手把手教你如何巧妙防治网上病毒侵害！ 大家好，我是玉树临风、风流倜傥的新浪小子！从第一次造成全球性危害的CIH病毒首次爆发，到现在已经六年了，经过六年时间的发展和演化，计算机病毒已经呈现出完全不同的面貌，变成人们见怪不怪的社会公害。据有关部门的统计和分析，目前对用户构成最大威胁的是网络病毒。随着国内网民数量的增加，网民成为最容易受到病毒攻击的“高危群”。 为了最大限度的将病毒为人们带来的危害降到最低，我新浪小子推出这个反病毒专题，及时追踪电脑病毒的最新动向，及时提供各大杀毒厂商的“解毒”方案……
 

 我们先来看看常见的电脑病毒分类： 引导区病毒：
 这类病毒隐藏在硬盘或软盘的引导区，当计算机从感染了引导区病毒的硬盘或软盘启动，或当计算机从受感染的软盘中读取数据时，引导区病毒就开始发作。一旦它们将自己拷贝到机器的内存中，马上就会感染其他磁盘的引导区，或通过网络传播到其他计算机上。
 文件型病毒：
 文件型病毒寄生在其他文件中，常常通过对它们的编码加密或使用其他技术来隐藏自己。文件型病毒劫夺用来启动主程序的可执行命令，用作它自身的运行命令。同时还经常将控制权还给主程序，伪装计算机系统正常运行。
 一旦运行被感染了病毒的程序文件，病毒便被激发，执行大量的操作，并进行自我复制，同时附着在您系统其他可执行文件上伪装自身，并留下标记，以后不再重复感染。
 宏病毒：
 它是一种特殊的文件型病毒，一些软件开发商在产品研发中引入宏语言，并允许这些产品在生成载有宏的数据文件之后出现。
 宏的功能十分强大，但是便给宏病毒留下可乘之机！
 脚本病毒：
 脚本病毒依赖一种特殊的脚本语言(如：VBScript、JavaScript等)起作用，同时需要主软件或应用环境能够正确识别和翻译这种脚本语言中嵌套的命令。脚本病毒在某方面与宏病毒类似，但脚本病毒可以在多个产品环境中进行，还能在其他所有可以识别和翻译它的产品中运行。脚本语言比宏语言更具有开放终端的趋势，这样使得病毒制造者对感染脚本病毒得机器可以有更多的控制力。
 网络蠕虫程序：
 网络蠕虫程序是一种通过间接方式复制自身非感染型病毒。有些网络蠕虫拦截E-mail系统向世界各地发送自己的复制品；有些则出现在高速下载站点中同时使用两种方法与其它技术传播自身。它的传播速度相当惊人，成千上万的病毒感染造成众多邮件服务器先后崩溃，给人们带来难以弥补的损失。
 “特洛伊木马”程序：
 特洛伊木马程序通常是指伪装成合法软件的非感染型病毒，但它不进行自我复制。有些木马可以模仿运行环境，收集所需的信息，最常见的木马便是试图窃取用户名和密码的登录窗口，或者试图从众多的Internet服务器提供商(ISP)盗窃用户的注册信息和账号信息。
 应该掌握的基本防毒杀毒技巧：
 已经习惯在网上“生活”的你首先要做的便是给你的电脑作一个“全身检查”，看看有没有中毒迹象或是否有隐患存在。一旦遇上病毒千万不要“闻毒色变”，只要对电脑病毒有一个理性的认识并掌握一些防毒杀毒的小技巧，完全有理由把让“病毒”远离我们。
 电脑病毒的概念来自一场游戏？
 早在70年代，美国著名的AT&T贝尔实验室中，三个年轻人在工作之余，很无聊的玩起一种游戏:彼此撰写出能够吃掉别人程序的程序来互相作战。这个叫做“磁芯大战”(corewar)的游戏，进一步将电脑病毒“感染性”的概念体现出来。
 病毒大搜索
 迅速传播的“震荡波”病毒近几日横扫因特网，造成全球上百万台电脑操作异常。以下几种病毒需要高度警惕。
 “巴基斯坦大脑”病毒。据信，这是世界上第一个攻击个人电脑的病毒。该病毒1986年由经营巴基斯坦“大脑计算机服务公司”的两兄弟编写而成，用来宣传其公司的软件。
 “莫里斯蠕虫”病毒。该病毒1988年11月2日首次通过因特网传播，由当时美国康奈尔大学的研究生罗伯特·莫里斯编写。它专门攻击Unix操作系统的薄弱环节，几天内便造成6000多台大型机，以及5%至10%连接因特网的电脑瘫痪。
 “冲击波蠕虫”和“大无极”病毒。这两种病毒去年9月席卷因特网，是有史以来破坏性最强的病毒。微软公司称，“冲击波”病毒对其造成了高达数百万美元的损失，公司因此悬赏25万美元，在全球范围内搜索病毒制造者。
 “Mydoom”病毒。该病毒传播速度极快，通过发送电子邮件破坏计算机系统。目前，该病毒主要在北美地区蔓延，破坏公司企业的系统。网络专家说，该病毒的一个变种最近将目标瞄准了微软公司的网站。 “震荡波”病毒。芬兰F-安全公司的病毒专家称，这种病毒在10分钟内便能使没有防范措施的计算机感染。该病毒通过微软系统的漏洞进行传播，危害性极大。
 道高一尺，魔高一丈
 根据病毒发作后不同的破坏程度，可采用一些相应的急救措施来进行挽救，以使损失减到最校下面就不同的病毒破坏介绍一些较为常用的补救措施。
 1.FlashBIOS被破坏重写BIOS程序(一般需专业技术人员进行)或者更换主版。
 2.CMOS被破坏CMOS放电，然后用计算机的设置程序进行重新设置。
 3.引导区或主引导扇区被破坏某些杀毒软件提供备份和恢复系统主引导区和引导区信息内容，用此功能进行恢复。若能找到具有相同类型硬盘、同样的分区和安装有同样的操作系统的其他计算机，可利用它进行备份，然后恢复被病毒破坏的引导区或主引导扇区。
 4.文件丢失若有备份文件，病毒对磁盘的破坏均可通过备份文件进行恢复。如果没有备份文件，有些较为复杂的操作，例如：部分文件分配表被破坏等，需专业技术人员来进行，碰到这种较为复杂的情况，请向专业反病毒公司救助。

好了，上面我们已经了解最基本的网络病毒的分类，掌握了基本的防毒杀毒技巧。下面就让我们来看看如何阻击最近刚刚爆发的“振荡波”病毒。
 首先判断您的电脑是否中毒，这里有快速识别震荡波病毒的方法。如果尚未中毒，请立即到微软网站下载补丁。
 如果电脑已被该病毒感染，首先立刻断网，手工删除该病毒文件，然后上网下载补丁程序，并升级杀毒软件或者下载专杀工具。手工删除方法：查找该目录C:\WINDOWS目录下产生名为avserve.exe的文件，将其删除。然后打补丁防止再次感染。
 防治方案推荐：瑞星专杀工具 金山免疫防火墙 江民专杀工具
 快速识别震荡波(Worm.Sasser)病毒？
 5月1日惊现互联网的“震荡波(Worm.Sasser)”病毒来势汹汹，该病毒是通过微软的最新高危漏洞—LSASS漏洞(微软MS04-011公告)进行传播的，危害性极大，目前WINDOWS 2000/XP/Server 2003等操作系统的用户都存在该漏洞，这些操作系统的用户只要一上网，就有可能受到该病毒的攻击。下面就教用户如何快速识别“震荡波(Worm.Sasser)”病毒。
 如果用户的电脑中出现下列现象之一，则表明已经中毒，就应该立刻采取措施清除该病毒。
 一、出现系统错误对话框
 被攻击的用户，如果病毒攻击失败，则用户的电脑会出现LSA Shell服务异常框，接着出现一分钟后重启计算机的“系统关机”框。
 

 图为中毒后提示“系统关机”框
 二、系统日志中出现相应记录
 如果用户无法确定自己的电脑是否出现过上述的异常框或系统重启提示，还可以通过查看系统日志的办法确定是否中毒。方法是，运行事件查看器程序，查看其中系统日志，如果出现如下图所示的日志记录，则证明已经中毒。
 

 图为日志提醒信息
 三、系统资源被大量占用
 病毒如果攻击成功，则会占用大量系统资源，使CPU占用率达到100%，出现电脑运行异常缓慢的现象。
 四、内存中出现名为avserve的进程
 病毒如果攻击成功，会在内存中产生名为avserve.exe的进程，用户可以用Ctrl+Shift+Esc的方式调用“任务管理器”，然后查看是内存里是否存在上述病毒进程。
 五、系统目录中出现名为avserve.exe的病毒文件
 病毒如果攻击成功，会在系统安装目录(默认为C:\WINNT)下产生一个名为avserve.exe的病毒文件。
 六、注册表中出现病毒键值
 病毒如果攻击成功，会在注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中建立病毒键值："avserve.exe "="%WINDOWS%\avserve.exe "。
 如何完全清除震荡波(Worm.Sasser)病毒？
 5月1日，“震荡波(Worm.Sasser)”病毒在网络出现，由于该病毒是通过漏洞进行传播的，因此这几日用户如果上网极有可能会感染该病毒，然后出现系统反复重启、机器运行缓慢，出现系统异常的出错框等现象，如果用户出现了上述现象，则需要对该病毒进行清除。
 一、手工清除四部曲
 1、断网打补丁
 如果不给系统打上相应的漏洞补丁，则连网后依然会遭受到该病毒的攻击，用户应该先到以下地址http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx下载相应的漏洞补丁程序，然后断开网络，运行补丁程序，当补丁安装完成后再上网。
 2、清除内存中的病毒进程
 要想彻底清除该病毒，应该先清除内存中的病毒进程，用户可以按CTRL+SHIFT+ESC三或者右键单击任务栏，在弹出菜单中选择“任务管理器”打开任务管理器界面，然后在内存中查找名为“avserve.exe”的进程，找到后直接将它结束。
 3、删除病毒文件
 病毒感染系统时会在系统安装目录(默认为C:\WINNT)下产生一个名为avserve.exe的病毒文件，并在系统目录下(默认为C:\WINNT\System32)生成一些名为_UP.exe的病毒文件，用户可以查找这些文件，找到后删除，如果系统提示删除文件失败，则用户需要到安全模式下或DOS系统下删除这些文件。
 4、删除注册表键值
 该病毒会在电脑注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run项中建立名为“avserve.exe”，内容为：“%WINDOWS%\avserve.exe”的病毒键值，为了防止病毒下次系统启动时自动运行，用户应该将该键值删除，方法是在“运行”菜单中键入“REGEDIT”然后调出注册表编辑器，找到该病毒键值，然后直接删除。
 二、自动清除三部曲
 1、使用瑞星杀毒软件进行清除
 用户可以将瑞星杀毒软件标准版或下载版产品升级到16.24.42版本，并进行系统盘和内存的杀毒。
 2、使用瑞星在线杀毒进行清除
 用户还可以使用瑞星免费的在线杀毒产品(online.rising.com.cn/)查找系统中是否存在病毒，然后用在线杀毒进行清除。
 3、使用瑞星免费专杀工具进行清除
 用户还可以到it.rising.com.cn/service/technology/RS_sasser.htm网址下载免费的“震荡波病毒专杀工具”，然后对电脑进行病毒扫描。
 好了，关于如何防治病毒今天就先讲到这。
 新浪小子提醒：只要您养成良好的上网习惯，及时升级防病毒软件，留意电脑出现的可疑现象，严格按照上面所介绍的方法实施，就会迅速有效地阻击讨厌的电脑病毒！