常见病毒及其解决办法15

1、第 1 页常见病毒及其解决办法常见病毒及其解决办法联想技术中心 第 2页 第 3页主要内容主要内容l引导型病毒引导型病毒l文件型病毒文件型病毒l蠕虫病毒蠕虫病毒l木马木马l脚本病毒（网页病毒脚本病毒（网页病毒/恶意代码）恶意代码） 第 4页l引导型病毒引导型病毒l文件型病毒文件型病毒l蠕虫病毒蠕虫病毒l木马木马l脚本病毒（网页病毒脚本病毒（网页病毒/恶意代码）恶意代码） 第 5页现象与危害现象与危害 隐藏于硬盘或软盘的引导区中，当计隐藏于硬盘或软盘的引导区中，当计算机从感染了此类病毒的磁盘引导时，算机从感染了此类病毒的磁盘引导时，病毒驻留到内存中，之后向其他所有病毒驻留到内存中，之后向其他所有

2、可写磁盘复制传播。可写磁盘复制传播。 发作时可导致系统不引导，分区表被发作时可导致系统不引导，分区表被破坏等现象。破坏等现象。 第 6页一般查杀方法一般查杀方法 利用干净的（确保无毒）软盘或光盘引导利用干净的（确保无毒）软盘或光盘引导机器，利用机器，利用dos版的杀毒软件进行查杀。杀版的杀毒软件进行查杀。杀毒后有可能导致硬盘不引导甚至分区丢失毒后有可能导致硬盘不引导甚至分区丢失等现象，因此建议杀毒前，备份重要数据等现象，因此建议杀毒前，备份重要数据 第 7页一般手动查杀方法一般手动查杀方法 用命令用命令fdisk /mbr尝试清除尝试清除 用杀毒软件查杀，查杀前建议备份引导扇用杀毒软件查杀，查

3、杀前建议备份引导扇区和分区表。区和分区表。 第 8页l引导型病毒引导型病毒l文件型病毒文件型病毒l蠕虫病毒蠕虫病毒l木马木马l脚本病毒（网页病毒脚本病毒（网页病毒/恶意代码）恶意代码） 第 9页现象与危害现象与危害 大多寄生在可执行文件上，使文件字节数大多寄生在可执行文件上，使文件字节数变大，劫夺用来启动主程序的可执行命令，变大，劫夺用来启动主程序的可执行命令，用作它自身的运行命令。用作它自身的运行命令。 同时还经常将控制权还给主程序，伪装计同时还经常将控制权还给主程序，伪装计算机系统正常运行。一旦运行被感染了病算机系统正常运行。一旦运行被感染了病毒的程序文件，病毒便被激发，进行自我毒的程序文

4、件，病毒便被激发，进行自我复制。复制。 会使系统出现运行速度变慢，数据丢失，会使系统出现运行速度变慢，数据丢失，死机等现象。死机等现象。 第 10页一般查杀方法一般查杀方法 利用干净的（确保无毒）软盘或光盘引导利用干净的（确保无毒）软盘或光盘引导机器，利用机器，利用dos版的杀毒软件进行查杀。杀版的杀毒软件进行查杀。杀毒后可能会导致某些程序无法运行甚至无毒后可能会导致某些程序无法运行甚至无法进入系统，建议杀毒前重要数据先备份，法进入系统，建议杀毒前重要数据先备份，出现这类情况可覆盖安装（出现这类情况可覆盖安装（9x、me或应用或应用程序）或修复安装（程序）或修复安装（2k或或xp）尝试修复，）

5、尝试修复，系统文件可用系统文件可用sfc修复。如果无效建议格式修复。如果无效建议格式化重装。化重装。 第 11页一般手动查杀方法一般手动查杀方法 如确认为染毒文件且文件无用最好在如确认为染毒文件且文件无用最好在dos下下直接删除。直接删除。 如无把握建议最好用杀毒软件查杀如无把握建议最好用杀毒软件查杀。 第 12页l引导型病毒引导型病毒l文件型病毒文件型病毒l蠕虫病毒蠕虫病毒l木马木马l脚本病毒（网页病毒脚本病毒（网页病毒/恶意代码）恶意代码） 第 13页现象与危害现象与危害 通过网络复制，通过邮件系统自动发送自通过网络复制，通过邮件系统自动发送自己的复制品。己的复制品。 传播速度极快，会造成

6、网络拥挤瘫痪传播速度极快，会造成网络拥挤瘫痪 主机运行速度变慢或某些系统功能异常，主机运行速度变慢或某些系统功能异常，死机重启等异常。死机重启等异常。 第 14页一般查杀方法一般查杀方法 如果病毒严重影响操作系统，导致系统无如果病毒严重影响操作系统，导致系统无法运行，如出现关机、重启等现象，像冲法运行，如出现关机、重启等现象，像冲击波和震荡波，出现倒计时关机提示框时，击波和震荡波，出现倒计时关机提示框时，应用应用shutdown /a命令结束重启，然后上网命令结束重启，然后上网升级病毒软件或下载补丁程序和专杀工具。升级病毒软件或下载补丁程序和专杀工具。 如果病毒对系统运行影响不严重，仅是出如果

7、病毒对系统运行影响不严重，仅是出现速度慢，死机等现象，应尽快上网升级现速度慢，死机等现象，应尽快上网升级病毒软件或下载补丁程序和专杀工具。病毒软件或下载补丁程序和专杀工具。 第 15页一般手动查杀方法一般手动查杀方法 利用任务管理器查找可疑进程，尝试结束利用任务管理器查找可疑进程，尝试结束 打开注册表编辑器，找到打开注册表编辑器，找到hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun项，删除可项，删除可疑键值疑键值 对应查找病毒文件删除（可能需进安全模式或对应查找病毒文件删除（可能需进安全模式或dos模式）。模式）。 安装补丁

8、程序，用专杀软件或升级杀毒软件全面安装补丁程序，用专杀软件或升级杀毒软件全面查杀。查杀。 如病毒导致系统重启，可用如病毒导致系统重启，可用shutdown /a命令结命令结束重启束重启 第 16页l引导型病毒引导型病毒l文件型病毒文件型病毒l蠕虫病毒蠕虫病毒l木马木马l脚本病毒（网页病毒脚本病毒（网页病毒/恶意代码）恶意代码） 第 17页现象与危害现象与危害 1、浏览器自动打开，自动连接到某个网站。、浏览器自动打开，自动连接到某个网站。 2、系统配置被莫名其妙地修改，比如屏保显示的文字，、系统配置被莫名其妙地修改，比如屏保显示的文字，时间和日期，声音大小，鼠标灵敏度，还有时间和日期，声音大小，

9、鼠标灵敏度，还有cd-rom的自的自动运行配置。动运行配置。 3、运行中莫名其妙的弹出出现警告框或者是询问框，问、运行中莫名其妙的弹出出现警告框或者是询问框，问一些莫名其妙的问题。一些莫名其妙的问题。 4、机器启动时异常缓慢，很长时间恢复正常；网络连接、机器启动时异常缓慢，很长时间恢复正常；网络连接状态时，大批量接收发送数据包；鼠标指针时而没缘由的状态时，大批量接收发送数据包；鼠标指针时而没缘由的成沙漏状态；屏幕无缘故黑屏又恢复正常；硬盘老是没理成沙漏状态；屏幕无缘故黑屏又恢复正常；硬盘老是没理由地读盘写盘；软驱灯经常自己亮起来；光驱自己弹开关由地读盘写盘；软驱灯经常自己亮起来；光驱自己弹开关

10、闭。闭。 5、qq、msn等登陆时输入帐号密码的登陆框连续出现等登陆时输入帐号密码的登陆框连续出现两次，或者输入正确的密码后提示不正确。两次，或者输入正确的密码后提示不正确。 第 18页一般查杀方法一般查杀方法 根据木马的启动运行原理，可先利用根据木马的启动运行原理，可先利用msconfig关闭启动项中的可疑程序，重启关闭启动项中的可疑程序，重启后上网升级病毒软件或下载补丁程序和专后上网升级病毒软件或下载补丁程序和专杀工具。杀工具。 第 19页一般手动查杀方法一般手动查杀方法1、利用任务管理器查找可疑进程，尝试结束、利用任务管理器查找可疑进程，尝试结束2、“系统配置实用程序（系统配置实用程序（

11、msconfig）”中的中的“启动启动”项和项和“服务服务”项中找可疑启动项删除，或在项中找可疑启动项删除，或在“注册表编辑器注册表编辑器”中的中的hkey_current_usersoftwaremicrosoftwindowscurrentversionrun项和项和hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun项中找可疑启动项删除。项中找可疑启动项删除。3、如果没有活问题没有解决可在、如果没有活问题没有解决可在“注册表编辑器注册表编辑器”中中hkey_current_usersoftwaremicrosoftwind

12、owscurrentversionpoliciesexplorerrun项里找找，或是进入项里找找，或是进入“组组策略编辑器（策略编辑器（gpedit.msc仅仅xp的的pro版有）版有）”的的“在用户登录在用户登录时运行这些程序时运行这些程序”看看有没有可疑的启动的程序删除。看看有没有可疑的启动的程序删除。4、症状消失后，建议在安全模式用新版杀毒软件全面查杀。、症状消失后，建议在安全模式用新版杀毒软件全面查杀。5、如、如9x或或me且出现异常在且出现异常在5天之内可尝试恢复注册表天之内可尝试恢复注册表 第 20页l引导型病毒引导型病毒l文件型病毒文件型病毒l蠕虫病毒蠕虫病毒l木马木马l脚本病

13、毒（网页病毒脚本病毒（网页病毒/恶意代码）恶意代码） 第 21页现象与危害现象与危害 1、自动向、自动向outlook的地址簿中的邮件地址发送邮的地址簿中的邮件地址发送邮件，导致网络速度变慢。件，导致网络速度变慢。 2、自动扫描局域网中的有写权限的共享目录，、自动扫描局域网中的有写权限的共享目录，向其中复制向其中复制 3、通过感染、通过感染htm、asp、jsp、php等网页文件传等网页文件传播，导致所有访问过该网页的用户机器感染病毒。播，导致所有访问过该网页的用户机器感染病毒。 4、防火墙、防火墙/防病毒软件被自动关闭甚至是被删除。防病毒软件被自动关闭甚至是被删除。 第 22页一般查杀方法一

14、般查杀方法 此类病毒一般只是更改注册表或系统配置此类病毒一般只是更改注册表或系统配置文件设置，导致一些程序运行异常，某些文件设置，导致一些程序运行异常，某些类型文件打开异常。一般不会影响系统基类型文件打开异常。一般不会影响系统基本功，上网上网升级病毒软件或下载补丁本功，上网上网升级病毒软件或下载补丁程序和专杀工具。程序和专杀工具。 第 23页一般手动查杀方法一般手动查杀方法1、用、用regsvr32 scrrun.dll /u命令禁止文件系统对象命令禁止文件系统对象（filesystemobject）。其中）。其中regsvr32是是windowssystem下的可下的可执行文件。或查找执行文

15、件。或查找scrrun.dll文件删除或者改名。文件删除或者改名。2、打开控制面板、打开控制面板添加添加/删除程序删除程序windows安装程序安装程序附件，卸载附件，卸载windows scripting host一项。一项。 3、打开文件夹选项、打开文件夹选项文件类型，删除文件类型，删除vbs、vbe、js、jse文件后文件后缀名与应用程序的链接。缀名与应用程序的链接。 4、在、在windows目录中，找到目录中，找到wscript.exe，更改名称或者删除，如，更改名称或者删除，如果觉得以后有机会用到请更改名称。果觉得以后有机会用到请更改名称。5、打开浏览器，单击菜单栏里、打开浏览器，单

16、击菜单栏里“internet 选项选项”安全选项卡里的自安全选项卡里的自定义级别。把定义级别。把“activex控件及插件控件及插件”的所有设为禁用，注意这样会的所有设为禁用，注意这样会对网页浏览稍有影响。对网页浏览稍有影响。 6、将安全级别设置至少为、将安全级别设置至少为“中等中等”7、禁止、禁止oe的自动收发邮件功能。的自动收发邮件功能。8、症状消失后，建议在安全模式用新版杀毒软件全面查杀、症状消失后，建议在安全模式用新版杀毒软件全面查杀 第 24页感谢大家感谢大家 ！ 第 25页shpdmaj7f4c0z)w&s!pymujrfocl9h6e3b+y(u%r#owltiqenbk

17、8g5d1a-x*t$qznvksgpdmai7f4c0z)v&s!pxmujrfock9h6e2b+y(u%rzowlthqenbj8g4d1a-w*t$qynvjsgpdlai7f3c0z)v&s#pxmuirfock9h5e2b+x(u%rzowkthqembj8g4d1z-w*t!qynvjsgodlai6f3c0y)v%s#pxluirfnck8h5e2a+x(u$rzowkthpembj7g4d1z-w&t!qymvjsgodl9i6f3b0y)v%s#oxluiqfnck8h5d2a+x*u$rznwkshpemaj7g4c1z)w&t!pymvj

18、rgocl9i6e3b0y(v%s#oxltiqfnbk8h5d2a-x*u$qznwkshpdmaj7f4c1z)w&s!pymujrgocl9h6e3b+y(v%r#owltiqenbk8g5d1a-x*t$qznvkshpdmai7f4c0z)w&s!pxmujrfocl9h6e2b+y(u%r#owltdmaj7f4c1z)w&s!pymujrgocl9h6e3b+y(v%r#owltiqenbk8g5d2a-x*t$qznvkshpdmai7f4c0z)w&s!pxmujrfocl9h6e2b+y(u%r#owlthqenbj8g5d1a-w*t$qy

19、nvksgpdlai7f3c0z)v&s!pxmuirfock9h6e2b+x(u%rzowlthqembj8g4d1a-w*t!qynvjsgpdlai6f3c0y)v&s#pxluirfnck9h5e2a+x(u$rzowkthqembj7g4d1z-w*t!qymvjsgodlai6f3b0y)v%s#pxluiqfnck8h5e2a+x*u$rznwkthpemaj7g4c1z-w&t!pymvjrgodl9i6e3b0y(v%s#oxluiqfnbk8h5d2a+x*u$qznwkshpemaj7f4c1z)w&t!pymujrgocl9i6e3b+y

20、(v%r#oxltiqenbk8g5d2a-x*t$qznvkshpdmaj7f4c0z)w&s!pymujrfocl9h6e3b+y(u%r#owltiqenbj8g5d1a-x*t$qynvksgpdmai7f3c0z)v&s!pxmuirfock9h6e2b+y(u%rzowlthqenbj8g4d1a-w*t$qynvjsgpdlai7f3c0y)v&s#pxmuirfnck9h5e2b+x(u$rzowkthqembj7g4d1z-w*t!qymvjsgodlai6f3c0y)v%s#pxluirfnck8h5e2a+x(u$rznwkthpembj7g4c1

21、z-w&t!qymvjrgodl9i6f3b0y(v%s#oxluiqfnbk8h5d2a+x*u$rznwkshpemaj7g4c1z)w&t!pymvjrgocl9i6e3b0y(v%r#oxltiqfnbk8g5d2a-x*u$qznvkshpdmaj7f4c0z)w&s!pymujrfocl9h6e3b+y(v%r#owltiqenbk8g5d1a-x*t$qznvksgpdmai7f4c0z)v&s!pxmujrfock9h6e2b+y(u%rzowldmaj7f4c1z)w&s!pymujrgocl9h6e3b+y(v%r#owltiqenb

22、k8g5d1a-x*t$qznvksgpdmai7f4c0z)v&s!pxmujrfock9h6e2b+y(u%rzowlthqenbj8g5d1a-w*t$qynvksgpdlai7f3c0z)v&s#pxmuirfock9h5e2b+x(u%rzowkthqembj8g4d1z-w*t!qynvjsgodlai6f3c0y)v&s#pxluirfnck9h5e2a+x(u$rzowkthpembj7g4d1z-w&t!qymvjsgodl9i6f3b0y)v%s#oxluiqfnck8h5d2a+x*u$rznwkthpemaj7g4c1z-w&t!

23、pymvjrgodl9i6e3b0y(v%s#oxltiqfnbk8h5d2a-x*u$qznwkshpdmaj7f4c1z)w&s!pymujrgocl9h6e3b+y(v%r#oxltiqenbk8g5d2a-x*t$qznvkshpdmai7f4c0z)w&s!pxmujrfocl9h6e2b+y(u%r#owlthqenbj8g5d1a-w*t$qynvksgpdmai7f3c0z)v&s!pxmuirfock9h6e2b+x(u%rzowhpdmai7f4c0z)w&s!pxmujrfocl9h6e2b+y(u%r#owlthqenbj8g5d1a-x

24、*t$qynvksgpdmai7f3c0z)v&s!pxmuirfock9h6e2b+x(u%rzowlthqembj8g4d1a-w*t!qynvjsgpdlai6f3c0y)v&s#pxmuirfnck9h5e2b+x(u$rzowkthqembj7g4d1z-w*t!qymvjsgodlai6f3b0y)v%s#pxluiqfnck8h5e2a+x*u$rznwkthpembj7g4c1z-w&t!qymvjrgodl9i6f3b0y(v%s#oxluiqfnbk8h5d2a+x*u$qznwkshpemaj7f4c1z)w&t!pymujrgocl9i6

25、e3b+y(v%r#oxltiqfnbk8g5d2a-x*u$qznvkshpdmaj7f4c0z)w&s!pymujrfocl9h6e3b+y(u%r#owltiqenbj8g5d)w&t!pymvjrgocl9i6e3b0y(v%r#oxltiqfnbk8g5d2a-x*u$qznvkshpdmaj7f4c0z)w&s!pymujrfocl9h6e3b+y(u%r#owltiqenbj8g5d1a-x*t$qznvksgpdmai7f4c0z)v&s!pxmujrfock9h6e2b+y(u%rzowlthqenbj8g4d1a-w*t$qynvjsgpdl

26、ai7f3c0y)v&s#pxmuirfock9h5e2b+x(u%rzowkthqembj8g4d1z-w*t!qynvjsgodlai6f3c0y)v%s#pxluirfnck8h5e2a+x(u$rznwkthpembj7g4d1z-w&t!qymvjsgodl9i6f3b0y)v%s#oxluiqfnck8h5d2a+x*u$rznwkshpemaj7g4c1z)w&t!pymvjrgocl9i6e3b0y(v%r#oxltiqfnbk8h5d2a-x*u$qznwkshpdmaj7f4c1z)w&s!pymujrgocl9h6e3b+y(v%r#owl

27、tiqj7g4c1z)w&t!pymvjrgodl9i6e3b0y(v%s#oxltiqfnbk8h5d2a-x*u$qznwkshpdmaj7f4c1z)w&s!pymujrgocl9h6e3b+y(v%r#owltiqenbk8g5d1a-x*t$qznvkshpdmai7f4c0z)w&s!pxmujrfocl9h6e2b+y(u%r#owlthqenbj8g5d1a-w*t$qynvksgpdlai7f3c0z)v&s#pxmuirfock9h6e2b+x(u%rzowlthqembj8g4d1a-w*t!qynvjsgpdlai6f3c0y)v&

28、;s#pxluirfnck9h5e2a+x(u$rzowkthpembj7g4d1z-w*t!qymvjsgodlai6f3b0y)v%s#pxluiqfnck8h5e2a+x*u$rznwkthpemaj7g4c1z-w&t!pymvjrgodl9i6e3b0y(v%s#oxltiqfnbk8h5d2a+x*u$qznwkshpemaj7f4c1z)w&t!pymujrgocl9i6e3b+y(v%r#oxltiqenbk8g5d2a-x*t$qznvkshpdm6f3b0y(v%s#oxluiqfnbk8h5d2a+x*u$qznwkshpemaj7f4c1z)w&

29、t!pymujrgocl9i6e3b+y(v%r#oxltiqenbk8g5d2a-x*t$qznvkshpdmaj7f4c0z)w&s!pymujrfocl9h6e3b+y(u%r#owltiqenbj8g5d1a-x*t$qynvksgpdmai7f3c0z)v&s!pxmuirfock9h6e2b+y(u%rzowlthqenbj8g4d1a-w*t$qynvjsgpdlai7f3c0y)v&s#pxmuirfnck9h5e2*t$qynvksgpdmai7f3c0z)v&s!pxmujrfock9h6e2b+y(u%rzowlthqenbj8g4d1a-

30、w*t$qynvjsgpdlai7f3c0y)v&s#pxmuirfnck9h5e2b+x(u$rzowkthqembj8g4d1z-w*t!qynvjsgodlai6f3c0y)v%s#pxluirfnck8h5e2a+x(u$rznwkthpembj7g4c1z-w&t!qymvjrgodl9i6f3b0y)v%s#oxluiqfnck8h5d2a+x*u$rznwkshpemaj7g4c1z)w&t!pymvjrgocl9i6e3b0y(v%r#oxltiqfnbk8g5d2a-x*u$qznvkshpdmaj7f4c1z)w&s!pymujrgocl9h6e3b+u$rznwkshpemaj7g4c1z)w&am