[psac]

十七點學完安全知識超級詳細瞭解工作和病毒知識

第一：工作是什麼
　　工作為應用程式的執行實例，是應用程式的一次動態執行。看似高深，我們可以簡單地理解為：它是作業系統當前執行的執行程序。在系統當前執行的執行程序裡包括：系統管理電腦個體和完成各種操作所必需的程序；用戶開啟、執行的額外程序，當然也包括用戶不知道，而自動執行的非法程序（它們就有可能是病毒程序）。
　　危害較大的可執行病毒同樣以「工作」形式出現在系統內部（一些病毒可能並不被工作列表顯示，如「巨集病毒」），那麼及時檢視並準確殺掉非法工作對於手動式殺毒有起著關鍵性的作用。


第二：什麼是木馬
　　木馬病毒源自古希臘特洛伊戰爭中著名的「木馬計」而得名，顧名思義就是一種偽裝潛伏的網路病毒，等待時機成熟就出來害人。

　　傳染方式:通過電子郵件附件發出，元件服務在其他的程序中。

　　病毒特性:會修改註冊表、駐停留記憶體、在系統中安裝後門程序、開機載入附帶的木馬。

　　木馬病毒的破壞性:木馬病毒的發作要在用戶的機器裡執行客戶端程序，一旦發作，就可設定後門，定時地傳送該用戶的隱私到木馬程序指定的位址，一般同時內裝可進入該用戶電腦的連接阜，並可任意控制此電腦，進行文件移除、拷貝、改密碼等非法操作。

　　防範措施:用戶提高警惕，不下載和執行來歷不明的程序，對於不明來歷的郵件附件也不要隨意開啟。



第三：什麼是電腦病毒
　　電腦病毒是一個程序，一段可執行碼。就像生物病毒一樣，電腦病毒有獨特的複製能力。電腦病毒可以很快地蔓
延，又常常難以根除。它們能把自身附著在各種檔案類型的文件上。當文件被複製或從一個用戶傳送到另一個用戶時，它們就隨
同文件一起蔓延開來。

　　除複製能力外，某些電腦病毒還有其它一些共同特性：一個被污染的程序能夠傳送病毒媒體。當你看到病毒媒體似乎
僅僅表現在文字和圖像上時，它們可能也已毀壞了文件、再格式化了你的硬碟驅動或引發了其它檔案類型的災害。若是病毒並不
寄生於一個污染程序，它仍然能通過佔據儲存空間給你帶來麻煩，並降低你的電腦的全部效能。
　　可以從不同角度指出電腦病毒的定義。一種定義是通過磁牒、磁帶和網路等作為媒介傳播擴散,能「傳染」 其他程序
的程序。另一種是能夠實現自身複製且借助一定的媒體存在的具有潛伏性、傳染性和破壞性的程序。還有的定義是一種人為
製造的程序,它通過不同的途徑潛伏或寄生在儲存於媒體（如磁牒、記憶體）或程序裡。當某種條件或時機成熟時,它會自生複製
並傳播,使電腦的資源受到不同程序的破壞等等。這些說法在某種意義上借用了生物學病毒的概念,電腦病毒同生物病毒
所相似之處是能夠侵入電腦系統和網路,危害正常工作的「病原體」。它能夠對電腦系統進行各種破壞,同時能夠自我復
制, 具有傳染性。
　　所以, 電腦病毒就是能夠通過某種途徑潛伏在電腦儲存於介質（或程序）裡, 當達到某種條件時即被啟動的具有對計
算機資源進行破壞作用的一組程序或指令集合。

第四：什麼是蠕蟲病毒
　　蠕蟲病毒是電腦病毒的一種。它的傳染機理是利用網路進行複製和傳播，傳染途徑是通過網路和電子郵件。

　　比如近幾年危害很大的「尼姆達」病毒就是蠕蟲病毒的一種。這一病毒利用了微軟視窗作業系統的漏洞，電腦感染這一病毒後，會不斷自動撥號上網，並利用文件中的位址訊息或者網路共享進行傳播，最終破壞用戶的大部分重要資料。

　　蠕蟲病毒的一般防治方法是：使用具有既時監控功能的殺毒軟體，並且注意不要輕易開啟不熟悉的郵件附件。

第五：什麼是廣告軟體Adware
　　廣告軟體（Adware）是指 未經用戶允許，下載並安裝或與其他軟體元件服務通過彈出式廣告或以其他形式進行商業廣告宣傳的程序。安裝廣告軟體之後，往往造成系統執行緩慢或系統異常。

防治廣告軟體，應注意以下方面 ：

第一，不要輕易安裝共享軟體或"免費軟體"，這些軟體裡往往含有廣告程序、間諜軟體等不良軟體，可能帶來安全風險。

第二，有些廣告軟體通過惡意網站安裝，所以，不要瀏覽不良網站。

第三，採用安全性比較好的網路瀏覽器，並注意彌補系統漏洞．


第六：什麼是間諜軟體Spyware　　
間諜軟體（Spyware）是能夠在使用者不知情的情況下，在用戶電腦上安裝後門程序的軟體。 用戶的隱私資料和重要訊息會被那些後門程序捕獲， 甚至這些 「後門程序」 還能使黑客遠端操縱用戶的電腦。

防治間諜軟體，應注意以下方面 ：

第一，不要輕易安裝共享軟體或「免費軟體」，這些軟體裡往往含有廣告程序、間諜軟體等不良軟體，可能帶來安全風險。

第二，有些間諜軟體通過惡意網站安裝，所以，不要瀏覽不良網站。

第三，採用安全性比較好的網路瀏覽器，並注意彌補系統漏洞。

第七：Dll文件是什麼
　　DLL是Dynamic Link Library的縮寫，意為動態連接庫。在Windows中，許多應用程式並不是一個完整的可執行文件，它們被分割成一些相對獨立的動態連接庫，即DLL文件，放置於系統中。當我們執行某一個程序時，相應的DLL文件就會被使用。一個應用程式可有多個DLL文件，一個DLL文件也可能被幾個應用程式所共用，這樣的DLL文件被稱為共享DLL文件。DLL文件一般被存放在C:WindowsSystem目錄下。

　　1、如何瞭解某應用程式使用哪些DLL文件
　　右鍵按下該應用程式並選項快捷表單中的「快速檢視」指令，在隨後出現的「快速檢視」視窗的「引入表」一欄中你將看到其使用DLL文件的情況。

　　2、如何知道DLL文件被幾個程序使用
　　執行Regedit，進入HKEY_LOCAL_MACHINESoftwareMicrosrftWindowsCurrent-
ersionSharedDlls子鍵檢視，其右邊視窗中就顯示了所有DLL文件及其相關資料，其中資料右邊小括號內的數位就說明了被幾個程序使用，（2）表示被兩個程序使用，（0）則表示無程序使用，可以將其移除。

　　3、如何解決DLL文件丟失掉的情況
　　有時在卸載文件時會提醒你移除某個DLL文件可能會影響其他應用程式的執行。所以當你卸載軟體時，就有可能誤刪共享的DLL文件。一旦出現了丟失掉DLL文件的情況，如果你能確定其名稱，可以在Sysbckup（系統備份檔案夾）中找到該DLL文件，將其複製到System資料夾中。如果這樣不行，在電腦啟動時又總是出現「***dll文件丟失掉……」的提示項，你可以在「開始/執行」中執行Msconfig，進入系統組態實用程序對話視窗以後，按下選項「System.ini」標籤，找出提示丟失掉的DLL文件，使其不被選，這樣開機時就不會出現錯誤提示了。

　　rundll的功能是以指令列的方式呼叫Windows的動態鏈結庫。
　　Rundll32.exe與Rundll.exe的區別就在於前者是呼叫32位的鏈結庫，後者是用於16位的鏈結庫。rundll32.exe是專門用來使用dll文件的程序。
　　如果用的是Win98，rundll32.exe一般存在於Windows目錄下；
　　如果用的WinXP，rundll32.exe一般存在於WindowsSystem32目錄下。
　　若是在其它目錄，就可能是一個木馬程序，它會偽裝成rundll32.exe。

第八：什麼是系統工作
　　工作是指在系統中正在執行的一個應用程式；執行緒是系統分配處理器時間資源的基本單元，或者說工作之內獨立執行的一個單元。對於操 作系統而言，其調度單元是執行緒。一個工作至少包括一個執行緒，通常將該執行緒稱為主執行緒。一個工作從主執行緒的執行開始進而新增一個或多個附加執行緒，就是所謂關於多執行緒的多工作。
　　那工作與執行緒的區別到底是什麼？工作是執行程序的實例。例如，當你執行記事本程序（Nodepad）時，你就新增了一個用來容納組成Notepad.exe的程式碼及其所需使用動態連接庫的工作。每個工作均執行在其專用且受保護的位址空間內。因此，如果你同時執行記事本的兩個拷貝，該程序正在使用的資料在各自實例中是彼此獨立的。在記事本的一個拷貝中將無法看到該程序的第二個實例開啟的資料。
　　以沙箱為例進行闡述。一個工作就好比一個沙箱。執行緒就如同沙箱中的孩子們。孩子們在沙箱子中跑來跑去，並且可能將沙子攘到別的孩子眼中，他們會互相踢打或撕咬。但是，這些沙箱略有不同之處就在於每個沙箱完全由牆壁和頂棚封閉起來，無論箱中的孩子如何狠命地攘沙，他們也不會影響到其它沙箱中的其他孩子。因此，每個工作就像一個被保護起來的沙箱。未經許可，無人可以進出。
實際上執行緒執行而工作不執行。兩個工作彼此獲得專用資料或記憶體的唯一途徑就是通過傳輸協定來共享記憶體塊。這是一種協作原則。下面讓我們分析一下工作管理器裡的工作選擇項。
　　這裡的工作是指一系列工作，這些工作是由它們所執行的可執行程序實例來識別的，這就是工作選擇項中的第一列指出了映射名稱的原因。請注意，這裡並沒有工作名稱列。工作並不擁有獨立於其所歸屬實例的映射名稱。換言之，如果你執行5個記事本拷貝，你將會看到5個稱為Notepad.exe的工作。它們是如何彼此區別的呢？其中一種方式是通過它們的工作ID，因為每個工作都擁有其獨一無二的編碼。該工作ID由Windows NT或Windows 2000產生，並可以循環使用。因此，工作ID將不會越編越大，它們能夠得到循環利用。　　第三列是被工作中的執行緒所佔用的CPU時間百分比。它不是CPU的編號，而是被工作佔用的CPU時間百分比。此時我的系統基本上是空閒的。儘管系統看上去每一秒左右都只使用一小部分CPU時間，但該系統空閒工作仍舊耗用了大約99%的CPU時間。
　　第四列，CPU時間，是CPU被工作中的執行緒累計佔用的小時、分鍾及秒數。請注意，我對工作中的執行緒使用佔用一詞。這並不一定意味著那就是工作已耗用的CPU時間總和，因為，如我們一會兒將看到的，NT計時的方式是，當特定的時鍾間隔激發時，無論誰恰巧處於現用的執行緒中，它都將計算到CPU週期之內。通常情況下，在大多數NT系統中，時鍾以10毫秒的間隔執行。每10毫秒NT的心臟就跳動一下。有一些驅動程式程式碼片段執行並顯示誰是現用的執行緒。讓我們將CPU時間的最後10毫秒記在它的帳上。因此，如果一個執行緒開始執行，並在持續執行8毫秒後完成，接著，第二個執行緒開始執行並持續了2毫秒，這時，時鍾激發，請猜一猜這整整10毫秒的時鍾週期到底記在了哪個執行緒的帳上？答案是第二個執行緒。因此，NT中存在一些固有的不準確性，而NT恰是以這種方式進行計時，實際情況也如是，大多數32位作業系統中都存在一個關於間隔的計時機制。請記住這一點，因為，有時當你觀察執行緒所耗用的CPU總和時，會出現儘管該執行緒或許看上去已執行過數十萬次，但其CPU時間佔用量卻可能是零或非常短暫的現象，那麼，上述解釋便是原因所在。上述也就是我們在工作管理器的工作選擇項中所能看到的基本訊息列。


第九：什麼是應用程式
　　應用程式指的是程序開發人員要開發的一個資料庫套用管理系統，它可以是一個服務機構的財務管理系統、人事管理系統等。（各種有關功能的視窗的集合構成一個完整的套用系統，分發給各個終端用戶的就是一個應用程式。

第十：如何察看正在執行的工作
　　察看正在執行的工作的方法有很多，最簡單就是使用Windows原有的的工作管理器察看正在執行的工作：同時按下「Ctl Alt Del」開啟Windows工作管理器。點擊工作的標籤，即可察看系統中進行的工作列表。或者用滑鼠右鍵點系統狀態列「系統管理器」進入系統工作管理器

第十一：如何強制結束一個執行中的工作
　　 1. 開啟「終端服務管理器（工作管理器）」。
　　 2. 在「工作」選擇項上的「用戶」列下，右鍵按下要結束的工作，然後按下「結束工作」。
注意

　　 1. 必須具有完全控制權限才能結束工作。
　　 2. 要開啟「終端服務管理器」，請依次按下「開始」和「控制台」，雙按「系統管理工具」，然後雙按「終端服務管理器」。
　　 3. 請注意：在沒有警告的情況下結束工作會導致用戶會話中的資料遺失。
　　 4. 可能需要結束工作，因為應用程式沒有回應。
　　 5. 也可以使用 tskill 指令結束工作。


　　強制結束工作的指令行

　　Windows作業系統中只有System、SMSS.EXE和CSRSS.EXE不能殺。前兩個是純內核態的，最後那個是Win32子系統，ntsd本身需要它。ntsd從2000開始就是系統原有的的用戶態偵錯工具。被偵錯器附著(attach)的工作會隨偵錯器一起結束，所以可以用來在指令行下終止工作。使用ntsd自動就獲得了debug權限，從而能殺掉大部分的工作。ntsd會新開一個偵錯視窗，本來在純指令行下無法控制，但如果只是簡單的指令，比如結束(q)，用-c參數從指令行傳送就行了。Ntsd按照慣例也向軟體開發人員提供。只有系統開發人員使用此指令。有關詳細資料，請參閱 NTSD 中所附的求助文件。用法:開個cmd.exe視窗，輸入：　

　　ntsd -c q -p PID 　

　　把最後那個PID，改成你要終止的工作的ID。如果你不知道工作的ID，工作管理器->工作選擇項->檢視->選項列->勾上"PID(工作標幟符)"，然後就能看見了。 　

　　XP下還有兩個好用的工具tasklist和tskill。tasklist能列出所有的工作，和相應的訊息。tskill能查殺工作，語法很簡單：tskill 程式名稱！



　　結束工作的一些巧用小竅門：

　　誤刪VCD文件的另類恢復

　　現在很多人會把一些不錯的VCD直接拷入硬碟儲存。但你是否誤刪過這些百看不厭的傳統之作呢？那麼怎樣才能在不用恢復軟體的情況下手動恢復它們呢？

　　筆者找到了一個另類的恢復方法，並且效果還不錯。首先要知道誤刪的VCD文件的檔案名和原文件儲存於路徑。一般情況下VCD的主要視瀕文件是VCD根目錄下的Mpegav資料夾，檔案名一般為Avseq0？.dat或Music0？.dat,其中「?」代表數位(1∼9)。有的VCD序幕和正式內容是一個文件，即Avseq01.dat或Music01.dat；也有的VCD序幕和正式內容分別為兩個文件，即序幕為Avseq01.dat或Music01.dat，而正式內容為Avseq02.dat或Music02.dat。

　　首先，找一個和誤刪文件同名的文件(暫且稱為A)，接著將A複製到原誤刪文件的同一資料夾中。在出現「正在複製...」視窗時，按下Ctrl+Alt+Del結束「正在複製...」工作，如果「正在複製...」視窗不消失，就再次按下Ctrl+Alt+Del結束「正在複製...」工作。就這麼簡單，到原誤刪文件儲存於的地方看一下，是不是又失而復得了?用多媒體播放軟體開啟，只是開頭幾秒種是文件A的內容，後面的照看不誤。

　　儲存拷了一部分的文件

　　如果你經常會把MP3、CD、VCD、MPEG、RM等音、視瀕文件(或其他檔案類型的文件)從光碟中複製到硬碟，那麼可能會遇到複製到只剩下一點點時，Windows提示「複製文件出現錯誤」，這時只要按Enter鍵鍵或點擊「確定」按鈕，那麼辛辛苦苦複製的文件就會丟失掉。

　　其實只要馬上啟動「工作管理器」，把「出現錯誤的對話視窗」和「正在複製」的工作都關閉掉。那麼文件就會以原文件大小儲存下來了，當然這還是有缺點的，當此類文件播放到斷點的地方時就會停止。

　　巧玩遊戲

　　本人用的是Windows XP家庭版，執行一些支持Windows 2000但不支持Windows XP的遊戲時，滑鼠、鍵盤失去反應。某日發現一解法：開啟「工作管理器」，結束EXPLORER.EXE工作，點「新工作」，找到遊戲執行文件，執行即可。另外，結束SVCHOST.exe(為當前用戶名的)工作可以去掉Windows XP風格。

第十二：一些一般的工作
　　 　　工作名織y述

　　smss.exe壘ession鼾anager

　　csrss.exe 瞻l系統伺服器工作

　　winlogon.exe繙瑊z用戶登入

　　services.exe瞼]含很多系統服務

　　lsass.exe 繙瑊z IP 安全原則以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程式。

　　svchost.exe Windows 2000/XP 的文件保護系統

　　SPOOLSV.EXE 簣N文件載入到記憶體中以便遲後列印。

　　explorer.exe臍仵袬`管

　　internat.exe瞻u作列區的拼音圖示

　　mstask.exe瞻像\程序在指定時間執行。

　　regsvc.exe瞻像\遠端註冊表操作。(系統服務)→remoteregister

　　tftpd.exe 繒窶{ TFTP Internet 標準。該標準不要求用戶名和密碼。

　　llssrv.exe藏珖扆O錄服務

　　ntfrs.exe 礎b多個伺服器間維護文件目錄內容的文件同步。

　　RsSub.exe 簣惆謋峔蚖滓暌x存資料的媒體。

　　locator.exe 繙瑊z RPC 名稱服務資料庫。

　　clipsrv.exe 瞻銕"剪貼簿檢視器"，以便可以從遠端剪貼簿查閱剪貼頁面。

　　msdtc.exe 穡疆C事務，是分佈於兩個以上的資料庫，消息貯列，文件系統或其他事務保護檔案總管。

　　grovel.exe簣蝶佴s制作備份儲存於(SIS)捲上的重複文件，並且將重複文件指向一個資料儲存於點，以節省磁牒空間（只對 NTFS 文件系統有用）。

　　snmp.exe瞼]含代理程序可以監視網路設備的活動並且向網路控制台工作站匯報。

　　以上這些工作都是對電腦執行起至關重要的，千萬不要隨意「殺掉」，否則可能直接影響系統的正常執行。

第十三：什麼是網路釣魚
　　什麼是網路釣魚？
　　 網路釣魚 （Phishing）攻擊者利用欺騙性的電子郵件和偽造的 Web 站點來進行網路詐騙活動，受騙者往往會洩露自己的私人資料，如信用卡號、銀行卡賬戶、身份證號等內容。詐騙者通常會將自己偽裝成網路銀行、在線零售商和信用卡公司等可信的品牌，騙取用戶的私人訊息。
　　如何防備網路釣魚？
　　不要在網上留下可以證明自己身份的任何資料，包括手機號碼、身份證號、銀行卡號碼等。
　　不要把自己的隱私資料通過網路傳輸，包括銀行卡號碼、身份證號、電子商務網站賬戶等資料不要通過QQ 、MSN 、Email 等軟體傳播，這些途徑往往可能被黑客利用來進行詐騙。
　　不要相信網上流傳的消息，除非得到權威途徑的證明。如網路論壇、新聞組、 QQ 等往往有人發怖謠言，伺機竊取用戶的身份資料等。
　　不要在網站註冊時透露自己的真實資料。例如住址、住宅電話、手機號碼、自己使用的銀行賬戶、自己經常去的消費場所等。騙子們可能利用這些資料去欺騙你的朋友。
　　如果涉及到金錢交易、商業合同、工作安排等重大事項，不要僅僅通過網路完成，有心計的騙子們可能通過這些途徑瞭解用戶的資料，伺機進行詐騙。
　　不要輕易相信通過電子郵件、網路論壇等發怖的中獎訊息、促銷訊息等，除非得到另外途徑的證明。正規公司一般不會通過電子郵件給用戶傳送中獎訊息和促銷訊息，而騙子們往往喜歡這樣進行詐騙。

第十四：什麼是瀏覽器劫持
　　 瀏覽器劫持是一種惡意程序，通過DLL插件、BHO 、Winsock LSP 等形式 對用戶的瀏覽器進行篡改，使用戶瀏覽器出現 訪問正常網站時被轉向到惡意網頁、IE瀏覽器主頁 / 搜尋頁等被修改為劫持軟體指定的網站位址等異常。
瀏覽器劫持如何防止，被劫持之後應採取什麼措施 ？
　　瀏覽器劫持分為多種不同的方式，從最簡單的修改IE預設值搜尋頁到最複雜的通過病毒修改系統設定並設定病毒守護工作，劫持瀏覽器，都有人採用。針對這些情況，用戶應該採取如下措施： 　　不要輕易瀏覽不良網站。
　　不要輕易安裝共享軟體、盜版軟體。
　　建議使用安全效能比較高的瀏覽器，並可以針對自己的需要對瀏覽器的安全性設定進行相應調整。
　　如果給瀏覽器安裝插件，盡量從瀏覽器提供商的官方網站下載。

第十五：什麼是惡意共享軟體
　　惡意共享軟體（malicious shareware）是指採用不正當的元件服務或不透明的方式強制安裝在用戶的電腦上，並且利用一些病毒常用的技術手段造成軟體很難被卸載，或採用一些非法手段強制用戶購買的免費、共享軟體。 安裝共享軟體時，應注意以下方面： 注意仔　　細閱讀軟體提供的「安裝傳輸協定」，不要隨便點「next」進行安裝。
　　不要安裝從不良渠道獲得的盜版軟體，這些軟體往往由於破解不完全，安裝之後帶來安全風險。
　　使用具有破壞性功能的軟體，如硬碟整理、分區軟體等，一定要仔細瞭解它的功能之後再使用，避免因誤操作產生不可挽回的損失。


第十六：如何更好地預防電腦病毒入侵
　　有病治病，無病預防這是人們對健康生活的最基本也是最重要的要求，預防比治療更為重要。對電腦來說，同樣也是如此，瞭解病毒，針對病毒養成一個良好的電腦套用管理習慣，對保障您的電腦不受電腦病毒侵擾是尤為重要的。為了減少病毒的侵擾，建議大家平時能做到「三打三防」。
　　 「三打」 就是安裝新的電腦系統時，要注意打系統修正檔，震盪波一類的惡性蠕蟲病毒一般都是通過系統漏洞傳播的，打好修正檔就可以防止此類病毒感染；用戶上網的時候要開啟殺毒軟體既時監控，以免病毒通過網路進入自己的電腦；玩網路遊戲時要開啟個人防火牆，防火牆可以隔絕病毒跟外界的聯係，防止木馬病毒盜竊資料。
　　「三防」 就是防郵件病毒，用戶收到郵件時首先要進行病毒掃瞄，不要隨意開啟電子郵件裡攜帶的附件；防木馬病毒，木馬病毒一般是通過惡意網站散播，用戶從網上下載任何文件後，一定要先進行病毒掃瞄再執行；防惡意「好友」，現在很多木馬病毒可以通過 MSN、 QQ等即時通信軟體或電子郵件傳播，一旦你的在線好友感染病毒，那麼所有好友將會遭到病毒的入侵。

第十七：如何幹淨地清除病毒
1 、在安全模式或純DOS模式下清除病毒
　　當電腦感染病毒的時候，絕大多數的感染病毒的處理可以在正常模式下徹底清除病毒，這裡說的正常模式準確的說法應該是真實模式（Real Mode），這裡通俗點說了。其包括正常模式的 Windows 和正常模式的 Windows 下的 "MS-DOS 方式 " 或 " 命令提示字元 " 。 但有些病毒由於使用了更加隱匿和狡猾的手段往往會對殺毒軟體進行攻擊甚至是移除系統中的殺毒軟體的做法，針對這樣的病毒絕大多數的殺毒軟體都被設計為在安全模式可安裝、使用、執行殺毒處理。 　
　　 在安全模式（Safe Mode）或者純DOS下進行清除清除時，對於現在大多數流行的病毒，如蠕蟲病毒、木馬程序和網頁程式碼病毒等，都可以在安全模較魯溝濁宄?瓞窊p槐匾n褚鄖澳茄n匭胍r萌砼唐舳g倍荊壞梒齴垂憸s?珧O苤m競透腥究芍蔥形募?q牟《靜判枰s詿?DOS下殺毒（建議用乾淨軟碟啟動殺毒）。而且，當電腦原來就感染了病毒，那就更需要在安裝反病毒軟體後（昇級到最新的病毒庫），在安全模式（Safe Mode）或者純DOS下清除一遍病毒了！
2 、帶毒文件在\Temporary Internet Files目錄下
　　由於這個目錄下的文件，Windows 會對此有一定的保護作用，所以對這個目錄下的帶毒文件即使在安全模式下也不能進行清除，對於這種情況，請先關閉其他一些程序軟體，然後開啟 IE ，選項IE工作列中的 " 工具"\"Internet 選項 "，選項 " 移除文件 " 移除即可，如果有提示" 移除所有離線內容 "，也請選上一併移除。
3 、帶毒文件在 \_Restore 目錄下，*.cpy 文件中
　　這是系統還原存放還原文件的目錄，只有在裝了Windows Me/XP 作業系統上才會有這個目錄，由於系統對這個目錄有保護作用。
　　對於這種情況需要先取消" 系統還原 " 功能，然後將帶毒文件移除，甚至將整個目錄移除也是可以的。
4 、帶毒文件在.rar 、.zip 、.cab 等壓縮檔案中
　　對於絕大多數的反病毒軟體來說，現在的查殺壓縮檔案中病毒的功能已經基本完善了，單是對於一些特殊檔案類型的壓縮檔案或者加了密碼保護的壓縮檔案就可能直接清除了。
　　要清除壓縮檔案中的病毒，建議解壓縮後清除，或者借助壓縮工具軟體的外掛殺毒程序的功能，對帶毒的壓縮檔案進行殺毒。
5 、病毒在啟始區或者SUHDLOG.DAT或SUHDLOG.BAK文件中
　　這種病毒一般是啟始區病毒，報告的病毒名稱一般帶有 boot 、 wyx 等字樣。如果病毒只是存在於移動儲存於設備（如軟碟、FlashRom盤、移動硬碟）上，就可以借助本機硬碟上的反病毒軟體直接進行查殺；
　　 如果這種病毒是在硬碟上，則需要用乾淨的可起始碟啟動進行查殺。 對於這類病毒建議用乾淨軟碟啟動進行查殺，不過在查殺之前一定要制作備份原來的啟始區，特別是原來裝有別的作業系統的情況，如日文Windows 、Linux 等。 如果沒有乾淨的可起始碟，則可使用下面的方法進行應急殺毒：
(1) 在別的電腦上做一張乾淨的可起始碟，此起始碟可以在Windows 95/98/ME 系統上通過 " 增加刪除程式 " 進行製作，但要注意的是，製作軟碟的作業系統須和自己所使用的作業系統相同；
(2) 用這張軟碟啟始啟動帶毒的電腦，然後執行以下指令：
A:\>fdisk/mbr
A:\>sys a: c:
　　 針對 NT 構架的作業系統可首先安裝「管理員控制台」，安裝後使用管理員控制台，然後分別執行 fixmbr （恢復硬碟分區表）和 fixboot （恢復啟動碟上的啟始區）指令對啟始區及啟動訊息進行修復。
如果帶毒的文件是在 SUHDLOG.DAT 或 SUHDLOG.BAK 文件中，那麼直接移除即可。這是系統在安裝的時候對硬碟啟始區做的一個備份檔案，一般作用不大，病毒在其中已經不起作用了。
6 、帶毒文件在一些郵件文件中，如 dbx 、 eml 、 box 等
　　絕大多數的防毒軟體可以直接檢查這些郵件文件中的文件是否帶毒，對於郵信箱中的帶毒的郵件，可以根據用戶的設定殺毒或移除帶毒郵件，但是由於此類郵信箱的復合文件結構，易出現殺毒後的郵信箱依舊可以檢測到病毒情況，這是由於沒有壓縮郵信箱進行空間解壓縮的原因導致的，您可以嘗試在 Outlook Express 中選項「工具」 — 〉「選項」 — 〉「維護」 — 〉「立即清除」 — 〉「壓縮」
7 、文件中有病毒的殘留程式碼
　　這種情況比較多見的就是帶有 CIH 、Funlove 、巨集病毒（包括 Word 、 Excel 、 Powerpoint 和 Wordpro 等我的文件中的巨集病毒）和個別網頁病毒的殘留程式碼，通常防毒軟體對這些帶有病毒殘留程式碼的文件報告的病毒名稱後面通常是 int 、 app 等結尾，而且並不一般，如 W32/FunLove.app 、W32.Funlove.int 。一般情況下，這些殘留的程式碼不會影響正常程序的執行，也不會傳染，如果需要徹底清除的話，要根據各個病毒的實際情況進行清除。
8 、文件錯誤
　　這種情況出現的並不多，通常是由於某些病毒對系統中的關鍵文件修改後造成的，異常的文件無法正常使用，同時易造成別的系統錯誤，針對此種情況建議進行修復安裝的方法恢復系統中的關鍵文件。
9 、加密的文件或目錄
　　對於一些加密了的文件或目錄，請在解密後再進去行病毒查殺。
10 、共享目錄殺毒
　　這裡包括兩種情況：本機共享目錄和網路中遠端共享目錄（其中也包括映射盤）。 　
　　遇到本機共享的目錄中的帶毒文件不能清除的情況，通常是區域網路中別的用戶在讀寫這些文件，殺毒的時候表現為無法直接清除這些帶毒文件中的病毒，如果是有病毒在對這些目錄在寫病毒操作，表現為對共享目錄進行清除病毒操作後，還是不斷有文件被感染或者不斷產生病毒文件。以上這兩種情況，都建議取消共享，然後針對共享目錄進行徹底查殺，恢復共享的時候，注意不要開放太高的權限，並對共享目錄加設密碼。 對遠端的共享目錄（包括映射盤）查殺病毒的時候，首先要保證本機電腦的作業系統是乾淨的，同時對共享目錄也有最高的讀寫權限。如果是遠端電腦感染病毒的話，建議還是直接在遠端電腦進行查殺病毒。
　　特別的，如果在清除別的病毒的時侯都建議取消所有的本機共享，再進去行殺毒操作。在平時的使用中，也應注意共享目錄的安全性，加設密碼，同時，非必要的情況下，不要直接讀取遠端共享目錄中的文件，建議拷貝到本機檢查過病毒後再進去行操作。
11 、光碟等一些儲存於介質
　　對於光碟上帶有的病毒，不要試圖直接清除，這是因為光碟上的文件都是唯讀的原因導致的。同時，對另外一些儲存於設備查殺病毒的，也需要注意其是否處於寫保護或者密碼保護狀態。