件中有“load= ”、“run= ”项，这些病毒一般就是在这些项目中加载它们自身的程序的，注意有时是修改原有的某个程序。我们可以运行in9x/WinME中的msconfig.exe程序来一项一项查看。

d、特征字符串观察法

这种方法主要是针对一些较特别的病毒，这些病毒入侵时会写相应的特征代码，如CIH病毒就会在入侵的文件中写入“CIH”这样的字符串，当然我们不可能轻易地发现，我们可以对主要的系统文件（如Explorer.exe)运用16进制代码编辑器进行编辑就可发现，当然编辑之前最好还要要备份，毕竟是主要系统文件。

e、硬盘空间观察法
有些病毒不会破坏你的系统文件，而仅是生成一个隐藏的文件，这个文件一般内容很少，但所占硬盘空间很大，有时大得让你的硬盘无法运行一般的程序，但是你查又看不到它，这时我们就要打开资源管理器，然后把所查看的内容属性设置成可查看所有属性的文件（这方法应不需要我来说吧？），相信这个庞然大物一定会到时显形的，因为病毒一般把它设置成隐藏属性的。到时删除它即可，这方面的例子在我进行电脑网络维护和个人电脑维修过程中见到几例，明明只安装了几个常用程序，为什么在C盘之中几个G的硬盘空间显示就没有了，经过上述方法一般能很快地让病毒显形的。

gouying0907

“MSN性感鸡”值得关注


I-Worm/MSN.DropBot.c“MSN性感鸡”变种c是“MSN性感鸡”网络蠕虫家族中的最新成员之一，采用“Microsoft Visual C++ 7.0”编写。“MSN性感鸡”变种c运行后，会自我复制到被感染计算机系统的“%SystemRoot%\”目录下，重新命名为“wkssvr.exe”，并将文件属性设置为“系统、只读、隐藏”。在被感染计算机系统后台连接骇客指定的IRC服务器，侦听骇客指令，执行DDos攻击、下载恶意程序、向MSN联系人群发“MSN性感鸡”变种c的ZIP压缩包等恶意操作。其中，所下载的恶意程序可能为网络游戏盗号木马、后门程序、远程监控木马等，会给被感染计算机用户造成更多不同程度的威胁和损失。“MSN性感鸡”变种c还可利用移动存储设备进行传播。在被感染计算机系统的后台监视移动存储设备是否接入，一旦发现便会向其根目录下创建自动运行配置文件“autorun.inf”和具有“系统、只读、隐藏”属性的文件夹“RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213”（图标伪装成“回收站”的图标），将自我复制到其中并重新命名为“autorunme.exe”，以此实现了利用系统自动播放特性进行激活、传播，同时达到了自我隐藏的目的，给计算机用户的信息安全造成了更加严重的侵害。另外，“MSN性感鸡”变种c会通过系统注册表启动项来实现开机自启动。


Trojan/PSW.Agent.aof“代理木马”变种aof是“代理木马”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“代理木马”变种aof运行后，会自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，重新命名为“pcpo32.exe”，并将文件的创建时间修改为系统安装日期，以此迷惑了用户。同时，还会在该目录下释放一个DLL病毒组件“pcpo32.dll”，并将其插入到“explorer.exe”及其所有用户级权限的进程中加载运行，从而隐藏了自我，防止被用户和杀毒软件轻易地发现与查杀。该DLL病毒组件是一个专门盗取“传奇”网络游戏玩家账号的木马，会通过内存截取、伪造窗口等技术和欺骗手段，窃取玩家的游戏账号、所在区服，甚至是密码保护资料等信息，并在后台将窃取到的这些信息发送到骇客指定的远程服务器站点中，给游戏玩家造成了不同程度的损失。同时，“代理木马”变种aof还会尝试结束某些安全软件的进程，以此实现了自我保护。还会从骇客指定的站点下载其它恶意程序，致使被感染计算机的用户面临着更多不同程度的威胁。“代理木马”变种aof在执行完毕后，会将自我删除，从而达到了消除痕迹的目的。另外，其会通过在注册表启动项中添加键值的方式来实现开机自启。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、禁用系统的自动播放功能，防止病毒通过U盘、移动硬盘、MP3等移动存储设备感染计算机。
    9、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp