病毒查杀心得
 
从学IT开始到现在已经好几年了,在应对计算机病毒方面也有了自己的理解!想起当年刚读书的时候冲击波病毒爆发,给了我一次深刻的印象。工作后又遇到人生中最厉害的一次病毒爆发---熊猫烧香!
 
下面就来讲讲我自己对计算机病毒的防治的见解,希望可以和大家交流!仅限winodws系统!
 
一、打补丁,填补所有的漏洞
二、安装必要的杀毒软件和辅助软件
三、降低计算机的权限、关闭自动还原和共享
 
    每台电脑在重新安装系统后就必须有所动作!系统安装好后windows SP2会提示设定开启windows防火墙。开启防火墙后我们就为自己的计算机建立了第一道防线,windows自带的防火墙功能不是很强大,某些病毒还是有机可乘的。所以我们在安装驱动和软件的时候最好是断开网络独立安装!在安装的过程中管理员的密码一定要设置较为复杂的密码。空密码有可能被黑客或者病毒利用,微软的工程师曾经说过,设置一个简单的密码,比如123,还不如设置一个空密码,是这种情况的朋友们请赶快行动吧!
 
    电脑的账户尽量不要设置太多,设定的东西越多暴露的越多!一般个人用户都是用的管理员账户,默认的administrator都会被自动隐藏了。企业用户尽量使用user权限,防止用户共享产生漏洞。熊猫烧香就利用了共享文件感染整个计算机。想当年很多同事中了熊猫烧香,觉得熊猫挺可爱的,还使劲地去双击它!最后被感染得2000server.exe档都不能执行了!还好利用网络搜索,找到解决的办法!我们还需要关闭系统一些默认的共享和磁盘还原功能。趋势的病毒工程师提醒过我们公司,系统自带的备份还原功能会造成病毒入侵,并且在查杀病毒的时候干扰我们,造成病毒查杀不干净。
 
    重新安装的计算机在选择杀毒软件的时候一定要注意了!看自己到底适合哪款杀毒软件。杀毒软件有那些功能,比如WEB、邮件等保护。卡巴虽然好但是支持耗费大,对于硬件性能不好的不推荐使用。不过我自己比较喜欢卡巴和金山毒霸。杀毒软件不是安装的越多越安全,我曾经看过有人安装了两到三个杀毒软件,系统没有因为杀毒软件冲突造成不能进入系统已经是万幸了!个人用户上网一般浏览国内网页较多,所以我才建议使用金山毒霸,毕竟国内的病毒比较猖狂,国外杀毒软件在病毒爆发后好几天才能作出反映。熊猫烧香的时候,国内有很多的专杀工具,但是国外的杀毒软件在一个星期内都无法解决,中了之后就连杀毒软件也运行不了!金山毒霸的套装还有漏洞扫描安装补丁的功能,非常适合个人用户。也可以检查系统的其它漏洞,为计算机作出安全分析。用了卡巴的朋友再安装一个360安全卫士,这是一个绝佳的组合!360可以做安全分析打补丁杀木马。和金山套装一样还可以修改浏览器,备份还原注册表。这个时候打补丁,速度是最快的!
 
    企业用户因为不可能每台电脑都可以上外网,这个时候就必须安装网络版的杀毒软件和WSUS服务器了!公司以前安装趋势的网络版,杀毒能力不是很好,不过做防火墙的策略真的不错!公司中有VLAN的用户也要控制各VLAN之间的访问,利用交换机来做好防御。此外路由器和防火墙的管理也不能松懈!
 
    在使用中我们还要对U盘病毒进行防御,在安装了金山套装和360安全卫士后,插上U盘类的东西后会自动扫描有无病毒!不过我们也可以通过修改注册表来禁止。
1、单击开始→运行,在打开框中,键入“gpedit.msc”,单击确定按钮,打开组策略窗口; 
2、在左窗格的本地计算机策略下,展开计算机配置→管理模板→系统,然后在右窗格的设置标题下,双击关闭自动播放 
3、单击设置选项卡,选中已启用复选钮,然后在关闭自动播放框中单击所有驱动器,单击确定按钮,最后关闭组策略窗口。 
用户配置中同样也存在这个关闭自动播放设置。但计算机配置中的设置比用户配置中的设置优先。需要注意的是:关闭自动播放设置并不能够阻止自动播放音乐CD盘。要阻止音乐CD的自动播放,你就只有使用属性设置法了。
将所有的漏洞关闭了,补丁都打了之后,我们最好做一个GHOST备份。
 
防御我们已经做好了,万一我们中毒了,怎么去杀毒呢?
 
碰到比较简单的病毒和木马我们就直接使用杀毒软件和360安全卫士来查杀就可以了!万一我的杀毒软件启动不了怎么办?中了autorun双击硬盘打不开怎么办?这个时候需要使用一些工具了!首先用360或者其它可以查木马的将电脑中的木马全部干掉!杀毒软件不能开启很有可能是因为木马使用了勾子,将杀毒软件的内部个别程序勾住了,只有消灭了木马勾子才能启动杀毒软件!
 
我们可以使用autorunsProcessExplorerNtFilemonNt和冰刃之类的软件来揪出一些陌生的程序。
 
Autorun如果不知道怎么操作的话,需要在正常的电脑中运行autoruns,然后两台电脑做对比,有不一样的很有可能是病毒!
下载地址:http://www.crsky.com/soft/5285.html
 
http://www.sysinternals.com/Files/ProcessExplorerNt.zip
 
      http://ishare.iask.sina.com.cn/f/4791321.html
 
      http://www.crsky.com/soft/6947.html
    用上述方法清楚病毒后,我们最好重新开机在安全模式下查杀病毒!查杀病毒完成后重新启动。如果还有病毒不能删除就只能将硬盘拆卸下来作为别的主机的从盘来查杀病毒!
 
    如果还是无法清除我们唯一一个办法就是重新安装系统或者GHOST还原!