中毒后处理对策
这个病毒的变种比较多,并且现在有时甚至都分不清到底是熊猫烧香还是VIKING新变种,处理起来当然要看具体的情况而定。一般来说先禁掉SERVER服务然后重启或者直接停止SERVER服务,以防再次从局域网中毒。然后用瑞星或江民的专杀(江民VIKING专杀要在线更新到最新,一些新变种才能查杀)试试看能否杀掉。如果不行,试试如果能打开任务管理器的话,把可疑的进程结束掉,如果有的话。再在文件夹选项的查看里面,把“隐藏受保护的文件和文件夹”前面的勾去掉,再选上“显示所有文件和文件夹”,然后把所有分区根目录中的可疑可执行文件和AUTORUN.INF删除,并且尽可能把C盘以外的其他盘上所有可执行文件删掉。如果由于病毒的修改不能显示隐藏文件,试试用搜索的方式搜索所有分区上的AUTORUN.INF和C盘以外的各分区的可执行文件并彻底删除。如果可疑可执行文件删不掉,试试启动到安全模式或者用光盘启动后(如果分区是NTFS的,还要加上DOS下读写NTFS分区的NTFSDOS工具)删除这些可疑文件和INF。然后再格C盘重装系统。记得重装的时候密码要设置复杂一点,并且装好后第一时间把SERVER服务关掉。还有就是打开其他分区的时候要特别小心,尽量用右键->打开的方式打开其他盘,不要双击打开,以防隐藏在其他分区上未被清除的病毒再次激活。
处理完之后,接下来最好再用专杀工具彻底查杀一次。然后接下来就是为新装的(或经过彻底清除病毒的)系统做好一些防范措施了。大概要做的防范措施如下:
一,如果密码太简单,记得换个复杂一点的密码。这一点不管是对于防范病毒还是防范入侵都有意义,并且其实早就应该这么做的。不要贪方便用那种弱口令或者空口令。
二,禁用SERVER服务,这样做以后感染蠕虫病毒的可能性就低了好多。坏处是服务器上就不能设置共享文件夹了,如果服务器确实需要开共享文件夹的,SERVER服务就不能禁,不过也要把默认共享都禁掉。或者如果只是偶尔要开一下共享,那么平时把SERVER服务禁掉,要用共享的时候再临时开一下SERVER服务,用完共享后及时再把这个服务关掉,以期把风险降到最小。
三,禁用自动播放,这个无聊的功能也助长了病毒的传播,禁用了自动播放,至少就算再由局域网再感染了病毒,病毒也不会激活或者不会再扩散。方法是在组策略管理器中,计算机配置-管理模板-系统里面,把“关闭自动播放”设置为已启用,并选“所有驱动器”,这样就禁用了所有驱动器上的自动播放。这样就算某个盘的根目录有病毒的可执行文件和AUTORUN.INF,双击也不会运行病毒。当然了,最好以后在打开各个盘符的时候用右键-打开,虽然麻烦点,不过也更安全些。
四,如果要为系统做克隆备份,最好在克隆备份时或备份后,把GHO文件的扩展名改为其他扩展名,这样虽然以后恢复会麻烦点,不能浏览GHO文件,要手工输入备份的克隆文件的全名,但基本上就不用怕备份文件被病毒删除。
五,按上面说的,把“隐藏受保护的文件和文件夹”关掉,选择“显示所有文件”,这样如果中毒的话可以及早发现。
六,平时多留意系统的进程和SYSTEM32、SYSTEM32\DRIVERS这些文件夹,如果发现有可疑的进程或可疑的程序,要及时查杀和处理,建议装个360安全卫士(http://www.360safe.com),能帮你下载微软的更新补丁,还能查杀可疑的进程和程序,并对系统敏感部分进行有效的保护,而相对来说占用的资源不会象杀毒软件那么大,比较适合于对性能要求比较高并且不上网的服务器,同时它也能对进程和服务以及启动项能有效地监视和处理。
吃一堑长一智,前事不忘后事之师,经过这样处理之后,系统的安全性有了进一步的提高,虽然不是说就从此万事无忧了,不过暂时来说对最近的这些流行蠕虫来说至少还是能有效的防范的了。
本文主要是说防范方面的内容,至于熊猫烧香、维金病毒的详细情况,以及更详细的处理过程和专杀工具的下载,大家可以在百度搜索一下,可以找到不少相关资料。
网友评论