紅色預警！毒性超熊貓 上網小心鹵豬病毒

　病毒危險不可不防

　　一個叫「熊貓燒香」的病毒把電腦用戶折騰得苦不堪言，在人們心目中，「熊貓」這個國寶似乎不再可愛，卻成了人人喊打的過街老鼠。而「熊貓燒香」這場大風卻還未完全散去，各種「熊貓燒香」的變種更是表現的異常活躍，近半數的網民深受其害。目前已經有許多用戶反映遭遇 「鹵豬病毒」(win32.iuhzu.a)這款變種病毒重度感染，眼看此款病毒就要大面積肆虐，挑戰網際網路的安全。
　　鹵豬病毒(win32.iuhzu.a)和「熊貓燒香」有很多相同的地方，傳播方式相同，都利用移動設備以及區域網共享傳播，都將病毒的感染性、流行性、選擇性、抗反病毒軟體性發揮的淋漓盡致，但是這種變毒比「熊貓燒香」危害更大，用戶中毒后，病毒會感染電腦上運行的軟體，導致系統軟體崩潰。
　　而一些常用的殺毒軟體、360衛士、超級兔子等抗殺防禦病毒的軟體也在所難免，電腦操作系統運行時如老牛拖車，嚴重時還會出現藍屏死機、系統崩潰，想修復系統卻進不了安全模式，啟動項里永遠都是殺不完的危險進程，此類病毒殺毒軟體廠商還未研究出專殺工具，所以大家一定要做好病毒防禦工作，保證系統安全。
　　對於這個病毒我們要提高警惕，做好防禦工作，除了為一個完全乾凈無毒系統做個備份，還需要做到以下幾點：
　　1.關閉所有默認共享(net share admin$ /del)不要使用任何共享。
　　2.很多病毒都是利用漏洞傳播，所以要及時更新最新補丁，並將補丁備份在移動硬碟中，以防系統中毒后無法上網升級。
　　3.不接受任何陌生人的郵件、網址、視頻等網路文件或信息，如遇好友網路上發送文件，最好使用殺毒軟體查殺再打開，以免由於對方電腦已經中毒而感染。
　　4.使用快閃記憶體、移動硬碟、存儲卡、MP3等移動存儲設備時，要開啟殺毒軟體實時監控功能。
　　6.利用專業的殺毒軟體和防火牆的功能提高系統安全，及時升級殺毒軟體病毒庫，有條件的情況下將升級包備份到移動硬碟中。
　　7.平時不但要將一些常用系統檢測修復工具以及木馬查殺工具保存在移動硬碟中，還要經常對電腦進行定期檢測和修復殺毒。
　　8.為本機管理員帳號設置較為複雜的密碼，預防一些變種病毒通過密碼猜測進行傳播。
　　掐斷病毒傳播途徑

　　在這個病毒的傳播途徑中，快閃記憶體、移動硬碟、存儲卡、MP3等移動存儲設備是重要傳播媒介，如果快閃記憶體中感染了此病毒，會在快閃記憶體的驅動器里建立多個隱藏的文件，其中會有一個名為autorun.inf的文件，這個文件會為快閃記憶體添加一個自動運行的菜單，如果把默認「打開」操作改成關聯病毒程序，那麼在你雙擊快閃記憶體的時候，就會感染快閃記憶體所帶的病毒，通常情況下無法看到這些文件就沒辦法刪除，我們可以利用CMD命令來解決這一問題(這種殺毒方法也適用於硬碟驅動器)：
　　1.在用殺毒軟體全面查殺過後，大部分移動存儲設備中的病毒都可以被殺掉，接下來在計算機中右擊移動存儲裝備，看快捷菜單中的顯示，如果有「auto」，則表示移動存儲設備還是處於中毒狀態。
　　2.單擊「開始→運行」命令，在命令行中輸入CMD並「確定」，打開CMD窗口。
　　3.在命令行模式下，輸入移動存儲裝備盤符名稱，比如移動硬碟是K，那就輸入K：按回車進入K盤根目錄。
　　4.在命令行下輸入attrib按回車，這時在下方列出來文件中看到有一個名為SH autorun.inf的文件(圖1)。(attrib指令：用於修改文件的屬性。文件的常見屬性有隻讀、存檔、隱藏和系統)
　　

圖 1
　　提示：也可以使用dir/a 這個命令來查看當前目錄全部的文件，包括有隱藏屬性的，可以用來查看是否有autorun.inf等文件。
　　5.在命令行中輸入「attrib空格-s空格-h空格autorun.inf」，更改autorun.inf文件的隱藏屬性，這樣利用右鍵打開移動存儲設備，看到在根目錄下有一個autorun.inf文件顯示出來，將它刪除。
　　最後拔掉硬碟存儲設備，當再一次連接的時候自動運行菜單就沒有了，同理，其他的病毒程序也可以如此操作。
　　注意：各種工具的使用、手工查殺與殺毒軟體相互配合可以達到最好的效果。
　　系統中毒后 儘快清除

　　如果你不幸中了「鹵豬病毒」(win32.iuhzu.a)或是類似的變種病毒，可以利用下面的方法進行清除。
　　初級方法

　　適用人群：初學者，電腦中沒有重要資料
　　操作難度：★

如果你電腦中沒有重要的資料，並且不會使用DOS命令，不會使用殺毒軟體，不會手工查殺，那麼就只好使用傻瓜級的「殺毒」方法，把硬碟整個都格式化，重新分區(注意在安裝系統時一定要斷開網路連接)。
　　這樣做的結果就是能完全保證硬碟上的病毒被清除乾淨，但是硬碟上所有的數據都不見了，對於我們這些使用電腦頻繁，硬碟中數據資料較多的人來說，這種方法會毀了辛辛苦苦保存了下來的資料或文檔。
　　進階方法

　　適用人群：電腦操作熟悉者，在C盤下沒有重要資料
　　操作難度：★★★

　　1.在斷開網路的安裝環境下利用光碟引導將C盤格式化后重新安裝系統，安裝殺毒軟體，然後升級補丁升級病毒庫，如果備份有一鍵Ghost或還原精靈之類的，你要做的就是將系統還原(或重裝操作系統)。推薦安裝系統后先用360安全衛士先打好系統補丁和做好清理流氓軟體的工作。
　　提示：裝完系統后，不要馬上打開其他盤符(切記)，如果非要打開，就用WinRAR或資源管理器進行查看。
　　2.重啟後進入安全模式，利用殺毒軟體再進行查殺，一些殺毒軟體殺不掉就按照殺毒軟體對應的路徑找到後手工刪除，手工刪除不掉，就先結束進程再刪。
　　高級方法

　　適用人群：電腦高手，系統中存有重要資料者
　　操作難度：★★★★★

　　準備好需要的工具：SREng、Autoruns、修復安全模式.REG、恢復顯示隱藏文件.REG(以上工具均可在http://www.cpcw.com/bzsoft下載)
　　SREng：是一款系統診斷配置工具，主要用於發現、發掘潛在的計算機故障和大多數由於計算機病毒造成的破壞。
　　Autoruns：可查看、刪除註冊表及Win.ini文件等處的自啟動項目。
　　1.如果安全模式不能進，那麼可以利用SREng軟體進行修復，下載回來后，運行前先改名(必須改名，不然是無法運行的)，打開界面后選擇「系統修復→高級修復→自動修復」，再點修復安全模式(圖2)。

圖 2
　　實際上，用此方法並不能完全修復所有不能進入安全模式的病毒劫持。所以還要利用SREng選擇啟動項目，刪除所有.EXE和.DLL以及相關的項目，之後在「服務」中Win32服務應用程序里，選擇隱藏微軟已認證的服務，之後刪除其他所以的不明服務。
　　2.運行修復安全模式.REG軟體，導入註冊表后重啟，不出意外的話，此時可以進入安全模式了。重起啟動后，進入安全模式，將Autoruns也改名(改名后可以防止因Autoruns被劫持而無法運行的情況)，然後再運行，選擇映像劫持項目，刪除除Your Image File Name Here without a pathSymbolic Debugger for Windows 2000 之外的所有項目!病毒劫持了很多殺毒軟體，手工一項一項的刪除可能比較辛苦，所以大家可以利用快捷鍵Ctrl+D和回車進行刪除。
　　3.將系統臨時目錄比如C:\Documents and Settings\Administrator\Local Settings\Temp下的各個項目都刪除。這時候就把病毒庫升級到最新，進行殺毒，殺毒軟體被其清除的就重裝吧。
　　4.由於病毒的原因，隱藏文件沒辦法顯示，這裡我們單擊「開始→運行」，輸入regedit展開註冊表，將HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL右邊的CheckedValue鍵值設為1，也可以應用「隱藏文件夾的.reg」導入註冊表，這樣就可以顯示隱藏文件了(圖3)。

圖 3　　
　　在此，我們建議大家先使用360安全衛士打上系統補丁和做好清理流氓軟體的工作，然後再用殺毒軟體查殺。

天哪，好煩！

呵呵，不怕哈

我重裝了系統。
諾頓無用！！！

[ 本帖最後由 chen973 於 2007-7-5 03:55 編輯 ]