发信人: miracletalent()
整理人: williamlong(2000-06-01 14:12:38), 站内信件
|
最新流行的BO2K黑客是怎么一回事?
HD-COPY的基本功能及使用方法是什么?
HD-COPY所指的影像文件是什么意思?当采用影像文件拷贝时,可以带格式化拷贝 吗?
如何使用HD-COPY工具来在网络上升级我的KV300+及KV300?
如果我不用HD-COPY升级,而采用拷贝的方式升级的话,拷贝哪些文件呢?删除同 名称
的文件是指的哪些文件?
我可以利用一些专业媒体的配套光盘的KV300升级文件来升级我的KV300吗?
如何升级?应该注意一些什么?
如何用KV300+来处理WINDOWS NT下的引导型病毒及其WINDOWS NT下引导型病毒的
基本特点?
从网上下载文件很方便,但是很害怕感染计算机病毒,该如何正确处理?
问题:请问最近流行的黑客程序BO,是怎么回事?.
故障现象:当读KV300软盘时,DOS提示:General reading drive A(读盘错误).
并提示:Abort,Retry,Fail?按A,R,F键可放弃,重试或失败.
故障现象:当使用KV300查硬盘中的病毒时,出现"win386.exe被别的程序所占用"?
故障现象:用KV300的J+版查PWIN95 的OSR2.1报告硬盘主引导区有病毒,但未报
告病毒的名字,只说主引导区有新病毒,请用KV300/K清除.
故障现象:在INTERNET网上升级KV300(网址为HTTP://WWW.JIANGMIN.COM)时,时
断时续,为什么?
故障现象:在DOS下,打印报表程序时出现死机,用KV300查出BOOT区有CMOS/B病毒
KILL OK!后,打印报表程序仍然会出现死机,为什么?
故障现象:一台机器安装了PWIN95 3.2G硬盘(分一个区),华硕主板,用硬盘启动机
器,运行KV300会死机;如果用KV300系统软盘引导机器,则不能读写硬盘:dir c :,
会出现提示:Invalid drive specification,当然更不能杀毒了.这种情况还出 现
在安装了PWIN98等的机器中.
故障现象:KV300原盘不能启动机器,用KV300启动机器出现Bad or missing comm and
interperate.怎么办?
故障现象:用OFFICE 95打印带有图片的文档,则图片打印不出来,而且是在用了一
断时间后才会出现这种情况,模拟显示图片显示正常,而且用最新版本的KV300 查
不出有病毒, 为什么?或者会是有什么问题?
故障现象:NETWARE 网络服务器(操作系统为NETWARE 4.12)上安装有OFFICE 4.2 ,
其中装有WORD6.0,用KV300查出有宏病毒在服务器上,但是网络上还有100 多台 无
软驱而有硬盘的工作站,这些工作站的硬盘中仍然会有WORD宏病毒,由于工作站 上
无软驱,而一个一个地安装软驱杀毒,工作量又会很大,怎么办?
故障现象:当用硬盘启动机器,用KV300查出内存中驻留有病毒,提示用干净的系统
软盘启动机器,但是当我将干净的系统软盘插入软驱中重新冷启动机器,系统仍 然
由硬盘启动,而不从A盘启动,为什么?
故障现象:用KV300的F4(查COM和EXE文件)功能可以查出硬盘中的一些文件有die_
hard/hd2病毒和tpvo/3783病毒,但是用F3(清杀病毒功能)却杀不掉,用F4查出 的
文件确含有病毒吗?如何解决?
故障现象:一台普通兼容机,硬盘为昆腾2.1G,分一个区,操作系统安装:MSDOS6.20 和
PWIN32.在进行EXCEL表格操作存盘后,机器突然跳出WINDOWS系统并死机,重新 引导
机器不成功,出现的提示为:missing operating system.用软盘启动机器,后能 进入
C盘但是在列目录时出现:Invalid media type reading drive C,Abort,Retr y,
Fail?
问 题:从电脑专业媒体上经常看到KV300反病毒专栏,我们如何利用它?病毒的 种类
是很多的,杀毒软件也有不少,那么这些专栏中的病毒特征字符串别的杀毒软件 能使用
吗?
问 题:如果我想了解一下目前的流行病毒的种类及它们相应的特点,特别是它 们的
危害情况,我该怎么作?
故障现象:在硬盘的根目录下出现了目录:dir00001,而在此目录下又有上万个子目 录,
但是,用传统的删除方法又删除不了,该如何处理?
故障现象:用KV300检查硬盘的病毒,KV300提示内存有毒,并要求用干净的系统软盘 启
动机器,用KV300/K杀毒.但是当按此步骤操作到最后,提示是否更新硬盘主引导 区时,
提示:no file or disk error! 然后退出到A 提示符下;而在有的机器上则提 示:
boot sector writing . virus,continue(y/n).而且此提示为闪烁提示行.重 新启动
机器查毒,故障依旧.该如何处理?
故障现象:我使用KV300的最新版检查病毒,发现在WORD文档目录下有TAIWAN NO.1 病毒
但是用F3杀毒却没有清除的提示,这是为什么?而且该文件打开正常.
故障现象:当用KV300杀毒时,每当检查到文件C:\WININST0.400\ WWWW.WWW后,机器
就会出现死机的现象,为什么?该如何处理?
问 题:在使用KV300的F6功能察看硬盘分区表时,在第一物理扇区上出现"80"和 "
"55AA"闪烁,这是病毒的提示吗?
问 题:KV300的说明书中讲:用户必需自备多种不同版本的DOS系统软盘,以适应
不同版本格式化的硬盘.这里讲的"多种"和"不同版本"的DOS 系统软盘指的是 什么
意思?
故障现象:在编写文章及编程序存盘时,文件的字节数正常,但是文件的建立时间却 总
是80年01月04日,这是由病毒引起的吗?用KV300的最新版本查不出有病毒.如果 不是病
毒的话,该如何解决这一现象呢?
故障现象:KV300的说明书中讲,应该用干净的系统软盘启动机器来清除计算机中的 病
毒,但是,当使用干净的系统软盘启动机器,KV300却不认识硬盘,这是怎么回事 ?机器的
基本配置是:P75,SEAGATE 540M硬盘,8M内存,S364V+显卡,系统软件安装的是P WIN32.
问 题:在DM软件分区格式化的硬盘中,如何制作ON TRACK DISK MANAGER BOOT DISK,
以便使我能在用干净的软盘启动杀毒?
故障现象:当我运行了光盘上的某执行程序后,重新启动机器后,逻辑C及D驱动器均 不
见了.用干净的系统软盘启动,也不能正确查看逻辑C盘及D盘中的文件,这时为 什么,该
如何处理?
故障现象:当使用KV300查杀病毒,查到硬盘根目录下的某个子目录时进入死循环, 即进
入该目录后,又会重复进入该目录,周而复始.
故障现象:一机器采用P75,主板为LX,硬盘为ST540M.机器硬盘不能正常启动,而只 屏幕
上提示:MISSING OPERATING SYSTEM.然后就死机.但是用干净的系统软盘启动,可 以转
到硬盘C,并能正常列文件目录.同时还能正常执行执行文件,用与硬盘相同DOS 版本的
系统盘启动后,利用命令SYS C:给硬盘传递系统文件成功,显示:system is
transferred!但是,用硬盘仍然不能启动机器,出现的提示仍为以上的提示.该 如何处
理这一问题?
警惕!最新版BO黑客有害程序BO2000(BO2K)的危害特点,
请广大用户用KV300查杀
今年七月,在美国拉斯维加斯的黑客年会上,黑客们发布了功能强大最新版的BO 黑客BO2000(BO2K)
升级程序。同时,将其源程序公开于INTERNET网络上,可以预料的是,随着INTE RNET的日益普及,其
变种及类似的程序会接踵而至,后果极为严重。该程序和其前任BO1.2程序一样, 都可以侵袭基于
WINDOWS系统的计算机,但是BO1.2只是仅仅基于WINDOWS 95或98 ,而BO2K则可以 同时运行于WINDOWS95/98/2000及WINDOWS NT系统。目前只能运行基于INTEL平台 的系统。BO2K可以通过
EMAIL附件的方式发送,也可以通过手工的方式安装在一台计算机上,或者隐藏在 INTERNET的程序文件中。
BO2K主要由两部分组成:客户端程序(client)或服务器端程序(server)。
客户端的程序可以用来监控及控制运行服务器端程序的计算机。客户端程序能对 被控制的服务器的计算机执行很多操作:执行被控端计算机中的任何程序、记录 被控计算机上的任何键盘输入、启动或者锁死目标计算机、查看计算机任何内容 、在本机(客户端)及被控端(服务器端)来回传送文件并且能显示被控计算机 当前用户的屏幕保护的口令。
BO2K主要程序的组成:
服务器端的程序大约100K(足够小);客户端的程序大约500K(足够大,图形接 口,MFC...),整个程序包完全可以用一张1.44MB软盘来保存。
(1)服务器端程序:BO2K.EXE (114688字节),该程序为BO2K系统的核心程序 。该程序利用系统的空闲资源,因此它能几乎不可觉察的运行,而与此同时它还 是一个完全可插入的、可控制的模块。
(2)客户端程序组件:BO2KGUI.EXE (581632字节)该程序为用户端与被控制的 服务器端的用户接口程序。它不管您使用的是什么网络接口协议或者自己编写的 插件协议,它都能与服务器端进行通讯。
(3)BO2K组态程序:BO2KCFG.EXE(221184字节)该程序可以改变BO2K.EXE服务 器端程序的设置,它是一个辅助的组态工具。和前任BO的组态程序不同的是:现 在版本的BO2K不再需要额外的组态文件。当您打开一个服务器,该程序可以从该 执行程序的内部的不同地方获取一个组态字串的列表,当您存盘的时候,实际上 它会自动改变自己,并将您的改变保存。
该版本的BO2K还能使您自己编写的DLL动态地连接到BO2K中, 使之成为BO2K的一 部分。当运行该程序后,它会提示您网络的连接类型(TCP或者UDP)、端口号( 1-65535)、连接时的数据加密类型(XOR或者3DES)、进入服务器端的加密口令 等。同时,它还能够将已经加入的插件去掉或改变一个新的插件。
(4)BO2K的第一个插件:BO_PEEP.DLL(53248字节)该程序为BO2K一系列强力插 件的第一个。该插件可以创建远程被控制计算机的灰度影像流,并且使您能远程 的控制键盘及鼠标。它以每秒8帧的速度记录键盘及鼠标的移动情况,传送的速度 是:每秒3.3K字节,即使对于28.8K的MODEM来说,这样的设置也是合理的。在办 公室,这特别有用:您可以在一台计算机上使用一个鼠标或键盘,在不使用切换 盒的情况下,同时控制您周围的许多计算机上的键盘及鼠标。它只是完全由一个 用户自定义的热键来控制的。该插件既可用于客户端,又可运行于服务器端。
(5)另外一个插件:BO3DES.DLL. 该程序为一标准3倍DES加密系统的弥补程序。 目前为止最危险的插件。该插件既可用于客户端,又可运行于服务器端。提供一 个图形接口文件流览及注册表编辑接口。使得许多操作简单到只需轻轻一点。
文件流览: 它提供目录及文件属性的查看及修改。文件的上载及下载都是通过一 个加密/认证通道来进行的。它可以完成的工作有:上载及下载文件、列目录、删 除文件、移动文件或者文件夹、拷贝文件或文件夹、将文件或文件夹改名称、改 变文件或文件夹的属性。
注册表编辑:注册表编辑器让您能在注册表中流览、删除键值、增加键值、将键 改名称及改变键值。
当组态好BO2K后,运行它后,它将自身写入到\WINDOWS\SYSTEM或者\WINNT\SYST EM32目录下,默认的文件名称是:UMGR32.EXE,接着它修改注册表:
(1)在Windows 95/98 下,UMGR32.EXE执行字符串被写入到:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServic es
(2)在WINDOWS NT下则表现为:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,此后 ,原文件可能被删除掉(如果组态的话),以后当WINDOWS系统每次启动的话,B O2K将被激活,并且黑客如果有适当的口令及
客户端程序的话,就能进入系统。在WINDOWS NT下,服务期端会自动改变自己的 进程(PROCESS)名称,以防被NT的TASK MANAGER(任务管理器)删除掉,在NT下 它会不断的改变自己进程的ID号(识别号)并且能自动建立一个自身进程的副本 ,以防止当被删除后,能自动再生。另外服务器端会将自己的文件名后面加上许 多随机(数字很大)的空格及字母‘e’,所以在WINDOWS下无法删除该文件(当 删除该文件时系统会显示非法的长文件名),但是磁盘扫描程序却不能发现任何 错误。因此,服务器端的文件只能在纯DOS下删除掉。象其前辈BO1.2等一样,BO 2K有许多的特点,但是它还是有许多的改进:连接过程的加密(包括最厉害的DE S加密方法)、能够在WINDOWS NT系统下运行、使用UDP通讯协议、允许DLL格式的 内部插件、更好的安全性、更多的远程控制特性。
特点小结:
(1)可以查询或访问服务器端;
(2)重新启动计算机、锁死系统、列出系统口令(从内存中获得)、获得系统信 息。
(3)记录键盘的活动:可以查看并删除LOG文件;
(4)用一指定的文字及标题打开一个对话框;
(5)将TCP端口影射到另外的一个IP地址,控制程序,HTTP文件服务器,文件名 ,
影射端口和TCP文件发送的列表;
(6)增加或者去掉网络共享,网络共享的列表(包括局域网),共享影像设备的 列
表、活动连接的列表。
(7)进程控制(在WINDOWS NT下也能运行):列表、删除及启动进程
(8)注册表的控制:虽然使用起来不太方便,所有的键都得手工键入。
(9)播放WAV(声音)文件(还有可能循环播放),捕捉静止的屏幕图像、AVI及 小影牒图像。
(10)完全磁盘寻址:列文件或目录、查找文件、查看文件、删除文件、移动文 件、
拷贝文件或者文件夹、传送文件列表的管理。
(11)远程压缩或者解压缩文件(可以从远程计算机中获得大文件)
(12)解析完全主文件名称及其IP地址。
(13)灵活服务器控制,其中包括插件控制,命令接口管理器。
(14)可以运行任何插件,可以以任何参数激活他们中的任何功能:例如一个插 件
可以初始化视屏流,并能“劫持”远方的计算机。
KV300杀毒软件(Z.1版)可以防杀BO2000(BO2K)黑客有害程序。
return
HDCOPY是一个快速磁盘拷贝工具。使用它进行升级KV300+(或KV300)的主要优点 在于它可以
按照我们的预想来升级,而运用COPY命令进行升级拷贝,往往会因为DOS、WINDO WS系统的记忆性,
而使KV300+(或KV300)磁盘上的文件组织排列不整齐,而有可能覆盖到磁盘的加 密点,从而引起拷贝
失败(在如何正确升级中有详细的描述)。return
运用HDCOPY拷贝工具进行正常的升级必须弄清楚影像文件:该文件包括了一张软 盘的BOOT区域、
FAT区域、文件目录区域以及数据区域中的所有文件内容。KV300+(或KV300)的 影像文件是将需要
升级的KV300+(KV300)的文件及其系统文件都包含在一起的一个文件,并且这些 文件的排列方式是
按照出厂生产的顺序排列整齐的。return
HDOCPY 的具体使用方法:1)在网络上下载HDCOPY的使用工具,然后使用网络上的 PKUNZIP解
缩工具将压缩,就会得到可以在MSDOS PROMPT下可以执行的HDCOPY工具了(解压 缩时,请注意
HDCOPY可执行文件的生成路径),解压缩的方法是:PKUNZIP HD22。2)执行HDCO PY,选择
Get from file选项,在路径栏中输入正确的影像文件的路径及其文件名称。例如 :假如您下载的影
像文件被下载到D:\DOWNLOADKV子目录下,那么对于KV300+的升级,您所应该输入 的是:
D:\DOWNLOADKV\KV300AZA.IMG,当读入成功后选择Write功能写入到您要升级的KV 300+磁盘即可。
在写入目标盘之前,请注意将Format Destination选项设置成OFF。return
采用拷贝的方法来升级KV300也是可以的,不过在拷贝之前,应该先将原来盘中相 应的文件删除再拷
贝。拷贝的升级文件包括:KV300.EXE、KV300FIX.EXE、VIRUS.DAT、VIRLIST.EX E、
README.EXE及KVW3000.EXE。KV300+和KV300的不同的升级文件只有KV300.EXE
及KV300FIX.EXE。return
一些报纸、杂志等的配套光盘中有KV300+(KV300)的升级文件,一样也可以用来 升级您的KV300+
(KV300),应该注意的是,有的光盘上的KV300+(KV300)的升级文件的属性为 只读属性,请在拷贝完
后,将KV软盘中该只读属性去掉。
return
问:如何用KV300+来处理WINDOWS NT下的引导型病毒及其WINDOWS NT下引导型病 毒的
基本特点?
答:如果运行WINDOWS NT的机器起动正常,那么WINDOWS NT系统将禁止一切程序
写0磁道或BOOT区域,因此,从WINDOWS NT系统本身来将,它大大的减少了引导
型病毒对机器的危害;
但是,以上所说的仅仅是在WINDOWS NT正常启动后的情形,然而,BOOT型病毒则
是在任何操作系统(当然包括WINDOWS NT系统)起动前感染系统的,因此虽然您
安装了WINDOWS NT 操作系统,只要您用染读的软盘引导机器,那么您安装了WIN DOWS
NT 系统的机器仍然可能被病毒感染。尽管如此,由于大多数BOOT引导型病毒是用
实模式编写的,而WINDOWS NT 正常启动是处于保护模式,因此尽管您的NT系统感 染
了BOOT型病毒,但是当您的系统重新启动,病毒也不会驻留内存,也不会传染到
您所使用过的软盘中。
由以上的分析,我们可以看出:WINDOWS NT系统可能被BOOT型病毒所感染,但即 使
感染了也不会传染到其他软盘,因此,只要您用干净的系统软盘启动机器,用KV 300
完全可以干净彻底的查杀WINDOWS NT下的引导型病毒!return
问题:从网上下载文件很方便,但是很害怕感染计算机病毒,该如何正确处理?
回答:(1)网站上本身并没有病毒,下载升级文件是十分安全的,只要按照正确 的升级方法
操作即可实现正常的升级;(2)问题在于:如果您下载文件的计算机本身内存含 有病毒的这种情况的处理:上网下载文件可以正常进行,但是解压缩时,则必需 用干净的系统软盘启动机器,
才能执行解压缩操作。return
问题:请问最近流行的黑客程序BO,是怎么回事?
回答:98年8月以来,在网上流行一种黑客工具:Back Orifice(V1.2)程序,简 称BO1.2,
有人通过Internet网络乱发E_mail,不知情的用户执行该程序后,它就偷偷的修 改了注册表
信息,潜藏在系统内,并且能使得以后每次运行Windows系统,它都会驻留内存, 联网后受
到外界黑客的监控。已发现相当多的网络用户被监控。
KV300+(X++)版能全面、安全地查出它,并清除之。
下面将其基本特点、危害及检测方法等简述如下:
一、Back Orifice v1.2黑客程序基本特点:
它是从98年8月开始流行于网络上的,凡是基于TCP/IP协议的局域网或Internet网 络上的任何
机器均可能遭受它的攻击。当它在您的机器上运行后,任何一个在网络上的人都 可以访问您的
机器,并且能作一些甚至连您本人都无法做的一些操作,它本身没有付作用。对 运行了该程序
的机器而言,没有任何觉察,它所占用内存及资源均很少。
它通常可以夹杂在邮件的附件程序中。
一旦您运行该程序,它会将自己隐藏到WINDOWS\SYSTEM文件夹中,同时修改注册 表信息,最后
将自身从当前目录中删除掉,这样一来以后,你每次起动机器,它都会被自动运 行。
二、危害:
从实质上讲,Back Orifice它本身不是病毒,但是当它被安装到您的机器后,就 使您的计算机
处于一种非常危险的地步。Back Orifice将使任何人通过Internet网络访问您的 计算机成为可
能。它的优先权为最高:“系统管理员”级,它会在您毫不觉察的情况下,对您 的计算机做任
何你能作的事。
(1) 它具有系统控制功能:它能记录您的键击,锁死或重起动计算机,获得详 细系统信息:
包括用户名、CPU类型、WINDOWS版本、内存使用情况,可装载磁盘(包括硬盘、 CDROM、可移动
驱动器及远程网络驱动器)及其信息,屏幕保护程序密码、用户拨号上网密码、 上Web站点密码
及其它密码。
(2) 文件控制系统:拷贝、重命名、删除、浏览及搜索文件及目录,文件压缩 或解压缩。
(3) 进程控制:列表、删除、加载执行进程。
(4) 注册表控制:列表、建立、删除或设置键及相应键值。
(5) 网络控制:查看所有可寻址的网络资源,所有进入或发出的链接、列表, 建立及删除网络
连接。
(6) 多媒体控制:播放波形文件,捕捉屏幕图像等。
(7) 能通过WWW客户端(如NETSCAPE)在任何端口上载及下载文件。
三、检测清除办法:
用干净的KV300+(X++)原盘起动机器,执行KV300,选择相应的驱动器,即可查 出或删掉潜藏
在系统中的网络黑客程序BO1·2.
边远地区的用户,也可用KV300自我升级的方式扩充以下代码,即可查出机 器中的BO黑客
程序。
"8B C8 85 C9 75 07 B8 69 7A 00 00 EB 66 %% 85 C9 7E 0E"
Found Hacker program BACK ORIFICE v1.2! Please DELETE !!!
"F2 AE F7 D1 49 74 13 8D 84 24 %% 50 68 %% 53 FF D6 %% 75 B7 68"
Found Hacker program BACK ORIFICE v1.2! Please DELETE !!!
拥有KV300软件的用户,可用WPS、CCED、WORD编辑软件(应用纯文本格式),将上 述几行特征码和
文字编进一个文本文件中,用KV300就可快速自升级查出“BO1.2”有害程序。
return
故障现象:当读KV300软盘时,DOS提示:General reading drive A(读盘错误).
并提示:Abort,Retry,Fail?按A,R,F键可放弃,重试或失败.
解决方法:出现这种现象的主要原因是该磁盘的介质存储出现错误,一般来讲,
该磁盘不能使用了.如果暂时没有条件更换磁盘,可以参考下面的方法试一试 .
由于KV300原盘的密码位于磁盘的后部分,因此遇到这种情况后, 可以用格式化
命令将该原盘格式化到一半,然后将文件重新拷贝到该盘即可;然而如果出现
"0磁道坏", 则必须更换原盘片.
return
故障现象:当使用KV300查硬盘中的病毒时,出现"win386.exe被别的程序所占用"?
解决方法:windows为多任务操作系统,当运行了windows后,再执行KV300则有可
能出现某程序为别的程序所用而不能进行查(杀)毒的情况.解决的办法是: 用
KV300原盘直接启动,然后执行KV300即可.
return
故障现象:用KV300的J+版查PWIN95 的OSR2.1报告硬盘主引导区有病毒,但未报
告病毒的名字,只说主引导区有新病毒,请用KV300/K清除.
解决方法:PWIN95的安装和PWIN32等操作系统的安装有一个显著的不同在于:前
者会修改硬盘主引导扇区主引导记录的内容,而后者则不会.由于这一特点, 因
此有可能导致一些杀毒软件的误报有毒.在这种情况下,应该升级KV300,以便适
应这种情况.KV300高版本加入对PWIN95 OSR2的识别代码,应以最新版的 KV30 0
为准. 如果KV300还报告有毒,那么十有八九硬盘已被病毒感染,应用KV300/K的
格式清除该病毒.
return
故障现象:在INTERNET网上升级KV300(网址为HTTP://WWW.JIANGMIN.COM)时,时
断时续,为什么?
解决方法:由于上网用户的多少及上网的时间不同,以及我国目前的通讯条件所
限,可能会出现网络拥挤的现象,因而会出现这样或那样的问题. 我们这时可以
采用更换网址或者重试的方法来实验,为了方便用户下载,我们还另外开了两个
网址:http://www.jiangmin.com.cn.另外下载文件时间约10分钟左右,时间如 果太长
则可能应该重试了.
return
故障现象:在DOS下,打印报表程序时出现死机,用KV300查出BOOT区有CMOS/B病毒
KILL OK!后,打印报表程序仍然会出现死机,为什么?
解决方法:在DOS下可以运行WPS,看看是否同样出现死机现象,如果还出现同样 的
情况,则可能与打印程序或打印机本身出现故障有关,应该检查硬件部分或更换
硬件重试;如果WPS打印正常,那么应该找最新版本的KV300检查硬盘,看看是否 有
新的病毒,或者重新安装该打印报表程序.
return
故障现象:一台机器安装了PWIN95 3.2G硬盘(分一个区),华硕主板,用硬盘启动机
器,运行KV300会死机;如果用KV300系统软盘引导机器,则不能读写硬盘:dir c :,
会出现提示:Invalid drive specification,当然更不能杀毒了.这种情况还出 现
在安装了PWIN98等的机器中.
解决方法:由于KV300系统软盘预装了MSDOS6.20,它是16位的操作系统,当然它 不
识别32位的操作系统PWIN95,PWIN98等,这时应该用DOS7.1的系统软盘启动机器 ,
然后再用KV300来杀毒.
制作DOS7.1系统软盘的过程如下:启动PWIN95,选START项中的控制面板,然 后
选择"安装删除程序"项,会出现三条功能项,其中最后一项为"制作系统盘",此 时
只需要您插入PWIN95的光盘,并在软驱中插一张空白的软盘即可成功地制作一 张
DOS7.1的系统软盘.如果怀疑此软盘中会有病毒,那么您可以重新用KV300的软 盘
启动机器,并杀一下刚制作好的那张系统软盘即可使用了.
至于用硬盘启动机器执行KV300出现死机的情况,则与内存的分配情况有关 ,
应该在尽可能地减少内存驻留程序,以便执行KV300来检查病毒.
return
故障现象:KV300原盘不能启动机器,用KV300启动机器出现Bad or missing comma nd
interperate.怎么办?
解决方法:将KV300软盘的COMMAND.COM文件改名,然后重拷贝一个同版本的命令 文件
即可使用KV300软件,或者用SYS A:命令传递系统文件, 当然也可以用更换新盘 片的
办法来处理.
return
故障现象:用OFFICE 95打印带有图片的文档,则图片打印不出来,而且是在用了一
断时间后才会出现这种情况,模拟显示图片显示正常,而且用最新版本的KV300 查
不出有病毒, 为什么?或者会是有什么问题?
解决方法:可以启动OFFICE 95 的WORD7.0的TOOLS菜单中的Macro,看看是否有 病毒
宏,可以用删除病毒宏的办法来解除KV300可能不能查出的WORD宏病毒.或者将 通用
模板文件NORMAL.DOT文件删除.
return
故障现象:NETWARE 网络服务器(操作系统为NETWARE 4.12)上安装有OFFICE 4.2,
其中装有WORD6.0,用KV300查出有宏病毒在服务器上,但是网络上还有100 多台 无
软驱而有硬盘的工作站,这些工作站的硬盘中仍然会有WORD宏病毒,由于工作站 上
无软驱,而一个一个地安装软驱杀毒,工作量又会很大,怎么办?
解决方法:如果网络服务器上有软驱,那么可以将KV300+的查杀WORD宏病毒的程 序
KVWSETUP.EXE安装到网络服务器的硬盘中,然后在各工作站端调用服务器硬盘 中的
以安装好的查杀WORD 宏病毒的方式来解除当地硬盘中的WORD宏病毒.
return
故障现象:当用硬盘启动机器,用KV300查出内存中驻留有病毒,提示用干净的系统
软盘启动机器,但是当我将干净的系统软盘插入软驱中重新冷启动机器,系统仍 然
由硬盘启动,而不从A盘启动,为什么?
解决方法:系统的BIOS设置中,有一项boot sequence:是管启动顺序的,当设置 成:
C,A时,即使软驱中有系统软盘也不能启动;这时应该将该项设置成:A,C,这样当 软
驱中有系统软盘时,则可以由软盘启动机器进行杀毒了.
return
故障现象:用KV300的F4(查COM和EXE文件)功能可以查出硬盘中的一些文件有die_
hard/hd2病毒和tpvo/3783病毒,但是用F3(清杀病毒功能)却杀不掉,用F4查出 的
文件确含有病毒吗?如何解决?
解决方法:确定文件中是否含有计算机病毒的基本原则是看该文件执行后能否 传染
到其它文件,这些查出有病毒的文件我们可以采用执行的方法来确定它是否为 真的
病毒:先执行这些可疑文件,然后再执行另外的没有查出有病毒的文件,或用列 目录
表的方式实验,然后再用干净的系统软盘启动机器,用KV300来重新检查硬盘,检 查
刚才试执行的干净文件是否会有病毒,如果没有,则这些查出有病毒的文件中仅 仅
含有病毒残体,而不是真正意义上的病毒.可行的解决方法是用好的或备份的文 件重
新覆盖原文件即可.必需说明的是:die_hard/hd2病毒和tpvo/3783病毒由于编 制的
问题,容易产生"病毒尸体".
另外,由于HDCOPY,DDI等高效拷贝工具软件的大量使用,也极其容易产生 类似
的问题:HDCOPY能将高密软盘的全部内容拷贝到一个文件中,因此人们经常使用 它来
备份软盘文件,如果原被备份软盘中含有引导型(BOOT)病毒,那么它将随着有用 的文
件一块被拷贝入一个影像文件中(扩展名为IMG或DDI).因此当您用KV300的F1功 能查
所有的文件病毒时,有时会在某个文件(FILE)中查出有引导型(BOOT)病毒!除非 有意
这样做,显然它们是由于不正确使用HDCOPY,DDI文件引起的.知道原因后,解决 的方法
当然很简单:您只需要将该影像文件解压到软盘中,然后利用KV300/K将软盘中 的BOOT
型病毒杀掉,然后重新形成影像文件即可.由此我们也可以看出,经常使用KV30 0检查病
毒是非常必要的.
不知是否是受HDCOPY的启发,还是独创,WINDOWS95及其以上的操作系统在 每次
SHUT DOWN(关机)前,均要将该硬盘的主引导扇区的内容及BOOT扇区的内容存入 一个
名称为:SUHDLOG.DAT文件中,WIN95操作系统的查毒能力不强,不管有没有病毒 ,它都
将其原有的内容写入该文件中,这样也可能导致以上所将的现象:即能查出有引 导型
病毒,却杀不掉.
return
故障现象:一台普通兼容机,硬盘为昆腾2.1G,分一个区,操作系统安装:MSDOS6.20 和
PWIN32.在进行EXCEL表格操作存盘后,机器突然跳出WINDOWS系统并死机,重新 引导
机器不成功,出现的提示为:missing operating system.用软盘启动机器,后能 进入
C盘但是在列目录时出现:Invalid media type reading drive C,Abort,Retr y,
Fail?
解决方法:由计算机的提示我们可以看出,硬盘的主引导记录及硬盘分区表存在 ,但是
BOOT区或FAT表丢失.我们可以用KV300的最新版来重建硬盘BOOT区,至于FAT表 部分
则可用自编程序的方法或用高版本的NU软件来写硬盘的文件分配表,使两张文 件分配
表一致,当然这必需要有一定的计算机硬盘结构知识为基础.建议不熟悉的用户 不要
使用.
return
问 题:从电脑专业媒体上经常看到KV300反病毒专栏,我们如何利用它?病毒的 种类
是很多的,杀毒软件也有不少,那么这些专栏中的病毒特征字符串别的杀毒软件 能使用
吗?
解决方法:我们经常看到的KV300反病毒专栏,是KV300开放式的一大体现,为了 使用它
使用者必需至少熟悉一种文字处理软件,常见的有EDIT,WPS等,但他们都必需是 纯文本
方式编写的,不能带有修饰符.文件名可以由用户自己确定,使用时只要将此文 件置于
KV300命令行后,作为KV300的参数即可方便地调用.
由于KV300反病毒特征字符串带有含有过滤功能的特征字符:"??"及"%%", 而这一
特点是其它反病毒软件所没有的,因此KV300反病毒专栏中的病毒特征字符串只 能用于
KV300软件本身.
return
问 题:如果我想了解一下目前的流行病毒的种类及它们相应的特点,特别是它 们的
危害情况,我该怎么作?
解决方法:可以从INTERNET上下载最新版本的KV300软件,将其解压缩后拷到硬 盘的某
一目录下,运行VIRLIST.EXE文件即可了解当前流行病毒的种类及其特点,病毒 的主要
危害体现在:感染执行文件的种类,是否驻留内存,是否自身变形加密,是否感染 软硬盘
BOOT区等.
return
故障现象:在硬盘的根目录下出现了目录:dir00001,而在此目录下又有上万个子目 录,
但是,用传统的删除方法又删除不了,该如何处理?
解决方法:这些目录是由一些修复软件产生的,可以采用DELTREE删除目录树的 方法实
验,或者用SCANDISK命令来修复此硬盘中的交叉联接的情况.有经验的话,还可 以采用
PCTOOLS工具来试.
return
故障现象:用KV300检查硬盘的病毒,KV300提示内存有毒,并要求用干净的系统软盘 启
动机器,用KV300/K杀毒.但是当按此步骤操作到最后,提示是否更新硬盘主引导 区时,
提示:no file or disk error! 然后退出到A 提示符下;而在有的机器上则提 示:
boot sector writing . virus,continue(y/n).而且此提示为闪烁提示行.重 新启动
机器查毒,故障依旧.该如何处理?
解决方法:这是由于机器的BIOS设置中,将病毒保护开关设置成有效,即保护硬 盘引导
扇区有效,它将阻止一切对硬盘主引导区的写操作.而杀硬盘主引导区病毒又正 好 要
写此扇区,因此会出现以上的现象,由于主板的BIOS程序的不同,其提示则有所 不同,但
其实质是一样的.解决的办法是进入BIOS设置菜单,将其中virus warning的相 应选项
设置:on改为off或Enable改为Disable或Write protected改为Normal等即可.
return
故障现象:我使用KV300的最新版检查病毒,发现在WORD文档目录下有TAIWAN NO.1 病毒
但是用F3杀毒却没有清除的提示,这是为什么?而且该文件打开正常.
解决方法:出现这种现象的主要原因在于该文件中残留有TAIWAN NO.1的剩余代 码,我
们可以使用以下方法来消除这种想象:
1:打开该文件(ALT+F,OPEN FILE);
2:全选该文档(CTRL+A);
3:拷贝到剪切板上(CTRL+C);
4:新建一文件(ALT+F,NEW FILE);
5.将剪切板中的内容粘贴到此新文件中(CTRL+V);
6.另存为一新文件(SAVE AS...)名,同时将原文件删除.
经过以上的处理后就会过滤掉该文件中的病毒残余代码,再用KV300的F1功 能检
查就不会出现类似的问题了.
return
故障现象:当用KV300杀毒时,每当检查到文件C:\WININST0.400\ WWWW.WWW后,机器
就会出现死机的现象,为什么?该如何处理?
解决方法:由于系统文件分配表的混乱,很容易造成这种现象.解决的办法是运 行硬盘
修复软件SCANDISK检查并整理硬盘,将交叉的文件链修复后,就能顺利地杀毒了 .
return
问题:在使用KV300的F6功能察看硬盘分区表时,在第一物理扇区上出现"80"和 "
"55AA"闪烁,这是病毒的提示吗?
解决方法:这不是病毒的指示.而是KV300显示的用于表示关键代码的独特表示 方法.
硬盘的主引导扇区必需要有这两个"闪烁"的部分,才可能启动.当然,这只是必 要条
件,而不是充分条件:硬盘能否正常启动还得依靠主引导记录及正确的硬盘分区 表.
return
问 题:KV300的说明书中讲:用户必需自备多种不同版本的DOS系统软盘,以适应
不同版本格式化的硬盘.这里讲的"多种"和"不同版本"的DOS 系统软盘指的是 什么
意思?
解决方法:说明书中所讲的"多种DOS版本"指的是:最流行的MSDOS操作系统,IB M DOS
操作系统,COMPAQ DOS,DR DOS操作系统等多种,虽然它们的基本功能相同,但是 在一些
特殊的情况下,它们还会发挥各自的优点的.最明显的例子是,用DM软件格式化 的硬盘
无论用何种标准的DOS系统软盘启动都不能识别该软件格式化形成的硬盘分区 表,必需
其自带的ONTRACK DISK MANAGER BOOT DISKETTE 系统软盘启动才能正确识别 该软件
分区格式化的硬盘.而"不同版本的DOS版本"则相对容易理解,它指的是:各个时 期不同
厂家出品的不同版本的DOS版本,如常见的有MSDOS3.X,MSDOS5.0,MSDOS6.X等, 它们各
自的功能及管理硬盘的大小是各不相同的.
return
故障现象:在编写文章及编程序存盘时,文件的字节数正常,但是文件的建立时间却 总
是80年01月04日,这是由病毒引起的吗?用KV300的最新版本查不出有病毒.如果 不是病
毒的话,该如何解决这一现象呢?
解决方法:如果用最新版的KV300查不出有病毒,则没有病毒.文件的存储时间总 是80年,
而不是当前的日期,那么是由于机器的CMOS的供电电池不足,引起机器的时间不 能正常
走时而使机器的系统时间不能保持住.解决的办法是重新更换CMOS电池,重新设 置系统
日期即可.
return
故障现象:KV300的说明书中讲,应该用干净的系统软盘启动机器来清除计算机中的 病
毒,但是,当使用干净的系统软盘启动机器,KV300却不认识硬盘,这是怎么回事 ?机器的
基本配置是:P75,SEAGATE 540M硬盘,8M内存,S364V+显卡,系统软件安装的是P WIN32.
解决方法:可以从两个方面来看这一问题:(1)判断硬盘的分区表是否被病毒加 密:可用
硬盘启动机器,然后在软盘写保护的情况下,在软盘上运行KV300来检测内存中 是否有
病毒,如果有的话,那么就应该在此情况下,使用KV300/B的格式将正确的主引导 扇区备
份到软盘中,文件名为HDPT.DAT,然后用干净的系统软盘启动,使用格式KV300/ HDPT.DAT
将备份在软盘中的正确的主引导扇区的内容写入此硬盘中,最后使用KV300将那 备份软
中的引导型病毒杀死即可恢复正常.(2)如果以上步骤中,在内存中没有发现病 毒,那么
就应该检测一下此硬盘是否是用SEAGATE 硬盘厂家的DM软件格式化分区的,如 果是的
话,则应该用DM软件制作一张ON TRACK DISK MANAGER 系统软盘.然后用ONTRA CK系统
软盘启动机器就可以查杀硬盘中的病毒了.
return
问 题:在DM软件分区格式化的硬盘中,如何制作ON TRACK DISK MANAGER BOOT DISK,
以便使我能在用干净的软盘启动杀毒?
解决方法:原装硬盘如希捷(SEAGATE),伟仕(MAXTOR),昆腾(QUANTUM)等在出厂 时,均有
一个临时的,预置的硬盘分区,其中包含有硬盘分区,格式化程序.当然,它是以 压缩文
件的方式存在的.对于SEAGATE硬盘,其文件名为:SEAMOVE.EXE,SEAMOVE.DAT及
README.EXE等.可以运行SEAMOVE命令,它可将DM.EXE等软件解压到软盘中.至此 ,才可
以用DM.EXE软件制作ONTRACK BOOT DISK,具体制作步骤如下:
1:运行DM.该软件可自动检测此硬盘是否为SEAGATE硬盘所设计的,当然MA XTOR,
QUANTUM等都会有各自的DM软件.请注意由于制作原理的差异,它们不能相互通 用;
2.成功后,会出现六项选择,此时可选择第三项:MAINTENANCE MENU;
3.此时会出现八项选择,这时可选择第一项:CREATE ONTRACK BOOT DISKE TTE,意思
是建立或制作ONTRACK BOOT DISKETTE.
4.选择制作后,会出现两项选择,如果只想制作启动系统盘,则只需要选择 第一项:
MAKE THIS DISKETTE AN ONTRACK DISKETTE,选择该项后,会提示您插入系统启 动盘在
A驱中,并可选择动态驱动器覆盖文件的选项开关,各项都准备好后,就可以顺利 地制作
ON TRACK BOOT DISKETTE了.
由以上的制作过程,我们也可以体会到除了标准的MSDOS系统盘外,制作多种 系统软
盘的重要性了.
return
故障现象:当我运行了光盘上的某执行程序后,重新启动机器后,逻辑C及D驱动器均 不
见了.用干净的系统软盘启动,也不能正确查看逻辑C盘及D盘中的文件,这时为 什么,该
如何处理?
解决方法:首先,不能使用盗版光盘的软件.其次我们可以用KV300软盘引导机器 后,按
功能键F6可以查看硬盘主引导扇区的内容,如果0面0柱1扇区中没有正确的主引 导信息
那么可以按翻页键在硬盘的隐含扇区中查找,如果找到合适的硬盘主引导信息 就可以按
F9功能键将其写入0面0柱1扇区,一般来将就可以使硬盘起死回生了;如果该方 法不能奏
效,可以使用F10键重建硬盘分区表,在此就不一一详述了.
return
故障现象:当使用KV300查杀病毒,查到硬盘根目录下的某个子目录时进入死循环, 即进
入该目录后,又会重复进入该目录,周而复始.
解决方法:这极有可能是使用了某所谓的"加密软件"后,更改了该目录的目录项 的首簇
数,把它改成了根目录的首簇数,从而会引起以上的现象.解决的办法是使用DO S工具软
件SCANDISK C:来整理硬盘的数据结构,该软件可自动修复上述交叉联结的情况 .
return
故障现象:一机器采用P75,主板为LX,硬盘为ST540M.机器硬盘不能正常启动,而只 屏幕
上提示:MISSING OPERATING SYSTEM.然后就死机.但是用干净的系统软盘启动 ,可以转
到硬盘C,并能正常列文件目录.同时还能正常执行执行文件,用与硬盘相同DOS 版本的
系统盘启动后,利用命令SYS C:给硬盘传递系统文件成功,显示:system is
transferred!但是,用硬盘仍然不能启动机器,出现的提示仍为以上的提示.该 如何处
理这一问题?
解决方法:从故障的描述来看,硬盘的分区表及文件分配表以及目录项均正常. 由对硬
盘的物理结构我们分析到,可能是由于主引导扇区的主引导记录被损坏或被病 毒修改
而致使它不能正确地调用系统文件,而出现此现象.解决的办法是:用KV300软盘 启动机
器,然后执行KV300/K更新主引导记录即可.另外,需要注意的是:硬盘的组态模 式:LBA,
NORMAL,LARGE,CHS等不能相混淆.
return
-- ※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 61.139.11.252]
|
|