“熊猫烧香”(Worm.WhBoy.h) |
1.删除常用杀毒软件在注册表中的启动项或服务,终止杀毒软件的进程,几乎涉及目前所有杀毒软件 2.终止部分安全辅助工具的进程,如IceSword,任务管理器taskmon。 3.终止维金的相关进程Logo1_.exe、Logo_1.exe、Rundl123.exe。 4.弱口令破解局域网其他电脑的Administror帐号,并用GameSetup.exe进行复制传播。 5.修改注册表键值,导致不能查看隐藏文件和系统文件。 6.除C盘如下目录外,病毒会尝试破坏其它分区下的部分.exe、.com、.gho、 .pif、.scr文件。 7.病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。 |
a. 断开网络,禁用网卡或拔掉网线就行; b.结束病毒进程,因为任务管理器、IcdSword已经无法运行,在已感染病毒的机器上很难实现了; c.在本地计算机上搜索并删除病毒执行文件; d.手工恢复注册表; e.修复或重新安装反病毒软件,恢复杀毒软件的功能; f.更新反病毒软件全盘扫描,把感染的EXE程序、网页格式的文件修复。 |
下载专杀工具进入安全模式进行杀毒,专杀工具:瑞星,金山毒霸 |
"冲击波 W32.Blaster.Worm" |
1、上网时弹出RPC服务终止的对话框倒计时60秒反复重启 2、IE浏览器不能正常地打开链接; 3、右键菜单不能复制粘贴; 4、有时出现应用程序,比如Word异常; 5、网络变慢; 6、在任务管理器里有一个“msblast.exe”进程在运行 |
1、用任务管理器结束msblast.exe进程。 2、病毒运行时会将自身复制为:%systemdir%\msblast.exe,用户可以手动删除该病毒文件。 注意:%systemdir%是指操作系统安装目录中的系统目录,默认是:“C:\Windows\system”或:“c:\Winnt\system32”。 3、病毒会修改注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run项,在其中加入:""windows auto update""=""msblast.exe"",进行自启动,用户可以手工清除该键值。 4、因为频繁重启导致无法网上下载补丁程序或专杀工具,此时可以在运行中用shutdown /a命令结束重启进程。 |
1、下载安装补丁MS03-026。注意:操作系统为NT,请务必先装SP6;操作系统为Win2000,请您务必先安装sp4;操作系统为 Winxp,请您务必先安装sp1。 2、下载或拷贝病毒专杀工具到本地。 3、断掉网络连接 4、重起系统,进入安全模式。 5、在安全模式下运行专杀工具进行全机扫描,反复两次。 |
"震荡波 W32.Sasser.Worm" |
1、上网时出现“系统错误”对话框,随即出现倒计时60秒后重启计算机对话框。机器反复重新启动。 2、任务管理器里有一个叫""avserve.exe""、""avserve2.exe""或者""skynetave.exe""的进程在运行; 3、在系统目录下,产生一个名为avserve.exe、avserve2.exe、skynetave.exe的病毒文件; 4、最系统速度极慢,cpu占用100%。 |
1、病毒会在:%Windir%目录下产生名为avserve.exe的病毒体,用户可以查找该病毒文件后删除。 注意:%Windir%是指操作系统安装目录,默认是:“C:\Windows”或:“c:\Winnt”,也可能是用户手动指定的其他目录。 2、病毒会修改注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run项,在其中建立:""avserve.exe""=%windows%\avserve.exe的病毒键值进行自启动,用户可以手工清除该键值。 3、因为频繁重启导致无法网上下载补丁程序或专杀工具,此时可以在运行中用shutdown /a命令结束重启进程 |
1、请您直接下载或拷贝专杀工具软件进行杀毒。 2、检查是否已经安装了MS04-011补丁;如果没有安装,请您尽快安装该补丁程序。注意:操作系统为NT,请务必先装SP6;操作系统为Win2000,请您务必先安装sp4;操作系统为 Winxp,请您务必先安装sp1。如果不安装补丁,病毒将会在您重新启动计算机后再次发作。 |
>"爱情后门(爱之门) Worm.Lovgate" | 系统运行异常缓慢。 应用软件(如Notes等)使用不正常。 |
1、关闭所有完全共享目录,把必须共享的目录设为密码共享,且密码长度建议8位以上,避免弱密码 2、由于该病毒变种巨多,且释放出的病毒文件名为随机选取,还会更改注册表和西同配置文件,所以手工查杀较难,最好还是下载或拷贝专杀工具后断开网络连接,并且进入安全模式进行查杀两遍,以确保病毒被完全清楚 |
1、设置机器的管理员口令为强壮口令,即:口令为八个字符以上,包含数字和字母,字母有大小写。 关闭本机的完全共享(如果需要设置共享,应设为只读共享,如果一定要设置为完全共享,请务必设置强壮口令,使用完毕后请及时取消共享) 2、下载或拷贝专杀工具后断开网络连接,并且进入安全模式进行查杀两遍,以确保病毒被完全清楚 |
"网络天空(网络天下) Worm.NetSky" |
1、大量发送带毒邮件。带毒邮件的大量传播会严重消耗网络资源 2、特定时间内病毒将使系统的扬声器发声,频率随机 |
1、断开网络连接 2、删除文件%WINDIR%\svchost.exe,正常的系统文件svchost.exe应在%systemdir%下 3、运行注册表编辑器,打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run项,删除Zone Labs Client Ex=%WINDIR%\svchost.exe -antivirus service 注意:%Windir%是指操作系统安装目录,默认是:“C:\Windows”或:“c:\Winnt”,也可能是用户手动指定的其他目录。%systemdir%是指操作系统安装目录中的系统目录,默认是:“C:\Windows\system”或:“c:\Winnt\system32”。 |
下载或拷贝专杀工具后断开网络连接,并且进入安全模式进行查杀两遍,以确保病毒被完全清除 |
"SCO炸弹(Novarg、Mydoom、SCO炸弹、诺威格、小邮差变种) Worm.Novarg" |
1、自动发送大量带毒邮件消耗网络资源,并对系统设置后门 2、阻止被感染的主机访问防病毒软件公司的网站 3、显示出一些怪异字体 |
1、在任务管理器重关闭taskmon.exe进程 2、删除%System%\shimgapi.dll和%System%\taskmon.exe文件 3、运行注册表编辑器,打开HKEY_CURRENT_USER>Software> Windows>Microsft>CurrentVersion>Run项与 HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\Run项 在右边找到并删除TaskMon = %System%\taskmon.exe 注意:%systemdir%是指操作系统安装目录中的系统目录,默认是:“C:\Windows\system”或:“c:\Winnt\system32”。 4、运行注册表编辑器,找到HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\Explorer \ComDlg32\Version项与HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\ ComDlg32\Version项,删除此键值 |
下载或拷贝专杀工具后断开网络连接,并且进入安全模式进行查杀两遍,以确保病毒被完全清除 |
五毒虫(恶邮差变种/爱情后门变种) |
1、向外疯狂发送垃圾邮件; 2、60秒倒计时重启; 3、向QQ好友发送垃圾信息; 4、打不开杀毒软件; 5、向网络内其他机器攻击; 6、上网速度缓慢; 7、共享目录中出现不应该存在的一些文件,其文件名一般伪装为常见系统文件 |
由于病毒会阻止防病毒软件的运行,请启动计算机到安全模式,启动杀毒软件进行查杀 | 下载或拷贝专杀工具后断开网络连接,并且进入安全模式进行查杀两遍,以确保病毒被完全清除 |
"恶鹰(贝革热、雏鹰) Worm.Beagle" | 在系统中开后门,搜索硬盘上的可执行PE文件,采用加密变形的手法感染这些文件,造成系统极不稳定 |
1、用安全模式启动系统。 2、打开注册表编辑器打开HKEY_CURRENT_USER\Software \Microsoft\WindowsCurrentVersion\Run 找到并删除如下键值:Drvsys.exe = ""%Systemdir%\ Drvsys.exe"" 3、在%windir%和%systemdir%目录下查找并删除Drvsys.exe、Drvsys.exeopen和Drvsys.exeopenopen 注意:%Windir%是指操作系统安装目录,默认是:“C:\Windows”或:“c:\Winnt”,也可能是用户手动指定的其他目录。%systemdir%是指操作系统安装目录中的系统目录,默认是:“C:\Windows\system”或:“c:\Winnt\system32”。 |
1、下载或拷贝专杀工具和补丁程序后断开网络连接,并且进入安全模式进行查杀两遍,以确保病毒被完全清除 2、安装补丁程序后连通网络 |
Win32.Funlove | 搜索所有本地驱动器(从C:到Z:)以及网络资源(局域网上的共享文件夹),在其中搜索带有EXE、SCR、OCX扩展名的文件,验证后进行感染,对齐最后一个节之后将自身代码填入其中、修改PE程序入口代码,被感染文件长度通常会增加4099字节或者更多。造成网络速度变慢。 |
1、删除%systemdir%目录下的Flcss.exe文件,但应注意该文件随系统启动的同时启动,并且不出现在任务管理器的列表中,所以需要进入dos状态或安全模式状态进行操作。 2、在%systemdir%目录下建立一个名为Flcss.exe的空目录,这样只要没有重装系统该病毒将永远无法感染本系统了 |
下载或拷贝专杀工具后断开网络连接,并且进入安全模式进行查杀两遍,以确保病毒被完全清除 |
新欢乐时光(VBS.KJ) |
1、在每个检查到的文件夹下生成 desktop.ini 和 folder.htt 文件。 2、感染后的机器系统资源被大量消耗,速度变慢; |
1、查找删除%Windowsdir%\web和%Systemdir%中的kjwall.gif文件 2、Windows9X系统中查找删除%Systemdir%目录下的Kernel.dll 文件;Windows2000/XP中查找删除%Systemdir%目录下的Kernel32.dll文件 3、查找删除所有硬盘/软盘/可移动磁盘中的desktop.ini和folder.htt文件,选择删除文件生成日期时间形同的文件,需要注意的是在windows安装目录下有些desktop.ini和folder.htt文件是正常的系统文件,并非病毒。 4、运行注册表编辑器,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run项中的kernel.dll或kernel32.dll和desktop.ini、folder.htt文件的键值 |
下载或拷贝专杀工具后断开网络连接,并且进入安全模式进行查杀两遍,以确保病毒被完全清除 |
病毒类型 | 现象与危害 | 一般查杀方法 | 一般手动查杀方法 |
引导型病毒 |
1、隐藏于硬盘或软盘的引导区中,当计算机从感染了此类病毒的磁盘引导时,病毒驻留到内存中,之后向其他所有可写磁盘复制传播。 2、发作时可导致系统不引导,分区表被破坏等现象。 |
利用干净的(确保无毒)软盘或光盘引导机器,利用dos版的杀毒软件进行查杀。杀毒后有可能导致硬盘不引导甚至分区丢失等现象,因此建议杀毒前,备份重要数据 |
1、用命令fdisk /mbr尝试清除 2、用杀毒软件查杀,查杀前建议备份引导扇区和分区表。 |
文件型病毒 |
1、大多寄生在可执行文件上,使文件字节数变大,劫夺用来启动主程序的可执行命令,用作它自身的运行命令。 2、同时还经常将控制权还给主程序,伪装计算机系统正常运行。一旦运行被感染了病毒的程序文件,病毒便被激发,进行自我复制。 3、会使系统出现运行速度变慢,数据丢失,死机等现象。 |
利用干净的(确保无毒)软盘或光盘引导机器,利用dos版的杀毒软件进行查杀。杀毒后可能会导致某些程序无法运行甚至无法进入系统,建议杀毒前重要数据先备份,出现这类情况可覆盖安装(9x、me或应用程序)或修复安装(2k或xp)尝试修复,系统文件可用sfc修复。如果无效建议格式化重装。 |
1、如确认为染毒文件且文件无用最好在dos下直接删除 2、如无把握建议最好用杀毒软件查杀 |
蠕虫病毒 |
1、通过网络复制,通过邮件系统自动发送自己的复制品。 2、传播速度极快,会造成网络拥挤瘫痪 3、主机运行速度变慢或某些系统功能异常,死机重启等异常。 |
1、如果病毒严重影响操作系统,导致系统无法运行,如出现关机、重启等现象,像冲击波和震荡波,出现倒计时关机提示框时,应用shutdown /a命令结束重启,然后上网升级病毒软件或下载补丁程序和专杀工具。 2、如果病毒对系统运行影响不严重,仅是出现速度慢,死机等现象,应尽快上网升级病毒软件或下载补丁程序和专杀工具。 |
1、利用任务管理器查找可疑进程,尝试结束 2、打开注册表编辑器,找到HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\Run项,删除可疑键值 3、对应查找病毒文件删除(可能需进安全模式或dos模式)。 4、安装补丁程序,用专杀软件或升级杀毒软件全面查杀。 5、如病毒导致系统重启,可用shutdown /a命令结束重启 |
木马 |
1、浏览器自动打开,自动连接到某个网站。 2、系统配置被莫名其妙地修改,比如屏保显示的文字,时间和日期,声音大小,鼠标灵敏度,还有CD-ROM的自动运行配置。 3、运行中莫名其妙的弹出出现警告框或者是询问框,问一些莫名其妙的问题。 4、机器启动时异常缓慢,很长时间恢复正常;网络连接状态时,大批量接收发送数据包;鼠标指针时而没缘由的成沙漏状态;屏幕无缘故黑屏又恢复正常;硬盘老是没理由地读盘写盘;软驱灯经常自己亮起来;光驱自己弹开关闭。 5、QQ、MSN等登陆时输入帐号密码的登陆框连续出现两次,或者输入正确的密码后提示不正确。 |
根据木马的启动运行原理,可先利用msconfig关闭启动项中的可疑程序,重启后上网升级病毒软件或下载补丁程序和专杀工具。 |
1、利用任务管理器查找可疑进程,尝试结束 2、“系统配置实用程序(msconfig)”中的“启动”项和“服务”项中找可疑启动项删除,或在“注册表编辑器”中的HKEY_CURRENT_USER\Software\Microsoft \Windows\CurrentVersion\Run项和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run项中找可疑启动项删除。 3、如果没有活问题没有解决可在“注册表编辑器”中HKEY_CURRENT_USER\Software\Microsoft \Windows\CurrentVersion\Policies\ Explorer\Run项里找找,或是进入“组策略编辑器(gpedit.msc仅xp的pro版有)”的“在用户登录时运行这些程序”看看有没有可疑的启动的程序删除。 4、症状消失后,建议在安全模式用新版杀毒软件全面查杀。 5、如9x或me且出现异常在5天之内可尝试恢复注册表 |
脚本病毒(网页病毒/恶意代码) |
1、自动向outlook的地址簿中的邮件地址发送邮件,导致网络速度变慢。 2、自动扫描局域网中的有写权限的共享目录,向其中复制 3、通过感染htm、asp、jsp、php等网页文件传播,导致所有访问过该网页的用户机器感染病毒。 4、防火墙/防病毒软件被自动关闭甚至是被删除。 |
此类病毒一般只是更改注册表或系统配置文件设置,导致一些程序运行异常,某些类型文件打开异常。一般不会影响系统基本功,上网上网升级病毒软件或下载补丁程序和专杀工具。 |
1、用regsvr32 scrrun.dll /u命令禁止文件系统对象(FileSystemObject)。其中regsvr32是Windows\System下的可执行文件。或查找scrrun.dll文件删除或者改名。 2、打开控制面板→添加/删除程序→Windows安装程序→附件,卸载Windows Scripting Host一项。 3、打开文件夹选项→文件类型,删除VBS、VBE、JS、JSE文件后缀名与应用程序的链接。 4、在Windows目录中,找到WScript.exe,更改名称或者删除,如果觉得以后有机会用到请更改名称。 5、打开浏览器,单击菜单栏里“Internet 选项”安全选项卡里的自定义级别。把“ActiveX控件及插件”的所有设为禁用,注意这样会对网页浏览稍有影响。 6、将安全级别设置至少为“中等” 7、禁止OE的自动收发邮件功能。 8、症状消失后,建议在安全模式用新版杀毒软件全面查杀 |
服务宗旨 |
网络中心的"天职"是推动学院的网络发展和应用。为学院的教学改革和科研提供优质网络服务,为全体用户提供一年365天的快速的、安全的、热情的、满意的服务。