【分享】一些习惯可以使您远离计算机病毒

wsd_000

1、经常注意一下自己计算机中系统的进程（最基本的进程也就13个，利用两个小时背下来，其它的都是应用程序及服务）。
2、把系统文件和隐藏文件全都显示出来，并把常见的系统或者隐藏文件全都记住，多余出来的，自然是病毒。（下面有详细解释）
3、要防止那种伪装成文件夹的病毒作怪，所以我们要把扩展名也显示出来，那种图标是文件夹，但扩展名是EXE的绝大多数都是病毒。如果不确信的话可以点右键看其属性，文件的属性只有“大小”和“占用空间”这么两个字段，而文件夹除了“大小”和“占用空间”以外还有“包含”，所以外观是文件夹，但扩展是EXE，而且属性中也没有“包含”的一定是病毒！
4、养个好习惯，打开磁盘的时候有多种方法，但最应使用直接在地址栏里输入盘符的方法，因为这个方法可以使一切依赖Autorun.inf的病毒无法被激活，而双击，或者单击右键选择打开都可以激活病毒。
5、要注意自己的可执行文件，有些文件感染型病毒的代码插入会使你的图标有一点点点点点的变化，比如颜色看起来比较粗糙，或者是图标干脆就显示不出来。这种情况，还是不要运行该软件为妙，下个杀软扫描之。。。。。

[ 本帖最后由 wsd_000 于 2009-4-9 12:28 编辑 ]

wsd_000

其实进程看似很多，但是不需要死记的，常见的系统进程通常会由三个用户去调用，一个是system、一个是local server，还有network server，但用户名除了刚才提到的三个还有另外一个，那个就是你使用的用户名了，你的用户叫什么名，他就叫什么名。但是这个用户名一般是用于运行应用程序的，而不是系统进程的，如果一旦发现有关键进程被用户名调用的话，例如：svchost.exe、smss.exe、lsass.exe、service.exe被用户名调用，那么你的机器必中无疑了。

系统隐藏的文件很多，但是不需要都记住，因为C盘下面不管有什么都不用管，太多，我也记不住。但如果是病毒程序的话，一般会遍布所有的硬盘，当你发现哪个盘里都有那么个东西的时候，还是隐藏的，删除的时候弹出警告框吓唬你，一般就是病毒了。一般查这种病毒的方法就是看D盘以后的盘是否有相同的隐藏文件，但是系统本身也有隐藏文件，先说下系统文件都有哪些：
Recycled..........................................................这个是回收站
system volume information.........................这个是系统还原文件夹
Found***..........................................................这个是由于非法关机造成的，有的盘有，有的盘没有，也不是所有的非法关机都会产生这个东西，不过见到了就可以删除掉，因为他已经没啥用了。
除了上边的，一般都是病毒，即使不是病毒，删了也无妨。

还有就是这与懂不懂计算机其实无关的，在计算机中找病毒就跟在班级里看哪个是外来人员一个道理，你把本班的同学都认识了，不认识的自然是外来的，计算机也一样，你把本地的文件全认识了，不认识的自然就是病毒了。

还有一种方法就是靠扩展名识别病毒，顶楼说了一个EXE的文件，其实现在的病毒还有很多种扩展名：
一个是.vbs这种是VB编写的脚本程序，一般这种东西如果直接出现在哪个盘下，还隐藏，基本是病毒；
再就是.pif，看起来像个DOS的快捷方式，他就是病毒，而且目前的杀软软件还不鸟他，一经发现，删无赦！
暂时也就想到这么多，再想起来的话慢慢更新。

wsd_000

慢慢来，不是一时半会就能掌握滴。
在计算机里这可是上乘的内功了。

wsd_000

防患于未燃......

wsd_000

原帖由 周大侠 于 2009-4-8 20:43 发表
看到第二条时吓了一跳！
没必要都记住的吧！安全措施搞好就行，也不必意思去弄那些.
我敢保证微软的高深的程序员也并不一定都记得系统盘里windows文件夹下
的system32子文件夹里的东西！

没有，都说了C盘里的内容不用看了。只看D以后的一般就可以搞定。
不过一般隐藏在C:\windows\system32\下的病毒大多都会起一个与常见系统文件差不多的名字。比如我以前就见过一种病毒起名叫SVCH0ST.EXE，就与系统文件SVCHOST.EXE极其相似！区别就是系统文件是字母“O”，而病毒是数字“0”这种字体非常容易看出来，但一般XP都是默认使用宋体字，所以就看不出来这两个文件有什么区别了。

SVCH0ST.EXE、SVCHOST.EXE

以上就是宋体字下的这两个文件名字。这也是我见过的模仿比较变态的名字了。再有就是SVOHOST.EXE，或者是与系统文件名一模一样，比如SMSS.EXE或者LSASS.EXE。但Windows不允许一个文件夹里有重名的现象发生，所以这类的假冒的系统文件肯定会在别的文件夹里，只要我们一搜索就能够找到。

[ 本帖最后由 wsd_000 于 2009-4-9 12:26 编辑 ]

wsd_000

原帖由 周大侠 于 2009-4-9 14:41 发表



哦，病毒基本都是隐藏在system32文件夹里的.就算找到了也删不掉.
尤其遇到AV终结者那样的病毒，连防火墙都给关闭了.还不能百度输关键字.
我电脑里DEF盘全是电影，都爆满了.现在C盘的可用空间最大！

并不是所有隐藏在system32文件夹里的病毒都删不掉，关键在于能否知道哪个文件是病毒文件，下以提供了一些手动识别病毒文件，以及杀毒的小办法。

其实并不是关杀软的病毒就有多高的技术含量，对于一般的，能看到进程的病毒其实还是有一套办法在不用杀软的情况下给他们消灭的，比如我经常就会碰到一些U盘传播的病毒，这些病毒一发作，第一件事就是先结果杀软。
这种KILL杀软的病毒要想消灭他主要就三步。

第一步：找出病毒进程（如果该病毒采用线程插入的方式这招不好使）并结束掉，当然结束进程的方法可以是多种多样的，如果能够直接利用任务管理器结束掉最好，如AB进程类型的就必须要用到命令提示行或者是其它的进程管理软件了。

第二步：找到病毒程序，一般的病毒会让自己在系统启动时自动运行，所以我们就可以在开始＞程序＞启动这项里看看有没有加载什么启动项，或者是到msconfig里的启动里看看，有没有什么病毒的启动项（一般除CTFMON这项其它都可以把对勾勾选掉，CTFMON是系统输入法，如果把他结束掉的话第一，在进入系统之后在任务栏上就没有输入法了，而且CTRL+SHIFT的切换输入法的功能也将变成ALT+SHIFT）如果有的话，或者是不认识的勾掉，这里没有什么关键的东西，误操作也没有关系，再就是可以在注册表里看看各启动键值里有没有什么病毒的启动项。为什么我们要找启动项呢？因为启动项上会包含这个病毒的运行路径，而我们就可以顺着这个路径去找到病毒，删除即可。

第三步：将病毒改动的注册表项再删除，这个办法比较简单，一般就是打开注册表编辑器后查找该病毒或者病毒进程的名字，找到一条删一条，全部查找完毕时会有提示。这样我们就可以手动的把计算机还原到病毒感染前的状态了。

Q＆A：
Q：这三步顺序可不可以颠倒?
A：不可以，因为病毒进程不结束的话，病毒会始终处于活动状态，这时无论是删除病毒程序文件或者是修改与病毒相关的注册表项，病毒都会在不到一秒钟的时间内修改回来。所以不结束病毒进程，一切工作都白做。
Q：仅删除病毒文件，不删除病毒启动项可不可以。
A：不影响计算机使用，但是每次开机的时候，由于计算机找不到该病毒文件，所以会报错误提示。
Q：为什么要将病毒改动的注册表再还原回未中病毒之前的状态呢？
A：有些病毒为将自己始终处于活动状态，所以会采用映像劫持技术（也称重定向技术），也就是明明你运行了一个正常的软件，却总是提示你找不到该文件，这是为什么呢？因为有些病毒会首先中断你所有应用程序与注册表的关联，然后再把所有的应用程序的打开方式都指向该病毒，如果病毒没被删除的情况下，病毒会起到一个重定向的作用，根据你要打开的软件分配一个合适的打开方式，但如果该病毒被删除，在你打开应用程序的时候，windows的重定向找不到该病毒文件，就会提示你一些错误。而这时我们就必须在注册表中把病毒的拦截项全部删掉，然后计算机就可以正常工作了。

[ 本帖最后由 wsd_000 于 2009-4-10 09:25 编辑 ]