江民反病毒疑难15问
一、网友问:我想了解在正常模式下和安全模式下杀毒软件无法清除的病毒应该如何处理才能彻底清除?还有如果BOOTSCAN也无法清除的病毒该怎样清除?
江民反病毒专家:
首先要了解病毒无法清除的真正原因是什么,如果是一个单独的病毒文件在正常模式下和安全模式下都无法清除,可以使用KV杀毒软件的BOOTSCAN 系统启动前杀毒功能杀毒。但是如果是多个病毒文件互相释放生成的那种病毒,有时候可能单独查杀一个文件后又会生成,这样可以使用KV杀毒软件的“未知病毒检测程序”扫描一下电脑,看看是否还有其他可疑文件,然后进行上报病毒样本或者删除处理。
二、网友问:预计下半年的病毒的趋势如何,与上半年比可能减少吗?文件粉碎功能为什么有的时候不能清理病毒?使用杀毒软件需不需要配合类似于奇虎360或卡卡之类的防流氓软件?
江民反病毒专家:
下半年木马病毒还会增多,ARP病毒还会发作,网页木马还会使用MS06-014和MS07-017这两个漏洞进行传播,估计还会有0Day漏洞病毒出现。可以使用KV内置的安全助手来防御流氓软件。
三、网友问:八位随机字符病毒有什么好的解决方法?
江民反病毒专家:
1.首先要给电脑打上MS06-014和MS07-017这两个补丁,这样可以免疫绝大多数网页木马,防止在浏览网页的时候感染病毒。
MS06-014 中文版系统补丁下载地址: http://www.microsoft.com/china/technet/security/bulletin/MS06-014.mspx
MS07-017 中文版系统补丁下载地址: http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx
2.禁用系统的自动播放功能,防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。
禁用Windows 系统的自动播放功能的方法:在运行中输入 gpedit.msc 后回车,打开组策略编辑器,依次点击:计算机配置->管理模板->系统->关闭自动播放->已启用->所有驱动器->确定。
定时升级杀毒软件,开启所有的监控功能
四、网友问:现在江民光盘启动的问题非常多,江民公司会在08版杀毒软件中重新开发或改进现有的光盘启动吗?
现在江民推出了杀毒U盘,但是很多以前拥有U盘的用户怎么办呢。难道为了防止染毒来换U盘?
一个程序可以使CPU使用率飚升到99%是何种病毒?应该怎样检查?在杀毒软件暂时无法查杀得情况我们应该如何解决呢?
江民反病毒专家:
1、不知道楼主所的光盘启动的问题具体情况,光盘启动杀毒是一个很好的辅助杀毒工具,可以在系统无法进入或程序出错时从光盘启动杀毒,而且可以调用硬盘中最新的病毒库。楼主可以把具体问题提出来发给江民公司,如确实存在问题会及时改进。
2、U盘杀毒的问题:目前江民杀毒软件KV2007具有U盘病毒免疫功能,利用实时监控系统可以自动清除Autorun.inf 文件,对所有U盘病毒进行免疫。kv2007里保留了制作u盘病毒库这个功能,可以与杀毒光盘配合使用实现与杀毒U盘同样的效果.
3、CPU占用率高的原因有很多,有可能是病毒的问题,也有可能是软件冲突或者其他的问题。可以先用任务管理器查看是那个程序占用CPU资源最大?如果不是系统进程,可以先将该进程结束,然后将可疑文件上报到virus@jiangmin.com ,由反病毒工程师分析答复。
如果是Explorer.EXE、IEXPLORE.EXE或者是svchost.exe等系统进程的话,可以查看是否有dll模块注入。
另外,使用KV杀毒软件的“未知病毒检测程序”扫描一下电脑是一个好办法,看看是否还有其他可疑文件,然后进行相关处理即可。
五、网友问:请问江民杀毒U盘有那些优点,怎么升级?
江民反病毒专家答:
江民的杀毒u盘除了具备一般u盘的所有功能外,还能够对u盘内的文件进行病毒查杀,并能够在线升级病毒库,具有一年的服务期限。还可针对流氓软件、恶意插件以及未知病毒进行检测。因为一般情况下u盘不能保证随时接入互联网络,所以升级过程需要用户手动点击“智能升级”来完成。 kv2007里仍保留制作u盘病毒库这个功能,使用普通U盘的用户可以与杀毒光盘结合使用对电脑进行杀毒。
六、网友问:请教专家
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
用这个键下启动的文件,启动时候是不是会显示个安装提示框?2K和XP都一样么?
江民反病毒专家答:
该子键中存储了使用Active Setup程序安装组件的信息。Active Setup是Windows最新提供的活动桌面设置程序,2K和XP都一样的功能。
七、网友问:杀毒后启动计算机出现 加载c:\windows\system32\alqi23.dll时出错,找不到指定的模块. msconfig中和注册表里都找不到相关启动项。该如何解决?
江民反病毒专家答:
一般的讲,开机报某个文件加载出错,应该是在注册表中有残留键值,但是文件已经不存在导致的,建议在注册表中再详细查找一下alqi23.dll文件,或者用Autoruns 这个工具软件来清除残留键值。
八、我的江民监控总是关闭,这是怎么回事啊,请回答
答:请修改默认设置相关选项即可。另外,请检查一下是否能手动开启监控,如果不能的话,说明机器已中毒,建议全盘杀毒.
九、网友问:我希望江民未来可以加一个可以直接看隐藏文件的功能,想菜刀里那样的.把这个功能和江民的右键菜单结合
江民反病毒专家答:
谢谢您的建议,现在KV2007在木马一扫光里面已经有一个查找被病毒隐藏的文件和注册表功能,可以使用。
十、网友问:我的提问是,杀毒软件每想到一个杀这个病毒的方法病毒就会变换思路,而且杀毒软件有时候在病毒面前是特别脆弱的 我觉得原因就是杀毒软件现在研发的模式,现在的模式都是依附于现在的操作系统而言,如果哪天 杀毒软件 能脱离这一块的话 不受操作系统限制 这个才比较nb
江民反病毒专家答:现在关闭杀毒软件和防火墙的病毒很多,这就是大家所说的杀毒软件比较脆弱。现在KV2007已经增强了自身保护功能,可以抵御绝大多数的病毒的破坏。杀毒软件是一种和系统联系很紧密的软件,只有于系统紧密集成在一起,才能更好的从系统底层清除病毒。对于跨平台的杀毒软件,应该是以后开发杀毒软件的一个方向。
十一、网友问:我把江民杀毒软件最小化到工具栏后,显示的是江民的图标和39AB21ED7CD9F字样,而不是图标和"江民杀毒"这几个字,请问是什么原因?
江民反病毒专家答:
这不是一个BUG,这是KV2007新增加的一种自我保护模式。具体情况请参考:http://forum.jiangmin.com/dispbbs.asp?boardID=10&ID=493141&page=1
十二、网友问1.刚才专家在上文回复说江民的虚拟机脱壳技术可以很好的解决病毒加花逃脱查杀的问题,请问这个虚拟机功能是现在的07就已经具备呢,还是将在新版本中得以应用呢?
2.bootscan使用的引擎和正常状态下江民主程序所加载的引擎有什么区别吗?两者在不同环境下能达到同样的功能效果吗?
3.虚拟机脱壳技术为什么不能做到100%脱掉全部壳?刚才专家说的江民的虚拟机脱壳的脱壳质量如何?
4.还有我觉得江民应该继续改进和完善bootscan的功能,个人认为bootscan是一个很好的杀毒方式,避免了在常规环境下文件被占用的情况。但是bootscan还应该加上手动删除功能,这样当遇到一些江民暂不识别的病毒时,可以手动将其清除。
江民反病毒专家回复:
1.每一种加密壳都有其特别之处,江民将研发一种广域脱壳技术以及强化虚拟机技术,目前正在研发当中.
2.BOOTSCAN是对正常模式下杀毒的一种补充,能够查杀在正常模式下无法彻底清除的具有自我保护技术的病毒.两种模式下的杀毒效果不完全相同.
3.虚拟机技术也不是万能的,毕竟虚拟机不能够虚拟所有的系统环境,但对一些常见的加壳病毒脱壳效果效果还是不错的.江民目前的脱壳技术效果很好,可以脱大部分主流壳.
4.你提的手工杀毒的问题很好,江民研发部已经考虑增加这个技术.
十三、 网友问:希望官方能够列出:江民杀毒软件网络版主控中心自己打不开虚拟目录的各种情况以及客户端连不上服务端的各种原因~~~~??谢谢
江民反病毒专家回复:
1 、在已安装有网站,或办公OA系统中心的服务器上,安装江民控制中心,因为80 端口 已被占用,导致不能打开虚拟目录.
2、已安装的数据库sql2000存在问题,
3、安装时选择了管理站点.
4、已中脚本病毒,网页不能显示.
5 、.NET Framwork 服务未启动.
6、2003server系统的安全级别设置了高级.
客户端连接不到主控服务器的原因: 控制中心的ip地址更换.
解决方法:在右下角加号 属性更改连接, 填入新的主控ip地址.
十四、网友问:江民公司使用什么新技术应对不断出现的使用新技术的rootkit?
江民反病毒专家回复:
rootkit这种技术可以让计算机中的一些东西隐身,比如 隐藏进程,让windows自带 的进程管理器看不到,隐藏文件,在windows资源管理器里无显示,隐藏注册表项, 在系 统自带的注册表编辑器里看不到,等等等等。因为这个技术的特殊性,使得其 被一些病毒利用,这样使得用户清除 病毒的难度更大了(因为看不到它)。KV2007 里面集成了rootkit探测工具,在工具菜单中的进程查看器器,隐藏 注册表项查找 和隐藏文件查找。另外KV2007的bootscan也能起到反rootkit的功能,因为rootkit 一定要在系统启动 后才能生效,所以在系统启动前可以很轻易的杀死它们。
十五、网友问:安装了杀毒软件,但是网络上ARP攻击依旧,怎么办?
除了IP和MAC地址绑定
江民反病毒专家回复:
关于ARP病毒的网络安全建议
1.做好IP-MAC地址的绑定工作,在交换机和客户端都要绑定,这是可以使局域网免疫ARP病毒侵扰的好办法。
2.全网所有的电脑都打上MS06-014和MS07-017这两个补丁,这样可以免疫绝大多数网页木马,防止在浏览网页的时候感染病毒。
MS06-014 中文版系统补丁下载地址: http://www.microsoft.com/china/technet/security/bulletin/MS06-014.mspx
MS07-017 中文版系统补丁下载地址: http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx
3.禁用系统的自动播放功能,防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。
禁用Windows 系统的自动播放功能的方法:在运行中输入 gpedit.msc 后回车,打开组策略编辑器,依次点击:计算机配置->管理模板->系统->关闭自动播放->已启用->所有驱动器->确定。
4.在网络正常时候保存好全网的IP-MAC地址对照表,这样在查找ARP中毒电脑时很方便。
5.部署网络流量检测设备,时刻监视全网的ARP广播包,查看其MAC地址是否正确。
6.部署KV网络版的杀毒软件,定期升级病毒库,定期全网杀毒 |
发表于 2007-12-14 13:38:03