内容发布更新时间 : 2024/5/19 9:20:10星期一 下面是文章的全部内容请认真阅读。

三种计算机病毒及其解决方式

宏病毒

是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文

档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。在文档中宏的作用相当于一个函数，用它来代替一个功能的方法的构成。

一、宏病毒的主要破坏 WORD宏病毒的破坏：

对WORD运行的破坏是：不能正常打印；封闭宏病毒或改变文件存储路径；将文件改名；乱复制文件；封闭有关菜单；文件无法正常编辑。

DOC文件被宏病毒感染后，它的属性必然会被改为模板，而不是文档(尽管形式上其扩展名仍是DOC)。

二.此时可按下述步骤进行处理： 1，将该文件打开。2，选择全部内容，复制到剪贴板。3，关闭此文件。4，新建一个DOC文件(此前应保证Normal模板干净)。5，粘贴剪贴板上的内容。6，另存为原文件名(将原来模板属性的文件覆盖)。 现在，该文档的“另存为”命令可以正常使用了，宏病毒的“后遗症”清除完毕。照此法处理所有曾经染毒的 文档。最后想说一句，清除宏病毒时，若染毒文档太多，手工方法将非常繁琐，杀毒软件又不十分完善(存在杀不干净或误杀的问题)，所以最好采用杀毒软件与手工清除相结合的方式。

蠕虫病毒 危害就是一旦运行就会感染你所有的文件或特定文件，或者已耗尽资源的方

式来对你的电脑进行破坏。蠕虫病毒和一般的计算机病毒有着很大的区别，对于它，现在还没有一个成套的理论体系，但是一般认为：蠕虫病毒是一种通过网络传播的恶性病毒，它除具有病毒的一些共性外，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务，以及与黑客技术相结合等等。蠕虫病毒主要的破坏方式是大量的复制自身，然后在网络中传播，严重的占用有限的网络资源，最终引起整个网络的瘫痪，使用户不能通过网络进行正常的工作。每一次蠕虫病毒的爆发都会给全球经济造成巨大损失，因此它的危害性是十分巨大的；有一些蠕虫病毒还具有更改用户文件、将用户文件自动当附件转发的功能，更是严重的危害到用户的系统安全。

解决方式 1. 中止进程

按“Ctrl+Alt+Del”组合键，在“Windows 任务管理器”中选择“进程”选项卡，查找“msblast.exe”(或“teekids.exe”、“penis32.exe”)，选中它，然后，点击下方的“结束进程”按钮。

提示：如不能运行“Windows 任务管理器”，可以在“开始→运行”中输入“cmd”打开“命令提示符”窗口，输入以下命令“taskkill.exe /im msblast.exe”(或“taskkill.exe /im teekids.exe”、“taskkill.exe /im penis32.exe”)。

2.删除病毒体

依次点击“开始→搜索”，选择“所有文件和文件夹”选项，输入关键词“msblast.exe”，将查找目标定在操作系统所在分区。搜索完毕后，在“搜索结果”窗口将所找到的文件彻底删除。然后使用相同的方法，查找并删除“teekids.exe“和“penis32.exe”文件。

提示：在Windows XP系统中，应首先禁用“系统还原”功能，方法是：右击“我的电脑”，选择“属性”，在“系统属性”中选择“系统还原”选项卡，勾选“在所有驱动器上关闭系统还原”即可。

如不能运行“搜索”，可以在“开始→运行”中输入“cmd”打开“命令提示符” 窗口，输入以下命令：

“del 系统盘符\\winnt\\system32\\msblast.exe”(Windows 2000系统)或“del系统盘符\\windows\\system\\msblast.exe”(Windows XP系统)

3.修改注册表

点击“开始→运行”，输入“regedit”打开“注册表编辑器”，依次找到“HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run”，删除“windows auto update=msblast.exe”(病毒变种可能会有不同的显示内容)。

4.重新启动计算机

重启计算机后，“冲击波”（也就是蠕虫病毒）病毒就已经从系统中完全清除了。 ---------到此结束 下面是蠕虫病毒的症状看看是不是蠕虫病毒------

攻击对象：Windows NT 4.0，Windows 2000，Windows XP，Windows Server 2003等

传播途径：“冲击波”是一种利用Windows系统的RPC(远程过程调用，是一种通信协议，程序可使用该协议向网络中的另一台计算机上的程序请求服务)漏洞进行传播、随机发作、破坏力强的蠕虫病毒。它不需要通过电子邮件(或附件)来传播，更隐蔽，更不易察觉。它使用IP扫描技术来查找网络上操作系统为Windows 2000/XP/2003的计算机，一旦找到有漏洞的计算机，它就会利用DCOM(分布式对象模型，一种协议，能够使软件组件通过网络直接进行通信)RPC缓冲区漏洞植入病毒体以控制和攻击该系统。 2.

木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名，顾名思义就是一种伪装潜伏

的网络病毒，等待时机成熟就出来害人。

木马病毒的危害

传染方式:通过电子邮件附件发出，捆绑在其他的程序中。

病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。

木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序指定的地址，一般同时内置可进入该用户电脑的端口，并可任意控制此计算机，进行文件删除、拷贝、改密码等非法操作。

解决方式

[第1楼] 目录

[第2楼] 灰鸽子病毒查杀

[第3楼] 冲击波病毒详细解决方案

[第4楼] 震荡波病毒:Worm.Sasser解决方案

[第5楼] Word问题(不能复制粘贴，word文档变成exe文件)解决方法 [第6楼] IE主页被修改的解决办法

[第7楼] 解决冲击波和震荡波,狙击波病毒给你带来的烦恼 [第8楼] \尾巴(Trojan.QQ3344)\及变种病毒的清除和预防 [第8楼] HijackThis专题

[第9楼] 注册表专题 1.什么是注册表 2.注册表产生的背景 3.如何访问注册表 4.注册表的基本结构介绍 5.注册表都能做些什么 6.注册表文件的结构 7.注册表与其它系统组件的关系 \灰鸽子\病毒 病毒特性: G_Server.exe(即灰鸽子病毒的服务器端)第一次运行时自己拷贝到Windows目录下（98/XP操作系统为系统盘windows目录，2K/NT为系统盘winnt目录），并将它注册为服务，然后从体内释放2个文件到Windows目录下：G_Server.dll，G_Server_Hook.dll（近期灰鸽子版本会释放3个文件，多了一个G_ServerKey.exe，主要用来记录键盘操作）。然后将G_Server.dll，G_Server_Hook.dll注入到Explorer.exe、IExplorer.exe或者所有进程中执行。然后G_Server.exe退出，两个动态库继续运行。由于病毒运行的时候没有独立进程，病毒隐藏性很好。以后每次开机时，Windows目录下的G_Server.exe都会自动运行，激活动态库后退出，以免引起用户怀疑。注意，G_Server.exe这个名称并不固定，它是可以被使用者定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。 灰鸽子的手工检测: 由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。 1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。 此主题相关图片如下： 2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:windows，2k/NT为C:Winnt）。 此主题相关图片如下： 3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。 此主题相关图片如下： 4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件 此主题相关图片如下： 经过这几步操作我们基本就可以确定这些文件是灰鸽子木马