五大绝招 让杀毒软件效率提高
五大绝招 让杀毒软件效率提高
天极yesky
软件总是在不停地更新换代,供应商们总是希望大家在他们发布新版本时都立即进行升级,但这么做并不是必要的,毕竟,这些程序已经陪伴了我们多年,占据了日常生活的一席之地。那么如何充分挖掘这些软件的潜力呢?我们组织了一系列鲜为人知的技巧,遵照这些小技巧,你日常使用的应用程序,例如Office、IE、杀毒软件等,都能够发挥更大的作用、变得更为迅速强大,且更简单易用。
这些技巧中所述的操作都是免费或者花费低廉的,但它们却能够在你的日常工作中发挥作用。
在世界没有变得更安全一些之前,一个像诺顿防
病毒软件这样的工具还是任何计算机用户所不可或缺的。以下的技巧就是帮助你加固你的诺顿防护之墙的小法宝。
编辑的话:虽然诺顿最近出现了误杀事件,但是我们不能否认他是一款好的
杀毒软件。
一、提速你的杀毒软件
当你在互联网中用到流音频媒体或是其它大的文件时,请不要运行磁盘扫描;在运行任何会频繁读取硬盘的程序时,也不要运行它。如果你有牢靠的防火墙,并及时对它更新的话,那么当你不会接触到互联网或是其它网络工具(包括电子邮件)时,你就可以禁用NAV的自动保护功能,因为这个“自动保护”功能绝对会对你的性能造成不利的影响。
你只需要确保,在每次打开下载的文件前以及病毒库更新后对病毒进行扫描就可以了。如果诺顿的实时更新运行起来太过缓慢,那么你可以跳过赛门铁克的病毒库下载页面,直接在其中选择其最新的安全补丁以及病毒库即可。
二、整合你的杀毒软件和防火墙
如果你在你已经受ZoneAlarm防火墙保护的系统上安装诺顿杀毒软件的话,NAV则会提示你将ZoneAlarm卸载。请不要理睬它,直接点击“下一步”按钮,诺顿的安装丝毫不会受到这个的影响。当你的计算机重新启动时,你就会发现ZoneAlarm防火墙已经被禁用。
要搞定这两个病毒扫描程序其实非常简单,在NAV中,选择“选项>诺顿杀毒软件”,将所有的构选框通通去除,禁用NAV,接着重新启动计算机。这时会弹出一条信息,询问你是否要启用ZoneAlarm病毒扫描。如果这条提示没有出现的话,你可以双击系统托盘中的ZoneAlarm图标,手动地将它的杀毒和反间谍软件功能开启。在将之前的步骤反操作一次,你就可以同时获得诺顿杀毒软件中的功能了。
三、将你不需要的东西关闭
如果你仅仅是使用基于Web的电子邮件,例如仅通过浏览器访问Gmail或Yahoo邮箱,而不使用Outlook、Foxmail等电子邮件客户端的话,你就可以放心地将诺顿杀毒的自动邮件保护功能关闭:点击“选项>诺顿杀毒软件”,在左边窗格中选中“电子邮件”,将“扫描发送与接收的电子邮件”一项的钩选去除即可。
四、让“自动保护”功能开启
当你安装一个新游戏或应用程序持,赛门铁克会推荐你保持诺顿的自动保护功能激活。他们公司认为诺顿需要在软件安装的整个过程中的保持运行状态。从一些不知名站点所下载的程序可能隐藏有恶意软件,甚至有时一些知名厂商的软件压缩包中也可能偶然地藏有病毒。
五、保持消息畅通
你应该对最新的病毒威胁都有所耳闻。你可以查看赛门铁克安全响应中心(Symantec Security Response)的页面,那是一个“一站式”的页面,你在此就能够了解到最新的病毒威胁,得知你常用软件中最新发现的漏洞(例如Excel、Windows Media Player甚至是Windows本身),找到最新的病毒查杀工具,知晓关于病毒的一些谣言,掌握赛门铁克发出ThreatCon警报。
另一个消息灵通丰富的网站则是TaskList.org,它标榜自己是能够帮助你判断你的计算机是否感染间谍软件、广告软件或病毒的终极资源。的确,它并没有在说笑。
【支招】关于rising.exe病毒的解决方案
近期,又开始流窜rising.exe 和autorun.inf 这两个怪异文件,它们分布在分区根目录, 与前不久的相差不差的,但比较难处理.
1、首先,点重启按F8进入安全模式。打开 windows资源管理器,依次点工具-文件夹选项-查看,选上“显示所有文件和文件夹”和“显示系统文件夹的内容”;去掉“隐藏已知文件类型的扩展名”和“隐藏受保护的操作系统文件”前面的对钩。
提示:在照上面设置后仍然找不到下面指出的病毒文件,或照上面设置失败,请不要关闭资源管理器,打开winrar或冰刃,用winrar或冰刃查找病毒文件。如果还是找不到,可以确定文件不存在。如果能找到,请使用冰刃,点文件(菜单里的)-设置-禁止进线程创建,然后右键点文件,删除,再回资源管理器,在原文件位置建立和病毒文件同名的带扩展名的文件夹免疫。
4、使用费尔强制删除工具,删除以下文件,删除后重建的可以选上抑制文件再次生成后删除。
C:\WINDOWS\system32\FB000E3A.DLL
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\cmdbcsg.dll
C:\DOCUME~1\new\LOCALS~1\Temp\upxdwnd.dll
C:\WINDOWS\system32\FB000E3A.EXE
C:\Autorun.inf
C:\rising.exe
D:\Autorun.inf
D:\rising.exe
E:\Autorun.inf
E:\rising.exe
删除以下目录:
C:\Syswm1i
删除后在c:盘下建立名字为:“Syswm1i”的空文件,防止以上文件夹再次创建。
6、用sreng-点启动项目-点服务-点win32服务应用程序:将以下项删除:
[FB000E3A / FB000E3A][Stopped/Auto Start]
7、用sreng-点启动项目-点注册表: 将以下项的启动删除:
[]
[]
[]
[]
[]
[]
9、用sreng- 点系统修复-浏览器加载项-删除以下内容:
[]
{05fbf39b-2c6b-45e2-8b0d-4e03f37a8dbf}
[]
{84d5bfe3-1854-49d9-ae2b-1b294ae19f4f}
[]
{05FBF39B-2C6B-45E2-8B0D-4E03F37A8DBF}
[]
{84D5BFE3-1854-49D9-AE2B-1B294AE19F4F}
12、删除ie临时文件:点ie图标-选属性,或打开ie浏览器,点工具-internet选项-删除。
删除\DOCUME~1\ADMINI~1\LOCALS~1\Temp\目录下所有exe和dll文件。
如果以上提到的文件都已处理后,重起到正常模式看看。
建议如下预防方式:
1.disable
2.disable
3.disable 和
4.kill 这两个病毒文件, 重新建立同名的空文件.
总结一下,其实对付rising病毒并没有什么很好的方法,因为有些文件名,是随机产生,每台机器并不一样,这就需要一定的时间去判断和鉴别,假如是新手,或者希望快速解决,重做系统也是一种方法,但是在重装前一定要在安全模式下,清空所以盘下的rising.exe文件.
该病毒主要破坏功能有:
1.感染exe 并使得被感染的exe的公司等属性变为“番茄花园”
2.感染html asp 等文件 插入恶意代码
3.通过双击磁盘启动
4.下载木马,盗取网游帐号
5.修改注册表,使系统无法显示隐藏文件
6.通过hook API 函数导致任务管理器中无法看见其进程!(这点十分可恶)!
分析报告如下:
[table=500,#ffffff][tr][td] File: rising.exe
Size: 64775 bytes
File Version: 1.00
MD5: 86311B37D938BB35645E7B092014DD63
SHA1: 47C324A5A691DD31DC0410E51ADBD35065E6C7C3
CRC32: 88ABBD9B rising.exe 运行后 首先释放一个rising.eve的文件 然后由rising.exe启动他
之后 释放139CA82A.EXE 139CA82A.dll(随机的8个数字字母组合成的文件名)到系统文件夹
注册服务139CA82A.EXE
139CA82A.EXE控制winlogon进程 使得139CA82A.dll插入几乎所有进程
释放rising.exe 和autorun.inf 到每个分区,使得双击磁盘启动
感染除系统分区外的exe文件 使得其公司名全变为番茄花园
感染 html asp 等文件 在其后面插入代码
修改系统时间 随机把年份往前调 月,日不变
修改 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue:
值为 0x00000000
导致无法显示临时文件
rising.exe 还会hook 多个 API函数 使其进程在任务管理器中隐藏
使用Explorer.exe连接网络 61.152.92.98:80下载木马
下载的木马一般为K117815XXXXX.exe
XXXXX代表随机
到系统文件夹
由于 每台机器上下载的木马的名称不同 但最后结果相同 所以中间释放的过程省略
最后 这些木马运行后分别释放了如下文件
C:\WINDOWS\system32\buchehuo.exe(创建了服务inetsvr)
C:\WINDOWS\system32\cmdbs.dll
C:\WINDOWS\cmdbs.exe
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\mppds.exe
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\msccrt.exe
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\winform.exe
C:\WINDOWS\system32\winsock.exe
临时文件夹下 释放upxdnd.exe和upxdnd.dll
[/td][/tr][/table]
解决办法:
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
首先把系统日期 改回来
然后打开sreng
启动项目 注册表 删除如下项目
[table=500,#ffffff][tr][td] []
[]
[]
[]
[]
[][/td][/tr][/table]
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
[table=500,#ffffff][tr][td] 139CA82A / 139CA82A
Wireless Zero Conflguration / inetsvr[/td][/tr][/table]
把下面的 代码拷入记事本中然后另存为1.reg文件
[table=500,#ffffff][tr][td] Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
[/td][/tr][/table]
双击1.reg把这个注册表项导入注册表
然后双击我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。
右键 点击C盘 点击右键菜单中的“打开”打开C盘 (千万不要双击)
删除 如下文件
[table=500,#ffffff][tr][td] C:\rising.exe
C:\autorun.inf
C:\WINDOWS\system32\buchehuo.exe
C:\WINDOWS\system32\cmdbs.dll
C:\WINDOWS\cmdbs.exe
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\mppds.exe
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\msccrt.exe
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\winform.exe
C:\WINDOWS\system32\winsock.exe
C:\WINDOWS\unspapik.txt
C:\WINDOWS\wiasevct.txt
C:\WINDOWS\wiasvctr.txt
C:\WINDOWS\ganran.txt
C:\WINDOWS\system32\139CA82A.DLL(随机的8个数字字母组合成的文件名)
C:\WINDOWS\system32\139CA82A.EXE(随机的8个数字字母组合成的文件名)
C:\WINDOWS\system32\K117815XXXXX.exe(XXXXX代表随机数字)
清空C:\Documents and Settings\用户名\Local Settings\Temp[/td][/tr][/table] 右键 点击分别打开系统分区以外的分区 还是点击右键菜单中的“打开” (千万不要双击)
删除每个分区下面的autorun.inf和rising.exe文件;最后用杀毒软件全盘扫描。
没有评论:
发表评论