1、計算機(jī)的病毒及處理,8.1 技能一 認(rèn)識計算機(jī)病毒 8.2 技能二 常見的計算機(jī)病毒及處理 8.3 技能三 使用殺毒軟件查殺病毒,8.1 技能一 認(rèn)識計算機(jī)病毒,8.1.1 任務(wù)一 什么是計算機(jī)病毒 8.1.2 任務(wù)二 計算機(jī)病毒的分類及特點(diǎn),8.1.1 任務(wù)一 什么是計算機(jī)病毒,計算機(jī)病毒是程序，能夠自我復(fù)制，會將自己的病毒碼依附在其他程序上，通過其他程序的執(zhí)行，伺機(jī)傳播病毒程序，有一定潛伏期，一旦條件成熟，就進(jìn)行各種破壞活動，影響計算機(jī)的使用。 中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例第二十八條中對計算機(jī)病毒是這樣定義的：“計算機(jī)病毒，是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞

2、數(shù)據(jù)，影響計算機(jī)使用，并能自我復(fù)制的一組計算機(jī)指令或者程序代碼。”因此，計算機(jī)病毒就是能夠通過某種途徑潛伏在計算機(jī)存儲介質(zhì)（或程序）里, 當(dāng)達(dá)到某種條件時即被啟動的具有對計算機(jī)資源進(jìn)行破壞作用的一組程序或指令集合。,8.1.2 任務(wù)二 計算機(jī)病毒的分類及特點(diǎn),1計算機(jī)病毒的分類 2計算機(jī)病毒的特征 3計算機(jī)病毒的傳播途徑,1計算機(jī)病毒的分類,按照計算機(jī)病毒寄生方式分類 引導(dǎo)型病毒 文件型病毒 混合型病毒,1計算機(jī)病毒的分類,按照計算機(jī)病毒破壞的能力分類無害型 無危險型 危險型 非常危險型,1計算機(jī)病毒的分類,按照計算機(jī)病毒本身特性分類 系統(tǒng)病毒 “蠕蟲”型病毒 黑客型病毒 木馬型病毒 腳本型病

3、毒,2計算機(jī)病毒的特征,傳染性 隱蔽性 潛伏性 破壞性 不可預(yù)見性,3計算機(jī)病毒的傳播途徑,不可移動的計算機(jī)硬設(shè)備 移動存儲設(shè)備 硬盤 網(wǎng)絡(luò),8.2 技能二 常見的計算機(jī)病毒及處理,8.2.1 任務(wù)一 “沖擊波”、“震蕩波”和“極速波” 病毒 8.2.2 任務(wù)二 “灰鴿子”病毒 8.2.3 任務(wù)三QQ病毒和MSN病毒的檢測與 清除,8.2.1 任務(wù)一 “沖擊波”、“震蕩波”和“極速波”病毒,1. “沖擊波”病毒 （1）病毒特征 病毒名稱：I-Worm/Blaster。 病毒別名：沖擊波。 病毒類型：網(wǎng)絡(luò)蠕蟲。 病毒長度：6 176字節(jié)。 危險級別：高。 影響平臺：Windows2000、Win

4、dowsXP和Windows 2003。 相關(guān)文件：msblast.exe。 病毒描述：該蠕蟲病毒利用TCP135端口，通過DCOMRPC漏洞進(jìn)行攻擊。在此病毒代碼內(nèi)隱藏的一段文本信息： I justwanttosayLOVEYOUSAN! Billygateswhydoyoumakethispossible?Stopmakingmoneyandfixyoursoftware!,8.2.1 任務(wù)一 “沖擊波”、“震蕩波”和“極速波”病毒,（2）感染病毒后的癥狀 莫名其妙地死機(jī)或重新啟動計算機(jī)。 IE瀏覽器不能正常地打開鏈接。 不能復(fù)制、粘貼。 有時出現(xiàn)應(yīng)用程序，比如Word異常。 網(wǎng)絡(luò)變慢。

5、在任務(wù)管理器里有一個msblast.exe的進(jìn)程在運(yùn)行。,8.2.1 任務(wù)一 “沖擊波”、“震蕩波”和“極速波”病毒,（3）病毒傳播的方式 當(dāng)病毒感染計算機(jī)系統(tǒng)后，執(zhí)行以下操作： 首先創(chuàng)建一個線程BILLY。 修改注冊表的鍵值： KEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurre ntVersionRun增加“windowsautoupdate”=“msblast.exe”鍵值，使 得病毒可以在系統(tǒng)啟動時自動運(yùn)行。 然后按照一定的規(guī)則來攻擊網(wǎng)絡(luò)上的計算機(jī)。該隨機(jī)IP段的計算機(jī)所有135端口發(fā)布攻擊代碼，成功后，在TCP的端口4444創(chuàng)建cmd.exe，

6、該病毒還能接受外界的指令，在UDP的端口69上接受指令，發(fā)送文件msblast.exe網(wǎng)絡(luò)蠕蟲主體。,8.2.1 任務(wù)一 “沖擊波”、“震蕩波”和“極速波”病毒,（4）預(yù)防與清除 使用“沖擊波”病毒專殺工具清除，查殺“沖擊波” 病毒。瑞星公司提供專殺工具下載地址： 該工具的使用如圖所示。 安裝微軟系統(tǒng)的補(bǔ)丁程序，以免今后再被感染。“沖擊波”補(bǔ)丁程序的下載地址：,使用瑞星“沖擊波”專殺工具查殺病毒,8.2.1 任務(wù)一 “沖擊波”、“震蕩波”和“極速波”病毒,（1）病毒特征 病毒名稱：Worm.Sasser。 病毒別名：震蕩波。 病毒類型：網(wǎng)絡(luò)蠕蟲。 病毒長度：15 872字節(jié)。 危險級別：高。

7、影響平臺：Windows2000、WindowsXP和Windows 2003。 相關(guān)文件：avserve.exe。 病毒描述：該蠕蟲病毒會通過FTP的5554端口攻擊計算機(jī)，一旦攻擊失敗，會使系統(tǒng)文件崩潰，造成計算機(jī)反復(fù)重啟；病毒如果攻擊成功，會將自身傳到對方機(jī)器并執(zhí)行病毒程序，然后在C:WINDOWS目錄下產(chǎn)生名為avserve.exe的病毒體，繼續(xù)攻擊下一個目標(biāo)，用戶可以通過查找該病毒文件來判斷是否中毒。,8.2.1 任務(wù)一 “沖擊波”、“震蕩波”和“極速波”病毒,（2）感染病毒后的癥狀 出現(xiàn)LSA Shell 服務(wù)異常對話框，如圖所示。接著出現(xiàn)一分鐘后重啟計算機(jī)的“系統(tǒng)關(guān)機(jī)”對話框，如

8、圖所示。,LSA Shell 服務(wù)異常對話框,“系統(tǒng)關(guān)機(jī)”對話框,8.2.1 任務(wù)一 “沖擊波”、“震蕩波”和“極速波”病毒,病毒如果攻擊成功，則會占用大量系統(tǒng)資源，使CPU占用率達(dá)到100%，出現(xiàn)計算機(jī)運(yùn)行異常緩慢的現(xiàn)象。 在任務(wù)管理器里有一個“avserve.exe”的進(jìn)程在運(yùn)行。 在Windows系統(tǒng)的安裝目錄下會出現(xiàn)名為 avserve.exe 的病毒文件。 注冊表中出現(xiàn)病毒的自啟動鍵值： KEY_LOCAL_MACHINESOFTWAREMicrosoftWi ndowsCurrentVersionRun項中建立病毒鍵值： “avserve.exe ”=“%WINDOWS%avser

9、ve.exe”。,8.2.1 任務(wù)一 “沖擊波”、“震蕩波”和“極速波”病毒,（3）病毒傳播的方式 首先拷貝自身到Windows目錄，名為%WINDOWS%avserve.exe（16 384字節(jié)），然后登記到自啟動項：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Avserve.exe=%WINDOWS% avserve.exe。 開辟線程，在本地開辟后門，監(jiān)聽TCP5554端口。被攻擊的機(jī)器主動連接本地5554端口，將IP地址和端口傳過來。本線程負(fù)責(zé)將病毒文件傳送到被攻擊的機(jī)器。 病毒開辟128個掃描線程。以本地IP

10、地址為基礎(chǔ)，取隨機(jī)IP地址，瘋狂的試探連接445端口，如果試探成功，則運(yùn)行一個新的病毒進(jìn)程對該目標(biāo)進(jìn)行攻擊，將該目標(biāo)的IP地址保存到“c:win2.log”中。 利用Windows的LSASS中存在一個緩沖區(qū)溢出漏洞進(jìn)行攻擊，一旦攻擊成功會導(dǎo)致對方機(jī)器感染此病毒并進(jìn)行下一輪的傳播，攻擊失敗也會造成對方機(jī)器的緩沖區(qū)溢出,導(dǎo)致對方機(jī)器程序非法操作，以及系統(tǒng)異常等。由于該病毒在lsass.exe中溢出，可以獲取管理員的權(quán)限，執(zhí)行任意指令。,8.2.1 任務(wù)一 “沖擊波”、“震蕩波”和“極速波”病毒,（4）預(yù)防與清除 使用“震蕩波”病毒專殺工具清除，查殺“震蕩波”病毒。瑞星公司提供專殺工具下載地址：

11、該工具的使用如圖所示。 安裝微軟系統(tǒng)的補(bǔ)丁程序，以免今后再被感染?！罢鹗幉ā毖a(bǔ)丁程序的下載地址：,使用瑞星“震蕩波”專殺工具查殺病毒,8.2.1 任務(wù)一 “沖擊波”、“震蕩波”和“極速波”病毒,3. “極速波”病毒 （1）病毒特征 病毒名稱：I-Worm/Zobot。 病毒別名：極速波。 病毒類型：網(wǎng)絡(luò)蠕蟲。 病毒長度：22 528字節(jié)。 危險級別：高。 影響平臺：Windows2000、WindowsXP和Windows 2003。 相關(guān)文件：botzor.exe。 病毒描述：該蠕蟲病毒利用微軟“即插即用服務(wù)代碼執(zhí)行漏洞”（MS05-039）的病毒。該病毒利用最新漏洞傳播，并且可以通過IRC

12、接受黑客命令，使被感染計算機(jī)被黑客完全控制。,8.2.1 任務(wù)一 “沖擊波”、“震蕩波”和“極速波”病毒,（2）病毒傳播的方式及引起的癥狀 當(dāng)“極速波”病毒攻擊失敗時候，會造成系統(tǒng)頻繁重啟，如圖所示。,“極速波”病毒造成系統(tǒng)重啟,8.2.1 任務(wù)一 “沖擊波”、“震蕩波”和“極速波”病毒,當(dāng)病毒運(yùn)行后，將在系統(tǒng)目錄下創(chuàng)建一個文件botzor.exe。如圖所示。,在系統(tǒng)目錄下創(chuàng)建botzor.exe文件,8.2.1 任務(wù)一 “沖擊波”、“震蕩波”和“極速波”病毒,在注冊表中添加下列啟動項： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVers

13、ionRun “WINDOWSSYSTEM”=botzor.exe HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices “WINDOWSSYSTEM”=botzor.exe 這樣，在Windows啟動時，病毒就可以自動執(zhí)行，如圖 所示。,在注冊表中創(chuàng)建自啟動項,8.2.1 任務(wù)一 “沖擊波”、“震蕩波”和“極速波”病毒,通過TCP端口8080連接IRC服務(wù)器，接受并執(zhí)行黑客命令?？蓪?dǎo)致被感染計算機(jī)被黑客完全控制。 在TCP端口33333開啟FTP服務(wù)，提供病毒文件下載功能。利用微軟即插即用服務(wù)遠(yuǎn)程代碼執(zhí)行漏洞（

14、MS05-039）進(jìn)行傳播。如果漏洞利用代碼成功運(yùn)行，將導(dǎo)致遠(yuǎn)程目標(biāo)計算機(jī)從當(dāng)前被感染計算機(jī)的FTP服務(wù)上下載病毒程序。如果漏洞代碼沒有成功運(yùn)行，未打補(bǔ)丁的遠(yuǎn)程計算機(jī)可能會出現(xiàn)services.exe進(jìn)程崩潰的現(xiàn)象。 修改%SystemDir%driversetchosts文件，屏蔽大量國外反病毒和安全廠商的網(wǎng)址。,8.2.1 任務(wù)一 “沖擊波”、“震蕩波”和“極速波”病毒,（3）預(yù)防與清除 使用“極速波”病毒專殺工具清除，查殺“極速波”病毒。瑞星公司提供專殺工具下載地址： 該工具的使用如圖所示。,使用“極速波”專殺工具查殺病毒,8.2.1 任務(wù)一 “沖擊波”、“震蕩波”和“極速波”病毒, 安

15、裝微軟系統(tǒng)的補(bǔ)丁程序，以免今后再被感染?！皹O速波”補(bǔ)丁程序的下載地址：,8.2.1 任務(wù)一 “沖擊波”、“震蕩波”和“極速波”病毒,4. “沖擊波”、“震蕩波”和“極速波”3種病毒的比較 （1）利用漏洞速度比較 （2）傳播能力比較 （3）病毒危害性比較 （4）囂張程度比較,8.2.2 任務(wù)二 “灰鴿子”病毒,1“灰鴿子”病毒的簡介 “灰鴿子”是國內(nèi)一款著名后門。比起前輩“冰河”和“黑洞”，“灰鴿子”可以說是國內(nèi)后門的集大成者。其豐富而強(qiáng)大的功能、靈活多變的操作、良好的隱藏性使其他后門都相形見絀。客戶端簡易便捷的操作使剛?cè)腴T的初學(xué)者都能充當(dāng)黑客。當(dāng)使用在合法情況下時，“灰鴿子”是一款優(yōu)秀的遠(yuǎn)程控

16、制軟件。但如果拿它做一些非法的事，“灰鴿子”就成了很強(qiáng)大的黑客工具。,8.2.2 任務(wù)二 “灰鴿子”病毒,2“灰鴿子”病毒的運(yùn)行原理 “灰鴿子”木馬分兩部分：客戶端和服務(wù)端。黑客操縱著客戶端，利用客戶端配置生成出一個服務(wù)端程序。服務(wù)端文件的名字默認(rèn)為G_Server.exe，然后黑客通過各種渠道傳播這個木馬（俗稱種木馬或者開后門）。種木馬的手段有很多，比如，黑客可以將它與一張圖片綁定，然后假冒成一個羞澀的美眉通過QQ將木馬傳給你，誘騙你運(yùn)行；也可以建立一個個人網(wǎng)頁，誘騙你點(diǎn)擊，利用IE漏洞將木馬下載到你的機(jī)器上并運(yùn)行；還可以將文件上傳到某個軟件下載站點(diǎn)，冒充成一個有趣的軟件誘騙用戶下載等。 G

17、_Server.exe運(yùn)行后將自己拷貝到Windows目錄下（Windows 98和Windows XP為系統(tǒng)盤的Windows目錄，而Windows 2000和Windows NT為系統(tǒng)盤的Winnt目錄），然后再從體內(nèi)釋放G_Server.dll和G_Server_Hook.dll到Windows目錄下。,8.2.2 任務(wù)二 “灰鴿子”病毒,G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了“灰鴿子”服務(wù)端，有些“灰鴿子”會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意，G_Server.exe這個名稱并

18、不固定，它是可以定制的，比如當(dāng)定制服務(wù)端文件名為A.exe時，生成的文件就是A.exe、A.dll和A_Hook.dll。 Windows目錄下的G_Server.exe文件將自己注冊成服務(wù)（9X系統(tǒng)寫注冊表啟動項），每次開機(jī)都能自動運(yùn)行，運(yùn)行后啟動G_Server.dll和G_Server_Hook.dll并自動退出。G_Server.dll文件實(shí)現(xiàn)后門功能，與控制端客戶端進(jìn)行通信；G_Server_Hook.dll則通過攔截API調(diào)用來隱藏病毒。因此，中毒后，我們看不到病毒文件，也看不到病毒注冊的服務(wù)項。隨著“灰鴿子”服務(wù)端文件的設(shè)置不同，G_Server_Hook.dll有時候附在Exp

19、lorer.exe的進(jìn)程空間中，有時候則是附在所有進(jìn)程中。,8.2.2 任務(wù)二 “灰鴿子”病毒,3. “灰鴿子”的手工檢測 （1）打開“我的電腦”，執(zhí)行菜單【工具】【文件夾選項】，打開“文件夾選項”對話框，如圖所示。 （2）打開“查看”選項卡，取消“隱藏受保護(hù)的操作系統(tǒng)文件”前的對勾，并在“隱藏文件和文件夾”項中選擇“顯示所有文件和文件夾”，如圖所示。然后單擊“確定”命令按鈕完成顯示所有Windows文件的設(shè)置。,“文件夾選項”對話框,設(shè)置文件和文件夾的顯示,8.2.2 任務(wù)二 “灰鴿子”病毒,（3）打開Windows的“搜索文件”，文件名稱輸入“_hook.dll”，搜索位置選擇Window

20、s的安裝目錄。 （4）經(jīng)過搜索，我們在Windows目錄（不包含子目錄）下發(fā)現(xiàn)了一個名為Game_Hook.dll的文件，如圖所示。,“搜索結(jié)果”對話框,8.2.2 任務(wù)二 “灰鴿子”病毒,（5）根據(jù)對“灰鴿子”原理的分析我們知道，如果Game_Hook.DLL是“灰鴿子”的文件，則在操作系統(tǒng)安裝目錄下還會有Game.exe和Game.dll文件。打開Windows目錄，果然有這兩個文件，同時還有一個用于記錄鍵盤操作的GameKey.dll文件，如圖所示。,在WINDOWS文件夾下發(fā)現(xiàn)“灰鴿子”文件,8.2.2 任務(wù)二 “灰鴿子”病毒,4“灰鴿子”的手工清除 清除“灰鴿子”病毒仍然要在安全模式

21、下操作，要清除兩方面的內(nèi)容，一是清除灰鴿子的服務(wù)，另一個是刪除“灰鴿子”病毒的程序文件。 （1）清除“灰鴿子”的服務(wù) 執(zhí)行【開始】【運(yùn)行】，打開“運(yùn)行”對話框，然后輸入“Regedit”，最后按回車鍵打開注冊表編輯器。 執(zhí)行菜單【編輯】【查找】，打開查找對話框，然后輸入“game.exe”，最后單擊“查找下一個”命令按鈕，找到“灰鴿子”的服務(wù)項Game Server。如圖所示。,“灰鴿子”的服務(wù)項Game_Serve,8.2.2 任務(wù)二 “灰鴿子”病毒, 刪除整個Game_Server項。 刪除注冊表中“灰鴿子”的自啟動項Game.exe，如圖所示。,刪除“灰鴿子”自啟動項的內(nèi)容,8.2.2

22、任務(wù)二 “灰鴿子”病毒,（2）刪除“灰鴿子”病毒的程序文件 刪除“灰鴿子”程序文件非常簡單，只需要在安全模式下刪除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新啟動計算機(jī)。至此，“灰鴿子”已經(jīng)被清除干凈。,8.2.3 任務(wù)三QQ病毒和MSN病毒的檢測與清除,1“QQ尾巴”病毒 2“QQ連發(fā)器”病毒 3“QQ林妹妹”病毒 4“QQ武漢男生”病毒 5MSN“性感雞”病毒,1“QQ尾巴”病毒,（1）該病毒的主要特征 這種病毒并不是利用QQ本身的漏洞進(jìn)行傳播，它其實(shí)是在某個網(wǎng)站首頁上嵌入了一段惡意代碼，利用IE的iFrame

23、系統(tǒng)漏洞自動運(yùn)行惡意木馬程序，從而達(dá)到侵入用戶系統(tǒng)的目的，進(jìn)而借助QQ進(jìn)行垃圾信息發(fā)送的目的。用戶系統(tǒng)如果沒安裝漏洞補(bǔ)丁或沒將IE升級到最高版本，那么訪問這些網(wǎng)站的時候其訪問的網(wǎng)頁中嵌入的惡意代碼即被運(yùn)行，就會緊接著通過IE的漏洞運(yùn)行一個木馬程序進(jìn)駐到用戶計算機(jī)。然后在用戶使用QQ向好友發(fā)送信息的時候，該木馬程序會自動在發(fā)送的消息末尾插入一段廣告詞，通常都是以下幾句中的一種。,1“QQ尾巴”病毒, HoHo http:/www.mm*.com剛才朋友給我發(fā)來的這個東東。你不看看就后悔哦，嘿嘿。也給你的朋友吧。 呵呵，其實(shí)我覺得這個網(wǎng)站真的不錯，你看看http:/www.ktv*.com/。 h

24、ttp/www.hao*.com 幫忙看看這個網(wǎng)站打不打的開。 http:/ni* 看看啊。我最近照的照片，才掃描到網(wǎng)上的?？纯次沂遣皇亲兞藰?,1“QQ尾巴”病毒,（2）“QQ尾巴”病毒的檢測與清除 一種是下載一個“QQ專殺工具”，這個工具可以清除目前QQ的所有病毒 另外一種方法就是手動清除,2“QQ連發(fā)器”病毒,（1）該病毒的主要特征 病毒運(yùn)行時會將自身復(fù)制到系統(tǒng)目錄下，命名為：WebAuto.exe。 病毒會修改注冊表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun啟動項中添加鍵值WebAuto.exe，該鍵值的內(nèi)

25、容是病毒的文件路徑，在下一次啟動計算機(jī)時，病毒就會自動運(yùn)行。 病毒會將用戶系統(tǒng)中的IE默認(rèn)首頁改為： ，使用戶一上網(wǎng)就中招。 病毒會尋找QQ的發(fā)送消息窗口，給用戶所有好友隨機(jī)發(fā)送以下消息： “快去這看看，里面有蠻好的東西”。 “上次看了個網(wǎng)站不錯，去看看吧”。,2“QQ連發(fā)器”病毒,（2）“QQ連發(fā)器”病毒的檢測與清除 打開“任務(wù)管理器”，看一看是否有Webauto.exe進(jìn)程，如果有就說明你的計算機(jī)已經(jīng)感染了“QQ連發(fā)器”病毒。 看一看IE默認(rèn)首頁是否改成。 使用QQ專殺工具可以清除這種病毒，如圖所示。 使用瑞星注冊表清除工具，可以修復(fù)注冊表被修改的問題。如圖和圖所示，先使用“立即掃描注冊表

26、”按鈕，掃出注冊表被修改的項目，如圖所示。然后選中要修復(fù)的項目，最后使用“修復(fù)選中的項目”按鈕修復(fù)，如圖所示。,掃出被修改的注冊表項目,修復(fù)被修改的注冊表項目,3“QQ林妹妹”病毒,（1）該病毒的主要特征 該病毒發(fā)作時，會自動利用QQ發(fā)送如圖所示的消息。,“QQ林妹妹”病毒發(fā)送消息,3“QQ林妹妹”病毒, 當(dāng)此病毒文件被運(yùn)行后，會將自身復(fù)制到Windows的系統(tǒng)目錄System32文件夾里，并將文件名改成wupdate.exe。 病毒修改注冊表的自啟動項，使自己在系統(tǒng)啟動時可以自動運(yùn)行，如圖所示。,“QQ林妹妹”病毒修改注冊表自啟動項,3“QQ林妹妹”病毒,HKEY_LOCAL_MACHINE

27、SOFTWAREMicrosoftWindowsCurrentVersionRunWindowsUpdate項，使自己在系統(tǒng)啟動時可以自動運(yùn)行。 病毒修改注冊表，將IE主頁地址設(shè)置成.gs，如圖所示。 HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerMainStartPage項。,“QQ林妹妹”病毒修改IE主頁,3“QQ林妹妹”病毒,“QQ林妹妹”病毒的檢測與清除 打開任務(wù)管理器，看一看是否有wupdate.exe進(jìn)程，如果有就說明你的計算機(jī)已經(jīng)感染上了“QQ林妹妹”病毒。 看一看IE默認(rèn)首頁是否改成.gs。 使用QQ專殺工具可以清除這種病毒

28、，如圖所示。 使用瑞星注冊表清除工具修復(fù)注冊表，如圖和8.17所示。,4. “QQ武漢男生”病毒,（1）該病毒的主要特征 該病毒是一種木馬病毒，病毒運(yùn)行后，除定時發(fā)給QQ網(wǎng)友同樣的網(wǎng)址外還會趁機(jī)盜取“傳奇”游戲的賬戶、密碼以及其他信息，并以郵件形式發(fā)給盜密碼者，還會結(jié)束多種反病毒軟件，以保護(hù)自身不被清除。,4. “QQ武漢男生”病毒,（2）“QQ武漢男生”病毒的檢測與清除 打開“任務(wù)管理器”，看一看是否有WINSCOK.EXE進(jìn)程，如果有就說明你的計算機(jī)已經(jīng)感染了“QQ武漢男生”病毒。 看一看系統(tǒng)文件下是否有WINSCOK.EXE、Install.dll和winscok.dll這3個文件，如果

29、有就說明你的計算機(jī)已經(jīng)感染了“QQ武漢男生”病毒。 使用QQ專殺工具可以清除這種病毒，如圖和8.17所示。,5MSN“性感雞”病毒,自動向用戶所有MSN好友發(fā)送帶毒文件，如圖所示。 中毒后顯示如圖所示的圖片。 釋放“羅伯特”病毒最新變種程序winhost.exe。winhost.exe運(yùn)行后，會將自身復(fù)制到%SystemDir%winhost.exe（124 416字節(jié)），并在注冊表啟動項： HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESoftwareMicrosoftWindows

30、CurrentVersionRunS ervices 中添加：“win32”=“winhost.exe”，這樣，系統(tǒng)每次啟動時，病毒都可以自動運(yùn) 行。 病毒程序winhost.exe會通過微軟的WebDav漏洞、沖擊波漏洞、震蕩波漏洞和管理員賬號口令等途徑傳播。并從IRC上接收黑客命令，使被感染計算機(jī)完全被黑客控制，成為“僵尸計算機(jī)”。,自動向好友發(fā)送帶毒文件,5MSN“性感雞”病毒,（2）MSN“性感雞”病毒的檢測與清除 打開“任務(wù)管理器”，看一看是否有winhost.exe、winis.exe、msnus.exe和dnsserv.exe進(jìn)程，如果有就說明你的計算機(jī)已經(jīng)感染了MSN“性感雞”

31、病毒。 在使用MSN聊天時，如果看到如圖所示的圖片，就說明你的計算機(jī)已經(jīng)感染了MSN“性感雞”病毒。 使用MSN“性感雞”專殺工具可以清除這種病毒。下載網(wǎng)址： ,8.3 技能三 使用殺毒軟件查殺病毒,8.3.1 任務(wù)一 使用卡巴斯基反病毒單機(jī)版查殺病毒 8.3.2 任務(wù)二 使用瑞星2006查殺病毒 8.3.3 任務(wù)三 使用江民殺毒軟件KV2006查殺病毒 8.3.4 任務(wù)四 使用金山毒霸2006殺毒軟件查殺病毒,8.3.1 任務(wù)一 使用卡巴斯基反病毒單機(jī)版查殺病毒,1使用“掃描我的電腦”查殺病毒 （1）啟動卡巴斯基殺毒軟件，界面如圖所示。,卡巴斯基主界面,8.3.1 任務(wù)一 使用卡巴斯基反病毒

32、單機(jī)版查殺病毒,（2）在“掃描我的電腦”上單擊鼠標(biāo)，打開“正在掃描”對話框，這時開始了查殺“我的電腦”中病毒的工作，如圖所示。,開始查殺病毒,8.3.1 任務(wù)一 使用卡巴斯基反病毒單機(jī)版查殺病毒,2使用“掃描可移動驅(qū)動器”查殺病毒 （1）啟動卡巴斯基殺毒軟件，界面如圖所示。 （2）在“掃描可移動驅(qū)動器”上單擊鼠標(biāo)，打開“正在掃描”對話框，開始查殺軟盤和可移動磁盤中的病毒，如圖所示。,開始查殺可移動驅(qū)動器病毒,8.3.1 任務(wù)一 使用卡巴斯基反病毒單機(jī)版查殺病毒,3使用“掃描對象”查殺病毒 （1）啟動卡巴斯基殺毒軟件，界面如圖所示。 （2）在“掃描對象”上單擊鼠標(biāo)，打開“選擇掃描對象”對話框，如圖所示。 （3）選擇要掃描的對象，然后單擊“掃描”命令按鈕，就開始查殺選擇對象的病毒。,選擇要掃描的對象,8.3.2 任務(wù)二 使用瑞星2006查殺病毒,使用“信息中心”查殺病毒 （1）啟動瑞星2006殺毒軟件，然后在“信息中心”選擇要查殺的目標(biāo)，如圖所示。 （2）單擊“殺毒”命令按鈕，開始對選擇的目標(biāo)查殺病毒，如圖所示。,選擇查殺目標(biāo),正在查殺選定目標(biāo)病毒,8.3.2 任務(wù)二 使用瑞星2006查殺病毒,2. 使用“快捷方式”查殺病毒 （1）啟動瑞星2006殺毒