本帖所有内容均出自一本叫《简单教程--新手无毒》的电子书，除了修改部分错别字外，原文贴出。

序言

本书之所以叫<<简单教程--新手无毒>>,是因为本书制作简单,去除了容易吸引人的花哨装饰吸.毕竟电子教程是用来学习为主,重在实际内容是否符合大家需要.书中收集整理了很多经典实用的基础教学和反病毒文章,相信任何一个新手仔细阅读后都能晋升为反毒高手。希望本书能够帮助网友们远离电脑病毒,打造自己的无毒安全爱机.从此不再畏惧病毒!

【一】基础入门

基础入门之一：十七点学完安全知识，超级详细了解进程和病毒知识

第一：进程是什么

　　 进程为应用程序的运行实例，是应用程序的一次动态执行。看似高深，我们可以简单地理解为：它是操作系统当前运行的执行程序。在系统当前运行的执行程序里包括：系统管理计算机个体和完成各种操作所必需的程序；用户开启、执行的额外程序，当然也包括用户不知道，而自动运行的非法程序（它们就有可能是病毒程序）。
　　 危害较大的可执行病毒同样以“进程”形式出现在系统内部（一些病毒可能并不被进程列表显示，如“宏病毒”），那么及时查看并准确杀掉非法进程对于手工杀毒有起着关键性的作用。

第二：什么是木马

　　 木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名，顾名思义就是一种伪装潜伏的网络病毒，等待时机成熟就出来害人。
　　 传染方式:通过电子邮件附件发出，捆绑在其他的程序中。
　　 病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
　　 木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序指定的地址，一般同时内置可进入该用户电脑的端口，并可任意控制此计算机，进行文件删除、拷贝、改密码等非法操作。
　　 防范措施:用户提高警惕，不下载和运行来历不明的程序，对于不明来历的邮件附件也不要随意打开。

第三：什么是计算机病毒

　　 计算机病毒是一个程序，一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓
延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随
同文件一起蔓延开来。
　　 除复制能力外，某些计算机病毒还有其它一些共同特性：一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎
仅仅表现在文字和图象上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不
寄生于一个污染程序，它仍然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能。
　　 可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染” 其他程序
的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为
制造的程序,它通过不同的途径潜伏或寄生在存储媒体（如磁盘、内存）或程序里。当某种条件或时机成熟时,它会自生复制
并传播,使计算机的资源受到不同程序的破坏等等。这些说法在某种意义上借用了生物学病毒的概念,计算机病毒同生物病毒
所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏,同时能够自我复
制, 具有传染性。
　　 所以, 计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里, 当达到某种条件时即被激活的具有对计
算机资源进行破坏作用的一组程序或指令集合。

第四：什么是蠕虫病毒

　　 蠕虫病毒是计算机病毒的一种。它的传染机理是利用网络进行复制和传播，传染途径是通过网络和电子邮件。
　　 比如近几年危害很大的“尼姆达”病毒就是蠕虫病毒的一种。这一病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。
　　 蠕虫病毒的一般防治方法是：使用具有实时监控功能的杀毒软件，并且注意不要轻易打开不熟悉的邮件附件。

第五：什么是广告软件Adware

　　 广告软件（Adware）是指 未经用户允许，下载并安装或与其他软件捆绑通过弹出式广告或以其他形式进行商业广告宣传的程序。安装广告软件之后，往往造成系统运行缓慢或系统异常。
防治广告软件，应注意以下方面 ：
第一，不要轻易安装共享软件或"免费软件"，这些软件里往往含有广告程序、间谍软件等不良软件，可能带来安全风险。
第二，有些广告软件通过恶意网站安装，所以，不要浏览不良网站。
第三，采用安全性比较好的网络浏览器，并注意弥补系统漏洞．

第六：什么是间谍软件Spyware
　　
间谍软件（Spyware）是能够在使用者不知情的情况下，在用户电脑上安装后门程序的软件。 用户的隐私数据和重要信息会被那些后门程序捕获， 甚至这些 “后门程序” 还能使黑客远程操纵用户的电脑。
防治间谍软件，应注意以下方面 ：
第一，不要轻易安装共享软件或“免费软件”，这些软件里往往含有广告程序、间谍软件等不良软件，可能带来安全风险。
第二，有些间谍软件通过恶意网站安装，所以，不要浏览不良网站。
第三，采用安全性比较好的网络浏览器，并注意弥补系统漏洞。

第七：Dll文件是什么

　　 DLL是Dynamic Link Library的缩写，意为动态链接库。在Windows中，许多应用程序并不是一个完整的可执行文件，它们被分割成一些相对独立的动态链接库，即DLL文件，放置于系统中。当我们执行某一个程序时，相应的DLL文件就会被调用。一个应用程序可有多个DLL文件，一个DLL文件也可能被几个应用程序所共用，这样的DLL文件被称为共享DLL文件。DLL文件一般被存放在C:WindowsSystem目录下。
　　 1、如何了解某应用程序使用哪些DLL文件
　　 右键单击该应用程序并选择快捷菜单中的“快速查看”命令，在随后出现的“快速查看”窗口的“引入表”一栏中你将看到其使用DLL文件的情况。
　　 2、如何知道DLL文件被几个程序使用
　　 运行Regedit，进入HKEY_LOCAL_MACHINESoftwareMicrosrftWindowsCurrent-
ersionSharedDlls子键查看，其右边窗口中就显示了所有DLL文件及其相关数据，其中数据右边小括号内的数字就说明了被几个程序使用，（2）表示被两个程序使用，（0）则表示无程序使用，可以将其删除。
　　 3、如何解决DLL文件丢失的情况
　　 有时在卸载文件时会提醒你删除某个DLL文件可能会影响其他应用程序的运行。所以当你卸载软件时，就有可能误删共享的DLL文件。一旦出现了丢失DLL文件的情况，如果你能确定其名称，可以在Sysbckup（系统备份文件夹）中找到该DLL文件，将其复制到System文件夹中。如果这样不行，在电脑启动时又总是出现“***dll文件丢失……”的提示框，你可以在“开始/运行”中运行Msconfig，进入系统配置实用程序对话框以后，单击选择“System.ini”标签，找出提示丢失的DLL文件，使其不被选中，这样开机时就不会出现错误提示了。
　　 rundll的功能是以命令列的方式呼叫Windows的动态链结库。
　　 Rundll32.exe与Rundll.exe的区别就在于前者是呼叫32位的链结库，后者是用于16位的链结库。rundll32.exe是专门用来调用dll文件的程序。
　　 如果用的是Win98，rundll32.exe一般存在于Windows目录下；
　　 如果用的WinXP，rundll32.exe一般存在于WindowsSystem32目录下。
　　 若是在其它目录，就可能是一个木马程序，它会伪装成rundll32.exe。

第八：什么是系统进程

　　 进程是指在系统中正在运行的一个应用程序；线程是系统分配处理器时间资源的基本单元，或者说进程之内独立执行的一个单元。对于操 作系统而言，其调度单元是线程。一个进程至少包括一个线程，通常将该线程称为主线程。一个进程从主线程的执行开始进而创建一个或多个附加线程，就是所谓基于多线程的多任务。
　　 那进程与线程的区别到底是什么？进程是执行程序的实例。例如，当你运行记事本程序（Nodepad）时，你就创建了一个用来容纳组成Notepad.exe的代码及其所需调用动态链接库的进程。每个进程均运行在其专用且受保护的地址空间内。因此，如果你同时运行记事本的两个拷贝，该程序正在使用的数据在各自实例中是彼此独立的。在记事本的一个拷贝中将无法看到该程序的第二个实例打开的数据。
　　 以沙箱为例进行阐述。一个进程就好比一个沙箱。线程就如同沙箱中的孩子们。孩子们在沙箱子中跑来跑去，并且可能将沙子攘到别的孩子眼中，他们会互相踢打或撕咬。但是，这些沙箱略有不同之处就在于每个沙箱完全由墙壁和顶棚封闭起来，无论箱中的孩子如何狠命地攘沙，他们也不会影响到其它沙箱中的其他孩子。因此，每个进程就象一个被保护起来的沙箱。未经许可，无人可以进出。
实际上线程运行而进程不运行。两个进程彼此获得专用数据或内存的唯一途径就是通过协议来共享内存块。这是一种协作策略。下面让我们分析一下任务管理器里的进程选项卡。
　　 这里的进程是指一系列进程，这些进程是由它们所运行的可执行程序实例来识别的，这就是进程选项卡中的第一列给出了映射名称的原因。请注意，这里并没有进程名称列。进程并不拥有独立于其所归属实例的映射名称。换言之，如果你运行5个记事本拷贝，你将会看到5个称为Notepad.exe的进程。它们是如何彼此区别的呢？其中一种方式是通过它们的进程ID，因为每个进程都拥有其独一无二的编码。该进程ID由Windows NT或Windows 2000生成，并可以循环使用。因此，进程ID将不会越编越大，它们能够得到循环利用。　　第三列是被进程中的线程所占用的CPU时间百分比。它不是CPU的编号，而是被进程占用的CPU时间百分比。此时我的系统基本上是空闲的。尽管系统看上去每一秒左右都只使用一小部分CPU时间，但该系统空闲进程仍旧耗用了大约99%的CPU时间。
　　 第四列，CPU时间，是CPU被进程中的线程累计占用的小时、分钟及秒数。请注意，我对进程中的线程使用占用一词。这并不一定意味着那就是进程已耗用的CPU时间总和，因为，如我们一会儿将看到的，NT计时的方式是，当特定的时钟间隔激发时，无论谁恰巧处于当前的线程中，它都将计算到CPU周期之内。通常情况下，在大多数NT系统中，时钟以10毫秒的间隔运行。每10毫秒NT的心脏就跳动一下。有一些驱动程序代码片段运行并显示谁是当前的线程。让我们将CPU时间的最后10毫秒记在它的帐上。因此，如果一个线程开始运行，并在持续运行8毫秒后完成，接着，第二个线程开始运行并持续了2毫秒，这时，时钟激发，请猜一猜这整整10毫秒的时钟周期到底记在了哪个线程的帐上？答案是第二个线程。因此，NT中存在一些固有的不准确性，而NT恰是以这种方式进行计时，实际情况也如是，大多数32位操作系统中都存在一个基于间隔的计时机制。请记住这一点，因为，有时当你观察线程所耗用的CPU总和时，会出现尽管该线程或许看上去已运行过数十万次，但其CPU时间占用量却可能是零或非常短暂的现象，那么，上述解释便是原因所在。上述也就是我们在任务管理器的进程选项卡中所能看到的基本信息列。

第九：什么是应用程序

　　 应用程序指的是程序开发人员要开发的一个数据库应用管理系统，它可以是一个单位的财务管理系统、人事管理系统等。（各种有关功能的窗口的集合构成一个完整的应用系统，分发给各个终端用户的就是一个应用程序。

第十：如何察看正在运行的进程

　　 察看正在运行的进程的方法有很多，最简单就是使用Windows自带的进程管理器察看正在运行的进程：同时按下“Ctl Alt Del”打开Windows进程管理器。点击进程的标签，即可察看系统中进行的进程列表。或者用鼠标右键点系统状态栏“系统管理器”进入系统进程管理器

第十一：如何强制结束一个运行中的进程

　　 1. 打开“终端服务管理器（任务管理器）”。
　　 2. 在“进程”选项卡上的“用户”列下，右键单击要结束的进程，然后单击“结束进程”。
注意
　　 1. 必须具有完全控制权限才能结束进程。
　　 2. 要打开“终端服务管理器”，请依次单击“开始”和“控制面板”，双击“管理工具”，然后双击“终端服务管理器”。
　　 3. 请注意：在没有警告的情况下结束进程会导致用户会话中的数据丢失。
　　 4. 可能需要结束进程，因为应用程序没有响应。
　　 5. 也可以使用 tskill 命令结束进程。
　　 强制结束进程的命令行
　　 Windows操作系统中只有System、SMSS.EXE和CSRSS.EXE不能杀。前两个是纯内核态的，最后那个是Win32子系统，ntsd本身需要它。ntsd从2000开始就是系统自带的用户态调试工具。被调试器附着(attach)的进程会随调试器一起退出，所以可以用来在命令行下终止进程。使用ntsd自动就获得了debug权限，从而能杀掉大部分的进程。ntsd会新开一个调试窗口，本来在纯命令行下无法控制，但如果只是简单的命令，比如退出(q)，用-c参数从命令行传递就行了。Ntsd按照惯例也向软件开发人员提供。只有系统开发人员使用此命令。有关详细信息，请参阅 NTSD 中所附的帮助文件。用法:开个cmd.exe窗口，输入：　
　　 ntsd -c q -p PID 　
　　 把最后那个PID，改成你要终止的进程的ID。如果你不知道进程的ID，任务管理器->进程选项卡->查看->选择列->勾上"PID(进程标识符)"，然后就能看见了。 　
　　 XP下还有两个好用的工具tasklist和tskill。tasklist能列出所有的进程，和相应的信息。tskill能查杀进程，语法很简单：tskill 程序名！
　　 结束进程的一些巧用小窍门：
　　 误删VCD文件的另类恢复
　　 现在很多人会把一些不错的VCD直接拷入硬盘保存。但你是否误删过这些百看不厌的经典之作呢？那么怎样才能在不用恢复软件的情况下手动恢复它们呢？
　　 笔者找到了一个另类的恢复方法，并且效果还不错。首先要知道误删的VCD文件的文件名和原文件存储路径。一般情况下VCD的主要视频文件是VCD根目录下的Mpegav文件夹，文件名一般为Avseq0？.dat或Music0？.dat,其中“?”代表数字(1～9)。有的VCD序幕和正式内容是一个文件，即Avseq01.dat或Music01.dat；也有的VCD序幕和正式内容分别为两个文件，即序幕为Avseq01.dat或Music01.dat，而正式内容为Avseq02.dat或Music02.dat。
　　 首先，找一个和误删文件同名的文件(暂且称为A)，接着将A复制到原误删文件的同一文件夹中。在出现“正在复制...”窗口时，按下Ctrl+Alt+Del结束“正在复制...”任务，如果“正在复制...”窗口不消失，就再次按下Ctrl+Alt+Del结束“正在复制...”任务。就这么简单，到原误删文件存储的地方看一下，是不是又失而复得了?用多媒体播放软件打开，只是开头几秒种是文件A的内容，后面的照看不误。
　　 保存拷了一部分的文件
　　 如果你经常会把MP3、CD、VCD、MPEG、RM等音、视频文件(或其他类型的文件)从光盘中复制到硬盘，那么可能会遇到复制到只剩下一点点时，Windows提示“复制文件出错”，这时只要按回车键或点击“确定”按钮，那么辛辛苦苦复制的文件就会丢失。
　　 其实只要马上激活“任务管理器”，把“出错的对话框”和“正在复制”的任务都关闭掉。那么文件就会以原文件大小保存下来了，当然这还是有缺点的，当此类文件播放到断点的地方时就会停止。
　　 巧玩游戏
　　 本人用的是Windows XP家庭版，运行一些支持Windows 2000但不支持Windows XP的游戏时，鼠标、键盘失去反应。某日发现一解法：打开“任务管理器”，结束EXPLORER.EXE进程，点“新任务”，找到游戏运行文件，运行即可。另外，结束SVCHOST.exe(为当前用户名的)进程可以去掉Windows XP风格。

第十二：一些常见的进程

　　 　　 进程名　　　　　　描述
　　 smss.exe　　　　　Session　Manager
　　 csrss.exe 　　　　子系统服务器进程
　　 winlogon.exe　　　管理用户登录
　　 services.exe　　　包含很多系统服务
　　 lsass.exe 　　　　管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。
　　 svchost.exe　　　 Windows 2000/XP 的文件保护系统
　　 SPOOLSV.EXE 　　　将文件加载到内存中以便迟后打印。
　　 explorer.exe　　　资源管理器
　　 internat.exe　　　托盘区的拼音图标
　　 mstask.exe　　　　允许程序在指定时间运行。
　　 regsvc.exe　　　　允许远程注册表操作。(系统服务)→remoteregister
　　 tftpd.exe 　　　　实现 TFTP Internet 标准。该标准不要求用户名和密码。
　　 llssrv.exe　　　　证书记录服务
　　 ntfrs.exe 　　　　在多个服务器间维护文件目录内容的文件同步。
　　 RsSub.exe 　　　　控制用来远程储存数据的媒体。
　　 locator.exe 　　　管理 RPC 名称服务数据库。
　　 clipsrv.exe 　　　支持"剪贴簿查看器"，以便可以从远程剪贴簿查阅剪贴页面。
　　 msdtc.exe 　　　　并列事务，是分布于两个以上的数据库，消息队列，文件系统或其他事务保护资源管理器。
　　 grovel.exe　　　　扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间（只对 NTFS 文件系统有用）。
　　 snmp.exe　　　　　包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。
　　 以上这些进程都是对计算机运行起至关重要的，千万不要随意“杀掉”，否则可能直接影响系统的正常运行。

第十三：什么是网络钓鱼

　　 什么是网络钓鱼？
　　 网络钓鱼 （Phishing）攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动，受骗者往往会泄露自己的私人资料，如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌，骗取用户的私人信息。
　　 如何防备网络钓鱼？
　　 不要在网上留下可以证明自己身份的任何资料，包括手机号码、身份证号、银行卡号码等。
　　 不要把自己的隐私资料通过网络传输，包括银行卡号码、身份证号、电子商务网站账户等资料不要通过QQ 、MSN 、Email 等软件传播，这些途径往往可能被黑客利用来进行诈骗。
　　 不要相信网上流传的消息，除非得到权威途径的证明。如网络论坛、新闻组、 QQ 等往往有人发布谣言，伺机窃取用户的身份资料等。
　　 不要在网站注册时透露自己的真实资料。例如住址、住宅电话、手机号码、自己使用的银行账户、自己经常去的消费场所等。骗子们可能利用这些资料去欺骗你的朋友。
　　 如果涉及到金钱交易、商业合同、工作安排等重大事项，不要仅仅通过网络完成，有心计的骗子们可能通过这些途径了解用户的资料，伺机进行诈骗。
　　 不要轻易相信通过电子邮件、网络论坛等发布的中奖信息、促销信息等，除非得到另外途径的证明。正规公司一般不会通过电子邮件给用户发送中奖信息和促销信息，而骗子们往往喜欢这样进行诈骗。

第十四：什么是浏览器劫持

　　 浏览器劫持是一种恶意程序，通过DLL插件、BHO 、Winsock LSP 等形式 对用户的浏览器进行篡改，使用户浏览器出现 访问正常网站时被转向到恶意网页、IE浏览器主页 / 搜索页等被修改为劫持软件指定的网站地址等异常。
浏览器劫持如何防止，被劫持之后应采取什么措施 ？
　　 浏览器劫持分为多种不同的方式，从最简单的修改IE默认搜索页到最复杂的通过病毒修改系统设置并设置病毒守护进程，劫持浏览器，都有人采用。针对这些情况，用户应该采取如下措施： 　　不要轻易浏览不良网站。
　　 不要轻易安装共享软件、盗版软件。
　　 建议使用安全性能比较高的浏览器，并可以针对自己的需要对浏览器的安全设置进行相应调整。
　　 如果给浏览器安装插件，尽量从浏览器提供商的官方网站下载。
第十五：什么是恶意共享软件
　　 恶意共享软件（malicious shareware）是指采用不正当的捆绑或不透明的方式强制安装在用户的计算机上，并且利用一些病毒常用的技术手段造成软件很难被卸载，或采用一些非法手段强制用户购买的免费、共享软件。 安装共享软件时，应注意以下方面： 注意仔　　细阅读软件提供的“安装协议”，不要随便点“next”进行安装。
　　 不要安装从不良渠道获得的盗版软件，这些软件往往由于破解不完全，安装之后带来安全风险。
　　 使用具有破坏性功能的软件，如硬盘整理、分区软件等，一定要仔细了解它的功能之后再使用，避免因误操作产生不可挽回的损失。

第十六：如何更好地预防计算机病毒入侵

　　 有病治病，无病预防这是人们对健康生活的最基本也是最重要的要求，预防比治疗更为重要。对计算机来说，同样也是如此，了解病毒，针对病毒养成一个良好的计算机应用管理习惯，对保障您的计算机不受计算机病毒侵扰是尤为重要的。为了减少病毒的侵扰，建议大家平时能做到“三打三防”。
　　 “三打” 就是安装新的计算机系统时，要注意打系统补丁，震荡波一类的恶性蠕虫病毒一般都是通过系统漏洞传播的，打好补丁就可以防止此类病毒感染；用户上网的时候要打开杀毒软件实时监控，以免病毒通过网络进入自己的电脑；玩网络游戏时要打开个人防火墙，防火墙可以隔绝病毒跟外界的联系，防止木马病毒盗窃资料。
　　 “三防” 就是防邮件病毒，用户收到邮件时首先要进行病毒扫描，不要随意打开电子邮件里携带的附件；防木马病毒，木马病毒一般是通过恶意网站散播，用户从网上下载任何文件后，一定要先进行病毒扫描再运行；防恶意“好友”，现在很多木马病毒可以通过 MSN、 QQ等即时通信软件或电子邮件传播，一旦你的在线好友感染病毒，那么所有好友将会遭到病毒的入侵。

第十七：如何干净地清除病毒

1 、在安全模式或纯DOS模式下清除病毒
　　 当计算机感染病毒的时候，绝大多数的感染病毒的处理可以在正常模式下彻底清除病毒，这里说的正常模式准确的说法应该是实模式（Real Mode），这里通俗点说了。其包括正常模式的 Windows 和正常模式的 Windows 下的 "MS-DOS 方式 " 或 " 命令提示符 " 。 但有些病毒由于使用了更加隐匿和狡猾的手段往往会对杀毒软件进行攻击甚至是删除系统中的杀毒软件的做法，针对这样的病毒绝大多数的杀毒软件都被设计为在安全模式可安装、使用、执行杀毒处理。 　
　　 在安全模式（Safe Mode）或者纯DOS下进行清除清除时，对于现在大多数流行的病毒，如蠕虫病毒、木马程序和网页代码病毒等，都可以在安全模较鲁沟浊宄?模?槐匾?褚郧澳茄?匦胍?萌砼唐舳?倍荆坏?杂谝恍┮?记?《竞透腥究芍葱形募?牟《静判枰?诖?DOS下杀毒（建议用干净软盘启动杀毒）。而且，当计算机原来就感染了病毒，那就更需要在安装反病毒软件后（升级到最新的病毒库），在安全模式（Safe Mode）或者纯DOS下清除一遍病毒了！

2 、带毒文件在\Temporary Internet Files目录下
　　 由于这个目录下的文件，Windows 会对此有一定的保护作用，所以对这个目录下的带毒文件即使在安全模式下也不能进行清除，对于这种情况，请先关闭其他一些程序软件，然后打开 IE ，选择IE工具栏中的 " 工具"\"Internet 选项 "，选择 " 删除文件 " 删除即可，如果有提示" 删除所有脱机内容 "，也请选上一并删除。

3 、带毒文件在 \_Restore 目录下，*.cpy 文件中
　　 这是系统还原存放还原文件的目录，只有在装了Windows Me/XP 操作系统上才会有这个目录，由于系统对这个目录有保护作用。
　　 对于这种情况需要先取消" 系统还原 " 功能，然后将带毒文件删除，甚至将整个目录删除也是可以的。

4 、带毒文件在.rar 、.zip 、.cab 等压缩文件中
　　 对于绝大多数的反病毒软件来说，现在的查杀压缩文件中病毒的功能已经基本完善了，单是对于一些特殊类型的压缩文件或者加了密码保护的压缩文件就可能直接清除了。
　　 要清除压缩文件中的病毒，建议解压缩后清除，或者借助压缩工具软件的外挂杀毒程序的功能，对带毒的压缩文件进行杀毒。

5 、病毒在引导区或者SUHDLOG.DAT或SUHDLOG.BAK文件中
　　 这种病毒一般是引导区病毒，报告的病毒名称一般带有 boot 、 wyx 等字样。如果病毒只是存在于移动存储设备（如软盘、闪存盘、移动硬盘）上，就可以借助本地硬盘上的反病毒软件直接进行查杀；
　　 如果这种病毒是在硬盘上，则需要用干净的可引导盘启动进行查杀。 对于这类病毒建议用干净软盘启动进行查杀，不过在查杀之前一定要备份原来的引导区，特别是原来装有别的操作系统的情况，如日文Windows 、Linux 等。 如果没有干净的可引导盘，则可使用下面的方法进行应急杀毒：
(1) 在别的计算机上做一张干净的可引导盘，此引导盘可以在Windows 95/98/ME 系统上通过 " 添加／删除程序 " 进行制作，但要注意的是，制作软盘的操作系统须和自己所使用的操作系统相同；
(2) 用这张软盘引导启动带毒的计算机，然后运行以下命令：
A:\>fdisk/mbr
A:\>sys a: c:
　　 针对 NT 构架的操作系统可首先安装“管理员控制台”，安装后使用管理员控制台，然后分别执行 fixmbr （恢复主引导记录）和 fixboot （恢复启动盘上的引导区）命令对引导区及启动信息进行修复。
如果带毒的文件是在 SUHDLOG.DAT 或 SUHDLOG.BAK 文件中，那么直接删除即可。这是系统在安装的时候对硬盘引导区做的一个备份文件，一般作用不大，病毒在其中已经不起作用了。

6 、带毒文件在一些邮件文件中，如 dbx 、 eml 、 box 等
　　 绝大多数的防毒软件可以直接检查这些邮件文件中的文件是否带毒，对于邮箱中的带毒的信件，可以根据用户的设置杀毒或删除带毒邮件，但是由于此类邮箱的复合文件结构，易出现杀毒后的邮箱依旧可以检测到病毒情况，这是由于没有压缩邮箱进行空间释放的原因导致的，您可以尝试在 Outlook Express 中选择“工具” — 〉“选项” — 〉“维护” — 〉“立即清除” — 〉“压缩”

7 、文件中有病毒的残留代码
　　 这种情况比较多见的就是带有 CIH 、Funlove 、宏病毒（包括 Word 、 Excel 、 Powerpoint 和 Wordpro 等文档中的宏病毒）和个别网页病毒的残留代码，通常防毒软件对这些带有病毒残留代码的文件报告的病毒名称后缀通常是 int 、 app 等结尾，而且并不常见，如 W32/FunLove.app 、W32.Funlove.int 。一般情况下，这些残留的代码不会影响正常程序的运行，也不会传染，如果需要彻底清除的话，要根据各个病毒的实际情况进行清除。

8 、文件错误
　　 这种情况出现的并不多，通常是由于某些病毒对系统中的关键文件修改后造成的，异常的文件无法正常使用，同时易造成别的系统错误，针对此种情况建议进行修复安装的方法恢复系统中的关键文件。

9 、加密的文件或目录
　　 对于一些加密了的文件或目录，请在解密后再进行病毒查杀。

10 、共享目录杀毒
　　 这里包括两种情况：本地共享目录和网络中远程共享目录（其中也包括映射盘）。 　
　　 遇到本地共享的目录中的带毒文件不能清除的情况，通常是局域网中别的用户在读写这些文件，杀毒的时候表现为无法直接清除这些带毒文件中的病毒，如果是有病毒在对这些目录在写病毒操作，表现为对共享目录进行清除病毒操作后，还是不断有文件被感染或者不断生成病毒文件。以上这两种情况，都建议取消共享，然后针对共享目录进行彻底查杀，恢复共享的时候，注意不要开放太高的权限，并对共享目录加设密码。 对远程的共享目录（包括映射盘）查杀病毒的时候，首先要保证本地计算机的操作系统是干净的，同时对共享目录也有最高的读写权限。如果是远程计算机感染病毒的话，建议还是直接在远程计算机进行查杀病毒。
　　 特别的，如果在清除别的病毒的时侯都建议取消所有的本地共享，再进行杀毒操作。在平时的使用中，也应注意共享目录的安全性，加设密码，同时，非必要的情况下，不要直接读取远程共享目录中的文件，建议拷贝到本地检查过病毒后再进行操作。

11 、光盘等一些存储介质
　　 对于光盘上带有的病毒，不要试图直接清除，这是因为光盘上的文件都是只读的原因导致的。同时，对另外一些存储设备查杀病毒的，也需要注意其是否处于写保护或者密码保护状态。

基础入门之二：系统服务

1：Alerter服务:选择“手动/禁用”是明智之举。

微软对警报器服务的描述为：通知所选用户和计算机有关系统管理级警报，就是在系统出现错误的情况下能及时向用户发出通告。对于普通应用人员来讲，禁用它可以阻止像IE出现错误、要求发送错误报告之类对话框的出现，因为这些错误报告对于我们来说毫无用处，所以选择禁用它是明智之举

2：application layer gateway service

为internet连接共享和internet连接防火墙提供第三方协议插件的支持如果你没启用internet连接共享或windows xp内置防火墙，可以禁止这个服务。他不影响网络共享放心关闭吧,只是一个插件。这个可占了内存资源1.5MB关了哦

3：Application management

用于设定，发布和删除软件服务。 SQL安装时，提示“系统有一个程序的安装副本在运行之中，请重新启动电脑”等提示，一般重启即可，但如果这个服务不开，重启N次也没有用? ?? ?网吧客户机放心禁止，服务器装了SQL的话 也禁止吧（负带影响：有时候安装东西的时候会提示服务未启动,有时候又正常）

4：automatic updates

自动从windows update启用windows更新的下载和安装需要时，我们完全可以在windows update web网站手动进行更新。禁啦??开这个服务简直浪费系统资源。另外附加一句，需要手动更新的时候，需将此服务开启

5：Background Intelligent Transfer Service
该服务的中文意思为智能备份和传输服务，用于在局域网中利用空闲的网络带宽传输数据。这个服务被禁用可带来一些好处，因为它存在一个小BUG，某些Windows XP系统会因为它的缺陷而在启动到桌面环境时出现任务栏暂时锁死的现象，禁用它能立马解决此故障??放心禁止吧，补充一句：刚听朋友说，关闭此服务有一定的负面影响，网站上不能使用手工更新功能了,大家知道就行了。

6：ClipBook
这项服务的作用是储存粘贴信息并与远程计算机共享此信息，Windows XP的“剪贴簿查看器”就是依赖这项服务来工作的。如果此项服务被终止，“剪贴簿查看器”将无法与远程计算机共享信息，相反地，它的好处在于可以杜绝一些隐私外泄的安全隐患??放心禁止准没有错??
7：COM+ Event System
一些 COM+　软件需要，检查你的 c:\program files\ComPlus Applications 目录，没东西可以把这个服务关闭（注意是这个路径里面的服务没有东西可以关闭，不是指COM服务，以免大家又误会）． 不能禁止的服务??不过喜欢PF降低的朋友就禁止吧!
8：COM+ System Application
管理 基于COM+ 组件的配置和跟踪。禁止吧没关系的
9：Computer Browser
用来浏览局域网电脑的服务，但关了也不影响浏览！
所以禁止啊 降低PF哦
10：Cryptographic Services
Windows更新时用来确认windows 文件指纹的，手动或者禁止吧，比较保守的朋友就手动。和我这样的玩火使者就禁吧 降低PF要紧，懒得运行了其他东东把这个服务又给开起了。
11：DCOM Server Process Launcher??此服务级重要程度（中级）
终止或禁用此服务会造成系统不稳定，大家可别打这个注意啊。虽然不影响你正常开机和使用 系统稳定为重啦。当然你们要跟谁比PF底的话 哈哈把这个也禁了吧，看谁狠。补充描述：SP2新增的服务，DCOM（分布式组件对象模式），关闭这个服务会造成很多手动服务无法在需要的时候自动启动，很麻烦。 比如一些软件无法正常安装，flashmx ,还有些打印机的驱动无法安装，都提示错误“RPC服务器不可用”。建议不要关闭，当然玩火使者的话，肯定是要关闭的罗。（关闭此服务负带影响，在打开网页的时候不能打开新窗口）
12：DFServEx
这个是我的冰点还原精灵，这个我没有禁，你们没有这个的不要管这个。
13：DHCP Client选择“自动”是明智之举。
象我家的（ｘＤＳＬ　等）小猫就不用了 呵呵我是禁止达 这个大家请按照你们的实际需要禁止和不禁止。没有固定IP的的用户还是开着吧，否则上不了网.

14：Distributed Link Tracking Client
用于描述局域网更新连接信息，比如在电脑Ａ有个文件，在Ｂ做了个连接，如果文件移动了，这个服务将会更新信息。占用４兆内存汗。汗。。。占这么多内存象我这样的玩火使者肯定容忍不了，肯定禁止啦
15：Distributed Transaction Coordinator
分布事务协调器，一般情况下，应该可以禁用 放心禁吧
16：DNS Client
ＤＮＳ解析服务??IPSEC需要用到
好象你们网吧的客户机不是用来做DNS服务器吧，禁止啦！
17：Error Reporting Service
错误报告器，把windows中错误报告给微软
这个鬼东西只要出错最烦人，又占资源? ?? ?禁止啦
18：Event Log??进程名称叫 services.exe 无法禁止
系统日志纪录服务，很有用于查找系统毛病，禁止吧，不过好象有时候他会自动开启，禁止不了的。（对于2000系统这个服务比较重要，请考虑下）。

19：Fast User Switching Compatibility
多用户快速切换服务。
汗。。。。网吧客户机鬼才搞多用户切换??放心禁止啦
20：Help and Support
帮助服务。没有什么用 禁止吧 靠这个帮助 你还不如去网上找答案好。
21：HTTP SSL
HTTP SSL 服务停止，IIS 将无法执行SSL 功能
网吧客户机谁用IIS服务器啊 禁止啦
22：Human Interface Device Access
支持”弱智“电脑配件的。比如键盘上调音量的按钮等等
禁止吧??搞笑的服务，简直就是浪费我们系统资源
23：IMAPI CD-Burning COM Service
XP刻牒服务，也就是所谓刻录机提够的服务，占用1.6M内存
汗 绝对禁止，浪费资源，你们网吧还弄个克录机不成。。。。
24：Indexing Service
非常恐怖的XP系统减速的服务
强烈要求禁止！
25：IPSEC Services
IPSEC安全服务，一般用户用不着，如果在服务器上做IPSEC(IP策略）安全措施才用
禁止吧 降低PF才重要
26：Logical Disk Manager
磁盘管理服务。需要时它会通知你??象我这样的玩火使者当然是禁止的，你们视情况来啊，保守的请设置为手动
27 Logical Disk Manager Administrative Service
同上相关联的服务??该服务对于经常使用移动硬盘、闪盘等外设的用户必不可少，根据具体情况。改为手动后需要时它会通知你??建议设置为手动 我是禁止。

28:Messenger
Windows XP中信使服务是用来在服务器和工作站之间传输NET SEND消息的，如果禁止此项服务，就有利于防止来自局域网内的各种骚扰信息，不过它的弊端也是显而易见的：在拒绝骚扰信息的同时，来自公司网管的有用信息也被过滤掉了
强烈要求禁止，网吧里面别让别人利用这个漏斗来搞鬼。
29：MS Software Shadow Copy Provider
据说是备份用的。我看什么用都没??禁止啦
30：Net Logon
登陆Domain　Controller用的。！如果公司内部需要使用网内的域服务器登录到域时，就开启此服务吧??网吧客户机建议禁止。
31：NetMeeting Remote Desktop Sharing
用Netmeeting实现远程桌面共享，公司或者需要使用这个功能的朋友建议设置为手动， 网吧用不到 禁止吧
32：Network Connections
Windows XP中该服务的作用是用来管理“网络连接”文件夹中的所有对象，系统默认为自动启用状态，如果禁用了它，那么从控制面板中双击“网络连接”图标后打开的“网络连接”窗口中将空无一物，“网络安装向导”、“新建连接向导”和“本地连接图标”都不见了，查看网络连接信息和更改局域网配置的操作都将无法进行(禁用后需重启系统才可看到“效果”)。因为我是动态ADSL共享保号的，必须得依赖这个服务，所以这个我没有禁止，其实大家在客户机上完全可以禁止，而且还可以避免别人查看网络连接 呵呵。
33:Network DDE
前面你都禁止了CLIPBOOK 这个肯定禁止啦? ? 建议大家手动
34Network DDE DSDM??
上面你都禁止的话，??这个肯定可以禁止? ? 建议大家手动
35:Network Location Awareness (NLA)
如有网络共享或ICS/ICF可能需要.(服务器端)??
客户机建议禁止 降低PF要紧 这个我已经测试，禁止改服务不影响其他客户机上网。
36:Network Provisioning Service
为自动网络提供管理基于域的 XML 配置文件
可以禁止的服务
37：NT LM Security Support Provider
使用传输协议而不是命名管道的远程过程调用提够安全机制
建议手动
38：NVIDIA Driver Helper Service
大家一般都有这个东东吧 Nvidia 显卡帮助，肯定一个字 关！哈哈
39：Performance Logs and Alerts
记录机器运行状况而且定时写入日志或发警告，内容过于专业
你们有几个看的懂那些日志文件吗？肯定禁止啦！
40：Plug and Play
自动查测新装硬件，即插即用，开着吧??
这个建议大家要开着啦，网吧电脑多，别给自己找麻烦 不过你跟别人比PF底的时候，可以禁止的 哈哈！这个我不能禁止 因为我是拔号ADSL的??TELEPHONE服务必须依赖他 不然象我这样的玩火使者怎么容忍得了，早被我禁止了。
不好意思 中间漏掉了几个服务没有写刚刚检查找到了

Portable Media Serial Number Service

用于控制盗版音乐文件复制到便携播放器上，如MP3、MD等 这个关大家什么事

马上禁止，根本没用

Print Spooler? ?? ?打印后台处理程序 (有打印机的请不要关闭此服务）

可以禁止

Protected Storage

可以禁止 负面影响 你打开“添加/删除程序”窗口，看看此时的打开速度是否变慢了 玩火使者肯定要禁他的。补充描述：用来储存你计算机上密码的服务，像 Outlook、拨号程序、其它应用程序、主从架构等等。视具体使用环境而定，在不安全的环境下建议停止 建议设为手动（负带影响：关闭此服务 PUBWIN EP将连不上服务器）

41：QoS RSVP
网络流量自动平衡。可能有用。不过一般大家都用不到 就设为手动吧

42：Remote Access Auto Connection Manager
同下：建议设置为手动
43：Remote Access Connection Manager
宽带者／网络共享可能需要！建议设置自动 服务器别打这个注意，客户机大家可以视情况而定 禁止吧
44:Remote Desktop Help Session Manager
远程帮助服务，不过占用４兆内存。??
建议网吧客户机设置为手动。
45：Remote Procedure Call (RPC)(此服务重要程度: 高级）
系统核心服务，不要对他有想法！不多解释啦
46：Remote Procedure Call (RPC) Locator
这个倒没什么用，管理RPC数据库服务，占用１兆内存。建议设置为手动

47：Remote Registry
地球人都知道 这个肯定要禁止的！
48：Removable Storage
般情况下不用，磁带备份用的。建议手动

除非你有 Zip 磁盘驱动器或是 USB 之类移动式的硬件或是 Tape备份装置，不然可以关了
49：Routing and Remote Access
路由和网关，一般情况下网吧客户机全设置为手动
50：Secondary Logon
给与administrator 以外的用户分配指定操作权 看重权限的朋友就设置为自动吧，我忍受不了浪费资源止降低PF要紧 大家别学我啊 你们视情况而定。
51：Security Accounts Manager
存贮本地用户帐户信息的 不要打此服务的注意? ?

52：Security Center
监视系统安全与配置 保守的朋友请设置为自动? ? 追求PF降低的朋友且电脑知识专业的，强力禁止吧！
53：Server
局域网文件／打印共享需要的??追求PF降低的个人电脑的朋友，网吧客户机放心禁止，公司里的 请视情况而定 除非你有和其它计算机共享，不然就关了
54：Shell Hardware Detection
给有些配置自动启动，像DVD ｃｄ驱动等
建议设置自动 别打他的注意，打他的注意，造成麻烦的我不管哦,


55：Smart Card??
智能卡 汗。。。。。。你们网吧有吗 禁止啦
56：SSDP Discovery Service
没有什么硬件利用这个服务 禁止啦
57：System Event Notification
记录用户登录／注销／重起／关机信息。。你很看重这些吗 肯定禁止啊
58：System Restore Service
系统还原功能 禁止 不多解释
59：Task Scheduler
windows 计划服务，如果你使用系统的“任务计划”，就不能关
好象网吧里面没有谁用吧??放心禁止吧
60：TCP/IP NetBIOS Helper
你的网络不用　Netbios 或WINS，就关闭
网吧客户机放心禁止
61：Telephony
大漏洞，２兆内存。但是我没有办法哦，ADSL拨号上网哦 禁止啦，我就上不了网了5555555
网吧客户机放心关闭

62：Telnet
绝对禁止的服务
63：Terminal Services
实现远程登录本地电脑，快速用户切换和远程桌面功能需要，网吧客户机放心关闭 需要使用这个功能的朋友 请设置为手动
64：Themes
呵呵 给XP系统装扮的鬼东西 放心禁止吧
65：Uninterruptible Power Supply
提够不间断电源 停电保护设备用的。。。没有的就禁止 网吧客户机放心禁
66：Universal Plug and Play Device Host
同SSDP Discovery Service ，没有多大用出，简直就是浪费资源 关闭．
67：Volume Shadow Copy
同MS Software Shadow Copy Provider，没有多大用出 关闭
68：WebClient
和以后的NET技术有相关联系。网吧客户机用不着关闭设为手动 其他朋友视情况而来
我肯定禁止 玩火使者贝！

69：Windows Audio
别打他的注意，除非你是聋子，听不到声音，就禁止吧 哈哈！关了他 就没有声音了哦
70：Windows Firewall/Internet Connection Sharing (ICS)
此功能与我ADSL共享服务相关联 关闭此服务，客户机将上不了网 不过网吧客户机完全可以禁止此服务。SP2版本以前的叫法Internet Connection - Firewall (ICF) / Sharing (ICS)??

71：Windows Image Acquisition (WIA)
有扫描仪和照相机的朋友请不要禁止此服务??网吧客户机完全可以禁止 服务器别禁止 一般网吧服务器上还是会提够扫描服务赚钱达。当然如果没有的话 就禁止吧

72：Windows Installer
Windows的MSI安装服务 放心禁止??
73:Windows Management Instrumentation
满重要的服务，是管“服务依靠”的，关闭了会出现不可预料的问题哦 嘿嘿 想清楚再关 不过跟别人比PF底的时候放心关闭 我不能关啊 因为这服务器共享服务依赖他 气死人了，否则嘿嘿

74：Windows Management Instrumentation Driver Extensions
没上面的那么重要，建议设为手动吧．

75：Windows Time
维护网络上系统 时间同步 没有必要 浪费资源关闭此服务吧

76：Wireless Zero Configuration
你们网吧没有搞无线局域网吧 关闭吧

77：WMI Performance Adapter
绝对关闭 占用６兆内存哦

78：Workstation
象我肯定是禁止的啦 你们视情况来哦 因为依赖他的服务不少哦,不过依赖他的服务都被你禁止了，呵呵肯定也把他禁止了HOHO(关闭此服务，你将不能访问网络上的共享文件，其他计算机也不能访问本地的共享文件夹，嘿嘿这个有一定的杜绝作用，可以防止别人访问你的共享文件夹）

基础入门之三：病毒知识详解

各种病毒时至今日也可算是百花齐放了，搞得人心惶惶，一旦发现自己的电脑有点异常就认定是病毒在作怪，到处找杀毒软件，一个不行，再来一个，总之似乎不找到"元凶"誓不罢休一样，结果病毒软件是用了一个又一个，或许为此人民币是用了一张又一张，还是未见"元凶"的踪影，其实这未必就是病毒在作怪。

这样的例子并不少见，特别是对于一些初级电脑用户。下面我就结合个人电脑使用及企业网络维护方面的防毒经验从以下几个方面给大家介绍介绍如何判断是否中了病毒，希望对帮助识别"真毒"有一定帮助！

病毒与软、硬件故障的区别和联系

电脑出故障不只是因为感染病毒才会有的，个人电脑使用过程中出现各种故障现象多是因为电脑本身的软、硬件故障引起的，网络上的多是由于权限设置所致。我们只有充分地了解两者的区别与联系，才能作出正确的判断，在真正病毒来了之时才会及时发现。下面我就简要列出了分别因病毒和软、硬件故障引起的一些常见电脑故障症状分析。

症状 病毒的入侵的可能性 软、硬件故障的可能性

经常死机：病毒打开了许多文件或占用了大量内存；不稳定（如内存质量差，硬件超频性能差等）；运行了大容量的软件占用了大量的内存和磁盘空间；使用了一些测试软件（有许多BUG）；硬盘空间不够等等；运行网络上的软件时经常死机也许是由于网络速度太慢，所运行的程序太大，或者自己的工作站硬件配置太低。

系统无法启动：病毒修改了硬盘的引导信息，或删除了某些启动文件。如引导型病毒引导文件损坏；硬盘损坏或参数设置不正确；系统文件人为地误删除等。

文件打不开：病毒修改了文件格式；病毒修改了文件链接位置。文件损坏；硬盘损坏；文件快捷方式对应的链接位置发生了变化；原来编辑文件的软件删除了；如果是在局域网中多表现为服务器中文件存放位置发生了变化，而工作站没有及时涮新服器的内容（长时间打开了资源管理器）。

经常报告内存不够：病毒非法占用了大量内存；打开了大量的软件；运行了需内存资源的软件；系统配置不正确；内存本就不够（目前基本内存要求为128M）等。

提示硬盘空间不够：病毒复制了大量的病毒文件（这个遇到过好几例，有时好端端的近10G硬盘安装了一个WIN98或WINNT4.0系统就说没空间了，一安装软件就提示硬盘空间不够。硬盘每个分区容量太小；安装了大量的大容量软件；所有软件都集中安装在一个分区之中；硬盘本身就小；如果是在局域网中系统管理员为每个用户设置了工作站用户的"私人盘"使用空间限制，因查看的是整个网络盘的大小，其实"私人盘"上容量已用完了。

软盘等设备未访问时出读写信号：病毒感染；软盘取走了还在打开曾经在软盘中打开过的文件。

出现大量来历不明的文件：病毒复制文件；可能是一些软件安装中产生的临时文件；也或许是一些软件的配置信息及运行记录。

启动黑屏：病毒感染（记得最深的是98年的4.26，我为CIH付出了好几千元的代价，那天我第一次开机到了Windows画面就死机了，第二次再开机就什么也没有了）；显示器故障；显示卡故障；主板故障；超频过度；

CPU损坏等等

数据丢失：病毒删除了文件；硬盘扇区损坏；因恢复文件而覆盖原文件；如果是在网络上的文件，也可能是由于其它用户误删除了。

键盘或鼠标无端地锁死：病毒作怪，特别要留意"木马"；键盘或鼠标损坏；主板上键盘或鼠标接口损坏；运行了某个键盘或鼠标锁定程序，所运行的程序太大，长时间系统很忙，表现出按键盘或鼠标不起作用。

系统运行速度慢：病毒占用了内存和CPU资源，在后台运行了大量非法操作；硬件配置低；打开的程序太多或太大；系统配置不正确；如果是运行网络上的程序时多数是由于你的机器配置太低造成，也有可能是此时网路上正忙，有许多用户同时打开一个程序；还有一种可能就是你的硬盘空间不够用来运行程序时作临时交换数据用。

系统自动执行操作：病毒在后台执行非法操作；用户在注册表或启动组中设置了有关程序的自动运行；某些软件安装或升级后需自动重启系统。

通过以上的分析对比，我们知道其实大多数故障都可能是由于人为或软、硬件故障造成的，当我们发现异常后不要急于下断言。

病毒的分类及各自的特征

要真正地识别病毒，及时的查杀病毒，我们还有必要对病毒有一番较详细的了解，而且越详细越好！

病毒因为由众多分散的个人或组织单独编写，也没有一个标准去衡量、去划分，所以病毒的分类可按多个角度大体去分。

如按传染对象来分，病毒可以划分为以下几类：

a、引导型病毒

这类病毒攻击的对象就是磁盘的引导扇区，这样就能使系统在启动时获得优先的执行权，从而达到控制整个系统的目的，这类病毒因为感染的是引导扇区，所以造成的损失也就比较大，一般来说会造成系统无法正常启动，但查杀这类病毒也较容易，多数杀毒软件都能查杀这类病毒，如KV300、KILL系列等。

b、文件型病毒

早期的这类病毒一般是感染以exe、com等为扩展名的可执行文件，这样的话当你执行某个可执行文件时病毒程序就跟着激活。近期也有一些病毒感染以dll、ovl、sys等为扩展名的文件，因为这些文件通常是某程序的配置、链接文件，所以执行某程序时病毒也就自动被子加载了。它们加载的方法是通过插入病毒代码整段落或分散插入到这些文件的空白字节中，如CIH病毒就是把自己拆分成9段嵌入到PE结构的可执行文件中，感染后通常文件的字节数并不见增加，这就是它的隐蔽性的一面。

c、网络型病毒

这种病毒是近几来网络的高速发展的产物，感染的对象不再局限于单一的模式和单一的可执行文件，而是更加综合、更加隐蔽。现在一些网络型病毒几乎可以对所有的OFFICE文件进行感染，如WORD、EXCEL、电子邮件等。其攻击方式也有转变，从原始的删除、修改文件到现在进行文件加密、窃取用户有用信息（如黑客程序）等，传播的途经也发生了质的飞跃，不再局限磁盘，而是通过更加隐蔽的网络进行，如电子邮件、电子广告等。

文件，也可以感染某此可执行文件，如果没有对这类病毒进行全面的清除，则残留病毒可自我恢复，还会造成引导扇区文件和可执行文件的感染，所以这类病毒查杀难度极大，所用的杀毒软件要同时具备查杀两类病毒的功能。

a、良性病毒

这些病毒之所以把它们称之为良性病毒，是因为它们入侵的目的不是破坏你的系统，只是想玩一玩而已，多数是一些初级病毒发烧友想测试一下自己的开发病毒程序的水平。它们并不想破坏你的系统，只是发出某种声音，或出现一些提示，除了占用一定的硬盘空间和CPU处理时间外别无其它坏处。如一些木马病毒程序也是这样，只是想窃取你电脑中的一些通讯信息，如密码、IP地址等，以备有需要时用。

b、恶性病毒

我们把只对软件系统造成干扰、窃取信息、修改系统信息，不会造成硬件损坏、数据丢失等严重后果的病毒归之为"恶性病毒"，这类病毒入侵后系统除了不能正常使用之外，别无其它损失，系统损坏后一般只需要重装系统的某个部分文件后即可恢复，当然还是要杀掉这些病毒之后重装系统。

c、极恶性病毒

这类病毒比上述b类病毒损坏的程度又要大些，一般如果是感染上这类病毒你的系统就要彻底崩溃，根本无法正常启动，你保分留在硬盘中的有用数据也可能随之不能获取，轻一点的还只是删除系统文件和应用程序等。

d、灾难性病毒

这类病毒从它的名字我们就可以知道它会给我们带来的破坏程度，这类病毒一般是破坏磁盘的引导扇区文件、修改文件分配表和硬盘分区表，造成系统根本无法启动，有时甚至会格式化或锁死你的硬盘，使你无法使用硬盘。如果一旦染上这类病毒，你的系统就很难恢复了，保留在硬盘中的数据也就很难获取了，所造成的损失是非常巨大的，所以我们进化论什么时候应作好最坏的打算，特别是针对企业用户，应充分作好灾难性备份，还好现在大多数大型企业都已认识到备份的意义所在，花巨资在每天的系统和数据备份上，虽然大家都知道或许几年也不可能遇到过这样灾难性的后果，但是还是放松这"万一"。我所在的雀巢就是这样，而且还非常重视这个问题。如98年4.26发作的CIH病毒就可划归此类，因为它不仅对软件造成破坏，更直接对硬盘、主板的BIOS等硬件造成破坏。在杀毒还不能解决的情况下，应仔细分析故障的特征，排除软、硬件及人为的可能性。

如按其入侵的方式来分为以下几种：

a、源代码嵌入攻击型

从它的名字我们就知道这类病毒入侵的主要是高级语言的源程序，病毒是在源程序编译之前插入病毒代码，最后随源程序一起被编译成可执行文件，这样刚生成的文件就是带毒文件。当然这类文件是极少数，因为这些病毒开发者不可能轻易得到那些软件开发公司编译前的源程序，况且这种入侵的方式难度较大，需要非常专业的编程水平。

b、代码取代攻击型

这类病毒主要是用它自身的病毒代码取代某个入侵程序的整个或部分模块，这类病毒也少见，它主要是攻击特定的程序，针对性较强，但是不易被发现，清除起来也较困难。

c、系统修改型

这类病毒主要是用自身程序覆盖或修改系统中的某些文件来达到调用或替代操作系统中的部分功能，由于是直接感染系统，危害较大，也是最为多见的一种病毒类型，多为文件型病毒。

d、外壳附加型

这类病毒通常是将其病毒附加在正常程序的头部或尾部，相当于给程序添加了一个外壳，在被感染的程序执行时，病毒代码先被执行，然后才将正常程序调入内存。目前大多数文件型的病毒属于这一类。

有了病毒的一些基本知识后现在我们就可以来检查你的电脑中是否含有病毒，要知道这些我们可以按以下几个方法来判断。

1、反病毒软件的扫描

这恐怕是我们绝大数朋友首选，也恐怕是唯一的选择，现在病毒种类是越来越多，隐蔽的手段也越来越高明，所以给查杀病毒带来了新的难度，也给反病毒软件开发商带来挑战。但随着计算机程序开发语言的技术性提高、计算机网络越来越普及，病毒的开发和传播是越来越容易了，因而反病毒软件开发公司也是越来越多了。但目前比较有名的还是那么几个系统的反病毒软件，如金山毒霸、KV300、KILL、PC-cillin、VRV、瑞星、诺顿等。至于这些反病毒软件的使用在此就不必说叙了，我相信大家都有这个水平！

2、观察法

这一方法只有在了解了一些病毒发作的症状及常栖身的地方才能准确地观察到。如硬盘引导时经常出现死机、系统引导时间较长、运行速度很慢、不能访问硬盘、出现特殊的声音或提示等上述在第一大点中出现的故障时，我们首先要考虑的是病毒在作怪，但也不能一条胡洞走到底，上面我不是讲了软、硬件出现故障同样也可能出现那些症状嘛！对于如属病毒引起的我们可以从以下几个方面来观察：

a、内存观察

这一方法一般用在DOS下发现的病毒，我们可用DOS下的"mem/c/p"命令来查看各程序占用内存的情况，从中发现病毒占用内存的情况（一般不单独占用，而是依附在其它程序之中），有的病毒占用内存也比较隐蔽，用"mem/c/p"发现不了它，但可以看到总的基本内存640K之中少了那么区区1k或几K。

b、注册表观察法

这类方法一般适用于近来出现的所谓黑客程序，如木马程序，这些病毒一般是通过修改注册表中的启动、加载配置来达到自动启动或加载的，一般是在如下几个地方实现：

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion

等等，具体可参考我的另一篇文章--《通通透透看木马》，在其中对注册表中可能出现的地方会有一个比较详尽的分析。

c、系统配置文件观察法

这类方法一般也是适用于黑客类程序，这类病毒一般在隐藏在system.ini 、wini.ini（Win9x/WinME）和启动组中，在system.ini文件中有一个"shell="项，而在wini.ini文件中有"load= "、"run= "项，这些病毒一般就是在这些项目中加载它们自身的程序的，注意有时是修改原有的某个程序。我们可以运行Win9x/WinME中的msconfig.exe程序来一项一项查看。具体也可参考我的《通通透透看木马》一文。

d、特征字符串观察法

这种方法主要是针对一些较特别的病毒，这些病毒入侵时会写相应的特征代码，如CIH病毒就会在入侵的文件中写入"CIH"这样的字符串，当然我们不可能轻易地发现，我们可以对主要的系统文件（如Explorer.exe)运用16进制代码编辑器进行编辑就可发现，当然编辑之前最好还要要备份，毕竟是主要系统文件。
e、硬盘空间观察法

有些病毒不会破坏你的系统文件，而仅是生成一个隐藏的文件，这个文件一般内容很少，但所占硬盘空间很大，有时大得让你的硬盘无法运行一般的程序，但是你查又看不到它，这时我们就要打开资源管理器，然后把所查看的内容属性设置成可查看所有属性的文件（这方法应不需要我来说吧？），相信这个庞然大物一定会到时显形的，因为病毒一般把它设置成隐藏属性的。到时删除它即可，这方面的例子在我进行电脑网络维护和个人电脑维修过程中见到几例，明明只安装了几个常用程序，为什么在C盘之中几个G的硬盘空间显示就没有了，经过上述方法一般能很快地让病毒显形的。

基础入门之四：反病毒三大技术

关于病毒，经历过计算机病毒多次侵害的人们，想必已经非常熟悉了。人们也使用了许多种反病毒软件，但仍经常受到病毒的攻击，大家都没弄太清楚，到底怎么做，才能保证计算机每分每秒的安全。经历过CIH，“美丽杀”病毒的洗礼，人们已知道了“查杀病毒不可能一劳永逸”的道理，已经明白维护计算机的安全是一项漫长的过程。

现在世界上成熟的反病毒技术已经完全可以作到对所有的已知病毒彻底预防、彻底杀除，主要涉及以下三大技术：

1：实时监视技术。这个技术为计算机构筑起一道动态、实时的反病毒防线，通过修改操作系统，使操作系统本身具备反病毒功能，拒病毒于计算机系统之门外。时刻监视系统当中的病毒活动，时刻监视系统状况，时刻监视软盘、光盘、因特网、电子邮件上的病毒传染，将病毒阻止在操作系统外部。且优秀的反病毒软件由于采用了与操作系统的底层无缝连接技术，实时监视器占用的系统资源极小，用户一方面完全感觉不到对机器性能的影响，一方面根本不用考虑病毒的问题。
只要实时反病毒软件实时地在系统中工作，病毒就无法侵入我们的计算机系统。可以保证反病毒软件只需一次安装，今后计算机运行的每一秒钟都会执行严格的反病毒检查，使因特网、光盘、软盘等途径进入计算机的每一个文件都安全无毒，如有毒则进行自动杀除。

2：自动解压缩技术。目前我们在因特网、光盘以及 WINDOWS中接触到的大多数文件都是以压缩状态存放，以便节省传输时间或节约存放空间，这就使得各类压缩文件已成为了计算机病毒传播的温床。如去年10月，中国计算机报光盘InfoCD十月号染上CIH病毒事件，就是3个压缩文件内部中含有病毒。
如果用户从网上下载了一个带病毒的压缩文件包，或从光盘里运行一个压缩过的带毒文件，用户会放心地使用这个压缩文件包，然后自己的系统就会不知不觉地被压缩文件包中的病毒感染。而且现在流行的压缩标准有很多种，相互之间有些还并不兼容，全面覆盖各种各样的压缩格式，就要求了解各种压缩格式的算法和数据模型，这就必须和压缩软件的生产厂商有很密切的技术合作关系，否则，解压缩就会出问题。

3：全平台反病毒技术。目前病毒活跃的平台有：DOS、WINDOWS、NT、NETWARE、NOTES、EXCHANGE等，为了反病毒软件做到与系统的底层无缝连接，可靠地实时检查和杀除病毒，必须在不同的平台上使用相应平台的反病毒软件，如你用的是WINDOWS的平台，则你必须用WINDOWS版本的反毒软件。如果是企业网络，什么版本的平台都有，那么就要在网络的每一个SERVER、CLIENT端上安装DOS、WINDOWS95/98、NT 等平台的反病毒软件，每一个点上都安装了相应的反病毒模块，每一个点上都能实时地抵御病毒攻击。只有这样，才能作到网络的真正安全和可靠。

基础入门之五：国际上对病毒命名的惯例

国际上对病毒命名的一般惯例为前缀+病毒名+后缀。前缀表示该病毒发作的操作平台或者病毒的类型，而DOS下的病毒一般是没有前缀的；病毒名为该病毒的名称及其家族；后缀一般可以不要的，只是以此区别在该病毒家族中各病毒的不同，可以为字母，或者为数字以说明此病毒的大小。例如：WM.Cap.A，A表示在Cap病毒家族中的一个变种，WM表示该病毒是一个Word宏病毒。下面就讲解一下各种前缀的含义：

WM: Word宏病毒，可以在Word6.0和Word95(Word7.0)下传播发作，也可以在Word97(Word8.0)或以上的Word下传播发作，但该病毒不是在Word97制作完成的。

W97M: Word97宏病毒，这些是在Word97下制作完成，并只在Word97或以上版本的或以上的Word传播发作。

XM: Excel宏病毒在Excel5.0和Excel95下制作完成并传播发作，同样，此种病毒也可以在Excel97或以上版本传播发作。

X97M: 在Excel97下制作完成的Excel宏病毒，此类病毒也可以在Excel5.0和Excel97下传播发作。

XF: Excel程式（Excel Formula）病毒，此类病毒是用Excel4.0把程序片断植入新的Excel文档中的。

AM: 在Access95下制作完成并传播发作的Access的宏病毒。

A97M: 在Access97下制作完成并传播发作的Access的宏病毒。

W95: 顾名思义，这类是Windows95病毒，运行在Windows95操作系统下，当然也可以运行在Windows98下。

Win: Windows3.x病毒，感染Windows3.x操作系统的文件。

W32: 32位Windows病毒，感染所有的32位Widnows平台。

WNT: 同样是32位Windows病毒，但只感染Windows NT操作系统。

HLLC: 高级语言同伴（High Level Language Companion）病毒，他们通常是DOS病毒，通过新建一个附加的文件（同伴文件）来传播。

HLLP: 高级语言寄生（High Level Language Parasitic）病毒，这些通常也是DOS病毒，寄生在主文件中。

HLLO: 高级语言改写（High Level Language Overwriting）病毒，通常是DOS病毒，以病毒代码改写主文件。

Trojan/Troj: 这并不是病毒，只是特洛伊木马，通常装扮成有用的程序，但通常有恶意代码，特洛伊木马并不会传染。

VBS: 用Visual Basic Script程序语言编写的病毒。

AOL: 美国在线（AOL）环境下特殊的木马，其目的通常位窃取AOL的Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'>密码等信息。

PWSTEAL: 窃取密码等信息的木马。

JAVA: 用JAVA程序语言编写的病毒。

基础入门之六：什么是超级病毒技术

超级病毒技术是一种很先进的病毒技术。它的主要目的是对抗计算机病毒的预防技术。

假定一个计算机病毒进行感染、破坏时，反病毒工具根本无法获取运行的机会，那么病毒的感染、破坏过程也可以顺利的完成了。由于计算机病毒的感染、破坏必然伴随着磁盘的读写操作，所以能否预防计算机病毒的关键在于：在对磁盘进行读写操作时，病毒预防工具能否获得运行的机会以对这些读写操作进行判断分析。

超级病毒技术就是在计算机病毒进行感染、破坏时，使得病毒预防工具无法获得运行机会的病毒技术。一般病毒攻击计算机时，往往窃取某些中断功能，要借助于DOS的帮忙才能完成操作。例如，在PC机中病毒要写盘，必须借助于原DOS的INT 13H，病毒作者知道，反病毒工具（软件的或硬件的）都是在DOS中设置许多陷阱，等待病毒来碰，一碰陷阱，病毒便被抓获。超级病毒作者，以更高的技术编写了完全不借助于DOS系统而能攻击计算机的病毒。此类病毒攻击计算机时，完全依靠病毒内部代码来进行操作，避免碰触DOS系统，不会掉入反病毒陷阱，极难捕获。一般的软件或反病毒工具遇到此类病毒都失效。

超级计算机病毒目前还比较少，因为它的技术还不为许多人所知，而且编制也有相当的难度。然而一旦这种技术被越来越多的人掌握，同时结合多态性病毒技术、插入性病毒技术，这样的病毒将给反病毒的艰巨事业雪上加霜。

基础入门之七：几个易被误认为病毒的文件

随着计算机的普及和信息技术的发展，“计算机病毒”一词对每一个人来说都已经不再陌生了，现如今计算机病毒可谓层出不穷，甚至让广大计算机用户几乎到了“谈毒色变”的程度。江民公司技术工程师发现有许多用户对操作系统下的文件不是很了解了解，以至于产生种种的怀疑。

以下是用户经常怀疑是病毒的文件:

一、Thumb.db文件
Thumb.db文件被用户误认为是病毒的原因应该有三点：
1、该文件在一些操作系统中的带有图片的文件夹中都存在；
2、即使删除此文件，下次打开该文件夹时仍会生成；
3、该文件可能会不断增大。
其实，Thumb.db文件在Windows Me或更新的Windows版本中都会有，这是Windows对图片的缓存(也可以说是缓冲文件)，它可以方便用户对图片进行预览，图片越多，这个文件可能就越大，这是正常的。在Windows XP系统下可以在“文件夹选项”里面选择“不缓存缩略图”，就不会产生这种文件了。

二、Mfm1992文件 或“Mfm1992.AVB.AVB.AVB.AVB(后缀是无穷AVB)”
Mfm1992文件用户误认为是病毒的主要原因应该是:此文件可能生成在任何一个文件夹中，而且删除后可能还会重新生成。
Mfm1992文件是由于智能ABC的词库出错而产生的一个文件。由于智能ABC输入法的词库容量有限，当超出这个容量的时候，就会产生这个文件。当前程序运行在哪个目录，这个文件就在该目录下产生。这个文件的大小一般为43KB。这是智能ABC4.0的一个Bug，Win2000和me中自带的智能ABC5.0已经修正了这个错误。
　如果想让计算机中不再出现这个文件，有两种办法:
1、可以把4.0的智能ABC升级至高版本。
2、可以把Windowssystem目录下的*.rem文件删除，然后重启计算机。

三、Word的临时文件
用户在打开一个Word文档时会发现在同一个目录下出现了一个与原文档名称相同但前面加了一个“~$”符号的文件，它的图标与Word文档的图标相同，但是“灰”颜色的(即具有隐藏属性)。许多用户觉得可疑，认为是病毒造成的。
其实这是一个正常的现象，这个文件是Word生成的，可以理解为是一个缓冲文件，它的作用是最大限度的保存由于意外原因(如突然死机等)造成的用户对修改或建立的Word文档在未进行保存时的损失。其实这个文件在关闭了Word文档后即会自动消失，用户不必担心。

四、jdbgmgr.exe文件
与以上几种文件不一样，该文件即不是出错时生成的文件也不是临时文件，是一个正常的系统文件。用户本来是注意不到它的，因为它存在于系统目录下。但很多用户把它认为是病毒的原因是由于一封具有欺骗性的电子邮件在网上四处散发。这封被伪装成一份病毒防治报告的电子邮件，对收到邮件的用户发出警告，声称“jdbgmgr.exe”文件是一种病毒，可以在感染PC两周后损害整个电脑系统。这一谎言被许多相信自己已经被感染的PC用户四处散发，希望能帮助其他受害者清除这个病毒。
实际上，“jdbgmgr.exe”文件是Java调试管理器，是所有Windows系统中所安装Java软件的一个组成部分。该文件一旦被删除之后，可能会导致一些Javaapplets和JavaScript停止工作。

基础入门之八：电脑病毒有哪些本质弱点

电脑病毒是一些能够自我复制的程序段，它能附在应用程序或系统文件的可执行部分。在宿主程序执行的某些阶段，它能够获得执行控制权。按病毒传染机理可分为两大类：一类是系统引导型，它感染系统引导时的程序（系统引导扇区、操作系统的某些模 块、设备驱动程序等）；

另一类是文件型，它感染可执行的程序文件（即应用程序，含COM文件、EXE文件或覆盖文件等）。

透过各种病毒的分析，可以发现病毒有三个本质弱点：

（1）病毒的宿主目标必须是电脑系统的可执行程序，也就是说它们只能感染系统引导程序或应用程序。

（2 ）病毒的感染总是以某种方式改变被感染的程序段，如果附在现存程序上，它会改变程序的开头、结尾或程序中间的某些部分，如果它隐藏在磁盘的某些区，它会更改这些区的内容。

（3）如果病毒要存活、传播， 那么它的程序代码必须能够被执行，即病毒必须把自身或一部分定位于宿主程序的特殊位置，以便获得控制权。

实际上，现有PC病毒都是通过改变宿主程序的第一条执行的指令，达到先于宿主程序执行的目的。对于COM 文件，病毒替换它的第一条指令（因为COM 文件入口地址固定为CS:100H）；对于EXE文件，病毒改变入口指针（在文件头）；对于中断服务程序，也类似地改变它的中断向量。

因此，病毒破坏了被感染程序的数据真实性，准确地说是破坏了被感染程序第一条被执行指令的真实性。所以，对应用程序的校验只要针对第一条执行的指令和附近的数据，既可保证准确性，又减少检测时间。

基础入门之九：纠正14条查杀计算机病毒的错误认识

网络生活中，计算机病毒给我们带来了具大的威胁，如何防范病毒是我们非常关心的一个话题。其实电脑病毒的防范并不是简单的几个字，在认识上我们有些人就存在很大的错误，下面我们就一起来看看我们面对计算机病毒时的一些错误认识。

　　1、对染毒软盘DIR操作会导致硬盘被感染(错)
　　如果计算机的内存没有病毒，那么只有在执行了带有病毒的程序(文件)后，才会感染计算机。而DIR命令是DOS的内部命令，不需要执行任何外部的程序(文件)，因此对染毒软盘进行DIR操作不会感染病毒。
　　不过需要注意的是，如果计算机内存已有病毒(或者说计算机已染毒)，如果对没有染毒的软盘进行DIR操作， 就可能感染软盘。说可能会感染是因为有些病毒不会通过DIR操作传播。

　　2、将文件改为只读方式可免受病霉的感染(错)
　　某些人认为通过DOS的外部命令ATTRIB，将文件设置为只读会十分有效地抵御病毒。 其实修改一个文件的属性只需要调用几个DOS中断就可以了，因此说ATTRIB命令对于阻止病毒的感染及传播几乎无能为力。

　　3、病毒能感染写保护的磁盘(错)
　　由于病毒可感染只读文件，不少人由此认为病毒也能修改在写保护磁盘上的文件。事实上，磁盘驱动器可以判断磁盘是否写保护，是否应该对其进行写操作，这一切都是由硬件来控制的，您可以物理地解除PC的写保护传感器，却不能用软件来做这件事。
　　如果您的软驱是正常的，而软盘的写保护一次也没有取下来，绝对不会感染病毒。但是如果您取下来了，并且用带毒的机器DIR过，则完全有可能感染病毒。注意这个DIR是从机器向软盘感染病毒，而不是把病毒从软盘传染到机器。
　　写保护和文件只读方式不同，设置文件只读方式是通过计算机，所以病毒能插上一手，可是写保护非要人手参与不可，病毒可没办法把写保护弄掉。计算机不能对写保护磁盘进行改写，这是任何操作都无法改变的(除非您把驱动器弄坏)。

　　4、反病毒软件能够杀除所有已知病毒(错)
　　病毒感染方式很多，有些病毒会强行覆盖执行程序的某一部分，将自身代码嵌入其中，以达到不改变被感染文件长度的目的，被这样的病毒覆盖掉的代码无法复原，因此这种病毒是无法安全杀除的。 病毒破坏了文件的某些内容， 在杀除这种病毒后是不能恢复文件的原貌的。

　　5、使用杀毒软件可以免受病毒的侵扰(错)
　　目前市场上出售的杀毒软件，都只能在病毒泛滥之后才“一展身手”。但在杀毒之前病毒已经造成了工作的延误、数据的破坏或其他更为严重的后果。所以，应该选择一套完善的反毒系统，它不仅应包括常见的查、杀病毒功能，还应该同时包括有实时防毒功能，能实时地监测、跟踪对文件的各种操作，一旦发现病毒，立即报警，只有这样才能最大程度地减少被病毒感染的机会。

　　6、磁盘文件损坏多为病毒所为(错)
　　文件的损坏有多种原因，电源电压波动、掉电、磁化、磁盘质量低劣、硬件错误、其他软件中的错误、灰尘、烟灰、茶水，甚至一个喷嚏都可能导致数据丢失。以上所举对文件造成的损坏，会比病毒造成的损失更常见，更严重。

　　7、如果做备份的时候，备份了病霉，那么这些备份是无用的(错)
　　有两种情况:①软盘备份:备份中含有引导型病毒。这种情况下，只要不用这张软盘试图启动您的计算机，它将和无毒备份一样安全。②磁带备份:备份中的数据文件中不会有病毒，如果其中的可执行文件中含有病毒，那么执行文件就白备份了，但是备份中的数据文件还是可用的。

　　8、反病毒软件可以随时随地防范任何病霉(错)
　　很显然，这种反病毒软件是不存在的。新病毒不断出现，要求反病毒软件必须快速升级。对抗病毒，我们需要的是一种安全策略和一个完善的反病毒系统，用备份作为防病毒的第一道防线，将反病毒软件作为第二道防线。 同时，软件的及时升级是加固第二道防线的唯一方法。使用反病毒软件是为了辅助防毒，它不可能是刀枪不入的保镖。

　　9、正版软件不会带病毒，可以安全使用(错)
　　计算机用户常被告知，“为了防范病毒的侵害，不要使用来历不明的软件”。这话不错，所谓“来历不明的软件”确实是计算机病毒传播主要途径之一。那么使用有“来历”的软件是否就可以高枕无忧呢?非也!实际上计算机报刊媒体已经多次报导过“正版软件”。“商品软件”带病毒问题。使用商品软件也不可掉以轻心，甚至新购买的计算机包括
　　原装计算机在使用前都须进行病毒检测。如确实由于原版软件带有病毒而造成重大的损失，应寻求法律保护。
　　不用软盘，不会感染病毒，因而无需选择杀毒软件
　　“不用软盘，就不会感染病毒”是常在初级用户中听到的一种言论，它和“使用软盘，就会感染病毒”是一对孪生姊妹，是两种相同类型的错误论调。
　　病毒的传染是通过带病毒软件进行的，但软盘并不是“带病毒软件”的唯一载体。可以说，凡是可以得到程序(软件)的地方，都可能“得到”病毒。也就是说，使用光盘、硬盘、磁带，或者通过局域/广域网络、Internet、BBS(电子公告板)使用或下载软件，都潜在感染病毒的危险。尤其是近年来 Internet和BBS的广泛使用，使得国内外病毒大面积、高速度的流行传播成为可能。这些具有国际性的计算机信息传播媒体，是潜在的病毒毒源和导管(当然，这些网络体系中也具有安全性较高的防/杀病毒系统)，使每一个计算机用户都受到染毒的威胁。 —恐怕没有人会说他的计算机永远不会连上Internet。
　　人不可能不生病，所以计算机绝不可能不感染病毒，所以您必须选择杀毒软件。
　　人不可能都是医生，所以您没有必要独自去面对病毒，所以您必须选择杀毒软件。

　　10、“能杀毒的就行”和“有一个杀毒软件就够了”(错)
　　“能杀毒的就行”和“有一个杀毒软件就够了”，这是一部分人在选择杀毒软件时的想法。一种常见的情况是，当您的计算机不正常时，找来一大堆杀毒软件，不管是正版还是盗版，能查能杀病毒就是好样的。其实很多计算机的故障并不是病毒导致，这样，很多的杀毒软件都“无效”;另一种更常见的情况是用户一般并不注意“查毒”与“杀毒”的区别，使用某种杀毒软件时，首选“杀毒”操作。于是，当它用这种杀毒软件将系统“杀毒”了一次以后，用其他杀毒软件，就再也找不到病毒了，那就认定这个软件是最好的。
　　目前还没有一个杀毒软件能囊括所有病毒而杀之，这是谁也做不到的。由于各种病毒标本的来源不同，再加上程序编制者的实力有别，总存在一种软件能查杀的病毒，别的软件却不能查杀。或者由于一些程序BUG(程序错误)，使某些软件本来可以查杀的病毒，在它的一些版本中却不能查杀或误查误杀了。所以一般不建议用户革一的选择一种杀毒软件。
　　在选择杀毒软件时，请首先抛开您所有关于“好”与“不好”的成见，也拒绝广告词上的种种诱惑，认真地去了解一下杀病毒软件厂商在技术实力、服务质量、软件性能等方面的东西。特别应该了解软件厂商在升级、退货、损坏更换等方面的措施和承诺的可信度。同时，您应该请厂商直接阐述一下他们在广告中的各种术语的具体含义，要知道，这是您作为消费者的合法权益。
　　现在的反病毒软件市场就像“战国时代”，各家都说各家好。但消费者感到不放心，到底用谁的软件好?只用一个好还是用几个好?世上没有“万灵丹”，一个软件再好，也不是所有的病毒都能杀，不能“包治百病”。各软件厂家获取病毒样本的时间不同，因此，在每一个时间段，各软件厂家都是各有侧重，只有一个不保险。除了“万能的主”之外，这个世界上恐怕再也找不到万能的东西了。为防止“重复建设”，专家认为，选购两个优势互补的反病毒软件即可，这是提高“安全系数”的最佳方法。千万别把好几个反病毒软件都在同一台计算机上安装，大多了没必要，而且有可能出现相互之间抢占资源、判断失误、死机等问题。

　　11、发现CMOS中有病毒(错)
　　CMOS是微机中的一种特殊存储器，记录了微机的硬件设置参数及系统日期时间。开机密码等重要数据。由于CMOS设置十分重要，所以可能成为计算机病毒破坏攻击的目标。目前确实已发现了改写CMOS的“CMOS设置破坏者”病毒，但在CMOS中并不存在病毒。
　　有时，机器发生问题，问题出在CMOS设置上，有人认为，这是躲藏在CMOS里面的病毒!因而误认为杀毒软件不行，采取对CMOS存储器又是放电、又是短路的措施，重新设置CMOS参数后，机器恢复了正常，从此确信CMOS中有病毒。这种行为及其危险，很容易将主板搞坏。我们说“CMOS设置破坏者病毒，不等于CMOS中有病毒!病毒不能将自身自动传染到CMOS里面而存留和被激活!”，“病毒可以将CMOS设置改变或加密，但用户也可以重新设置和恢复。”
　　某些情况下，如CMOS电源不足、外界电源冲击性波动、软件崩溃、硬件不稳定、操作上的失误、病毒改写等都会导致CMOS 设置紊乱，也可以说，是紊乱性加密，因而，造成机器不能引导或不能正常工作。这时，一般情况下可以重新对CMOS设置和用专用软件来清理紊乱性密码，然后再设置正确参数。
　　CMOS中不会有病毒寄生，因为:
　　(1)CMOS是通过I/O读写与CPU交换数据的， CPU的物理机能决定了只能读写CMOS的数据，不能把CMOS中的数据当作指令代码来执行。而病毒想要工作的话就一定要执行其程序码，但CMOS只是用来存放数据的，在CMOS中的数据不是可执行的，所以并没有CMO5病毒，只有会破坏CMOS数据的病毒。
　　(2)如果把一段病毒程序写入CMOS,则必然破坏微机的硬件设置以至于微机根本不能运行，存储在CMOS中的“病毒程序”将毫无作用，病毒不能在CMOS中蔓延或藏身于其中。
　　(3)CMOS的有效存储容量只有128个字节，不足以容纳病毒。可见CMOS不具备病毒寄生和被激活的条件，不可能有病毒存在。

　　12、发现Cache中有病毒
　　与CMOS中没有病毒一样，Cache中也是根本不可能存在病毒的。
　　我们知道，程序执行时，数据流是这样被传送的:
　　外存(软/硬盘)
　　网络=>内存(RAM)=>Cache->CPU
　　Cache物理器件上是一块高速缓存芯片，它被设置在RAM与CPU之间，是RAM到CPU的一条必由通道。由于CPU的运算速度越来越快，而计算机的内存(RAM)的速度总是显得跟不上CPU。“为了缓解CPU与RAM之间的速度矛盾，一般采用在它们之间加入一块高速缓存芯片Cache，使同一时间下 RAM为CPU准备的代码不再是单一的指令/数据，而是一长段指令序列或可访问数据块。
　　可见Cache中存放的是非静态数据(计算机用语中的“数据”包括“程序代码”)， 它总是随程序的执行在不断刷新，被RAM中的数据不断更换。它的内容总是RAM中数据的某一部分的备份。
　　如果RAM中有了病毒，其病毒代码将经由Cache送到CPU，由CPU解码执行。病毒代码“流经” Cache这一现象并不能称为“有Cache病毒”，就好像我们不能因为病毒代码在CPU中执行就认为有CPU病毒一样。事实上，从PC机的组成原理来看，所有病毒都必须经由Cache进入CPU，因为所有正常或非正常数据都是这样进入CPU中解码执行的。
　　此外，Cache中不可能有病毒的重要原因之一也在于Cache不能被软件编址，无法人为控制。
　　和CMOS不一样的是，Cache并没有专用电源供电。因而Cache中的数据将在关机后自动清除，在开机时自动刷新。这样的环境中的“病毒”是既无法存储又无法复制的。可见，Cache并不是病毒的安乐窝， 没有人会考虑在这样的环境中置放病毒。

　　13、病毒不感染数据文件(错)
　　通常是这样。因为病毒是一段程序，而数据文件一般不包含程序，当然就不会感染病毒.TXT、.PCX等文件因为肯定不包含程序，所以可能不会感染病毒。不过有些病毒会破坏各种文件，所以备份数据文件还是非常必要的。作为例外的是，若数据文件包含了可执行码，那么它就能够被病毒感染了。关于这方面的一个好的例子Microsoft Word文件(.DOC和.DOT)。虽然word文件是技术上的数据文件，但Word中可以包含一段程序，因此它们能够容纳病毒，并因为是可执行文件，故而是容易受病毒感染的。目前大部分的病毒感染报告都是来源于宏病毒。

　　14、安装有实时杀毒功能的防火墙，就万事大吉了(错)
　　有很多用户持一种错误的观念，以为只要买了杀毒软件，特别是只要安装了有实时杀毒功能的防火墙，就能挡住所有病毒，万事大吉了—这是大错而特错的。从 1999年4月26日CIH病毒大发作的情况来看，安装了病毒防火墙且于1998年9月以后至少升级过一次的，都没有受到CIH病毒的攻击，而那些虽然安装且运行病毒防火墙，却太久没有升级的用户，有相当大的比例不幸成为CIH病毒的牺牲品。究其原因，完全是没有及时升级，使原有的杀毒软件无法具备防范查杀、阻击CIH病毒的能力。因此，我们要再一次特别郑重地提醒用户，不管您使用的是什么样的杀毒软件，它的生命力在于及时地不停升级，否则，当一个全新的病毒袭来的时候，旧版本的杀毒软件将会形同虚设。请用户一定要随时关注反病毒厂家关于新病毒的流行通报，及时升级，以免造成不必要的损失。