找回密码
 注册
搜索
热搜: 超星 读书 找书
查看: 652|回复: 0

病毒问题集锦 (搜集整理)

[复制链接]
发表于 2005-1-10 16:12:30 | 显示全部楼层 |阅读模式
病毒问题集锦

1. 为什么有些病毒清除不了(非运行中),只能隔离而不能清除?
   所谓的杀病毒,就防毒软件而言有两种情况:

   一种是将病毒程序代码由感染的档案中移除(例如一个10K的档案感染了2K的病毒变成了12K,经过杀毒之后,恢复成10K的正常档案),这就是所谓的清除;

   一种是将整个病毒档案删除(这是因为该档案全都是病毒程序代码)这种情况特别容易发生在特洛依木马,蠕虫之类的病毒,这种状况就是采取的隔离措施。

   2. 对于病毒清除后的残余文件,是否会随着病毒清除后自动删除?

   不会。有些病毒或是木马后门之类的恶意程序会在系统中写入一些文件,用以记录自身运行使得一些状态或是记录从系统中取得的数据。这些文件由于是用于记录数据,与通常的纯数据文件并没有什么差别,其本身并不具备执行的能力,因此并不会被检测,相应的该文件也不会被采取一些自动的措施进行处理。

   3. 为什么有时候其他软件认为一个文件是病毒,而趋势却认为不是病毒?

   各防病毒厂商在对病毒的认定标准上存在一些细小的差异,导致某些文件某些厂商检测而其他一些厂商不检测的结果。举例来说,如果一个程序在执行时需要客户认可其最终用户许可协议,趋势科技即不将其检测为病毒,而其他厂家则可能会检测该程序为病毒。

   4. 当发现一个未知病毒时,趋势科技的防毒软件是怎么处理的?除了隔离还会怎么处理?

   发现病毒时,趋势科技的防毒软件通常可以采取的措施有:

   清除

   隔离

   删除

   重命名

   通过(即不做处置)

   如果客户怀疑自己的系统中感染了未知病毒,可以请他将可疑文件压缩成zip文件,并且在压缩时使用密码virus,然后发送至邮箱:virus_doctor@trendmicro.com.cn进行分析

   5. 病毒不断的被发现,那是不是我们的病毒码会不断的增大?

   就目前情况而言,随着新病毒的不断被发现,新的病毒特征将被添加病毒码中,我们的病毒码会继续增大。

   6. 病毒码更新,扫描引擎不更新的话,会不会继续中病毒?

   病毒码中包含的是病毒的具体特征,而扫描引擎就是使用这些特征对文件进行比对,以确定被扫描的文件是否为病毒。因此,理论上只要病毒码包含了相关病毒的特征,则该病毒即可被检测到。

   7. 对于被隔离的病毒文件如果是系统文件的话,客户要删除的话,怎么办?

   由于系统文件是操作系统的一部分,建议客户使用原始的操作系统安装盘恢复相应的文件。

   8. 对于隔离区的清除不了病毒的文件,是否可以等到新的解药出来后,清除文件中的病毒就可以了?

   清除不了病毒的文件可能有以下两种情况:

   该文件本身即是病毒文件而非病毒感染其他文件后生成。这种情况下只能采取隔离或是删除的措施,因为文件中包含的只有病毒代码,不存在清除的问题。

   病毒在感染文件时采取了一些特殊的方法,对被感染的文件进行了一些特殊的处理。使得防病毒软件不能有效的还原原文件。但是,并不排除随着防病毒软件的改进而可以清除的可能。

   9. 病毒常见的有多少种类?

   根据病毒的感染文件的类型,常见病毒有:

   宏病毒

   脚本病毒

   文件型病毒(感染可执行文件)

   10. 病毒发作有的有周期的,是否本机时间改掉就可以了?

   修改系统时间确实可以阻止一些周期性发作的病毒的发作,但是并不是绝对可行。有些病毒由于其触发机制的复杂性,修改系统时间并不能完全阻止其发作。

   11. 蠕虫病毒的特征和区别

   计算机蠕虫是指一个程序(或一组程序),它会自我复制、传播到别的计算机系统中去。最重要的特征是其复制的行为发生于计算机与计算机之间。   

   12. 有客户说,在电脑上装个恢复盘,中毒后,马上就可以恢复。那么所谓恢复盘是什么

   恢复盘可能是客户采取的一些数据备份措施,当系统出现问题时,相对对系统的重新安装,使用之前的数据备份将系统还原是一种比较便捷的方式。

   13. 为什么现在有很多客户都说杀不掉木马程序

   造成这个问题可能是以下原因:在Windows操作系统下运行的程序,其执行的原始文件往往会处在一个受保护的状态,使得对该文件的相关操作被禁止。很多木马程序都会在系统文件或是系统注册表中写下可以使自身在Windows启动时自动执行的项目,因此往往系统已启动木马已在系统中运行,造成防病毒软件无法对木马程序进行有效处理。

   14.哪些病毒有潜伏期的

   病毒是否具有潜伏期要视病毒的具体触发条件而定,只有那些触发条件是使用时间的病毒才具有潜伏期。

   15.不同的病毒生成的文件是什么样的

   要视病毒具体感染的文件类型而定,宏病毒通常会感染Word文档文件以及Excel电子数据表文件;脚本病毒通常会感染网页类型文件;文件型病毒通常感染可执行程序,如exe文件。

   16.感染病毒的具体表现,主要是哪些后缀名形式的,还有一些命名规则

   趋势科技的病毒格式通常为TYPE_NAME.VARIANT

   TYPE为病毒类型:

   常见类型

   WORM 蠕虫

   TROJ 木马

   BKDR 后门

   PE 文件型

   VBS VB script

   JS Java script

   NAME为病毒名称

   VARIANT为病毒某一变种

   例如:WORM_KLEZ.H,该病毒为蠕虫类型,名称为KLEZ,变种H

   17.各类病毒的传播方式

   病毒的常见传播方式有:

   通过电子邮件

   通过网络共享

   通过点对点的文件共享软件

   以磁盘之类的介质

   18.TCS的使用方法,system clean 的使用(较为详细的)

   TSC使用方法:

   1. 关闭所有正在运行的窗口和程序,其中尤其要注意防毒软件的实时防毒也需关闭。如果病毒严重,可以同时将网络连线暂时段开。

   2. 在资源管理器的[工具]\\[文件夹选项]中,选择[使用windows传统风格文件夹]的选项,以禁止资源管理器对Web浏览器的自动调用。(某些病毒专门感染web页面,一旦Web浏览器程序,如IE处于开启状态,会造成开启的页面中的病毒无法有效清除。)

   3. 运行下载的程序[tsc.exe],可以通过以下两种方式执行:

   a. 直接在资源管理器(Windows Explorer)中双击执行。这是推荐使用的模式。

   b. 在控制台(command prompt)下执行,此时可以选择运行参数。

   (如果您一时无法下载最新的工具,请暂时使用本介质内自带的版本。目录为:\\tools\\tsc )

   4. 有时系统可能被不同的病毒反复重复感染,因此可以尝试多运行几次tsc工具。运行结束后,可以继续使用sysclean或是其它工具对整个系统做进一步病毒清理工作。

   注意:

   1. 注意: 该工具会在c:\\temp\\report目录下产生日志(log)文件\"YYYYMMDD.LOG\" (\"YYYY\"指当前的年份,\"MM\"指月份,\"DD\"指日期,即运行当天时间。同一天的日志保存在一个文档里。例如20030523),内有详细的清毒日志;c:\\temp\\backup目录下产生备份文件。因此请注意保证C驱动器下保留有足够空间。

   2. 针对Windows ME/XP系统,由于其自身具有系统保护和恢复功能,所以很可能造成病毒清不掉,或者重启系统后病毒文件又被恢复的情况。因此请在清毒前关闭系统自身的系统恢复功能。

   3. 如果某些系统破坏较严重,可以尝试开机时按[F8]键,选择进入安全模式下进行清毒工作。   

   命令行模式下的运行参数

   /DI 发现病毒时不修复系统INI文件

   /DR 发现病毒时不修复注册表

   /DBI 禁用系统INI文件备份

   /DBR 禁用注册表文件备份

   /DBF 禁用病毒文件备份

   /BP= 指定备份路径

   /DP= 指定调试日志路径

   /DN= 指定调试日志文件名称

   /PP= 指定TSC数据文件路径

   /MN 启用未发现病毒消息框提示

   /MV 启用发现病毒消息框提示

   /HD 隐藏 TSC 控制台

   /VL 显示可检测病毒列表

   Sysclean的使用方法:

   使用方法

   1. 关闭所有正在运行的窗口和程序,其中尤其要注意防毒软件的实时防毒也需关闭。

   2. 在资源管理器的[工具]\\[文件夹选项]中,选择[使用windows传统风格文件夹]的选项,以禁止资源管理器对Web浏览器的自动调用。(某些病毒专门感染web页面,一旦Web浏览器程序,如IE处于开启状态,会造成开启的页面中的病毒无法有效清除。)

   3. 运行下载的程序[sysclean_nnnn_Pxxx.com],可以通过以下两种方式执行:

   a. 直接在资源管理器(Windows Explorer)中双击执行。这是推荐使用的模式。

   b. 在控制台(command prompt)下执行,此时可以选择运行参数。

   (如果您一时无法下载最新的Sysclean工具,请暂时使用本介质内自带的版本。目录为:\\tools\\sysclean )

   4. 在第一遍清毒过程中,请使用sysclean的默认设定扫描整个系统中的文件,即是使用[auto clean/自动清毒]模式对系统进行扫描。

   (此种模式下,sysclean 针对无法进行清除的文件使用较保守的方式进行删除,这样较安全。)

   5. 如果在第一遍扫描过程中有发现病毒,则请进行第二遍清毒过程。此时请更改sysclean的扫描设定,不要选择[auto clean/自动清毒]选项,再次扫描整个系统中的文件。

   (当sysclean扫描到不能自动清除的感染文件时,将给出删除文件的提示。此时,请根据情况需要先备份该文件并记录下相应的原始目录位置,然后选择[删除],以免在操作过程中删除了某些重要文件。)

   注意: 该工具会在自己的目录下产生日志(log)文件\"SYSCLEAN.LOG\" ,内有详细的清毒日志。

   6. 整个过程结束后,再打开防毒软件的实时防毒功能,并使用防毒软件做一次全系统扫描,以进一步确保系统安全。

   注意:

   1. 针对Windows ME/XP系统,由于其自身具有系统保护和恢复功能,所以很可能造成病毒清不掉,或者重启系统后病毒文件又被恢复的情况。因此请在清毒前关闭系统自身的系统恢复功能。

   2. 如果某些系统破坏较严重,可以尝试开机时按[F8]键,选择进入安全模式下进行清毒工作。   

   命令行模式下的运行参数

   /NOGUI 以命令行方式运行该工具,无用户界面模式。

   所需扫描文件的具体目录。如果没有输入参数,则默认会扫描所有目录。

   /Y 自动以\"Yes\"回应所有提问,即以无人工干预状态运行。

   /? 显示帮助信息

   19. 几个破坏性强的病毒(eg: red code;nimuda;troj等)产生的时间,第一次出现时已什么名称出现?

   Codered最早发现于2001年7月

   Nimda最早发现于2001年9月

   20. 比方说,我的机器突然运行速度缓慢或有时查看不到其他的客户端,过了几周之后有公布说这是病毒造成的后果,那请问一下在此之前,是否有什么办法可进行判断?

   如果怀疑系统中有未知的病毒,请将可疑文件压缩成zip文件,并且在压缩时使用密码virus,然后发送至邮箱:virus_doctor@trendmicro.com.cn进行分析。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|网上读书园地

GMT+8, 2024-12-26 21:25 , Processed in 0.270566 second(s), 5 queries , Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表