三、病毒篇
' H& v3 G! q! c/ W8 O
' B! z: i" |5 ?" k- u- G& G如果你的计算机感染了病毒,那么系统的运行速度会大幅度变慢。病毒入侵后,首先占领内存这个据点,然后便以此为根据地在内存中开始漫无休止地复制自己,随着它越来越庞大,很快就占用了系统大量的内存,导致正常程序运行时因缺少主内存而变慢,甚至不能启动;同时病毒程序会迫使CPU转而执行无用的垃圾程序,使得系统始终处于忙碌状态,从而影响了正常程序的运行,导致计算机速度变慢。下面我们就介绍几种能使系统变慢的病毒。
( k+ `5 p0 { g2 g. z, U
$ q( f& g! A$ D) g, Y1、使系统变慢的bride病毒 8 Q O2 V' S, }/ y6 z
( O$ j. E/ A2 p2 }- M
病毒类型:黑客程序
' U: a6 J _9 C+ |2 X; V6 Q# k) J
发作时间:随机
) T) f5 H, F7 y; f
; M$ @5 |, L& N4 d1 w; Q2 n, w传播方式:网络
; t. n R! L2 |0 z
: q ^- S# V) W' o" A: ]感染对象:网络
" P& {/ r1 G$ s/ ^! A$ s; N# D0 }3 D4 A$ U. \2 u
警惕程度:★★★★
" K* `7 w) _6 v. w, [
) D9 ]. ?) D0 M0 I, r% O% A病毒介绍: 4 R. S: V C4 k- N* ]
% t( w! C' T+ Q) V
此病毒可以在Windows 2000、Windows XP等操作系统环境下正常运行。运行时会自动连接www.hotmail.com网站,如果无法连接到此网站,则病毒会休眠几分钟,然后修改注册表将自己加入注册表自启动项,病毒会释放出四个病毒体和一个有漏洞的病毒邮件并通过邮件系统向外乱发邮件,病毒还会释放出FUNLOVE病毒感染局域网计算机,最后病毒还会杀掉已知的几十家反病毒软件,使这些反病毒软件失效。 9 |& R5 p0 n2 b+ ~0 k
! ^& u8 g: [3 f e
病毒特征 & w2 h2 [! H; V. [% B: N
" p" d' N) O* P& Z! `如果用户发现计算机中有这些特征,则很有可能中了此病毒。
1 t" @1 n: b6 |* w; t0 W
% r0 u% G, r J4 K" ^( ~7 o% m·病毒运行后会自动连接www.hotmail.com网站。
/ M0 d' E+ ~6 U! M- \/ l. M) }( @9 @0 U: y9 T6 |
·病毒会释放出Bride.exe,Msconfig.exe,Regedit.exe三个文件到系统目录;释放出:Help.eml, Explorer.exe文件到桌面。 + Q, C% w7 r' A' |! U
# Y7 _: n0 `$ f4 Q( j
·病毒会在注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun项中加入病毒Regedit.exe的路径。 + z3 n% o" K/ H" I# L* q8 E
" I6 a$ F( r, g$ t9 P/ C·病毒运行时会释放出一个FUNLOVE病毒并将之执行,而FUNLOVE病毒会在计算机中大量繁殖,造成系统变慢,网络阻塞。
& V/ ?5 X% }, _4 I7 N4 z: Y# e% K, W
3 \9 H- e& G0 R9 c% e5 v1 J) l0 h& N·病毒会寻找计算机中的邮件地址,然后按照地址向外大量发送标题为:<被感染的计算机机名>(例:如果用户的计算机名为:张冬, 则病毒邮件的标题为:张冬)的病毒邮件。
* \% g3 F' c6 Q. r- Z0 t8 x: m) |" s, Z/ F! z1 s6 b
·病毒还会杀掉几十家国外著名的反病毒软件。 7 Q$ Z( B" L- r& I5 h
# Y+ x$ _: A3 K0 g, I用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了Bride(Worm.bride)病毒,请用户立刻用手中的杀毒软件进行清除。 * L: B$ T+ l7 M$ E- y. ?
7 w* a# Z8 Y7 o) E- J$ m2、使系统变慢的阿芙伦病毒 / R6 d" x. @) D) z( E, z
* r# C+ l, @4 E; X7 D% P: {9 @病毒类型:蠕虫病毒
' D, [6 o! ^- t+ ]6 l8 ]% L* f) A! ?1 @- U; g
发作时间:随机
1 p. j3 T1 v- O+ i$ G& Z
% M+ N& h& I: H* W3 E h" T- e传播方式:网络/文件 . |- T" }2 p) B5 p7 [% v1 c
! w# g0 x/ X7 ]) n& f, u感染对象:网络 # s2 g+ B5 b4 d, Y* N* w( G
- n/ W, X! S- a3 J
警惕程度:★★★★ 5 _+ a) }5 n, f6 P+ F9 l
- E2 C0 b3 w( v病毒介绍:
: T' j* b7 H6 w3 h1 G+ N& K; a6 S5 b d3 @4 ~. E
此病毒可以在Windows 9X、Windows NT、Windows 2000、Windows XP等操作系统环境下正常运行。病毒运行时将自己复到到TEMP、SYSTEM、RECYCLED目录下,并随机生成文件名。该病毒运行后,会使消耗大量的系统资源,使系统明显变慢,并且杀掉一些正在运行的反病毒软件,建立四个线程在局域网中疯狂传播。
1 a2 I* M6 W$ C
0 T% U2 ~+ R3 F& ?病毒特征
- X5 r! `( E# Q, n' G
3 U! r2 }% \5 |% s2 F- R如果用户发现计算机中有这些特征,则很有可能中了此病毒:
! L# f6 X; c4 f1 w$ Q7 _5 L
6 \! u9 m: l$ m7 v* ^·病毒运行时会将自己复到到TEMP、SYSTEM、RECYCLED目录下,文件名随机
, V' A# F: }6 Q8 l7 m7 V2 t8 D2 f5 i3 W8 d: M
·病毒运行时会使系统明显变慢 4 Q6 e% ?: W2 J# I) D. p. R4 J9 d
* x" q' T; \3 q: w/ X& D4 |·病毒会杀掉一些正在运行的反病毒软件
/ F8 r$ ]8 d' @5 n w
2 y7 F6 |5 X: q·病毒会修改注册表的自启动项进行自启动
9 U& I: d& P9 I$ p
' j/ Y0 Z* F1 v2 @' p·病毒会建立四个线程在局域网中传播 ( j# ]# F# L6 |" k7 @" J7 O
; b" F G l/ T; U/ }
用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了“阿芙伦(Worm.Avron)”病毒,由于此病毒没有固定的病毒文件名,所以,最好还是选用杀毒软件进行清除。 y2 t6 |: L3 l' f- ^% e
* ^& I, R- a2 P$ r3 T# @1 f
. e5 {$ o1 X. C% m6 H3、恶性蠕虫 震荡波 $ a) g7 ?# d- Y# j
1 x0 P, r# d8 }5 {0 `
病毒名称: Worm.Sasser : P2 I: ~! e# q8 N# n; x
& R1 t9 K: H& V. N, o8 |中文名称: 震荡波
6 k9 C+ J5 U: w: i) K9 @8 h0 h
* c: P+ v4 w7 W' J病毒别名: W32/Sasser.worm [Mcafee] 9 I* X; x% x* @, Q- \5 ?
2 [& n. S) ?: _; u+ x0 a
病毒类型: 蠕虫 0 O& B2 U7 e. a" h7 q& h
0 f2 i& ^/ [# b1 p1 g4 M5 l
受影响系统:WinNT/Win2000/WinXP/Win2003 / p, m, ~: Y2 }4 s
- I3 u0 ~. Z: f病毒感染症状: ( p$ g% Y! e. l2 o7 e6 r7 \
- k; e3 N0 u1 x/ Q$ k7 i4 H. z& F·莫名其妙地死机或重新启动计算机; : r6 c4 }8 V1 F( l6 G- ^/ U& ^; ]/ E
, U/ w! V. X/ s* h% X# k+ H0 z2 ]
·系统速度极慢,cpu占用100%; ( T1 M& B* _. `1 R4 k( B* T' d8 m
2 p$ A% K! H) F% A0 ]
·网络变慢;
2 }% e6 \ q: g L8 I" g, p5 P' u; d) B& G. R
·最重要的是,任务管理器里有一个叫"avserve.exe"的进程在运行! / W* b- Y% y0 }. x
6 r" n2 V% T: F9 q0 ^; e! t破坏方式:
8 w: d" q& `4 j; z9 a- h
" k- `; @# \9 i( f) O d+ G·利用WINDOWS平台的 Lsass 漏洞进行广泛传播,开启上百个线程不停攻击其它网上其它系统,堵塞网络。病毒的攻击行为可让系统不停的倒计时重启。 - a- z( |1 c: l% x7 w
$ T5 S7 z& J' `3 L·和最近出现的大部分蠕虫病毒不同,该病毒并不通过邮件传播,而是通过命令易受感染的机器 % p/ ~4 J$ ]1 b
: Y6 z1 T( e2 t8 d
下载特定文件并运行,来达到感染的目的。
9 R) ?$ C' I& \7 W/ A. t% M0 H0 Y% E
·文件名为:avserve.exe 1 }0 m* j+ v; s! x
+ p2 f" M/ M3 V G# m/ g
解决方案: . M1 j. B( k6 F7 I4 ~& i% |! N/ M
8 ?! i e2 g; Z0 p
·请升级您的操作系统,免受攻击 " T8 R+ F2 g/ y* Z( i! d/ U
# c! a \* [. ~& p
·请打开个人防火墙屏蔽端口:445、5554和9996,防止名为avserve.exe的程序访问网络
/ r; B$ z& a4 m3 h. b9 U, b5 U6 }+ N0 U4 M+ G: X! f" L. ?+ Q# h
·手工解决方案:
s2 m2 Q4 }8 f9 Y$ y$ U6 i% s, Z$ f0 ]5 p+ ~
首先,若系统为WinMe/WinXP,则请先关闭系统还原功能;
; h) s; C! ]' I* I) L' o+ o: ?1 x3 {
+ ~. w$ Q2 C! J3 F8 D步骤一,使用进程程序管理器结束病毒进程 ! ~7 A. N& |8 W. t) l
$ }' M! m- t# n) q& D
右键单击任务栏,弹出菜单,选择“任务管理器”,调出“Windows任务管理器”窗口。在任务管理器中,单击“进程”标签,在例表栏内找到病毒进程“avserve.exe”,单击“结束进程按钮”,点击“是”,结束病毒进程,然后关闭“Windows任务管理器”;
- m3 Q% j5 u/ _ r
# M; D5 y2 q1 `' {0 q. I步骤二,查找并删除病毒程序
9 ]& j0 O9 S# g2 t
* y T. @# |% I4 j! m* k通过“我的电脑”或“资源管理器”进入 系统安装目录(Winnt或windows),找到文件“avser ve.exe”,将它删除;然后进入系统目录(Winntsystem32或windowssystem32),找 到文件"*_up.exe", 将它们删除;
# Q" C2 x" ?2 Q% ~3 g0 e
6 K( t9 {, `" P# J3 `$ b0 `步骤三,清除病毒在注册表里添加的项
: B: ?, A" ^( c% g$ o/ b% D3 h4 z. l& X# j. x- ]5 j
打开注册表编辑器: 点击开始——>运行, 输入REGEDIT, 按Enter;
$ s! t4 u' v: w; r9 c0 O) z J" z8 W8 k. ]# N
在左边的面板中, 双击(按箭头顺序查找,找到后双击): , o: ^/ {6 L' J% `$ E
2 _* ]6 m& @6 hHKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun 5 u! I% _# t. e& `& {) e9 X8 k( t
; ~8 F; ]) r/ j0 s. v* b9 d
在右边的面板中, 找到并删除如下项目:"avserve.exe" = %SystemRoot%avserve.exe ) |9 ^) P3 T0 `3 q
) F3 C$ B! r- [" \1 }关闭注册表编辑器。 |