認清本質 計算機病毒防治常遇問題

　　一種是將病毒程序代碼由感染的檔案中移除(例如一個10K的檔案感染了2K的病毒變成了12K,經過殺毒之後,恢復成10K的正常檔案)，這就是所謂的清除。

　　1. 為什麼有些病毒清除不了(非運行中)，只能隔離而不能清除?

　　所謂的殺病毒,就防毒軟件而言有兩種情況

　　一種是將病毒程序代碼由感染的檔案中移除(例如一個10K的檔案感染了2K的病毒變成了12K,經過殺毒之後,恢復成10K的正常檔案)，這就是所謂的清除;

　　一種是將整個病毒檔案刪除(這是因為該檔案全都是病毒程序代碼)這種情況特別容易發生在特洛依木馬,蠕蟲之類的病毒，這種狀況就是采取的隔離措施。

　　2. 對於病毒清除後的殘余文件，是否會隨著病毒清除後自動刪除?

　　不會。有些病毒或是木馬後門之類的惡意程序會在系統中寫入一些文件，用以記錄自身運行使得一些狀態或是記錄從系統中取得的數據。這些文件由於是用於記錄數據，與通常的純數據文件並沒有什麼差別，其本身並不具備執行的能力，因此並不會被檢測，相應的該文件也不會被采取一些自動的措施進行處理。

　　3. 為什麼有時候其他軟件認為一個文件是病毒，而趨勢卻認為不是病毒?

　　各防病毒廠商在對病毒的認定標准上存在一些細小的差異，導致某些文件某些廠商檢測而其他一些廠商不檢測的結果。舉例來說，如果一個程序在執行時需要客戶認可其最終用戶許可協議，趨勢科技即不將其檢測為病毒，而其他廠家則可能會檢測該程序為病毒。

　　4. 當發現一個未知病毒時，趨勢科技的防毒軟件是怎麼處理的?除了隔離還會怎麼處理?

　　發現病毒時，趨勢科技的防毒軟件通常可以采取的措施有：

　　清除

　　隔離

　　刪除

　　重命名

　　通過(即不做處置)

　　如果客戶懷疑自己的系統中感染了未知病毒，可以請他將可疑文件壓縮成zip文件，並且在壓縮時使用密碼virus，然後發送至郵箱：[email protected]進行分析

　　5. 病毒不斷的被發現，那是不是我們的病毒碼會不斷的增大?

　　就目前情況而言，隨著新病毒的不斷被發現，新的病毒特征將被添加病毒碼中，我們的病毒碼會繼續增大。

　　6. 病毒碼更新，掃描引擎不更新的話，會不會繼續中病毒?

　　病毒碼中包含的是病毒的具體特征，而掃描引擎就是使用這些特征對文件進行比對，以確定被掃描的文件是否為病毒。因此，理論上只要病毒碼包含了相關病毒的特征，則該病毒即可被檢測到。

　　7. 對於被隔離的病毒文件如果是系統文件的話，客戶要刪除的話，怎麼辦?

　　由於系統文件是操作系統的一部分，建議客戶使用原始的操作系統安裝盤恢復相應的文件。

　　8. 對於隔離區的清除不了病毒的文件，是否可以等到新的解藥出來後，清除文件中的病毒就可以了?

　　清除不了病毒的文件可能有以下兩種情況：

　　該文件本身即是病毒文件而非病毒感染其他文件後生成。這種情況下只能采取隔離或是刪除的措施，因為文件中包含的只有病毒代碼，不存在清除的問題。

　　病毒在感染文件時采取了一些特殊的方法，對被感染的文件進行了一些特殊的處理。使得防病毒軟件不能有效的還原原文件。但是，並不排除隨著防病毒軟件的改進而可以清除的可能。

　　9. 病毒常見的有多少種類?

　　根據病毒的感染文件的類型，常見病毒有：

　　宏病毒

　　腳本病毒

　　文件型病毒(感染可執行文件)

　　10. 病毒發作有的有周期的，是否本機時間改掉就可以了?

　　修改系統時間確實可以阻止一些周期性發作的病毒的發作，但是並不是絕對可行。有些病毒由於其觸發機制的復雜性，修改系統時間並不能完全阻止其發作。

　　11. 蠕蟲病毒的特征和區別

　　計算機蠕蟲是指一個程序(或一組程序)，它會自我復制、傳播到別的計算機系統中去。最重要的特征是其復制的行為發生於計算機與計算機之間。

　　12. 有客戶說，在電腦上裝個恢復盤，中毒後，馬上就可以恢復。那麼所謂恢復盤是什麼

　　恢復盤可能是客戶采取的一些數據備份措施，當系統出現問題時，相對對系統的重新安裝，使用之前的數據備份將系統還原是一種比較便捷的方式。

　　13. 為什麼現在有很多客戶都說殺不掉木馬程序

　　造成這個問題可能是以下原因：在Windows操作系統下運行的程序，其執行的原始文件往往會處在一個受保護的狀態，使得對該文件的相關操作被禁止。很多木馬程序都會在系統文件或是系統注冊表中寫下可以使自身在Windows啟動時自動執行的項目，因此往往系統已啟動木馬已在系統中運行，造成防病毒軟件無法對木馬程序進行有效處理。

　　14.哪些病毒有潛伏期的

　　病毒是否具有潛伏期要視病毒的具體觸發條件而定，只有那些觸發條件是使用時間的病毒才具有潛伏期。

　　15.不同的病毒生成的文件是什麼樣的

　　要視病毒具體感染的文件類型而定，宏病毒通常會感染Word文檔文件以及Excel電子數據表文件;腳本病毒通常會感染網頁類型文件;文件型病毒通常感染可執行程序，如exe文件。

　　16.感染病毒的具體表現，主要是哪些後綴名形式的，還有一些命名規則

　　趨勢科技的病毒格式通常為

　　TYPE為病毒類型：

　　常見類型

　　WORM 蠕蟲

　　TROJ 木馬

　　BKDR 後門

　　PE 文件型

　　NAME為病毒名稱

　　VARIANT為病毒某一變種

　　例如：WORM_KLEZ.H，該病毒為蠕蟲類型，名稱為KLEZ，變種
　　17.各類病毒的傳播方式

　　病毒的常見傳播方式有：

　　通過電子郵件

　　通過網絡共享

　　通過點對點的文件共享軟件

　　以磁盤之類的介質

　　18.TCS的使用方法，system clean 的使用(較為詳細的)

　　TSC使用方法：

　　1. 關閉所有正在運行的窗口和程序，其中尤其要注意防毒軟件的實時防毒也需關閉。如果病毒嚴重，可以同時將網絡連線暫時段開。

　　2. 在資源管理器的[工具][文件夾選項]中，選擇[使用windows傳統風格文件夾]的選項，以禁止資源管理器對Web浏覽器的自動調用。(某些病毒專門感染web頁面，一旦Web浏覽器程序,如IE處於開啟狀態，會造成開啟的頁面中的病毒無法有效清除。

　　3. 運行下載的程序[tsc.exe]，可以通過以下兩種方式執行

　　a. 直接在資源管理器(Windows Explorer)中雙擊執行。這是推薦使用的模式。

　　b. 在控制台(command prompt)下執行，此時可以選擇運行參數。

　　(如果您一時無法下載最新的工具，請暫時使用本介質內自帶的版本。目錄為：

　　4. 有時系統可能被不同的病毒反復重復感染，因此可以嘗試多運行幾次tsc工具。運行結束後，可以繼續使用sysclean或是其它工具對整個系統做進一步病毒清理工作。

　　注意：

　　1. 注意: 該工具會在c: emp eport目錄下產生日志(log)文件"YYYYMMDD.LOG" ("YYYY"指當前的年份，"MM"指月份，"DD"指日期，即運行當天時間。同一天的日志保存在一個文檔裡。例如20030523),內有詳細的清毒日志;c: empackup目錄下產生備份文件。因此請注意保證C驅動器下保留有足夠空間。

　　2. 針對Windows ME/XP系統，由於其自身具有系統保護和恢復功能，所以很可能造成病毒清不掉，或者重啟系統後病毒文件又被恢復的情況。因此請在清毒前關閉系統自身的系統恢復功能。

　　3. 如果某些系統破壞較嚴重，可以嘗試開機時按[F8]鍵，選擇進入安全模式下進行清毒工作。

　　命令行模式下的運行參數

　　/DI 發現病毒時不修復系統INI文件

　　/DR 發現病毒時不修復注冊表

　　/DBI 禁用系統INI文件備份

　　/DBR 禁用注冊表文件備份

　　/DBF 禁用病毒文件備份

　　/BP= 指定備份路徑

　　/DP= 指定調試日志路徑

　　/DN= 指定調試日志文件名稱

　　/PP= 指定TSC數據文件路徑

　　/MN 啟用未發現病毒消息框提示

　　/MV 啟用發現病毒消息框提示

　　/HD 隱藏 TSC 控制台

　　/VL 顯示可檢測病毒列表
　　Sysclean的使用方法：

　　使用方法

　　1. 關閉所有正在運行的窗口和程序，其中尤其要注意防毒軟件的實時防毒也需關閉。

　　2. 在資源管理器的[工具][文件夾選項]中，選擇[使用windows傳統風格文件夾]的選項，以禁止資源管理器對Web浏覽器的自動調用。(某些病毒專門感染web頁面，一旦Web浏覽器程序,如IE處於開啟狀態，會造成開啟的頁面中的病毒無法有效清除。

　　3. 運行下載的程序[sysclean_nnnn_Pxxx.com]，可以通過以下兩種方式執行

　　a. 直接在資源管理器(Windows Explorer)中雙擊執行。這是推薦使用的模式。

　　b. 在控制台(command prompt)下執行，此時可以選擇運行參數。

　　(如果您一時無法下載最新的Sysclean工具，請暫時使用本介質內自帶的版本。目錄為：

　　4. 在第一遍清毒過程中，請使用sysclean的默認設定掃描整個系統中的文件，即是使用[auto clean/自動清毒]模式對系統進行掃描。

　　(此種模式下，sysclean 針對無法進行清除的文件使用較保守的方式進行刪除，這樣較安全。

　　5. 如果在第一遍掃描過程中有發現病毒，則請進行第二遍清毒過程。此時請更改sysclean的掃描設定，不要選擇[auto clean/自動清毒]選項，再次掃描整個系統中的文件。

　　(當sysclean掃描到不能自動清除的感染文件時，將給出刪除文件的提示。此時，請根據情況需要先備份該文件並記錄下相應的原始目錄位置，然後選擇[刪除]，以免在操