什么是病毒副本

  通常说的病毒副本就是病毒在运行的时候,对自身进行的备份。其目的是当病毒的主文件被清除后,病毒副本就可以重新释放出来,继续感染和破坏系统。不过病毒运行时产生的衍生物,也可以称之为病毒副本,它们就只能算是病毒的一部分。

 
为什么一上网就死机   在电脑的使用过程中常出现许多令人困惑的故障,在我多年电脑维护中发现,电脑硬件故障率最高的部件首推内存,而且内存引发的故障往往非常隐蔽,让人难以判断故障的起因。www.sq120.com推荐文章

  案例一:朋友的电脑配置为:赛扬4 1.7GHz,845E主板,TP-LINK8139网卡,两条现代128MB DDR266内存,GeForce4 MX440显卡。以前一直使用正常,近日安装了ADSL,连接上网后出现频繁死机的现象。表现为:连接上网后随便开两个网页或者开QQ、玩网络游戏不到两分钟就死机,重新启动再连接上网依然如此。

  由于故障出现在安装了ADSL之后,凭笔者的直觉问题出在TP-LINK8139网卡上,可能是网卡和其他设备有冲突。于是在设备管理器里卸载掉网卡,打开机箱,将网卡更换PCI插槽,反复试验各PCI插槽,故障依旧。笔者另外找了块网卡更换掉TP-LINK8139网卡,上网试验,依然反复死机。

  接下来在使用了杀毒、重装系统大法等一系列无奈的方法无功而返后,我把目光放到了内存上。此电脑使用的是两条现代128MB DDR266内存,笔者拔下其中一条。启动电脑连接上网,故障不再出现。是拔下的那条内存有问题吗?我换上它,连接上网也一切正常。
  看来这是两条内存引起的兼容问题,但令我不解的是两内存并用为何能正常进行上网以外的其他操作,而只是影响上网呢。
  案例二:一台正常使用的电脑某日闹起了脾气,在进入桌面前弹出个窗口,提示某系统文件损坏,不能进入系统。由于这一地区平常电压不太稳定,常出现非法关机的情况。我想可能是这个原因造成系统文件损坏。把C盘格式化,然后用诺顿GHOST还原以前做的系统镜像,在还原过程快结束的时候,提示出现错误,还原过程不能继续,难道此镜像文件已经损坏了?干脆用WinXP的安装光盘全新安装,不料安装过程过半的时候也出现错误,提示某文件错误不能复制。这可让我傻了眼,难道操作系统文件损坏、系统镜像文件损坏,连这张WinXP安装光盘也同时坏了?
  仔细一想,这一定不是操作系统出了问题,莫非又是内存这家伙在搞怪?拔下内存,用橡皮拭擦内存的金手指,重新插好内存。启动电脑,再次用诺顿GHOST还原系统镜像,这次一切顺利,不再出现错误。还原完毕后顺利进入操作系统。
  案例三:一日朋友来电话求救,说电脑不能启动,还发出“嘟,嘟……”的叫声。我赶到朋友家里一看,他的电脑开机后发出一长二短的BIOS报警声(他的电脑BIOS为AWARD),显示器点不亮。找出主板说明书查看,上面有详细的BIOS报警声的说明,查看得知一长二短的报警声是显示器或显示卡错误。正好朋友有块以前升级换下的显卡,就用它替换来看看是不是显卡出问题了。没想到换上后还是不能启动,发出同样的报警声。这下故障的原因就不是那么直观了,就从内存着手吧,我遇到不明故障总是会怀疑到它。拔下内存用橡皮拭擦内存的金手指,插好后重新开机,故障消失。
  后查看说明书,内存故障的BIOS报警声为一长一短或不断地长响,不知为何一长二短报警声的故障也是由它引起的。
  总结:电脑在遇到奇怪的故障而不易判断出起因的时候,不妨从内存下手,拭擦金手指法也好、替换法也好,也许一切会变得那么简单。  
斑点狗病毒是什么

  我最近为了拷贝一些资料,向朋友借了一个移动硬盘。当移动硬盘接到电脑上后,就开始复制文件。可是没过多久,我发现磁盘中的程序图标,都变成了斑点狗的图标(图1)。请问医生,这些斑点狗的图标从何而来?我该如何处理?

改图标留个人感言
  看到那些可爱的小狗图标了吧,这就是我“小狗上学”病毒的重要标志。我是用VB编写的病毒,可以通过网页木马、移动设备进行传播。当我在系统中成功运行后,会在系统的System32目录中释放病毒文件Soleboy.exe和副本Soleboy.txt,并在每个磁盘分区目录下生成Soleboy.exe和Autorun.inf,以达到随着移动设备进行传播的目的。
  接着我会添加病毒启动项到注册表的Run项目中,以达到开机自启动的目的。然后搜索磁盘中的可执行文件,将这些文件图标改为“斑点狗”的图标。
  与此同时,为了逃避安全工具的追踪,我还会对注册表进行修改完成对安全工具的映像劫持(映像劫持是将程序名称添加到注册表中的Image File Execution Options项,当这些程序运行的时候,系统将它们引导到一个“莫须有”的位置,从而造成程序运行的失败),将它们都劫持到病毒文件System32\Soleboy.exe中。
  这样当用户运行安全软件时,不但无法运行安全工具,还会激活系统中由我释放的病毒文件。我同时还会查找系统中带有指定关键字符的窗口,关键字包括金山毒霸、瑞星、江民、360安全卫士等,找到后利用Sendmessage函数发送WM_CLOSE命令关闭这些窗口。
  然后修改系统之中关于COM和EXE文件的文件关联,将默认关联的程序修改为系统中的病毒文件Soleboy.exe。这样无论是运行COM还是EXE格式的文件,都会立即运行病毒文件。同时我还会删除System32目录中的Taskkill.exe文件,因为它可以用于结束我的进程信息。最后我还在Soleboy.txt中写了一段个人的感言。
巧改名称来杀毒
  从作者的留言可以看到,该病毒并没有对系统数据进行破坏,这样就减少了我们修复系统的时间。
  第一步:首先下载系统修复工具SREng和安全工具IceSword并分别进行解压,接着将IceSword和SREng改名为1.bat和2.bat。运行工具IceSword,点击工具栏中的“进程”按钮,在进程列表中找到病毒进程Soleboy.exe,现在点击鼠标右键中的“结束进程”命令将它结束。
  第二步:接着运行SREng,点击“启动项目”按钮中的“注册表”。选中病毒的启动项Soleboy后,点击“删除”按钮将它清除。接着拖动左侧的滚动条,在下面可以看到很多红色的项目,这些都是被病毒进行映像劫持的内容,同样通过“删除”按钮将这些信息清除掉(图2)。再点击“系统修复”中的“文件关联”标签,直接点击“修复”按钮即可修复被窜改的文件管理。

  第三步:点击开始菜单中的“运行”命令,输入regedit打开系统自带的注册表编辑器。现在展开HKEY_CLASSES_ROOT\exefile\DefaultIcon,双击该项目后再修改该项数据为“%1”即可(图3)。最后选择IceSword中的“文件”管理功能,选中每个磁盘目录中的Autorun.Inf和Soleboy.exe,以及System32目录中的Soleboy.exe和Soleboy.txt,利用鼠标右键中的“删除”将病毒彻底清除。