网站原创摘 要
感染病毒是计算机管理过程中的棘手问题,尤其是学校计算机使用频率高、U盘等存储介质使用频繁,稍不留意便会造成病毒在全校范围的扩散,以至影响教学、办公的正常进行.如何在感染病毒后及时查杀,笔者在此总结个人查杀熊猫烧香病毒的实践经验,以供计算机管理员参考.
【关 键 词】计算机管理熊猫烧香病毒
1实践背景
熊猫烧香(也称武汉男孩)病毒于2006年底出现,12月台湾地震导致海底光缆断裂,一段时间内境外怎么写作器大范围失联,当时主流的杀毒软件(诺顿、卡巴斯基等)无法升级病毒库,助推了病毒的扩散与传播,2007年初在网络上肆虐.
笔者就职的中职学校于2007年1月在机房中发现该病毒.短短2周内,5个机房近200台计算机和超过70%的办公电脑感染了病毒,出现以下问题:
(1)桌面多个图标被篡改为熊猫烧香图案,出现1分钟倒计时重启;
(2)杀毒软件、安全卫士等系统防护程序自动退出;
(3)个别电脑断网能正常登陆,联网便无法登陆反复自动重启;
(4)根目录存在无法删除的可执行文件Gamesetup.exe.
2实践过程
通过网络学习,笔者逐渐理清熊猫烧香工作原理,尝试多个专杀工具效果不理想后开始手动查杀病毒.
2.1查杀步骤
熊猫烧香病毒大范围扩散基于以下几个特点:
(1)感染覆盖面广.病毒除感染可执行文件外,还篡改asp、scr、pif等文件.
(2)系统植入深.病毒通过自我复制到系统目录(%system%\drivers)、注册表创建自启动项、根目录创建副本同时设置AutoRun强势侵入操作系统,并主动以弱访问局域网其他计算机以传播自身.
(3)自身保护意识强.病毒自动终止金山毒霸、管家等杀毒功能软件和任务管理器、注册表编辑器等常用系统管理工具进程,并删除相关启动项,禁用相关怎么写作,甚至破坏GHO文件,以阻止用户使用GHOST还原系统.
针对上述特点,制定出杀毒策略:
(1)终止病毒进程spoclsv.exe(变种中可能是spcolsv.exe,与系统进程spoolsv.exe仅相差一个字母);
(2)清除病毒相关程序及文件;
(3)清理注册表,去除相关痕迹.
而要设计出适用性强又易行的通用杀毒方式,第一步终止病毒进程便成为关键,而如何提高适应性和避免杀毒过程再次染毒也让这一步骤成为难点.
2.2难点攻克
笔者首先尝试使用命令行来解决此难点,便取得了良好效果.自WindowsXP系统开始,微软操作系统自带进程管理命令tasklist和taskkill,分别具有进程查询和结束功能.使用taskkill命令配合/f(强行终止)、/t(连带子进程一并终止)两个参数,便可关闭病毒程序.
进而编写了杀毒批处理文件,命令如下:
@echooff
/*关闭命令显示*/
/*****结束病毒进程*****/
taskkill/f/t/imspcolsv.exe
taskkill/f/t/imspoclsv.exe
/*****删除系统目录中病毒程序*****/
cdc:\windows\system32\drivers
attribhsr/*去除文件隐藏、系统属性以便删除*/
delsp**lsv.exe
/*****删除系统盘病毒程序*****/
cdc:\
attribhsr
delautorun.inf
delsetup.exe
delgamesetup.exe
/*****删除D盘病毒程序*****/
d:
attribhsr
delautorun.inf
delsetup.exe
delgamesetup.exe
/*****若还有其他盘,可仿照D盘删除方式添加命令*****/
/*****删除注册表相关项*****/
regdeleteHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run/vsvcshart/f
| 有关论文范文主题研究: | 关于计算机的文章 | 大学生适用: | 函授论文、本科毕业论文 |
|---|---|---|---|
| 相关参考文献下载数量: | 60 | 写作解决问题: | 如何写 |
| 毕业论文开题报告: | 标准论文格式、论文结论 | 职称论文适用: | 核心期刊、职称评副高 |
| 所属大学生专业类别: | 如何写 | 论文题目推荐度: | 最新题目 |
2.3杀毒全过程
2.3.1单机杀毒
(1)下载杀毒软件最新版本安装程序,与批处理文件同存于U盘中,开启U盘写保护;
(2)拔除染毒机器网线、关闭无线网卡,阻断一切网络连接;
(3)运行杀毒批处理文件;
(4)删除杀毒软件重新安装;
(5)使用杀毒软件进行完全查杀,清除病毒余孽;
(6)联网升级病毒库,下载安装受影响软件.
2.3.2机房杀毒
学校机房装有硬盘保护卡,系统盘感染病毒可能性大为降低,可选取一台受影响相对较小计算机依据单机杀毒过程查杀病毒,而后通过系统同传对操作系统完成清理.使用杀毒软件对系统盘以外分区进行病毒查杀后方可让机器重新投入教学(可通过极域电子教室等机房辅助管理软件以命令行方式启动统一杀毒软件).
2.3.3跨系统作业
此杀毒方法仅适用于WinXP之后系统,当时尚有一个机房使用Win2000系统.依据同样原理,针对该系统研究出特定杀毒办犯:用tlist命令(需单独下载,发送到系统path目录中),查出spoclsv.exe进程号(PID),通过“ntdrcqpPID”命令终止进程.因各台机器进程号不同,所以Win2000系统下只能逐台查杀.
3经验总结
通过查杀熊猫烧香病毒,对学校计算机管理中的防毒有了些更深体会,此处与大家共享:
(1)使用VLAN管理校园计算机上网,为各机房、教师用机设立不同地址段与上网策略,可有效阻止病毒在校园中的快速传播;
(2)每学期调试软件环境后,及时进行各机房的系统备份.随后在2-4周间隔内,升级一次病毒库;
(3)教师机若不统一安装保护卡,应定期巡查,解决使用小问题的同时,主动维护防毒系统的正常运行.
作者单位
杭州市轻工高级技工学校浙江省杭州市310000