手工修復網站惡意修改 電腦中病自我診斷

世界萬事萬物都是在不斷的發展，不停地變化的,搞惡作劇的人也是詭計多端，招數層出不窮！對 IE 的修改，把自己的網站強硬推薦給別人的手法時時換新，防不勝防！同時，惡作劇的人數也越來越多，各類型的網站都參加了進去，除了原來的黃色網站、美女圖庫網站以外，又增加了笑話網站、註冊表網站、一些亂七八糟的個人網站，包羅萬象，數不勝數！也就是說，整個網際網路幾乎都是這樣的陷井，只要你上了網，就有可能中招，就有可能掉進去！  

在此希望惡作劇的網友們手下留情、放過許許多多的無辜大眾，錯全是微軟的錯，有本事討伐微軟去！  

閑話少說，言歸正傳。 　　  

面對招術的多樣化，也限於筆者能力，本文只能對「矛」的「硬度」，「矛尖」的「粗細」，「矛」的使用方法作一個詳細的剖析說明，以供網友們作馬後炮用。  

一、IE 標題欄被修改  

根據網友們的來信與及自己遭遇的情況（有的網友寫得清楚明白，有的只提供網址，作者根據網址自己去測試），惡作劇的手法多數是修改註冊表中「IE」的兩個鍵值，一個是：「Windows Title」，另一個是：「StartPage」，儘管只是修改此兩個鍵值，但這兩個鍵值可以存放於三個位置，分別是:  

1.[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]  

2.[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]  

3.[HKEY_USERs\.DEFAULT\Software\Microsoft\Internet Explorer\Main]  

也就是說，只要修改此三個位置的任何一個都可使得IE瀏覽器標題欄發生改變。  

在早期，惡作劇的人一般只是修改第二個位置的鍵值，所以筆者之前做的註冊表文件也只適用於這種修改的情況。  

現在，修改任意位置的都有，有些每個位置只修改一個鍵值，有的更是絕，全部鍵值都被修改了，於是，當我們只是恢復單個位置的註冊表鍵值時，並沒有完全恢復 IE的標題欄。  

所以，針對目前的情況，作者做了三個位置的註冊表，先把內容提供給網友，讓大家了解了解它的原理，內容如下：  

REGEDIT4  
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]  

"Window Title"="Microsoft Internet Explorer"  
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]  

"Start Page"="about:blank"  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]  

"Window Title"="Microsoft Internet Explorer"  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]  

"Start Page"="about:blank"  
[HKEY_USERs\.DEFAULT\Software\Microsoft\Internet Explorer\Main]  

"Window Title"="Microsoft Internet Explorer"  
[HKEY_USER\.DEFAULT\Software\Microsoft\Internet Explorer\Main]  

"Start Page"="about:blank"  

喜歡研究註冊表的網友自己通過「開始 -> 運行 -> regedit」進入註冊表相應位置，直接修改。也可以參看此文：「瀏覽一些網站，為什麼IE被修改？」。  

不過還是提醒對註冊表沒有一定了解的網友不要按照此種方式去操作，一個誤操作，可能會引起整個系統的崩潰。儘管可以恢復，但無疑會耽誤了對您的時間，影響了您的工作。  

簡單的解決辦法有兩個：  

1.修改註冊表法  

點擊這裡下載筆者做好的註冊表文件。  

2.兔子魔法(MagicSet)法  

本法是基於超級兔子魔法設置 3.92 ，網友們可以去下載安裝程序：  

也可以到軟體作者的網址去下載最新的版本：  

下面筆者以自己中招之後的修改過程作介紹。  

安裝完成之後，啟動兔子魔法，顯示了主界面：  

點擊「IE」圖標民，軟體將彈出如下圖所示的設置窗口。  

筆者的 IE 被修改了默認打開的網頁，需要把它改回本機網站「127.0.0.1」，那麼直接在此欄輸入「127.0.0.1」，點擊「保存」按鈕，即可完成恢復。網友們可以輸入其它網址，把它改成自己上網常常訪問的網站。  

如果不希望改成其它網站，點擊「使用空白頁」按鈕，當打開 IE 時，顯示的是什麼內容也沒有的空白網頁。 如果 IE 標題也被修改了，那麼請點擊「復原」按鈕。 如果 IE 版本號被修改，只能直接在輸入框中輸入來恢復。  

都時我們也注意到，Outlook 微軟的收取郵件軟體也可以被修改，兔子魔法為大家考慮非常周到，按照上述方法，大家一樣可以使它復原。  

二、修改 IE 右鍵菜單  

這種情況很少見，沒有看到網友來信，筆者也沒碰到過。也許眾多的惡作劇的人還不會這種方法，我們也有理由相信，真正的高手不會整廣大訪問他們網站的網友，另外，如果網站做得好，根本不需要在網頁中加入個性別人電腦來增加訪問量，網友們自動就會把它加入收藏夾！！！  

這是通過修改註冊表的「HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt」，在此位置添加鍵值來實現的，在IE中顯示的附加右鍵菜單都在這裡設置，認識了原理，解決問題就簡單多了。  

1.註冊表法  

通過「開始 -> 運行 -> regedit」進入註冊表，來到「HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt」位置，點擊文件夾的「＋」號，我們可以看到常見的下載軟體網際快車右鍵下載和「添加QQ網路收藏夾」等等的信息  

選中不需要的主鍵，右擊滑鼠，選擇刪除命令，重新啟動 IE 瀏覽器即可看到效果。筆者不是 QQ 會員，「QQ網路收藏夾」也用不上，就按圖中的方法，把它刪除了。讓我們來作個修改前後的對比：　　  

2.兔子魔法(MagicSet)法  

啟動兔子魔法，點擊 IE 圖標按鈕，在彈出的窗口左上方有一個「＋」按鈕 ，點擊此按鈕即可進入到 IE 的深入設置窗口。在「IE5 的新增的右鍵菜單」欄把 IE 的相應附加右鍵菜單項刪除，然後點擊「保存」按鈕確定修改。 如果你沒有註冊，軟體不提供此項功能，彈出的窗口文字呈灰色，全部不可選。  

現在有一種最最可惡的改變別人電腦的方法，那就是：  

三、在 windows 啟動時彈出一個窗口  

這種個修改方法並不是修改了IE，但都是利用了 IE 的漏洞，運行 Script 腳本，修改了註冊表。當 windows 啟動時，彈出一個窗口，必須點擊確定才能進入操作系統，與此同時，自動運行 IE 並訪問某個網站。實質上，它修改了下面的註冊表鍵值：  

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon  

在此仍然提供兩種解決方法。  

1.註冊表法  

選擇「開始 -> 運行 -> regedit」，進入註冊表，來到：  


HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon  

在此項右欄找到「LegalNoticeCaption」和「LegalNoticeText」主鍵，把它們刪除即可。  

注意，在非 winNT 系列中，就是在上面的分支中尋找需要刪除的主鍵，但在 winNT 系統中，Winlogon? 諳旅嫻姆種е校?  

「HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon」  

另外筆者注意到，惡作劇的代碼對於 windows 2000 server 無效，其它的 windows NT 版本筆者沒有測試過。因為讀者來信寫到他的 windows 98 系統遭到了修改，當筆者訪問來信提供的網址時，沒有發生任何變化。如果有網友被修改了，可以按類似的方法來修復。  

簡單方便的方法當然是：  

2.兔子魔法(MagicSet)法  

啟動兔子魔法后，點擊「安全與多用戶」，再點擊左上部的「+」號按鈕，來到如下圖所示的窗口：  

把「啟動時要顯示的標題」和「啟動時要顯示的信息」兩項內容刪除，按「保存」按鈕，重新啟動操作系統，你將不再看到彈出的窗口。  

預防方法是：  

「1.到IE里禁止javasctipt 腳本的運行，因為腳本沒有運行，就寫不了信息到註冊表，不過其它的腳本也運行不了了，對於另一些加了腳本才能正常顯示的網頁就不好了，那樣瀏覽者將看不到網頁設計者的願意，或者網頁提供的某些功能使用不上。  
2.把上頁生成的iechange.reg註冊表文件保存起來，遇到情況運行此文件。  
3.把IE版本升級到IE6.0，因為該腳本對IE6.0不起作用。」  

上述方法中的第一條對於三者都適用，第二條對於前兩者適用，第三條的 IE 6.0 新版本已經抵抗不了三類惡作劇了，估計是之前所說的 IE 6.0 版本不支持惡作劇腳本，所以修改情況沒有發生。  
有矛就有盾，有盾矛更尖，矛尖盾更硬！  
針對上述的惡作劇，網友們也想出了相應的解決辦法：  

四、預防方法  

1.到IE里禁止javasctipt 腳本的運行。由於現在的網頁多數插入了腳本，以達到一定的功能和實現相應的效果，因此，這種喝鳩解渴的方法並實用，建議在IE的設置中將腳本設為「提示」。  

2.使用 Windows 2000 系列操作系統，可在一定的程度上遏制惡作劇，比如禁止啟動時彈出窗口。  

3.在 Win2000 操作系列中，為了增強安全性能，設置有管理工具，我們進入「控制面板」 ->「管理工具」 -> 「服務」，把 Remote Registry Service 服務禁止，瀏覽網頁時惡作劇無法修改註冊表了。  

註：此法對於某些情況可能無效。  

4.建議安裝 Norton AntiVirus 2002 v8.0 殺毒軟體，此軟體已經把通過IE修改註冊表的代碼定義為 Trojan.Offensive ，增加了 Script Blocking 功能，它將對此類惡作劇進行監控，並予以攔截。它也是目前最好的解決方法。下載這個文件至桌面，當IE被修改時請雙擊。   

5.安裝使用瑞星註冊表修復工具

如今的網路真是不太平，若您問上網者最討厭和最害怕的是什麼，莫過於所謂的惡意代碼（又叫網頁病毒）了。稍不留神逛到一個惡意網站上，就會發現自己的IE標題欄換成了其他網站的名字、默認主頁成了他家的自留地、系統被改得亂七八糟……更恐怖的還有讓你的系統禁止使用、格式化硬碟、安裝一個木馬在機器上等等。這樣一來，豈不是網上哪也不敢去了？  
  
其實不然，只要我們掌握了一些對付此等惡意代碼的"絕招"就可盡情地放心衝浪了，本專題我們就來探討一下惡意代碼的類型及其對付方法：  

1.禁止使用電腦  
危害程度：★★★★  
感染概率：＊＊  
現象描述：儘管網路流氓們用這一招的不多，但是一旦你中招了，後果真是不堪設想！瀏覽了含有這種惡意代碼的網頁其後果是："關閉系統"、"運行"、"註銷"、註冊表編輯器、DOS程序、運行任何程序被禁止，系統無法進入"實模式"、驅動器被隱藏。  
解決辦法：一般來說上述八大現象你都遇上了的話，基本上系統就給"廢"了，建議重裝。  
  
2.格式化硬碟  
危害程度：★★★★★  
感染概率：＊  
現象描述：這類惡意代碼的特徵就是利用IE執行ActiveX的功能，讓你無意中格式化自己的硬碟。只要你瀏覽了含有它的網頁，瀏覽器就會彈出一個警告說"當前的頁面含有不安全的ActiveX，可能會對你造成危害"，問你是否執行。如果你選擇"是"的話，硬碟就會被快速格式化，因為格式化時窗口是最小化的，你可能根本就沒注意，等發現時已悔之晚矣。  
解決辦法：除非你知道自己是在做什麼，否則不要隨便回答"是"。該提示信息還可以被修改，如改成"Windows正在刪除本機的臨時文件，是否繼續"，所以千萬要注意！此外，將計算機上Format.com、Fdisk.exe、Del.exe、Deltree.exe等命令改名也是一個辦法。  
  
3.下載運行木馬程序  
危害程度：★★★  
感染概率：＊＊＊  
現象描述：在網頁上瀏覽也會中木馬？當然，由於IE5.0本身的漏洞，使這樣的新式入侵手法成為可能，方法就是利用了微軟的可以嵌入exe文件的eml文件的漏洞，將木馬放在eml文件里，然後用一段惡意代碼指向它。上網者瀏覽到該惡意網頁，就會在不知不覺中下載了木馬並執行，其間居然沒有任何提示和警告！  
解決辦法：第一個辦法是升級您的IE5.0，IE5.0以上版本沒這毛病；此外，安裝金山毒霸、Norton等病毒防火牆，它會把網頁木馬當作病毒迅速查截殺。  
  
4.註冊表的鎖定  
危害程度：★★  
感染概率：＊＊＊  
現象描述：有時瀏覽了惡意網頁后系統被修改，想要用Regedit更改時，卻發現系統提示你沒有許可權運行該程序，然後讓你聯繫管理員。暈了！動了我的東西還不讓改，這是哪門子的道理！  
解決辦法：能夠修改註冊表的又不止Regedit一個，找一個註冊表編輯器，例如：Reghance。將註冊表中的HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼System下的DWORD值"DisableRegistryTools"鍵值恢復為"0"，即可恢復註冊表。  
  
5.默認主頁修改  
危害程度：★★★  
感染概率：＊＊＊＊＊  
現象描述：一些網站為了提高自己的訪問量和做廣告宣傳，利用IE的漏洞，將訪問者的IE不由分說地進行修改。一般改掉你的起始頁和默認主頁，為了不讓你改回去，甚至將IE選項中的默認主頁按鈕變為失效的灰色。不愧是網路流氓的一慣做風。  
解決辦法：1.起始頁的修改。展開註冊表到HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Internet Explorer＼Main，在右半部分窗口中將"Start Page"的鍵值改為"about:blank"即可。同理，展開註冊表到HKEY_CURRENT_USER＼Software＼Microsoft＼Internet Explorer＼Main，在右半部分窗口中將"Start Page"的鍵值改為"about:blank"即可。  
注意：有時進行了以上步驟后仍然沒有生效，估計是有程序載入到了啟動項的緣故，就算修改了，下次啟動時也會自動運行程序，將上述設置改回來，解決方法如下：  
運行註冊表編輯器Regedit.exe，然後依次展開HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run主鍵，然後將下面的"registry.exe"子鍵（名字不固定）刪除，最後刪除硬碟里的同名可執行程序。退出註冊編輯器，重新啟動計算機，問題就解決了。  
2.默認主頁的修改。運行註冊表編輯器，展開HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Internet Explorer＼Main＼，將Default-Page-URL子鍵的鍵值中的那些惡意網站的網址改正，或者設置為IE的默認值。  
3.IE選項按鈕失效。運行註冊表編輯器，將HKEY_CURRENT_USER＼Software＼Policies＼Microsoft＼Internet Explorer＼Control Panel中的DWORD值"Settings"=dword:1、"Links"=dword:1、"SecAddSites"=dword:1全部改為"0"，將HKEY_USERS＼.DEFAULT＼Software＼Policies＼Microsoft＼Internet Explorer＼Control Panel下的DWORD值"homepage"的鍵值改為"0"。  
  
6.篡改IE標題欄  
危害程度：★  
感染概率：＊＊＊＊＊  
現象描述：在系統默認狀態下，由應用程序本身來提供標題欄的信息。但是，有些網路流氓為了達到廣告宣傳的目的，將串值"Windows Title"下的鍵值改為其網站名或更多的廣告信息，從而達到改變IE標題欄的目的。非要別人看他的東西，而且是通過非法的修改手段，除了"無恥"兩個字，再沒有其它形容詞了。  
解決辦法：展開註冊表到HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Internet Explorer＼Main＼下，在右半部分窗口找到串值"Windows Title"，將該串值刪除。重新啟動計算機。  
  
7.篡改默認搜索引擎  
危害程度：★★★  
感染概率：＊  
現象描述：在IE瀏覽器的工具欄中有一個搜索引擎的工具按鈕，可以實現網路搜索，被篡改后只要點擊那個搜索工具按鈕就會鏈接到網路注氓想要你去的網站。  
解決辦法：運行註冊表編輯器，依次展開HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Internet Explorer＼Search＼CustomizeSearch和HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Internet Explorer＼Search＼SearchAssistant,將CustomizeSearch及SearchAssistant的鍵值改為某個搜索引擎的網址即可。  
  
8.IE右鍵修改  
危害程度：★★  
感染概率：＊＊＊  
現象描述：有的網路流氓為了宣傳的目的，將你的右鍵彈出的功能菜單進行了修改，並且加入了一些亂七八糟的東西，甚至為了禁止你下載，將IE窗口中單擊右鍵的功能都屏蔽掉。  
解決辦法：1.右鍵菜單被修改。打開註冊表編輯器，找到HKEY_CURRENT_USER＼Software＼Microsoft＼Internet Explorer＼MenuExt，刪除相關的廣告條文。  
2.右鍵功能失效。打開註冊表編輯器，展開到HKEY_CURRENT_USER＼Software＼Policies＼Microsoft＼Internet Explorer＼Restrictions，將其DWORD值"NoBrowserContextMenu"的值改為0。  
  
9.篡改地址欄文字  
危害程度：★★  
感染概率：＊＊＊  
現象描述：中招者的IE地址欄下方出現一些莫名其妙的文字和圖標，地址欄里的下拉框里也有大量的地址，並不是你以前訪問過的。  
解決辦法：1.地址欄下的文字。在HKEY_CURRENT_USER＼Software＼Microsoft＼Internet Explorer＼ToolBar下找到鍵值LinksFolderName，將其中的內容刪去即可。  
2.地址欄中無用的地址。在HKEY_CURRENT_USER＼Software＼Microsoft＼Internet Explorer＼TypeURLs中刪除無用的鍵值即可。  
  
10.啟動時彈出對話框  
危害程度：★★★  
感染概率：＊＊  
現象描述：1.系統啟動時彈出對話框，通常是一些廣告信息，例如歡迎訪問某某網站等等。2.開機彈出網頁，通常會彈出很多窗口，讓你措手不及，惡毒一點的，可以重複彈出窗口直到死機。  
解決辦法：1.彈出對話框。打開註冊表編輯器，找到HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Winlogon主鍵，然後在右邊窗口中找到"LegalNoticeCaption"和"LegalNoticeText"這兩個字元串，刪除這兩個字元串就可以解決在啟動時出現提示框的現象了。  
2.彈出網頁。點擊"開始-運行-輸入msconfig",選擇"啟動"，把裡面後綴為url、html、htm的網址文件都勾掉。  
  
11.IE窗口定時彈出  
危害程度：★★  
感染概率：＊＊  
現象描述：中招者的機器每隔一段時間就彈出IE窗口，地址指向網路注氓的個人主頁。不曉得是不是網路流氓以為這樣你就會經常光顧？  
解決辦法：點擊"開始-運行-輸入msconfig",選擇"啟動"，把裡面後綴為hta的都勾掉，重啟。  
  
  

錦囊妙計安天下  

網際網路上形形色色的網路陷阱，讓上網衝浪者聞之色變，其實，只要做好周密的防範，惡意代碼又奈我何？！  
第一招：升級IE瀏覽版本  
大部分的惡意代碼只對IE5.0版本有效，而無論是Windows98還是Windows2000，初始安裝時都是低於IE5.0的版本，因此千萬不要圖一時之困，還是趕快升級吧！  
第二招：安裝天網防火牆  
天網防火牆除了有隔絕惡意網路攻擊的功能外，它特有的天網安全檢測修復系統，對防範惡意代碼有特效。即使你使用的是IE5.0，用該系統修復漏洞之後，惡意代碼也對你沒有危害了。  
第三招：安裝金山毒霸、諾頓等病毒防火牆  
通常病毒防火牆都內置了大量查殺VBS、Javascript惡意代碼的特徵庫，能夠有效地警示、查殺、隔離含有惡意代碼的網頁。  
第四招：安裝超級兔子的IE保護器  
一旦發現中招，在不重新啟動機器的前提下，運行IE保護器，清除所有的改動即可。  
第五招：利用"魔法石"網頁  
由3721提供的"魔法石"http://magic.3721.com網頁可以幫助我們在線清除惡意代碼、優化網路、方便地進行個性化設置等。要清除惡意代碼，只要點擊安全與恢復欄目，這時會出現一個對話框要求安裝魔法石，照提示點擊"確定"后就可以方便地完成

如何判斷你的電腦是否中毒
  
    各種病毒時至今日也可算是百花齊放了，搞得人心惶惶，一旦發現自己的電腦有點異常就認定是病毒在作怪，到處找殺毒軟體，一個不行，再來一個，總之似乎不找到「元兇」誓不罷休一樣，結果病毒軟體是用了一個又一個，或許為此人民幣是用了一張又一張，還是未見「元兇」的蹤影，其實這未必就是病毒在作怪。

　　這樣的例子並不少見，特別是對於一些初級電腦用戶。下面我就結合個人電腦使用及企業網路維護方面的防毒經驗從以下幾個方面給大家介紹介紹如何判斷是否中了病毒，希望對幫助識別「真毒」有一定幫助！

　　病毒與軟、硬體故障的區別和聯繫

　　電腦出故障不只是因為感染病毒才會有的，個人電腦使用過程中出現各種故障現象多是因為電腦本身的軟、硬體故障引起的，網路上的多是由於許可權設置所致。我們只有充分地了解兩者的區別與聯繫，才能作出正確的判斷，在真正病毒來了之時才會及時發現。下面我就簡要列出了分別因病毒和軟、硬體故障引起的一些常見電腦故障癥狀分析。  

　　癥狀 病毒的入侵的可能性 軟、硬體故障的可能性  

　　經常死機：病毒打開了許多文件或佔用了大量內存；不穩定（如內存質量差，硬體超頻性能差等）；運行了大容量的軟體佔用了大量的內存和磁碟空間；使用了一些測試軟體（有許多BUG）；硬碟空間不夠等等；運行網路上的軟體時經常死機也許是由於網路速度太慢，所運行的程序太大，或者自己的工作站硬體配置太低。  

　　系統無法啟動：病毒修改了硬碟的引導信息 ，或刪除了某些啟動文件。如引導型病毒 引導文件損壞；硬碟損壞或參數設置不正確；系統文件人為地誤刪除等。  

　　文件打不開：病毒修改了文件格式；病毒修改了文件鏈接位置。文件損壞；硬碟損壞；文件快捷方式對應的鏈接位置發生了變化；原來編輯文件的軟體刪除了；如果是在區域網中多表現為伺服器中文件存放位置發生了變化，而工作站沒有及時涮新服器的內容（長時間打開了資源管理器）。  

　　經常報告內存不夠： 病毒非法佔用了大量內存；打開了大量的軟體；運行了需內存資源的軟體；系統配置不正確；內存本就不夠（目前基本內存要求為128M）等。  

　　提示硬碟空間不夠：病毒複製了大量的病毒文件（這個遇到過好幾例，有時好端端的近10G硬碟安裝了一個WIN98或WINNT4.0系統就說沒空間了，一安裝軟體就提示硬碟空間不夠。硬碟每個分區容量太小；安裝了大量的大容量軟體；所有軟體都集中安裝在一個分區之中；硬碟本身就小；如果是在區域網中系統管理員為每個用戶設置了工作站用戶的「私人盤」使用空間限制，因查看的是整個網路盤的大小，其實「私人盤」上容量已用完了。  

　　軟盤等設備未訪問時出讀寫信號：病毒感染；軟盤取走了還在打開曾經在軟盤中打開過的文件。

　　出現大量來歷不明的文件：病毒複製文件；可能是一些軟體安裝中產生的臨時文件；也或許是一些軟體的配置信息及運行記錄。  

　　啟動黑屏：病毒感染（記得最深的是98年的4.26，我為CIH付出了好幾千元的代價，那天我第一次開機到了Windows畫面就死機了，第二次再開機就什麼也沒有了）；顯示器故障；顯示卡故障；主板故障；超頻過度；CPU損壞等等  

　　數據丟失：病毒刪除了文件；硬碟扇區損壞；因恢復文件而覆蓋原文件；如果是在
網路上的文件，也可能是由於其它用戶誤刪除了。  

　　鍵盤或滑鼠無端地鎖死：病毒作怪，特別要留意「木馬」；鍵盤或滑鼠損壞；主板上鍵盤或滑鼠介面損壞；運行了某個鍵盤或滑鼠鎖定程序，所運行的程序太大，長時間系統很忙，表現出按鍵盤或滑鼠不起作用。  

　　系統運行速度慢：病毒佔用了內存和CPU資源，在後台運行了大量非法操作；硬體配置低；打開的程序太多或太大；系統配置不正確；如果是運行網路上的程序時多數是由於你的機器配置太低造成，也有可能是此時網路上正忙，有許多用戶同時打開一個程序；還有一種可能就是你的硬碟空間不夠用來運行程序時作臨時交換數據用。  

　　系統自動執行操作：病毒在後台執行非法操作；用戶在註冊表或啟動組中設置了有關程序的自動運行；某些軟體安裝或升級后需自動重啟系統。  

　　通過以上的分析對比，我們知道其實大多數故障都可能是由於人為或軟、硬體故障造成的，當我們發現異常后不要急於下斷言，在殺毒還不能解決的情況下，應仔細分析故障的特徵，排除軟、硬體及人為的可能性。  

　　病毒的分類及各自的特徵  

　　要真正地識別病毒，及時的查殺病毒，我們還有必要對病毒有一番較詳細的了解，而且越詳細越好！

　　病毒因為由眾多分散的個人或組織單獨編寫，也沒有一個標準去衡量、去劃分，所以病毒的分類可按多個角度大體去分。

　　如按傳染對象來分，病毒可以劃分為以下幾類：

　　a、引導型病毒

　　這類病毒攻擊的對象就是磁碟的引導扇區，這樣就能使系統在啟動時獲得優先的執行權，從而達到控制整個系統的目的，這類病毒因為感染的是引導扇區，所以造成的損失也就比較大，一般來說會造成系統無法正常啟動，但查殺這類病毒也較容易，多數殺毒軟體都能查殺這類病毒，如KV300、KILL系列等。

　　b、文件型病毒

　　早期的這類病毒一般是感染以exe、com等為擴展名的可執行文件，這樣的話當你執行某個可執行文件時病毒程序就跟著激活。近期也有一些病毒感染以dll、ovl、sys等為擴展名的文件，因為這些文件通常是某程序的配置、鏈接文件，所以執行某程序時病毒也就自動被子載入了。它們載入的方法是通過插入病毒代碼整段落或分散插入到這些文件的空白位元組中，如CIH病毒就是把自己拆分成9段嵌入到PE結構的可執行文件中，感染后通常文件的位元組數並不見增加，這就是它的隱蔽性的一面。

　　c、網路型病毒

　　這種病毒是近幾來網路的高速發展的產物，感染的對象不再局限於單一的模式和單一的可執行文件，而是更加綜合、更加隱蔽。現在一些網路型病毒幾乎可以對所有的OFFICE文件進行感染，如WORD、EXCEL、電子郵件等。其攻擊方式也有轉變，從原始的刪除、修改文件到現在進行文件加密、竊取用戶有用信息（如黑客程序）等，傳播的途經也發生了質的飛躍，不再局限磁碟，而是通過更加隱蔽的網路進行，如電子郵件、電子廣告等。

　　d、複合型病毒

　　把它歸為「複合型病毒」，是因為它們同時具備了「引導型」和「文件型」病毒的某些特點，它們即可以感染磁碟的引導扇區文件，也可以感染某此可執行文件，如果沒有對這類病毒進行全面的清除，則殘留病毒可自我恢復，還會造成引導扇區文件和可執行文件的感染，所以這類病毒查殺難度極大，所用的殺毒軟體要同時具備查殺兩類病毒的功能。

　　以上是按照病毒感染的對象來分，如果按病毒的破壞程度來分，我們又可以將病毒劃分為以下幾種：

　　a、良性病毒：

　　這些病毒之所以把它們稱之為良性病毒，是因為它們入侵的目的不是破壞你的系統，只是想玩一玩而已，多數是一些初級病毒發燒友想測試一下自己的開發病毒程序的水平。它們並不想破壞你的系統，只是發出某種聲音，或出現一些提示，除了佔用一定的硬碟空間和CPU處理時間外別無其它壞處。如一些木馬病毒程序也是這樣，只是想竊取你電腦中的一些通訊信息，如密碼、IP地址等，以備有需要時用。

　　b、惡性病毒

　　我們把只對軟體系統造成干擾、竊取信息、修改系統信息，不會造成硬體損壞、數據丟失等嚴重後果的病毒歸之為「惡性病毒」，這類病毒入侵后系統除了不能正常使用之外，別無其它損失，系統損壞后一般只需要重裝系統的某個部分文件后即可恢復，當然還是要殺掉這些病毒之後重裝系統。

　　c、極惡性病毒

　　這類病毒比上述b類病毒損壞的程度又要大些，一般如果是感染上這類病毒你的系統就要徹底崩潰，根本無法正常啟動，你保分留在硬碟中的有用數據也可能隨之不能獲取，輕一點的還只是刪除系統文件和應用程序等。

　　d、災難性病毒

　　這類病毒從它的名字我們就可以知道它會給我們帶來的破壞程度，這類病毒一般是破壞磁碟的引導扇區文件、修改文件分配表和硬碟分區表，造成系統根本無法啟動，有時甚至會格式化或鎖死你的硬碟，使你無法使用硬碟。如果一旦染上這類病毒，你的系統就很難恢復了，保留在硬碟中的數據也就很難獲取了，所造成的損失是非常巨大的，所以我們進化論什麼時候應作好最壞的打算，特別是針對企業用戶，應充分作好災難性備份，還好現在大多數大型企業都已認識到備份的意義所在，花巨資在每天的系統和數據備份上，雖然大家都知道或許幾年也不可能遇到過這樣災難性的後果，但是還是放鬆這「萬一」。我所在的雀巢就是這樣，而且還非常重視這個問題。如98年4.26發作的CIH病毒就可劃歸此類，因為它不僅對軟體造成破壞，更直接對硬碟、主板的BIOS等硬體造成破壞。

　　如按其入侵的方式來分為以下幾種：

　　a、源代碼嵌入攻擊型

　　從它的名字我們就知道這類病毒入侵的主要是高級語言的源程序，病毒是在源程序編譯之前插入病毒代碼，最後隨源程序一起被編譯成可執行文件，這樣剛生成的文件就是帶毒文件。當然這類文件是極少數，因為這些病毒開發者不可能輕易得到那些軟體開發公司編譯前的源程序，況且這種入侵的方式難度較大，需要非常專業的編程水平。

　　b、代碼取代攻擊型

　　這類病毒主要是用它自身的病毒代碼取代某個入侵程序的整個或部分模塊，這類病毒也少見，它主要是攻擊特定的程序，針對性較強，但是不易被發現，清除起來也較困難。

　　c、系統修改型

　　這類病毒主要是用自身程序覆蓋或修改系統中的某些文件來達到調用或替代操作系統中的部分功能，由於是直接感染系統，危害較大，也是最為多見的一種病毒類型，多為文件型病毒。

　　d、外殼附加型

　　這類病毒通常是將其病毒附加在正常程序的頭部或尾部，相當於給程序添加了一個外殼，在被感染的程序執行時，病毒代碼先被執行，然後才將正常程序調入內存。目前大多數文件型的病毒屬於這一類。

　　有了病毒的一些基本知識后現在我們就可以來檢查你的電腦中是否含有病毒，要知道這些我們可以按以下幾個方法來判斷。

　　1、反病毒軟體的掃描法

　　這恐怕是我們絕大數朋友首選，也恐怕是唯一的選擇，現在病毒種類是越來越多，隱蔽的手段也越來越高明，所以給查殺病毒帶來了新的難度，也給反病毒軟體開發商帶來挑戰。但隨著計算機程序開發語言的技術性提高、計算機網路越來越普及，病毒的開發和傳播是越來越容易了，因而反病毒軟體開發公司也是越來越多了。

　　2、觀察法

　　這一方法只有在了解了一些病毒發作的癥狀及常棲身的地方才能準確地觀察到。如硬碟引導時經常出現死機、系統引導時間較長、運行速度很慢、不能訪問硬碟、出現特殊的聲音或提示等上述在第一大點中出現的故障時，我們首先要考慮的是病毒在作怪，但也不能一條胡洞走到底，上面我不是講了軟、硬體出現故障同樣也可能出現那些癥狀
嘛！對於如屬病毒引起的我們可以從以下幾個方面來觀察：

　　a、內存觀察

　　這一方法一般用在DOS下發現的病毒，我們可用DOS下的「mem/c/p」命令來查看各程序佔用內存的情況，從中發現病毒佔用內存的情況（一般不單獨佔用，而是依附在其它程序之中），有的病毒佔用內存也比較隱蔽，用「mem/c/p」發現不了它，但可以看到總的基本內存640K之中少了那麼區區1k或幾K。

　　b、註冊表觀察法

　　這類方法一般適用於近來出現的所謂黑客程序，如木馬程序，這些病毒一般是通過修改註冊表中的啟動、載入配置來達到自動啟動或載入的，一般是在如下幾個地方實現：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersion\Run]

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersionRunOnce]

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersionRunSevices]

　　[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion

　　\RunOnce]

　　等等，具體可參考我的另一篇文章――《通通透透看木馬》，在其中對註冊表中可能出現的地方會有一個比較詳盡的分析。

　　c、系統配置文件觀察法

　　這類方法一般也是適用於黑客類程序，這類病毒一般在隱藏在system.ini 、wini.ini（Win9x/WinME）和啟動組中，在system.ini文件中有一個"shell=」項，而在wini.ini文件中有「load= 」、「run= 」項，這些病毒一般就是在這些項目中載入它們自身的程序的，注意有時是修改原有的某個程序。我們可以運行Win9x/WinME中的msconfig.exe程序來一項一項查看。具體也可參考我的《通通透透看木馬》一文。

　　d、特徵字元串觀察法

　　這種方法主要是針對一些較特別的病毒，這些病毒入侵時會寫相應的特徵代碼，如CIH病毒就會在入侵的文件中寫入「CIH」這樣的字元串，當然我們不可能輕易地發現，我們可以對主要的系統文件（如Explorer.exe)運用16進位代碼編輯器進行編輯就可發現，當然編輯之前最好還要要備份，畢竟是主要系統文件。

　　e、硬碟空間觀察法

　　有些病毒不會破壞你的系統文件，而僅是生成一個隱藏的文件，這個文件一般內容很少，但所佔硬碟空間很大，有時大得讓你的硬碟無法運行一般的程序，但是你查又看不到它，這時我們就要打開資源管理器，然後把所查看的內容屬性設置成可查看所有屬性的文件（這方法應不需要我來說吧？），相信這個龐然大物一定會到時顯形的，因為病毒一般把它設置成隱藏屬性的。到時刪除它即可，這方面的例子在我進行電腦網路維護和個人電腦維修過程中見到幾例，明明只安裝了幾個常用程序，為什麼在C盤之中幾個G的硬碟空間顯示就沒有了，經過上述方法一般能很快地讓病毒顯形的。

qslfz出品 必為精品 申請加精