病毒防护常识

一、病毒防护
  病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
    有病治病，无病预防这是人们对健康生活的最基本也是最重要的要求，预防比治疗更为重要。对计算机来说，同样也是如此，了解病毒，针对病毒养成一个良好的计算机应用管理习惯，对保障您的计算机不受计算机病毒侵扰是尤为重要的。为了减少病毒的侵扰，建议大家平时能做到“三打三防”。 
    “三打”就是安装新的计算机系统时，要注意打系统补丁，震荡波一类的恶性蠕虫病毒一般都是通过系统漏洞传播的，打好补丁就可以防止此类病毒感染；用户上网的时候要打开杀毒软件实时监控，以免病毒通过网络进入自己的电脑；玩网络游戏时要打开个人防火墙，防火墙可以隔绝病毒跟外界的联系，防止木马病毒盗窃资料。
    “三防”就是防邮件病毒，用户收到邮件时首先要进行病毒扫描，不要随意打开电子邮件里携带的附件；防木马病毒，木马病毒一般是通过恶意网站散播，用户从网上下载任何文件后，一定要先进行病毒扫描再运行；防恶意“好友”，现在很多木马病毒可以通过 MSN、 QQ等即时通信软件或电子邮件传播，一旦你的在线好友感染病毒，那么所有好友将会遭到病毒的入侵。
二、如何干净地清除病毒 
1 、在安全模式或纯DOS模式下清除病毒 
    当计算机感染病毒的时候，绝大多数的感染病毒的处理可以在正常模式下彻底清除病毒，这里说的正常模式准确的说法应该是实模式（Real Mode），这里通俗点说了。其包括正常模式的 Windows 和正常模式的 Windows 下的 "MS-DOS 方式 " 或 " 命令提示符 " 。 但有些病毒由于使用了更加隐匿和狡猾的手段往往会对杀毒软件进行攻击甚至是删除系统中的杀毒软件的做法，针对这样的病毒绝大多数的杀毒软件都被设计为在安全模式可安装、使用、执行杀毒处理。 　　　 
    在安全模式（Safe Mode）或者纯DOS下进行清除清除时，对于现在大多数流行的病毒，如蠕虫病毒、木马程序和网页代码病毒等，都可以在安全模式下彻底清除的，不必要像以前那样必须要用软盘启动杀毒，进入安全模式在启动计算机时点击F8按钮可进入；但对于一些引导区病毒和感染可执行文件的病毒才需要在纯 DOS下杀毒（建议用干净软盘启动杀毒）。而且，当计算机原来就感染了病毒，那就更需要在安装反病毒软件后（升级到最新的病毒库），在安全模式（Safe Mode）或者纯DOS下清除一遍病毒了！
 2 、带毒文件在\Temporary Internet Files目录下　　
    由于这个目录下的文件，Windows 会对此有一定的保护作用，所以对这个目录下的带毒文件即使在安全模式下也不能进行清除，对于这种情况，请先关闭其他一些程序软件，然后打开 IE ，选择IE工具栏中的 " 工具"\"Internet 选项 "，选择 " 删除文件 " 删除即可，如果有提示" 删除所有脱机内容 "，也请选上一并删除。 
3 、带毒文件在 \_Restore 目录下，*.cpy 文件中 
    这是系统还原存放还原文件的目录，只有在装了Windows Me/XP 操作系统上才会有这个目录，由于系统对这个目录有保护作用。对于这种情况需要先取消" 系统还原 " 功能，然后将带毒文件删除，甚至将整个目录删除也是可以的。 
 4 、带毒文件在.rar 、.zip 、.cab 等压缩文件中 
    对于绝大多数的反病毒软件来说，现在的查杀压缩文件中病毒的功能已经基本完善了，单是对于一些特殊类型的压缩文件或者加了密码保护的压缩文件就可能直接清除了。 　　
    要清除压缩文件中的病毒，建议解压缩后清除，或者借助压缩工具软件的外挂杀毒程序的功能，对带毒的压缩文件进行杀毒。 
 5 、病毒在引导区或者SUHDLOG.DAT或SUHDLOG.BAK文件中 
    这种病毒一般是引导区病毒，报告的病毒名称一般带有 boot 、 wyx 等字样。如果病毒只是存在于移动存储设备（如软盘、闪存盘、移动硬盘）上，就可以借助本地硬盘上的反病毒软件直接进行查杀；　　
    如果这种病毒是在硬盘上，则需要用干净的可引导盘启动进行查杀。 对于这类病毒建议用干净软盘启动进行查杀，不过在查杀之前一定要备份原来的引导区，特别是原来装有别的操作系统的情况，如日文Windows 、Linux 等。 如果没有干净的可引导盘，则可使用下面的方法进行应急杀毒： 
(1) 在别的计算机上做一张干净的可引导盘，此引导盘可以在Windows 95/98/ME 系统上通过 " 添加／删除程序 " 进行制作，但要注意的是，制作软盘的操作系统须和自己所使用的操作系统相同； 
(2) 用这张软盘引导启动带毒的计算机，然后运行以下命令：
A:\>fdisk/mbr 
A:\>sys a: c: 　　 
    针对 NT 构架的操作系统可首先安装“管理员控制台”，安装后使用管理员控制台，然后分别执行 fixmbr （恢复主引导记录）和 fixboot （恢复启动盘上的引导区）命令对引导区及启动信息进行修复。 如果带毒的文件是在 SUHDLOG.DAT 或 SUHDLOG.BAK 文件中，那么直接删除即可。这是系统在安装的时候对硬盘引导区做的一个备份文件，一般作用不大，病毒在其中已经不起作用了。  
6 、带毒文件在一些邮件文件中，如 dbx 、 eml 、 box 等 
    绝大多数的防毒软件可以直接检查这些邮件文件中的文件是否带毒，对于邮箱中的带毒的信件，可以根据用户的设置杀毒或删除带毒邮件，但是由于此类邮箱的复合文件结构，易出现杀毒后的邮箱依旧可以检测到病毒情况，这是由于没有压缩邮箱进行空间释放的原因导致的，您可以尝试在 Outlook Express 中选择“工具” — 〉“选项” — 〉“维护” — 〉“立即清除” — 〉“压缩”  
7 、文件中有病毒的残留代码 
    这种情况比较多见的就是带有 CIH 、Funlove 、宏病毒（包括 Word 、 Excel 、 Powerpoint 和 Wordpro 等文档中的宏病毒）和个别网页病毒的残留代码，通常防毒软件对这些带有病毒残留代码的文件报告的病毒名称后缀通常是 int 、 app 等结尾，而且并不常见，如 W32/FunLove.app 、W32.Funlove.int 。一般情况下，这些残留的代码不会影响正常程序的运行，也不会传染，如果需要彻底清除的话，要根据各个病毒的实际情况进行清除。  
8 、文件错误 
    这种情况出现的并不多，通常是由于某些病毒对系统中的关键文件修改后造成的，异常的文件无法正常使用，同时易造成别的系统错误，针对此种情况建议进行修复安装的方法恢复系统中的关键文件。
9 、加密的文件或目录 
    对于一些加密了的文件或目录，请在解密后再进行病毒查杀。  
10 、共享目录杀毒 
    这里包括两种情况：本地共享目录和网络中远程共享目录（其中也包括映射盘）。 　　　
遇到本地共享的目录中的带毒文件不能清除的情况，通常是局域网中别的用户在读写这些文件，杀毒的时候表现为无法直接清除这些带毒文件中的病毒，如果是有病毒在对这些目录在写病毒操作，表现为对共享目录进行清除病毒操作后，还是不断有文件被感染或者不断生成病毒文件。以上这两种情况，都建议取消共享，然后针对共享目录进行彻底查杀，恢复共享的时候，注意不要开放太高的权限，并对共享目录加设密码。 对远程的共享目录（包括映射盘）查杀病毒的时候，首先要保证本地计算机的操作系统是干净的，同时对共享目录也有最高的读写权限。如果是远程计算机感染病毒的话，建议还是直接在远程计算机进行查杀病毒。 　　
    特别的，如果在清除别的病毒的时侯都建议取消所有的本地共享，再进行杀毒操作。在平时的使用中，也应注意共享目录的安全性，加设密码，同时，非必要的情况下，不要直接读取远程共享目录中的文件，建议拷贝到本地检查过病毒后再进行操作。 
11 、光盘等一些存储介质 
对于光盘上带有的病毒，不要试图直接清除，这是因为光盘上的文件都是只读的原因导致的。同时，对另外一些存储设备查杀病毒的，也需要注意其是否处于写保护或者密码保护状态。
三、常见病毒及清除办法

“熊猫烧香”(Worm.WhBoy.h)	1．删除常用杀毒软件在注册表中的启动项或服务，终止杀毒软件的进程，几乎涉及目前所有杀毒软件 2．终止部分安全辅助工具的进程，如IceSword，任务管理器taskmon。 3．终止维金的相关进程Logo1_.exe、Logo_1.exe、Rundl123.exe。 4．弱口令破解局域网其他电脑的Administror帐号，并用GameSetup.exe进行复制传播。 5．修改注册表键值，导致不能查看隐藏文件和系统文件。 6．除C盘如下目录外，病毒会尝试破坏其它分区下的部分.exe、.com、.gho、 .pif、.scr文件。 7．病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。	a. 断开网络，禁用网卡或拔掉网线就行； b.结束病毒进程，因为任务管理器、IcdSword已经无法运行，在已感染病毒的机器上很难实现了； c.在本地计算机上搜索并删除病毒执行文件；  d.手工恢复注册表；  e.修复或重新安装反病毒软件，恢复杀毒软件的功能； f.更新反病毒软件全盘扫描，把感染的EXE程序、网页格式的文件修复。	下载专杀工具进入安全模式进行杀毒，专杀工具：瑞星，金山毒霸
"冲击波 W32.Blaster.Worm"	1、上网时弹出RPC服务终止的对话框倒计时60秒反复重启 2、IE浏览器不能正常地打开链接； 3、右键菜单不能复制粘贴； 4、有时出现应用程序，比如Word异常； 5、网络变慢； 6、在任务管理器里有一个“msblast.exe”进程在运行	1、用任务管理器结束msblast.exe进程。 2、病毒运行时会将自身复制为：%systemdir%\msblast.exe,用户可以手动删除该病毒文件。 注意：%systemdir%是指操作系统安装目录中的系统目录，默认是：“C：\Windows\system”或：“c：\Winnt\system32”。 3、病毒会修改注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run项，在其中加入：""windows auto update""=""msblast.exe""，进行自启动，用户可以手工清除该键值。 4、因为频繁重启导致无法网上下载补丁程序或专杀工具，此时可以在运行中用shutdown /a命令结束重启进程。	1、下载安装补丁MS03-026。注意：操作系统为NT，请务必先装SP6；操作系统为Win2000，请您务必先安装sp4；操作系统为 Winxp，请您务必先安装sp1。 2、下载或拷贝病毒专杀工具到本地。 3、断掉网络连接 4、重起系统，进入安全模式。 5、在安全模式下运行专杀工具进行全机扫描，反复两次。
"震荡波 W32.Sasser.Worm"	1、上网时出现“系统错误”对话框，随即出现倒计时60秒后重启计算机对话框。机器反复重新启动。 2、任务管理器里有一个叫""avserve.exe""、""avserve2.exe""或者""skynetave.exe""的进程在运行； 3、在系统目录下，产生一个名为avserve.exe、avserve2.exe、skynetave.exe的病毒文件； 4、最系统速度极慢，cpu占用100%。	1、病毒会在：%Windir%目录下产生名为avserve.exe的病毒体，用户可以查找该病毒文件后删除。 注意：%Windir%是指操作系统安装目录，默认是：“C:\Windows”或：“c:\Winnt”，也可能是用户手动指定的其他目录。 2、病毒会修改注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run项，在其中建立：""avserve.exe""=%windows%\avserve.exe的病毒键值进行自启动，用户可以手工清除该键值。 3、因为频繁重启导致无法网上下载补丁程序或专杀工具，此时可以在运行中用shutdown /a命令结束重启进程	1、请您直接下载或拷贝专杀工具软件进行杀毒。 2、检查是否已经安装了MS04-011补丁；如果没有安装，请您尽快安装该补丁程序。注意：操作系统为NT，请务必先装SP6；操作系统为Win2000，请您务必先安装sp4；操作系统为 Winxp，请您务必先安装sp1。如果不安装补丁，病毒将会在您重新启动计算机后再次发作。
>"爱情后门（爱之门） Worm.Lovgate"	系统运行异常缓慢。 应用软件（如Notes等）使用不正常。	1、关闭所有完全共享目录，把必须共享的目录设为密码共享，且密码长度建议8位以上，避免弱密码 2、由于该病毒变种巨多，且释放出的病毒文件名为随机选取，还会更改注册表和西同配置文件，所以手工查杀较难，最好还是下载或拷贝专杀工具后断开网络连接，并且进入安全模式进行查杀两遍，以确保病毒被完全清楚	1、设置机器的管理员口令为强壮口令,即：口令为八个字符以上，包含数字和字母,字母有大小写。 关闭本机的完全共享（如果需要设置共享，应设为只读共享，如果一定要设置为完全共享，请务必设置强壮口令，使用完毕后请及时取消共享）  2、下载或拷贝专杀工具后断开网络连接，并且进入安全模式进行查杀两遍，以确保病毒被完全清楚
"网络天空（网络天下） Worm.NetSky"	1、大量发送带毒邮件。带毒邮件的大量传播会严重消耗网络资源 2、特定时间内病毒将使系统的扬声器发声，频率随机	1、断开网络连接 2、删除文件%WINDIR%\svchost.exe，正常的系统文件svchost.exe应在%systemdir%下 3、运行注册表编辑器，打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run项，删除Zone Labs Client Ex=%WINDIR%\svchost.exe -antivirus service 注意：%Windir%是指操作系统安装目录，默认是：“C:\Windows”或：“c:\Winnt”，也可能是用户手动指定的其他目录。%systemdir%是指操作系统安装目录中的系统目录，默认是：“C:\Windows\system”或：“c:\Winnt\system32”。	下载或拷贝专杀工具后断开网络连接，并且进入安全模式进行查杀两遍，以确保病毒被完全清除
"SCO炸弹（Novarg、Mydoom、SCO炸弹、诺威格、小邮差变种） Worm.Novarg"	1、自动发送大量带毒邮件消耗网络资源，并对系统设置后门 2、阻止被感染的主机访问防病毒软件公司的网站 3、显示出一些怪异字体	1、在任务管理器重关闭taskmon.exe进程 2、删除%System%\shimgapi.dll和%System%\taskmon.exe文件 3、运行注册表编辑器，打开HKEY_CURRENT_USER>Software> Windows>Microsft>CurrentVersion>Run项与 HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\Run项 在右边找到并删除TaskMon = %System%\taskmon.exe 注意：%systemdir%是指操作系统安装目录中的系统目录，默认是：“C:\Windows\system”或：“c:\Winnt\system32”。 4、运行注册表编辑器，找到HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\Explorer \ComDlg32\Version项与HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\ ComDlg32\Version项，删除此键值	下载或拷贝专杀工具后断开网络连接，并且进入安全模式进行查杀两遍，以确保病毒被完全清除
五毒虫（恶邮差变种/爱情后门变种）	1、向外疯狂发送垃圾邮件；　　　 2、60秒倒计时重启；　　　　　　 3、向QQ好友发送垃圾信息； 4、打不开杀毒软件； 5、向网络内其他机器攻击； 6、上网速度缓慢； 7、共享目录中出现不应该存在的一些文件，其文件名一般伪装为常见系统文件	由于病毒会阻止防病毒软件的运行，请启动计算机到安全模式，启动杀毒软件进行查杀	下载或拷贝专杀工具后断开网络连接，并且进入安全模式进行查杀两遍，以确保病毒被完全清除
"恶鹰（贝革热、雏鹰） Worm.Beagle"	在系统中开后门，搜索硬盘上的可执行PE文件，采用加密变形的手法感染这些文件，造成系统极不稳定	1、用安全模式启动系统。 2、打开注册表编辑器打开HKEY_CURRENT_USER\Software \Microsoft\WindowsCurrentVersion\Run 找到并删除如下键值：Drvsys.exe = ""%Systemdir%\ Drvsys.exe"" 3、在%windir%和%systemdir%目录下查找并删除Drvsys.exe、Drvsys.exeopen和Drvsys.exeopenopen  注意：%Windir%是指操作系统安装目录，默认是：“C:\Windows”或：“c:\Winnt”，也可能是用户手动指定的其他目录。%systemdir%是指操作系统安装目录中的系统目录，默认是：“C:\Windows\system”或：“c:\Winnt\system32”。	1、下载或拷贝专杀工具和补丁程序后断开网络连接，并且进入安全模式进行查杀两遍，以确保病毒被完全清除 2、安装补丁程序后连通网络
Win32.Funlove	搜索所有本地驱动器（从C:到Z:）以及网络资源（局域网上的共享文件夹），在其中搜索带有EXE、SCR、OCX扩展名的文件，验证后进行感染，对齐最后一个节之后将自身代码填入其中、修改PE程序入口代码，被感染文件长度通常会增加4099字节或者更多。造成网络速度变慢。	1、删除%systemdir%目录下的Flcss.exe文件，但应注意该文件随系统启动的同时启动，并且不出现在任务管理器的列表中，所以需要进入dos状态或安全模式状态进行操作。 2、在%systemdir%目录下建立一个名为Flcss.exe的空目录，这样只要没有重装系统该病毒将永远无法感染本系统了	下载或拷贝专杀工具后断开网络连接，并且进入安全模式进行查杀两遍，以确保病毒被完全清除
新欢乐时光（VBS.KJ）	1、在每个检查到的文件夹下生成 desktop.ini 和 folder.htt 文件。 2、感染后的机器系统资源被大量消耗，速度变慢；	1、查找删除%Windowsdir%\web和%Systemdir%中的kjwall.gif文件 2、Windows9X系统中查找删除%Systemdir%目录下的Kernel.dll 文件；Windows2000/XP中查找删除%Systemdir%目录下的Kernel32.dll文件 3、查找删除所有硬盘/软盘/可移动磁盘中的desktop.ini和folder.htt文件，选择删除文件生成日期时间形同的文件，需要注意的是在windows安装目录下有些desktop.ini和folder.htt文件是正常的系统文件，并非病毒。 4、运行注册表编辑器，删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run项中的kernel.dll或kernel32.dll和desktop.ini、folder.htt文件的键值	下载或拷贝专杀工具后断开网络连接，并且进入安全模式进行查杀两遍，以确保病毒被完全清除

四、病毒的预防，查杀和病毒库升级
 1、如何预防电脑受到病毒的感染
（1）使用正版操作系统软件和应用软件。
（2）及时升级系统补丁程序（打开控制面板－安全中心中的自动升级）
（3）安装防病毒软件，并及时更新；若可能安装防火墙软件。定期执行全盘扫描。部分联想机器出厂时安装了杀毒软件，在安装，使用和升级这些查毒软件时如果出现问题请查询：在联想网站查询病毒清除方法，瑞星，金山，Norton，如果没有安装杀毒软件，可以访问防病毒软件公司网站使用在线查毒功能等，如：瑞星，金山，Norton
（4）尽量避免使用软盘，U盘复制数据，如果使用软盘或者U盘拷贝数据，请在待拷贝文件上点击右键，使用杀毒软件提供的功能进行病毒查杀和清除
（5）对于不了解的邮件（尤其是带有附件的），尽量避免打开。 
（6）不浏览不熟悉的网站，更不要轻易从这些网站下载软件
（7）使用即时通信软件（MSN、QQ）的时候，不增加不熟悉的联系人，尤其不要点击陌生人发给你的图片和网址链接
2、如果电脑感染了病毒，清除病毒即可。但是在清除病毒过程中及之后还有一些事项需要你关注：
（1）查杀病毒之前：最好能备份你的有用数据
    电脑中的数据对于您的工作来说是非常重要的，应该尽可能地保护。备份是一种较为有效的方法。所需要备份的数据包括：您创建的word, execl等文档，重要的财务数据，股票软件所产生的相关数据等等，一般数据的备份方法，只需通过系统中的复制、粘贴功能将所需要的数据备份到U盘等其他存储设备中即可，专有数据（如股票数据）可能要询问相关软件厂商（例如是股票软件数据，需要股票软件厂商协助）。进行了这些的操作后，最好使用最新版本的杀毒软件（病毒代码库也是最新）进行杀毒操作。 
（2）进行查杀病毒 
1、将杀毒软件升级到最新的病毒代码库 
3、重新启动计算机进入安全模式，再查杀病毒；即启动时点击F8进入安全模式，如何干净地清除病毒。 
4、防病毒软件在查杀病毒时候的三种处理方式：清除，隔离，删除文件 
  4.1 清除：是默认的方式，防病毒软件将被感染文件中的病毒代码清除； 
  4.2 隔离：是由于防病毒软件认为文件已经被病毒感染但是无法清除病毒，防病毒软件会将此文件进行隔离（有的会有提示），即将该文件放入特定的文件夹中，并且停止使用该文件。对于隔离区中的文件，若您确认无病毒，可以点击恢复将文件回复到原有位置并可以正常使用，也可以将文件发送给防病毒厂商，以确认是否真正存在病毒，有关公司病毒上报的网址为：江民，金山，瑞星； 
  4.3 删除：是三种处理方式中最彻底同时也是最有危险性的操作，防病毒软件一般将认为被病毒感染放入隔离区中，此时若您确认该文件的病毒无法清除，同时确认对您的计算机系统或者应用程序来说是无用文件，您可以选择删除文件，彻底清除病毒。 
5、最好对前面备份过后数据也进行一个查病毒的操作，以防止备份的数据中还存在有病毒。 

    以上三种杀病毒的方式都有可能造成应用程序甚至系统文件的损坏，因此，当发生杀毒后系统不能正常使用或应用程序不能使用时，你可再按照下面第三条操作 
（3）查杀病毒后： 
1、升级windows补丁程序
2、若通过防病毒软件查杀病毒后，发现病毒依然存在或未完全被清除，这时您可能要寻求防病毒软件厂商的帮助，方法是，访问相关软件厂商的网站，查询常见病毒的清除方法，瑞星提供最新病毒清除办法，和该病毒是否有专杀工具。若有专杀工具，金山专杀工具，Norton专杀工具，按照专杀工具的方法查杀病毒。若专杀工具无效或者没有专杀工具，此时清除病毒的最简单方法即重新安装操作系统（最好重新分区格式化重新安装操作系统）。 
3、查杀病毒后，可能出现某个应用程序无法使用，这时候请您重新安装此应用程序尝试。 
4、查杀病毒后，由于病毒破坏了系统的核心文件，所以可能造成系统运行不稳定，蓝屏死机等，这时也没有其他更好的方法，需要重新安装操作系统。 
5、为了避免以后再次感染病毒，请您保持良好的计算机上网操作习惯：对于不了解的邮件（尤其是带有附件的），尽量避免打开；不浏览不熟悉的网站，更不要轻易从这些网站下载软件；使用即时通信软件（MSN、QQ）的时候，不增加不熟悉的联系人，尤其不要点击陌生人发给你的图片和网址链接。 
五、病毒应急处理办法

病毒类型	现象与危害	一般查杀方法	一般手动查杀方法
引导型病毒	1、隐藏于硬盘或软盘的引导区中，当计算机从感染了此类病毒的磁盘引导时，病毒驻留到内存中，之后向其他所有可写磁盘复制传播。 2、发作时可导致系统不引导，分区表被破坏等现象。	利用干净的（确保无毒）软盘或光盘引导机器，利用dos版的杀毒软件进行查杀。杀毒后有可能导致硬盘不引导甚至分区丢失等现象，因此建议杀毒前，备份重要数据	1、用命令fdisk /mbr尝试清除 2、用杀毒软件查杀，查杀前建议备份引导扇区和分区表。
文件型病毒	1、大多寄生在可执行文件上，使文件字节数变大，劫夺用来启动主程序的可执行命令，用作它自身的运行命令。 2、同时还经常将控制权还给主程序，伪装计算机系统正常运行。一旦运行被感染了病毒的程序文件，病毒便被激发，进行自我复制。 3、会使系统出现运行速度变慢，数据丢失，死机等现象。	利用干净的（确保无毒）软盘或光盘引导机器，利用dos版的杀毒软件进行查杀。杀毒后可能会导致某些程序无法运行甚至无法进入系统，建议杀毒前重要数据先备份，出现这类情况可覆盖安装（9x、me或应用程序）或修复安装（2k或xp）尝试修复，系统文件可用sfc修复。如果无效建议格式化重装。	1、如确认为染毒文件且文件无用最好在dos下直接删除 2、如无把握建议最好用杀毒软件查杀
蠕虫病毒	1、通过网络复制，通过邮件系统自动发送自己的复制品。 2、传播速度极快，会造成网络拥挤瘫痪 3、主机运行速度变慢或某些系统功能异常，死机重启等异常。	1、如果病毒严重影响操作系统，导致系统无法运行，如出现关机、重启等现象，像冲击波和震荡波，出现倒计时关机提示框时，应用shutdown /a命令结束重启，然后上网升级病毒软件或下载补丁程序和专杀工具。 2、如果病毒对系统运行影响不严重，仅是出现速度慢，死机等现象，应尽快上网升级病毒软件或下载补丁程序和专杀工具。	1、利用任务管理器查找可疑进程，尝试结束 2、打开注册表编辑器，找到HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\Run项，删除可疑键值 3、对应查找病毒文件删除（可能需进安全模式或dos模式）。 4、安装补丁程序，用专杀软件或升级杀毒软件全面查杀。 5、如病毒导致系统重启，可用shutdown /a命令结束重启
木马	1、浏览器自动打开，自动连接到某个网站。 2、系统配置被莫名其妙地修改，比如屏保显示的文字，时间和日期，声音大小，鼠标灵敏度，还有CD-ROM的自动运行配置。  3、运行中莫名其妙的弹出出现警告框或者是询问框，问一些莫名其妙的问题。  4、机器启动时异常缓慢，很长时间恢复正常；网络连接状态时，大批量接收发送数据包；鼠标指针时而没缘由的成沙漏状态；屏幕无缘故黑屏又恢复正常；硬盘老是没理由地读盘写盘；软驱灯经常自己亮起来；光驱自己弹开关闭。  5、QQ、MSN等登陆时输入帐号密码的登陆框连续出现两次，或者输入正确的密码后提示不正确。	根据木马的启动运行原理，可先利用msconfig关闭启动项中的可疑程序，重启后上网升级病毒软件或下载补丁程序和专杀工具。	1、利用任务管理器查找可疑进程，尝试结束 2、“系统配置实用程序（msconfig）”中的“启动”项和“服务”项中找可疑启动项删除，或在“注册表编辑器”中的HKEY_CURRENT_USER\Software\Microsoft \Windows\CurrentVersion\Run项和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run项中找可疑启动项删除。 3、如果没有活问题没有解决可在“注册表编辑器”中HKEY_CURRENT_USER\Software\Microsoft \Windows\CurrentVersion\Policies\ Explorer\Run项里找找，或是进入“组策略编辑器（gpedit.msc仅xp的pro版有）”的“在用户登录时运行这些程序”看看有没有可疑的启动的程序删除。 4、症状消失后，建议在安全模式用新版杀毒软件全面查杀。 5、如9x或me且出现异常在5天之内可尝试恢复注册表
脚本病毒（网页病毒/恶意代码）	1、自动向outlook的地址簿中的邮件地址发送邮件，导致网络速度变慢。 2、自动扫描局域网中的有写权限的共享目录，向其中复制 3、通过感染htm、asp、jsp、php等网页文件传播，导致所有访问过该网页的用户机器感染病毒。 4、防火墙/防病毒软件被自动关闭甚至是被删除。	此类病毒一般只是更改注册表或系统配置文件设置，导致一些程序运行异常，某些类型文件打开异常。一般不会影响系统基本功，上网上网升级病毒软件或下载补丁程序和专杀工具。	1、用regsvr32 scrrun.dll /u命令禁止文件系统对象（FileSystemObject）。其中regsvr32是Windows\System下的可执行文件。或查找scrrun.dll文件删除或者改名。 2、打开控制面板→添加/删除程序→Windows安装程序→附件，卸载Windows Scripting Host一项。  3、打开文件夹选项→文件类型，删除VBS、VBE、JS、JSE文件后缀名与应用程序的链接。  4、在Windows目录中，找到WScript.exe，更改名称或者删除，如果觉得以后有机会用到请更改名称。 5、打开浏览器，单击菜单栏里“Internet 选项”安全选项卡里的自定义级别。把“ActiveX控件及插件”的所有设为禁用，注意这样会对网页浏览稍有影响。  6、将安全级别设置至少为“中等” 7、禁止OE的自动收发邮件功能。 8、症状消失后，建议在安全模式用新版杀毒软件全面查杀

六、什么是防火墙，安装防火墙的作用是什么
 
    Internet 防火墙是一种软件或硬件，其可帮助筛选出试图通过 Internet 访问您计算机的黑客、病毒和蠕虫。 如果您是家庭用户或小型企业用户，那么您要保护您的计算机所采取的第一个最有效和最重要的步骤就是安装防火墙。 在连接到 Internet 之前启用防火墙和防病毒软件是十分重要的。 
    如果在连接到 Internet 时您的计算机未处于保护状态，黑客就可以访问您计算机上的个人信息。 他们会在您的计算机上安装破坏文件或造成故障的代码。 他们还会使用您的计算机对连接到 Intenet 的其他家用或企业计算机制造问题。 在各种恶意 Internet 通信访问您的计算机之前，防火墙可以帮助筛选出这些信息。 
    有些防火墙还可以阻止他人在您不知情的情况下利用您的计算机攻击其他计算机。 无论您使用何种方式连接到 Internet - 拨号调制解调器、电缆调制解调器或数字用户线路（DSL 或 ADSL），使用防火墙都是非常重要的。
    目前，有三种基本类型的防火墙：软件防火墙，硬件路由器，无线路由器，如果您使用的是 Window XP Service Pack 2 (SP2)（Windows XP 的最新版本），则您拥有一个内置防火墙。
1、防火墙是如何工作的
    Windows 防火墙对启用该防火墙的连接的所有网络通信进行监控。 例如，防火墙可以监控连接到 Internet 所用的拨号连接上的所有通信。 
    防火墙可以跟踪源自您计算机的所有通信，并阻止未经请求的通信到达您的计算机。 如有必要，防火墙会动态打开端口，从而使您的计算机可以接收您特别请求的通信，例如您单击了其网址的 Web 页。 
    “端口”是一个网络术语，它用于标识某种网络通信到达您的计算机的点。 您打开的端口取决于您要发送和接收的通信类型。 如果您未请求传入通信，Internet 连接防火墙会在其到达您的计算机之前对其进行阻止。 对于某些特殊用途，例如联网、宿主连接联机游戏或宿主连接您自己的 Web 服务器，您可以选择要保持打开状态的端口。 这可以使其他人连接到您的计算机，但也会降低安全性。
    Internet 连接防火墙是 Windows XP Home Edition 和 Windows XP Professional 的一个组件。 
2、内置的防火墙和其他公司的防火墙如何共同使用 
    除了内置防火墙，如果还准备使用防火墙其他功能的 Windows XP 用户可以使用其他公司的硬件防火墙或软件防火墙。 
    不过对于典型的家用计算机、家用网络和小型企业网络方案，没有必要运行多个防火墙软件。 在同一个连接上使用两个防火墙可能会使 Internet 连接出现问题，也可能导致其他异常现象。 一个防火墙，不管是 Windows XP Internet 连接防火墙还是其他软件防火墙，实际上已可以为计算机提供保护。
    如果家庭或者公司网络链接到Internet时使用了硬件防火墙，仍然有必要为网络中的所有计算机启用 Windows XP Internet 连接防火墙，这有助于防止病毒或蠕虫在感染一台计算机的情况下在整个网络中传播。
 
3、Internet 连接防火墙可以提供哪些防范，不能防范哪些内容
    防火墙可以作为主要防范工具防范通过网络传输的各种计算机蠕虫。
    Windows XP 中的 Internet 连接防火墙不能阻止通过电子邮件传播的病毒，例如特洛伊木马，这种病毒通常伪装成有用或善意的软件，从而欺骗您将其打开或进行下载。 防火墙无法阻止垃圾邮件或弹出广告。 防火墙也不会阻止对不安全的无线网络进行访问。 但防火墙可以为保护您网络中的计算机提供帮助，因此即使入侵者获得了访问您的网络的权限，他也无法访问您的个人计算机。