认清本质 计算机病毒防治常遇问题

18.TCS的使用方法，system clean 的使用(较为详细的)

TSC使用方法：

1. 关闭所有正在运行的窗口和程序，其中尤其要注意防毒软件的实时防毒也需关闭。如果病毒严重，可以同时将网络连线暂时段开。

2. 在资源管理器的[工具][文件夹选项]中，选择[使用windows传统风格文件夹]的选项，以禁止资源管理器对Web浏览器的自动调用。(某些病毒专门感染web页面，一旦Web浏览器程序,如IE处于开启状态，会造成开启的页面中的病毒无法有效清除。

3. 运行下载的程序[tsc.exe]，可以通过以下两种方式执行

a. 直接在资源管理器(Windows Explorer)中双击执行。这是推荐使用的模式。

b. 在控制台(command prompt)下执行，此时可以选择运行参数。

(如果您一时无法下载最新的工具，请暂时使用本介质内自带的版本。目录为：

4. 有时系统可能被不同的病毒反复重复感染，因此可以尝试多运行几次tsc工具。运行结束后，可以继续使用sysclean或是其它工具对整个系统做进一步病毒清理工作。

注意：

1. 注意: 该工具会在c: emp eport目录下产生日志(log)文件"YYYYMMDD.LOG" ("YYYY"指当前的年份，"MM"指月份，"DD"指日期，即运行当天时间。同一天的日志保存在一个文档里。例如20030523),内有详细的清毒日志;c: empackup目录下产生备份文件。因此请注意保证C驱动器下保留有足够空间。

2. 针对Windows ME/XP系统，由于其自身具有系统保护和恢复功能，所以很可能造成病毒清不掉，或者重启系统后病毒文件又被恢复的情况。因此请在清毒前关闭系统自身的系统恢复功能。

3. 如果某些系统破坏较严重，可以尝试开机时按[F8]键，选择进入安全模式下进行清毒工作。

命令行模式下的运行参数

/DI 发现病毒时不修复系统INI文件

/DR 发现病毒时不修复注册表

/DBI 禁用系统INI文件备份

/DBR 禁用注册表文件备份

/DBF 禁用病毒文件备份

/BP= 指定备份路径

/DP= 指定调试日志路径

/DN= 指定调试日志文件名称

/PP= 指定TSC数据文件路径

/MN 启用未发现病毒消息框提示

/MV 启用发现病毒消息框提示

/HD 隐藏 TSC 控制台

/VL 显示可检测病毒列表

Sysclean的使用方法：

使用方法

1. 关闭所有正在运行的窗口和程序，其中尤其要注意防毒软件的实时防毒也需关闭。

2. 在资源管理器的[工具][文件夹选项]中，选择[使用windows传统风格文件夹]的选项，以禁止资源管理器对Web浏览器的自动调用。(某些病毒专门感染web页面，一旦Web浏览器程序,如IE处于开启状态，会造成开启的页面中的病毒无法有效清除。

3. 运行下载的程序[sysclean_nnnn_Pxxx.com]，可以通过以下两种方式执行

a. 直接在资源管理器(Windows Explorer)中双击执行。这是推荐使用的模式。

b. 在控制台(command prompt)下执行，此时可以选择运行参数。

(如果您一时无法下载最新的Sysclean工具，请暂时使用本介质内自带的版本。目录为：

4. 在第一遍清毒过程中，请使用sysclean的默认设定扫描整个系统中的文件，即是使用[auto clean/自动清毒]模式对系统进行扫描。

(此种模式下，sysclean 针对无法进行清除的文件使用较保守的方式进行删除，这样较安全。

5. 如果在第一遍扫描过程中有发现病毒，则请进行第二遍清毒过程。此时请更改sysclean的扫描设定，不要选择[auto clean/自动清毒]选项，再次扫描整个系统中的文件。

(当sysclean扫描到不能自动清除的感染文件时，将给出删除文件的提示。此时，请根据情况需要先备份该文件并记录下相应的原始目录位置，然后选择[删除]，以免在操作过程中删除了某些重要文件。

注意: 该工具会在自己的目录下产生日志(log)文件"SYSCLEAN.LOG" ,内有详细的清毒日志。

6. 整个过程结束后，再打开防毒软件的实时防毒功能，并使用防毒软件做一次全系统扫描，以进一步确保系统安全。

注意：

1. 针对Windows ME/XP系统，由于其自身具有系统保护和恢复功能，所以很可能造成病毒清不掉，或者重启系统后病毒文件又被恢复的情况。因此请在清毒前关闭系统自身的系统恢复功能。

2. 如果某些系统破坏较严重，可以尝试开机时按[F8]键，选择进入安全模式下进行清毒工作。

命令行模式下的运行参数

/NOGUI 以命令行方式运行该工具，无用户界面模式。

所需扫描文件的具体目录。如果没有输入参数，则默认会扫描所有目录。

/Y 自动以"Yes"回应所有提问，即以无人工干预状态运行。

/? 显示帮助信息

19. 几个破坏性强的病毒(eg： red code;nimuda;troj等)产生的时间，第一次出现时已什么名称出现?

Codered最早发现于2001年7月

Nimda最早发现于2001年9月

20. 比方说，我的机器突然运行速度缓慢或有时查看不到其他的客户端，过了几周之后有公布说这是病毒造成的后果，那请问一下在此之前，是否有什么办法可进行判断?

如果怀疑系统中有未知的病毒，请将可疑文件压缩成zip文件，并且在压缩时使用密码virus，然后发送至邮箱：virus_doctor@trendmicro.com.cn进行分析

21. 如果遇到病毒感染了系统文件怎么办?如果删除了或者杀死病毒造成系统不稳定，但不想重新装系统，怎么解决?

碰到这种情况，请记录相关的文件名称，并使用原始的操作系统安装盘进行相关文件的恢复

22. 现在的杀毒软件全是WINDOWS平台的，特别是XP等操作系统，如果电脑自身感染了病毒，再装杀毒软件好象没有治根，有没有什么方法向过去比如在DOS平台下用软盘进行杀毒操作?(因为现在大多都是NTFS分区或者是WIN2000，所以它根本不识别FAT FAT32的分区结构，也就是说没有了DOS ，那这样的情况如何解决)

对于硬盘分区使用NTFS的客户，如果一定要使用传统的用软盘引导的方式进行病毒的清除工作，可以借助第三方的在DOS下读取NTFS分区的工具进行操作。但推荐在Windows环境下使用sysclean工具进行查杀病毒操作。

何为邮件地址欺骗?

邮件地址欺骗指通过修改邮件头的方式，篡改发件人地址，以伪装电子邮件实际发送的地址。通常病毒等恶意程序会采用这一技术，修改发件人地址，以达到隐藏自己的目的。修改时使用的地址通常取自被感染系统的地址簿或是随机生成。所以有时候会发生这样的情况，用户B收到一封标明来自用户A的病毒邮件。于是用户B可能会通知用户A，说收到来自他的病毒邮件，但用户A在扫描整个系统后并没有发现病毒。事实这封病毒邮件的发件人地址经过了伪造，可能是用户C的系统中感染了病毒，然后利用其系统中记录的用户A的邮件地址进行了伪装。

例如求职信等病毒都会利用该种技术。