篇一:常见病毒以及系统故障的处理方法
常见病毒以及系统故障的处理方法
一 开机速度缓慢
开机速度过慢很可能是由于系统启动项加载的程序过多而导致,包括输入法、工具软件、游戏等的加速程序,自动升级程序,IE插件等。
可通过以下方法查看并修改
(1)开始——运行——键入msconfig——“启动标签”
(2)开始菜单——程序——启动
如QQ、Adobe reader等软件会在此生成快捷方式
(3)开始——运行——键入regedit打开注册表编辑器
查找以下位置:
HKEY_CURRENT_USER \ SOFTWARE \ MICROSOFT \ WINDOWS \ CurrentVersion \ run
HKEY_LOCAL_MACHINE \ SOFTWARE \ MICROSOFT \ WINDOWS \
CurrentVersion \ run
将不需要的项目删除。
二 系统响应速度慢
当系统响应速度很慢并怀疑有病毒时,可采取以下方法进行简单处理:
(1)使用组合键Ctrl+Alt+Del 打开任务管理器,关闭非系统进
程以释放资源。
(2)清理临时目录,
C:\WINDOWS(WINNT)\temp
C:\Documents and Settings \ Administrator \ Local Settings\Temp
C:\Documents and Settings \ Administrator \ Local Settings \ Temporary Internet Files(可以右击IE图表打开属性对话框,选择清理临时文件和IE缓存)
(3)在控制面板中找到管理工具,查看服务,通常没有功能描述的服务项目可疑性比较大,可以尝试将该服务修改为手动启动或关闭,已防止计算机病毒通过注册服务达到随操作系统一起启动。
(4)在以下目录中查找可疑文件,
C:\windows
C:\windows\system32
C:\Windows\System32\drivers
可根据文件名和修改、创建时间进行判断,通常上述三个目录中出现的文件名由多位数字、字母无规律组成,且扩展名为EXE的文件可疑性比较大。
三、盘符无法双击打开的处理
造成此种故障的原因通常有两类:
(1)文件关联异常,或者被病毒修改,使得特定的文件找不到与之对应的应用程序,造成无法访问。
可按照以下操作来查看或修复文件关联
篇二:电脑重病毒处理方法
电脑重病毒处理方法
步骤/方法 1. 电脑一般中毒我们使用杀毒软件就可以查杀病毒,
但是如果杀毒软件也感染了或者给病毒关闭了,就需要我们进行手动查杀,这里以WindowsXP给大家演示。
2. 第一步需要做的就是先与网络断开,选择桌面的网上邻居,右键单击选择属性选项,弹出网络连接窗口,如图1所示。
图1
3. 选择网络连接窗口中的本地连接,右键单击选择停用(B)选项,如图2所示。
图2
4. 如上步骤把网络暂时停用掉,这样的做法是防止病毒的连接。
5. 接下来进行手动查杀病毒,打开开始菜单,输入Cmd命令,打开命令提示符窗口,如图3所示。
图3
6. 命令提示符下输入ftype exefile=notepad.exe %1命令,命令的意思是将所有的EXE文件用“记事本”打开。这样原来的病毒就无法启动。如图4所示。
‘ 图
4
7. 输入以上命令之后选择开始菜单 ,关闭计算机(U),重新启动电脑(R)把计算机重新启动,重启完电脑之后,你会看见打开了许多“记事本”。当然,这其中不仅有病毒文件,还有一些原来的系统文件,比如:输入法程序,之类的,意思就是所有的EXE程序都以记事本类型来打开,病毒文件也是EXE程序,所以都以记事本类型来打开了。
8. 接下来我们把们把EXE文件关联还原,不然你打开任何EXE文件都是以记事本文件类型运行的,我们右键任意文件选择右建-选择打开方式-选择程序,然后浏览到c:\windows\system32\cmd.exe 文件,打开该文件,如图5所示。
图5
9. 打开之后我们在打开方式窗口可以看到多了个CMD文件的选项,选择CMD程序,然后单击确定打开CMD命令提示符。如图6所示。
图6
10.打开命令提示符之后输入命令ftype exefile=%1 %* 将所有的EXE文件关联还原。
11.接下来在每一个重启电脑之后启动的记事本窗口中选择文件-另存为就可看到了路径以及文件名了,打开目录,找到病毒文件,手动删除即可,但得小心,必须确定那是病毒才能删除。建议将这些文件改名并记下,上百
度查看一下是不是系统文件,以免误删造成系统启动不了。如图7所示。
图7
12.我们选择另存为之后选择保存类型的下拉列表里面选择所有文件,这个时候就可以看到与文件名称一样的病毒文件了,删除即可,如图8所示。
篇三:常见病毒解决方案大全
常见病毒解决方案大全!
1)Funlove病毒
病毒的全称是:Win32.Funlove.4608(4099),属于文件型病毒。
病毒特征:会在Windows的system(NT系统中为System32)目录下建立flcss.exe,长度为4068字节.搜索所有本地驱动器以及局域网上的共享文件夹,在其中搜索带有EXE,Scrocx扩展名的文件,验证后进行感染。
预防与清除:
1、 网络用户在清除该病毒时,首先要将网络断开。
2、 然后用软盘引导系统,用单机版杀毒软件对每一台工作站分别进行病毒的清除工作。
3、 对于单机用户直接从第二步开始。
4、 若服务器端染毒funlove病毒的,且使用NTFS格式,用DOS系统盘启动后,找不到硬盘,则需将染毒的硬盘拆下,放到另外一个干净的Windows NT/2000系统下作为从盘,然后用无毒的主盘引导机器后,使用主盘中安装的杀毒软件再对从盘进行病毒检测、清除工作。
5、 确认各个系统全部清除病毒后,在服务器和个工作站安装防病毒软件,同时启动实时监控系统,恢复正常工作。
2)冲击波病毒
以下操作除非指定,一律在无活动网络连接的环境下进行
1、 在任务管理器中,结束"msblast.exe"进程。
2、 进入windows文件夹system目录,删除msblaster.exe
3、 通过在任务栏运行中输入msconfig,删除一个windows update的启动程序
4、进入“管理工具”文件夹(在开始菜单或控制面板),运行组件服务,在左边侧栏点击“服务(本地)”,找到Remote Procedure Call (RPC),其描述为“提供终结点映射程序 (endpoint mapper) 以及其它 RPC 服务。”。双击它,进入恢复标签页,把第一二三次操作都设为“不操作”
5、还在组件服务中,在左边侧栏点击“组件服务”,双击右边的计算机,在出现的我的电脑上右键点击,进入属性,点击“默认属性”,关闭分布式COM。
6、在防火墙设置中关闭135,4444,66端口。(如果没有安装防火墙,用XP自带的也行)
7、重启后,打开防火墙!下载微软补丁并安装。再重启,搞定!
3)震荡波
1、“震荡波”利用WINDOWS平台的Lsass漏洞进行广泛传播,开启上百个线程不停攻击其它网上其它系统,堵塞网络。并不通过邮件传播,而是通过命令易受感染的机器下载特定文件并运行,来达到感染的目的.
2、如何判别感染"震荡波"
①、莫名其妙地死机或重新启动计算机。
②任务管理器里有"avserve.exe"或者“avserve2.exe”、*_up.exe(*为随即数字)的进程在运行。
③、在windows目录下,产生一个名为avserve.exe或者avserve2.exe的病毒文件;
在windows\system32下产生几个*_up.exe文件。
④最系统速度极慢,cpu占用100% 。
2、解决方法:
①、首先断开网。
②、手动删除windows目录下名为avserve.exe或者avserve2.exe的病毒文件;删除windows\system32下*_up.exe文件。
删除注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中有关avserve.exe或者avserve2.exe的键值。
WIN2000补丁:
WINXP补丁:
WIN2003补丁:
4)“新欢乐时光”病毒的主要表现是:
一、每个检查到的文件夹下生成“desktop.ini”和“folder.htt”文件;
二、在注册表
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\下生成“Kernel32”键值,并指向“Kernel.dll”或者“Kernel32.dll”文件;
三、在system目录下生成“kjwall.gif”文件。
手工清除的方法如下:
1)打开注册表,删除
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Kernel32键值;
2) 对照其它没中毒的电脑,恢复 HKEY_CLASSES_ROOT\\dllFile\\下的键值;
3)对照其它电脑,恢复 HKEY_CURRENT_USER\\Identities\\" &UserID& "\\Software\\Microsoft\\Outlook Express\\" &OEVersion&"\\Mail\\下的相关键值;
4)对照其它电脑,恢复
HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\9.0\\Outlook\\Options\\Mail\\下的相关键值;
5)对照其它电脑,恢复
HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\10.0\\Outlook\\Options\\Mail\\下的相关键值;
删除带毒文件(建议在 DOS 状态下进行)
1)对照其它电脑,恢复Windows\\web目录下“folder.htt”文件;
2)删除“Kernel32.dll”或“Kernel.dll”文件;
3)删除“kjwall.gif”;
4)查找所有带有“KJ_start”字符串的文件,并删除文件尾部的病毒代码。
5)灰鸽子病毒的主要表现
灰鸽子(Backdoor.Huigezi)作者现在还没有停止对灰鸽子的开发,再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳,造成现在网络上不断有新的灰鸽子变种出现。尽管瑞星公司一直在不遗余力地收集最新的灰鸽子样本,但由于变种繁多,还会有一些“漏网之鱼”。如果您的机器出现灰鸽子症状但用瑞星杀毒软件查不到,那很可能是中了还没有被截获的新变种。这个时候,就需要手工杀掉灰鸽子。
手工清除灰鸽子并不难,重要的是我们必须懂得它的运行原理。
灰鸽子的运行原理:
灰鸽子木马分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个木马(俗称种木马或者开后门)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载??
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和
G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到灰鸽子(Backdoor.Huigezi)作者现在还没有停止对灰鸽子的开发,再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳,造成现在网络上不断有新的灰鸽子变种出现。尽管瑞星公司一直在不遗余力地收集最新的灰鸽子样本,但由于变种繁多,还会有一些“漏网之鱼”。如果您的机器出现灰鸽子症状但用瑞星杀毒软件查不到,那很可能是中了还没有被截获的新变种。这个时候,就需要手工杀掉灰鸽子。
手工清除灰鸽子并不难,重要的是我们必须懂得它的运行原理。
灰鸽子的手工检测:
由于灰鸽子拦截了API调用,在正常模式下木马程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。 但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面
的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子木马。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
1) 由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”―》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
2)打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
3)打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
4)根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。