引导型病毒清除方法

合集下载

计算机病毒的定义及分类.doc

计算机病毒的定义及分类～教育资源库计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或程序代码。

计算机病毒可根据感染形态进行分类，大致可分为以下几种：①引导型病毒：引导型病毒是病毒把自身的程序代码存放在软盘或硬盘的引导扇区中。

由于现代计算机的启动机制，使得病毒可以在每次开机，操作系统还没有引导之前就被加载到内存中，这个特性使得病毒可以对计算机进行完全的控制，并拥有更大的能力进行传染和破坏。

绝大多数引导型病毒有极强的传染性和破坏性，通常会格式化硬盘、修改文件分配表（FA T表）等，一旦发作，计算机的数据通常会全部丢失。

这种类型病毒的清除也很简单，不管是什么名字的病毒，只要是引导型的，用干净的软盘（即不含病毒的启动软盘，注意：一定要关闭软盘的写保护，不允许对软盘进行写入操作）启动系统，然后重写硬盘的引导扇区即可清除。

由于该类病毒的清除和发现很容易，所以这类病毒都属于很老的了，现在基本上已经灭绝。

②文件型病毒：文件型病毒通常把病毒程序代码自身放在系统的其它可执行文件（如：*.、*.EXE、*.DLL等）中。

当这些文件被执行时，病毒的程序就跟着被执行。

文件型病毒依传染方式的不同，又分为非常驻型以及常驻内存型两种。

非常驻型病毒是将病毒程序自身放置于*.、*.EXE或是*.SYS的文件中，当这些中毒的程序被执行时，就会尝试把病毒程序传染给另一个或多个文件。

该类病毒只在感染病毒的程序被调用执行时，传染给其它程序，病毒本身并不常驻内存；常驻内存型病毒躲在内存中，一旦常驻内存型病毒进入了内存，只要有可执行文件被执行，就可以对其进行感染。

由于病毒一直常驻内存，所以此时用杀毒软件进行杀毒，存在带毒杀毒的问题，通常不易杀干净。

一般需要用干净的系统引导盘启动系统后，再进行杀毒才彻底。

③复合型病毒：复合型病毒具备引导型病毒和文件型病毒的特性，可以传染*.、*.EXE、*.DLL文件，也可以感染磁盘的引导扇区。

计算机病毒ppt课件

18
第 2 章计算机病毒
2.3.2 文件型病毒传播方式
前置感染后置感染覆盖感染扩展覆盖感染
19
第 2 章计算机病毒
2.3.3 文件型病毒的清除方法
1、病毒诊断
（1）比较文件内容（2）系统的内存变化（3）检查中断向量 2、文件型病毒的清除
良性病毒：是指那些只是为了表现自己而并不破坏系统数据，只占用系统CPU资源或干扰系统工作的一类计算机病毒。恶性病毒：是指病毒制造者在主观上故意要对被感染的计算机实施破坏，这类病毒一旦发作就破坏系统的数据、删除文件、加密磁盘或格式化操作系统盘，使系统处于瘫痪状态。
按寄生方式分类
系统引导型：系统引导时病毒装入内存，同时获得对系统的控制权，对外传播病毒，并且在一定条件下发作，实施破坏。文件型（外壳型）：将自身包围在系统可执行文件的周围、对原文件不作修改、运行可执行文件时，病毒程序首先被执行，进入到系统中，获得对系统的控制权。源码型：在源被编译之前，插入到源程序中，经编译之后，成为合法程序的一部分。入侵型：将自身入侵到现有程序之中，使其变成合法程序的一部分。
病毒检查
比较法、搜索法、特征字识别法、分析法、通用解密法、人工智能技术、数字免疫
病毒的消除
引导型病毒消除、文件型病毒消除、宏病毒清除、病毒交叉感染的消除
14
第 2 章计算机病毒
2.2 引导型病毒
15
第 2 章计算机病毒
2.2 引导型病毒
2.2.1 引导型病毒特点
引导部分占据磁盘引导区。只有在计算机启动过程中，磁盘被引导时，“引导型”病毒才被激活。
7
第 2 章计算机病毒
2.1.4 病毒的种类按广义病毒概念分类

计算机病毒

21
2.5 宏病毒
宏病毒的产生宏病毒是一种特殊的文件型病毒，它的产生是利用了一些数据处理系统。这种特性可以把特定的宏命令代码附加在指定文件上，在未经使用者许可的情况下获取某种控制权，实现宏命令在不同文件之间的共享和传递。
病毒通过文件的打开或关闭来获取控制权，然后进一步捕获一个或多个系统事件，并通过这些调用完成对文件的感染。宏病毒与传统的病毒有很大不同，它不感染.EXE和.COM 等可执行文件，而是将病毒代码以“宏”的形式潜伏在 Office文件中，主要感染Word和Excel等文件，当采用 Office软件打开这些染毒文件时，这些代码就会被执行并产生破坏作用。宏病毒与VBA
硬件中断可以分为外部中断和内部中断两类：
外部中断：一般是指由计算机外设发出的中断请求。内部中断：是指因硬件出错或运算出错所引起的中断。
软件中断：其实并不是真正的中断，它们只是可被调用执行的一般程序。
12
2.1.8 病毒的危害
1、攻击系统数据区 2、攻击文件 3、攻击内存 4、干扰系统运行 5、干扰外部设备 6、攻击CMOS 7、破坏网络系统 8、破坏计算机控制系统
第2章计算机病毒
病毒基本概念引导型病毒文件型病毒混合型病毒宏病毒网络病毒与防护典型病毒原理及防治方法
1
2
3
4
2.1 病毒基本概念
2.1.1 病毒的起源 2.1.2 病毒的本质
计算机病毒定义：是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用且能自我复制的一组计算机指令或者程序代码。病毒传播载体：网络、电磁性介质和光学介质病毒传染的基本条件：计算机系统的运行、读写介质（磁盘）上的数据和程序病毒的传播步骤：驻留内存、寻找传染的机会、进行传染。病毒传染方式：引导扇区（包括硬盘的主引导扇

诊断和清除电脑病毒方法有哪些

诊断和清除电脑病毒方法有哪些计算机病毒是对电脑危害极大的，有可能会导致我们的电脑呢死机等等!我们要怎么清除他们呢?下面由店铺给你做出详细的诊断和清除电脑病毒方法介绍!希望对你有帮助!计算机病毒的常用诊断检测方法有哪些:计算机病毒的常用诊断检测方法有：特征码法、校验和法、行为监测法、软件模拟法、VICE先知扫描法等。

网络病毒的特征有：(1)传播方式多样化(2)传播速度更快(3)难以彻底清除(4)破坏性更大(5)网络病毒触发条件的多样化(6)潜在的危险更大。

在网络操作系统中一般提供了目录和文件访问权限与属性两种安全措施，属性优先于访问权限。

可以根据用户对目录和文件的操作能力分别分配不同的访问权限和属性，比如对于公用目录中的系统文件和工具软件，只设置成只读属性;系统程序所在的目录不授权修改权和超级用户权。

这样，计算机病毒就无法对系统程序实施感染和寄生，其他的用户也不会感染病毒。

网络上公用目录或共享目录的安全性措施对于防止计算机病毒在网上传播起到了积极作用，采用基于网络目录和文件安全性的方法对防止网络病毒也起到了一定的作用。

防范网络病毒要充分利用网络操作系统本身所提供的安全保护措施，加强网络安全管理，做好网络病毒的预防工作，以减小网络病毒对网络用户所造成的危害。

常用的清除计算机病毒的方法有：(1)杀毒软件清除法(2)主引导区信息恢复法当计算机系统感染上引导型病毒时，可采用备份的主引导扇区文件进行覆盖，从而恢复主引导扇区信息。

(3)程序覆盖法适合于文件型病毒，一旦发现某些程序或文件被感染了文件型病毒，可重新安装该程序，安装过程根据提示信息对所有文件进行覆盖，即可清除病毒。

(4)格式化磁盘法是最彻底的清除计算机病毒的办法。

对于一些较顽固的计算机病毒，只能采用格式化或者低级格式化磁盘的方法来进行清除。

(5)手工清除法适合于所有的计算机病毒，特别是对那些新出现的未知的计算机病毒，不过这种方法要求的专业性稍高一些，一般适用于计算机类专业人员操作。

第九章计算机病毒查杀方法

对于Windows中的病毒，感染实验法检测内容会更多一些，例如，当使用感染实验法检测“广外女生” 木马病毒时，可以采用如下步骤： ① 首先打开RegSnap，从file菜单选new，然后单击OK按钮，对当前干净的注册表以及系统文件做一个记录。如果木马修改了其中某项，就可以分析出来了。备份完成之后把它存为Regsnp1.rgs。 ② 在计算机上运行感染了“广外女生”病毒的文件，例如双击gdufs.exe，然后等一小会儿。如果此时发现正在运行着的“天网防火墙”或“金山毒霸”自动退出，就很可能木马已经驻留在系统中了。
则表明两次记录中，没有删除注册表键，修改了15 处注册表，新增加了一处注册表键值，在 C:\WINNT\System32\目录下面新增加了一个文件 diagcfg.exe。这个文件非常可疑，因为在比较两次系统信息之间只运行了“广外女生”这个木马，所以有理由相信diagcfg.exe就是木马留在系统中的后门程序。这时打开任务管理器，可以发现其中有一个diagcfg.exe的进程，这就是木马的原身。但这个时候千万不要删除diagcfg.exe，否则系统就无法正常运行了。
木马一般都会在注册表中设置一些键值以便以后在系统每次重新启动时能够自动运行。从Regsnp1-Regsnp2.htm中可以看到哪些注册表项发生了变化，此时若看到：
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ exefile\shell\open\command\@ Old value: String: ″″%1″ %*″ New value: String: ″C:\WINNT\System32\diagcfg.exe ″%1″ %*″
计算机病毒的诊断原理
• 用什么来判断？染毒后的特征 • 常用方法：

清除电脑病毒有什么技巧妙招

清除电脑病毒有什么技巧妙招电脑病毒看不见却不处不在，时时刻刻威胁着我们计算机安全。

很多用户除了利用杀毒软件杀毒外，可能不知道有什么应对方法，那么具体有哪些技巧呢?解除病毒的3个常用妙招解决病毒进程结束进程，我们首先想到的是“任务管理器”，但通常情况下病毒都会禁用“任务管理器”，这个时候我们只能借助一些专业的安全工具来完成这项工作，例如冰刃。

运行冰刃后，隐藏的进程会以红色字体显示，我们很容易发现，在病毒进程上右键点击结束即可。

对付多进程互相保护的病毒，冰刃同样手到擒来，使用Ctrl键同时选中病毒进程，右键结束之。

清除病毒启动项进程结束后，病毒就失去了作战能力，已经任我们宰割了。

现在我们要处理的就是病毒的启动项。

点击“开始”菜单→“运行”，输入“msconfig”回车，切换到“启动”标签，将其中的病毒启动项前面的钩取消。

如果这里没有病毒的启动项，那么病毒很可能将自身加入到了系统服务中。

进入“控制面板”→“管理工具”→“服务”，找到对应的病毒服务，双击打开后将其启动方式选择“已禁用”。

如果你不清楚哪些是系统正常的服务，哪个是病毒服务，那么可以借助一些工具来处理，例如金山卫士、超级巡警等。

删除病毒文件现在该轮到病毒文件了。

但现在我们是找不到病毒文件的，因为已经被隐藏了，我们想显示隐藏的文件也不太可能，因为“文件夹选项”也被动了手脚，也就是说现在我们的系统无法显示那些隐藏的文件了。

那么该怎么办呢?很简单。

打开注册表编辑器，定位到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersio nPoliciesExplorer处，看右边窗口中是否有NoFolderOptions这个键，如果有把值改为0，如果没有就新建一个DWORD键，值为0。

设置好后，在“资源管理器”中点击“工具”菜单→“文件夹选项”，切换到“查看”标签，勾选其中的“显示所有文件和文件夹”，并同时去掉“隐藏受保护的操作系统文件”前面的钩，设置完成后单击“确定”。

《计算机病毒》复习思考题及答案

《计算机病毒》复习思考题第一章计算机病毒概述1. 简述计算机病毒的定义和特征。

计算机病毒(Computer Virus)，是一种人为制造的、能够进行自我复制的、具有对计算机资源进行破坏作用的一组程序或指令集合。

计算机病毒的可执行性(程序性)、传染性、非授权性、隐蔽性、潜伏性、可触发性、破坏性、攻击的主动性、针对性、衍生性、寄生性(依附性)、不可预见性、诱惑欺骗性、持久性。

2. 计算机病毒有哪些分类方法？根据每种分类方法，试举出一到两个病毒。

3. 为什么同一个病毒会有多个不同的名称？如何通过病毒的名称识别病毒的类型？国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”，即三元组命名规则。

1、系统病毒系统病毒的前缀为：Win32、PE、Win95、W32、W95等。

2、蠕虫病毒蠕虫病毒的前缀是：Worm。

3、木马病毒、黑客病毒木马病毒其前缀是：Trojan，黑客病毒前缀名一般为Hack 。

4、脚本病毒脚本病毒的前缀是：Script。

5、宏病毒其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。

宏病毒的前缀是：Macro。

6、后门病毒后门病毒的前缀是：Backdoor。

7、病毒种植程序病毒后门病毒的前缀是：Dropper。

这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。

8．破坏性程序病毒破坏性程序病毒的前缀是：Harm。

这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。

9．玩笑病毒玩笑病毒的前缀是：Joke。

10．捆绑机病毒捆绑机病毒的前缀是：Binder。

4. 简述计算机病毒产生的背景。

5. 计算机病毒有哪些传播途径？传播途径有两种，一种是通过网络传播，一种是通过硬件设备传播（软盘、U盘、光盘、硬盘、存储卡等）。

网络传播，又分为因特网传播和局域网传播两种。

硬件设备传播：通过不可移动的计算机硬件设备传播、通过移动存储设备传播、通过无线设备传播。

病毒查杀及预防

课程名称：病毒查杀及预防一：病毒含义计算机病毒：是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用，并能自我复制的一组计算机指令或者程序代码二：病毒特征传染性：病毒通过自身复制来感染正常文件，达到破坏电脑正常运行的目的，但是它的感染是有条件的，也就是病毒程序必须被执行之后它才具有传染性，才能感染其他文件。

破坏性：任何病毒侵入计算机后，都会或大或小地对计算机的正常使用造成一定的影响，轻者降低计算机的性能，占用系统资源，重者破坏数据导致系统崩溃，甚至损坏硬件隐藏性。

病毒程序一般都设计得非常小巧，当它附带在文件中或隐藏在磁盘上时，不易被人觉察，有些更是以隐藏文件的形式出现，不经过仔细地查看，一般用户是不会发现的。

潜伏性：一般病毒在感染文件后并不是立即发作，而是隐藏在系统中，在满足条件时才激活。

一般都是某个特定的日期，例如“黑色星期五”就是在每逢13号的星期五才会发作。

可触发性：病毒如果没有被激活，它就像其他没执行的程序一样，安静地呆在系统中，没传染性也不具有杀伤力，但是一旦遇到某个特定的文件，它就会被触发，具有传染性和破坏力，对系统产生破坏作用。

这些特定的触发条件一般都是病毒制造者设定的，它可能是时间、日期、文件类型或某些特定数据等。

不可预见性：病毒种类多种多样，病毒代码千差万别，而且新的病毒制作技术也不断涌现，因此，我们对于已知病毒可以检测、查杀，而对于新的病毒却没有未卜先知的能力，尽管这些新式病毒有某些病毒的共性，但是它采用的技术将更加复杂，更不可预见。

寄生性：病毒嵌入到载体中，依靠载体而生存，当载体被执行时，病毒程序也就被激活，然后进行复制和传播。

三：病毒分类1）按传染方式分为：引导型病毒、文件型病毒和混合型病毒。

文件型病毒一般只传染磁盘上的可执行文件（COM，EXE）。

在用户调用染毒的可执行文件时，病毒首先被运行，然后病毒驻留内存伺机传染其他文件或直接传染其他文件。

其特点是附着于正常程序文件，成为程序文件的一个外壳或部件。

病毒处理办法.

木马查杀方法
根据木马的启动运行原理，可先利用msconfig关闭启动项中的可疑程序，重启后上网升级病毒软件或下载补丁程序和专杀工具。
木马手工查杀方法
1、利用任务管理器查找可疑进程，尝试结束 2、“系统配置实用程序（msconfig）”中的 “启动”项和“服务”项中找可疑启动项删除，或在“注册表编辑器”中的 HKEY_CURRENT_USER\Software\Microsof t\Windows\CurrentVersion\Run项和 HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion\Run项中找可疑启动项删除。
文件型病毒查杀方法
利用干净的（确保无毒）软盘或光盘引导机器，利用dos版的杀毒软件进行查杀。杀毒后可能会导致某些程序无法运行甚至无法进入系统，建议杀毒前重要数据先备份，出现这类情况可覆盖安装（9x、me或应用程序）或修复安装（2k或xp）尝试修复，系统文件可用sfc修复。如果无效建议格式化重装。
病毒处理办法
引导型病毒现象与危害
1、隐藏于硬盘或软盘的引导区中，当计算机从感染了此类病毒的磁盘引导时，病毒驻留到内存中，之后向其他所有可写磁盘复制传播 2、发作时可导致系统不引导，分区表被破坏等现象。"
引导型病毒查杀方法
利用干净的（确保无毒）软盘或光盘引导机器，利用dos版的杀毒软件进行查杀。杀毒后有可能导致硬盘不引导甚至分区丢失等现象，因此建议杀毒前，备份重要数据
文件型病毒手动查杀
1、如确认为染毒文件且文件无用最好在dos下直接删除 2、如无把握建议最好用杀毒软件查杀"
蠕虫病毒现象与危害
1、通过网络复制，通过邮件系统自动发送自己的复制品。 2、传播速度极快，会造成网络拥挤瘫痪 3、主机运行速度变慢或某些系统功能异常，死机重启等异常。

引导型病毒的原理与FDISKMBR的正确使用

② 转移型（保留型）：这类病毒在传染磁盘引导区之前保留了原引导记录，并转移到磁盘其它扇区，以备将来病毒初始化模块完成后仍由原引导记录完成系统正常引导。
转移型病毒的判定：若根据“覆盖型病毒的判定”中内容不能判断为覆盖型病毒，则可认为是转移型病毒。
二、引导型病毒的驻留
为避免被覆盖，引导型病毒有以下几种驻留方法。
另外还需要注意的是：有些病毒很狡猾，能够防止自已被覆盖，比如早期的Joshi病毒就能截留中断13h，暗中阻止对主引导扇区的更新。当我们用 FDSIK/MBR 命令以后，看起来完成了，但实际上并没有成功。更有甚者，如果程序要访问含有主引导记录的扇区，joshi会将截取这一要求将其导向磁盘其它含有原来主引导记录备份的扇区。还有一些磁盘压缩程序也需要更改主引导记录。使用 FDISK/MBR 将去掉这些程序所作的改动而使它们失效，因为当压缩程序失败后，存在压缩盘上的文件就无法存取了。如果已知硬盘上的其他程序更改了主引导记录就不要使用此开关。
② 转移型病毒的清除
对付转移型引导病毒如果用 FDISK/MBR 命令来清除却是“助纣为虐”。因为感染转移型病毒的硬盘第一物理扇区，通常已无分区表信息及检验标志，全为病毒代码，在执行 FDISK/MBR 后，硬盘启动的源头被覆盖，系统改正了系统引导程序却没有同时搬移回正确的分区表，硬盘将立即丧失启动能力。所以正确的作法是：使用杀毒软件来清除；也可以在硬盘0磁道0磁头的第2—17扇区（系统的隐含扇区，是引导型病毒的主要栖息地），查找扇区最后2个字节为55AA的扇区，即可认为是原主引导记录，将偏移量01BE—01FF信息用手工方法（例如：NU DiskEdit ）写回原相应位置，最后再使用此参数予以清除。
一、引导型病毒的存贮形式
软盘的引导区在物理第一扇式，也称 BOOT 区，硬盘的引导区则分两部分，一部分是物理第一扇的主引导区，另一部分是分区（对应逻辑盘）的引导区（ BOOT 区）。引导型病毒就是通过占据这些位置，在系统引导时获得控制权的。其存贮可分为以下两种。

[引导区病毒]引导区病毒症状是什么

[引导区病毒]引导区病毒症状是什么引导区病毒症状介绍一：软盘读写出现错误、无故读取软驱等。

3月15日，金山安全实验室捕获一种被命名为“鬼影”的电脑病毒，由于该病毒成功运行后，在进程中、系统启动加载项里找不到任何异常，同时即使格式化重装系统也无法将彻底清除该病毒。

犹如“鬼影”一般“阴魂不散”，所以称为“鬼影”病毒。

该病毒也因此成为国内首个“引导区”下载者病毒。

引导区病毒症状介绍二：1. 生成很多8位数字或字母随机命名的病毒程序文件，并在电脑开机时自动运行。

2. 绑架安全软件，中毒后会发现几乎所有杀毒软件，系统管理工具，反间谍软件不能正常启动。

即使手动删除了病毒程序，下次启动这些软件时，还会报错。

3. 不能正常显示隐藏文件，其目的是更好的隐藏自身不被发现。

4. 禁用windows自动更新和windows防火墙，这样木马下载器工作时，就不会有任何提示窗口弹出来。

为该病毒的下一步破坏打开方便之门。

5. 破坏系统安全模式，使得用户不能启动系统到安全模式来维护和修复。

6. 当前活动窗口中有杀毒、安全、社区相关的关键字时，病毒会关闭这些窗口。

假如你想通过浏览器搜索有关病毒的关键字，浏览器窗口会自动关闭。

7. 在本地硬盘、u盘或移动硬盘生成autorun.inf和相应的病毒程序文件，通过自动播放功能进行传播。

这里要注意的是，很多用户格式化系统分区后重装，访问其它磁盘，立即再次中毒，用户会感觉这病毒格式化也不管用。

8. 病毒程序的最终目的是下载更多木马、后门程序。

用户最后受损失的情况取决于这些木马和后门程序。

9.病毒运行后，鼠标右击菜单以及下拉菜单选项，会在1到两秒钟时间后，自动选择最后一个选项，不过可以使用快捷方式组合。

相关阅读：引导区病毒清除方法1.找一张“干净”的启动盘(没有这个引导区病毒的盘)，启动你的计算机，一般安装操作系统的时候都会提示您制作启动盘。

如果手头没有启动盘或者您不能保证启动盘是否是“干净”的可以在别的计算机上做一张干净的可引导盘，此引导盘可以在windows 95/98/me系统上通过“添加/删除程序”进行制作，但要注意的是，制作软盘的操作系统须所使用的操作系统相同，也就是说如果系统是windows me的话，是不能使用一张windows 98的启动盘进行下述操作的。

[引导区病毒]引导区病毒怎么样清理

[引导区病毒]引导区病毒怎么样清理引导区病毒清理方法一：yx(引导区)病毒的清除方法：要看清楚该文件的感染位置。

如果病毒是在suhdlog.dat或suhdlog.bak文件中，那么直接删除即可。

其实，这是硬盘引导区先染上了引导区病毒，以后在安装windows系统时，没有先查杀病毒，直接就安装了windows系统。

所以，windows先将引导区做了一个文件形式的备份，文件suhdlog.dat就是其备份，该文件以隐含的形式存放在windows系统根目录下，由于该引导型病毒存在文件中，没有作用，所以可以直接删除。

如果病毒只是存在于移动存储设备(如软盘、闪存盘、移动硬盘)上，就可以借助本地硬盘上的反病毒软件直接进行查杀，或者干脆把移动存储设备上的文件备份到硬盘上，然后重新格式化掉移动存储设备，再把文件复制回去。

如果病毒确实是在硬盘的引导区上，也不用怕，这类病毒的清除方法很简单，针对不同的操作系统有不同的清除方法，一般可以不依靠杀毒软件。

不过在清除之前一定要备份原来的引导区，特别是原来装有别的操作系统的情况，如日文windows、linux等。

windows 95/98/me系统上的清除方法：1.找一张“干净”的启动盘(没有这个引导区病毒的盘)，启动你的计算机，一般安装操作系统的时候都会提示您制作启动盘。

如果您手头没有启动盘或者您不能保证启动盘是否是“干净”的，您可以在别的计算机上做一张干净的可引导盘，此引导盘可以在windows 95/98/me系统上通过“添加/删除程序”进行制作，但要注意的是，制作软盘的操作系统须和自己所使用的操作系统相同，也就是说如果你的系统是windows me的话，你是不能使用一张windows 98的启动盘进行下述操作的。

2.用这张软盘引导启动带毒的计算机，然后运行以下命令：a:\fdisk /mbr [回车]a:\sys a: c: [回车]然后重新启动计算机就可以了。

利用 DiskGenius重建MBR清除引导区病毒

利用DiskGenius重建MBR清除引导区病毒
DiskGenius是一款磁盘分区及数据恢复软件。

支持对GPT磁盘(使用GUID分区表)的分区操作。

除具备基本的分区建立、删除、格式化等磁盘管理功能外，还提供了强大的已丢失分区搜索功能、误删除文件恢复、误格式化及分区被破坏后的文件恢复功能、分区镜像备份与还原功能、分区复制、硬盘复制功能、快速分区功能、整数分区功能、分区表错误检查与修复功能、坏道检测与修复功能。

提供基于磁盘扇区的文件读写功能。

支持VMware、Virtual PC、VirtualBox虚拟硬盘格式。

支持IDE、SCSI、SATA等各种类型的硬盘。

支持U 盘、USB硬盘、存储卡(闪存卡)。

支持FAT12/FAT16/FAT32/NTFS/EXT3文件系统。

下载地址：/content/3928.html
具体操作步骤：
运行DiskGenius程序，点击“硬盘- 重建主引导记录(重建MBR)”菜单项，程序弹出下列提示：
点击“是”按钮后，程序将用软件自带的MBR重建主引导记录。

MBR重建主引导记录后，隐藏在主引导区的病毒就会被彻底清除了。

注意：软件自带的MBR是Windows XP 系统的。

非Windows XP 重建MBR后，需要如
果不能启动系统可以用NTBootAutofix这个软件来修复。

恢复过程需要光盘或U盘启动PE系统。

计算机病毒的种类及防治

计算机病毒的种类及防治计算机病毒分类根据多年对计算机病毒的研究，按照科学的、系统的、严密的方法.下面是店铺收集整理的计算机病毒的种类及防治，希望对大家有帮助~~计算机病毒的种类一、按照计算机病毒存在的媒体进行分类根据病毒存在的媒体，病毒可以划分为网络病毒，文件病毒，引导型病毒。

网络病毒通过计算机网络传播感染网络中的可执行文件，文件病毒感染计算机中的文件(如：COM，EXE，DOC等)，引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR)，还有这三种情况的混合型，例如：多型病毒(文件和引导型)感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。

二、按照计算机病毒传染的方法进行分类根据病毒传染的方法可分为驻留型病毒和非驻留型病毒，驻留型病毒感染计算机后，把自身的内存驻留部分放在内存(RAM)中，这一部分程序挂接系统调用并合并到操作系统中去,他处于激活状态,一直到关机或重新启动.非驻留型病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒也被划分为非驻留型病毒。

三、按照计算机病毒破坏的能力进行分类根据病毒破坏的能力可划分为以下几种：无害型除了传染时减少磁盘的可用空间外，对系统没有其它影响。

无危险型这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。

危险型这类病毒在计算机系统操作中造成严重的错误。

非常危险型这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。

这些病毒对系统造成的危害，并不是本身的算法中存在危险的调用，而是当它们传染时会引起无法预料的和灾难性的破坏。

由病毒引起其它的程序产生的错误也会破坏文件和扇区，这些病毒也按照他们引起的破坏能力划分。

一些现在的无害型病毒也可能会对新版的DOS、Windows和其它操作系统造成破坏。

例如：在早期的病毒中，有一个“Denzuk”病毒在360K磁盘上很好的工作，不会造成任何破坏，但是在后来的高密度软盘上却能引起大量的数据丢失。

引导型病毒试验

实验二引导型病毒试验专业班级学号姓名实验学时实验类型实验地点实验时间指导老师高虎实验成绩年月日一实验目的通过实验，了解引导区病毒的感染对象和感染特征，重点学习引导病毒的感染机制和恢复感染染毒文件的方法，提高汇编语言的使用能力。

二实验内容1.引导阶段病毒由软盘感染硬盘实验。

通过触发病毒，观察病毒发作的现象和步骤，学习病毒的感染机制；阅读和分析病毒的代码。

2.DOS 运行时病毒由硬盘感染软盘的实现。

通过触发病毒，观察病毒发作的现象和步骤，学习病毒的感染机制；阅读和分析病毒的代码。

三预备知识本实验需要如下的预备知识：1. 引导病毒的基础知识，包括引导病毒的概念，引导扇区的位置和结构等。

2. BIOS 常用中断的相关知识，包括对磁盘的读写和屏幕字符的打印等。

汇编语言基础，能独立阅读和分析汇编代码，掌握常用的汇编指令。

四实验环境VMWare Workstation 5.5.3 或者8.0 均可MS.DOS 7.10实验素材：experiments 目录下的bootvirus 目录。

2.4 实验步骤第一步：环境安装安装虚拟机VMWare，在虚拟机环境内安装MS-DOS 7.10 环境。

安装步骤参考附录。

第二步：软盘感染硬盘（1）运行虚拟机，检查目前虚拟硬盘是否含有病毒。

（2）复制含有病毒的虚拟软盘virus.img（3）将含有病毒的软盘插入虚拟机引导，可以看到闪动的字符*^_^*，。

第三步：验证硬盘已经被感染(1) 取出虚拟软盘，通过硬盘引导，再次出现了病毒的画面。

（2）按任意键后正常引导了DOS 系统，如图2.5 所示。

此时，硬盘已经被感染。

第四步：硬盘感染软盘(1)下载empty.img，并且将它插入虚拟机，启动计算机，由于该盘为空，但该显示一瞬即逝，很快又变成了病毒的画面。

（2）取出虚拟软盘，从硬盘启动，通过命令formatA:q 快速格式化软盘。

可能提示出错，这时只要按下R 键即可.五实验思考a) 如何检测一个硬盘是否感染了引导病毒？答：主要是基于下列四种方法:比较被检测对象与原始备份的比较法;利用病毒特征代码串进行查找的搜索法;搜索病毒体内特定位置的特征字识别法;运用反汇编技术分析被检测对象，确证是否为病毒的分析法。

引导型病毒

引导型病毒是一种在ROM BIOS之后，系统引导时出现的病毒，它先于操作系统，依托的环境是BIOS中断服务程序。

引导型病毒是利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理位置为依据，而不是以操作系统引导区的内容为依据，因而病毒占据该物理位置即可获得控制权，而将真正的引导区内容搬家转移或替换，待病毒程序执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中并伺机传染、发作。

引导区病毒的传播方式：下面主要说一下目前传播最为广泛的引导区病毒WYX。

这个病毒传播的唯一途径就是使用感染有该病毒的启动盘（包含可启动的光盘）启动计算机。

如果只是读取感染有引导区病毒的软盘或者光盘上的文件是不会被感染。

如果你的机器已经感染该病毒，并且病毒驻留了内存，则你的软盘如果没有写保护的话很容易被感染。

WYX病毒的清除：当你的杀毒软件查出了机器感染了WYX的时候请不要惊慌，先要看清楚该文件的感染位置。

如果病毒是在SUHDLOG.DAT或SUHDLOG.BAK文件中，那么直接删除即可。

其实，这是硬盘引导区先染上了引导区病毒，以后在安装WINDOWS系统时，没有先查杀病毒，直接就安装了WINDOWS系统。

所以，WINDOWS先将引导区做了一个文件形式的备份，文件SUHDLOG.DAT 就是其备份，该文件以隐含的形式存放在WINDOWS系统根目录下，由于该引导型病毒存在文件中，没有作用，所以可以直接删除。

如果病毒只是存在于移动存储设备（如软盘、闪存盘、移动硬盘）上，就可以借助本地硬盘上的反病毒软件直接进行查杀，或者干脆把移动存储设备上的文件备份到硬盘上，然后重新格式化掉移动存储设备，再把文件复制回去。

如果病毒确实是在硬盘的引导区上，也不用怕，这类病毒的清除方法很简单，针对不同的操作系统有不同的清除方法，一般可以不依靠杀毒软件。

不过在清除之前一定要备份原来的引导区，特别是原来装有别的操作系统的情况，如日文Windows、Linux等。

实验1引导区病毒

XI`AN TECHNOLOGICAL UNIVERSITY实验报告实验课程名称引导区病毒一．实验目的1.了解系统启动过程2.学习实模式下DEBUG命令的相关操作3.了解引导区病毒的基本原理4.学会如何修复引导区二．实验原理一．引导型病毒定义引导型病毒，也叫开机型病毒，主要感染计算机主引导扇区和引导扇区的一类计算机病毒；其中，感染主引导扇区的病毒称作MBR病毒，感染引导区的病毒称为BR病毒。

二．计算机的启动过程在计算机系统启动时，BIOS加电自检及设备初始化成功后，BIOS将启动盘的0磁道，0柱面，1扇区的主引导记录（MBR）加载到内存物理地址0000：7C00（文档中的内存地址均采用16进制表示），并检查物理地址0000：7DFE处的字是否为0xAA55（引导区有效标记），若不相等给出“No Rom BASIC”提示，然后死机，若相等执行主引导程序，主引导记录（MBR）先将自己复制到内存的其他地方以让出0：7C00处的512B的空间，然后在主分区表中搜索标志为0x80（分区已被激活，0则表示未被激活）的激活分区，如发现没有或有多个激活分区，则提示“Invalid partition table”，并停止，否则将激活分区的第一个扇区（即系统引导扇区DBR）读入内存物理地址0000：7C00，并查找物理地址0000：7DFE处的字是否等于0xAA55，若不等于，则显示“Missing Operating System”然后停止，否则继续执行操作引导程序，引导计算机进入操作系统，完成整个引导过程。

三．中断中断就是CPU暂停当前程序的执行，转而执行处理紧急事物的程序，并在该事物处理结束后能自动恢复执行原先程序的过程，在此，称引起紧急事物的事件为中断源，称处理紧急事件的程序为中断服务程序或中断管理程序。

中断的分类很多，按触发的原因，有硬中断和软中断之分。

硬中断有实际的硬件事件引起，例如，除以零、算术溢出、按下键盘键等；软中断是因程序执行了计算机的INT指令造成的，例如，INT 21H将执行21H中断，这里21H称作中断号，其中“H”表示该数据为16进制。