精华区 [关闭][返回]

当前位置:网易精华区>>讨论区精华>>电脑技术>>● 计算机安全>>◇软件解析◇>>BO黑客技术!!!

主题:BO黑客技术!!!
发信人: miracletalent()
整理人: williamlong(2000-06-01 14:12:38), 站内信件
  

最新流行的BO2K黑客是怎么一回事?
HD-COPY的基本功能及使用方法是什么?
HD-COPY所指的影像文件是什么意思?当采用影像文件拷贝时,可以带格式化拷贝
吗?
如何使用HD-COPY工具来在网络上升级我的KV300+及KV300?
如果我不用HD-COPY升级,而采用拷贝的方式升级的话,拷贝哪些文件呢?删除同
名称
的文件是指的哪些文件?
我可以利用一些专业媒体的配套光盘的KV300升级文件来升级我的KV300吗?
如何升级?应该注意一些什么?
如何用KV300+来处理WINDOWS NT下的引导型病毒及其WINDOWS NT下引导型病毒的

基本特点?
从网上下载文件很方便,但是很害怕感染计算机病毒,该如何正确处理?
问题:请问最近流行的黑客程序BO,是怎么回事?.
故障现象:当读KV300软盘时,DOS提示:General reading drive A(读盘错误).
   并提示:Abort,Retry,Fail?按A,R,F键可放弃,重试或失败.
   
故障现象:当使用KV300查硬盘中的病毒时,出现"win386.exe被别的程序所占用"?

故障现象:用KV300的J+版查PWIN95 的OSR2.1报告硬盘主引导区有病毒,但未报
   告病毒的名字,只说主引导区有新病毒,请用KV300/K清除.
 故障现象:在INTERNET网上升级KV300(网址为HTTP://WWW.JIANGMIN.COM)时,时

   断时续,为什么?
故障现象:在DOS下,打印报表程序时出现死机,用KV300查出BOOT区有CMOS/B病毒

   KILL OK!后,打印报表程序仍然会出现死机,为什么?
 
 故障现象:一台机器安装了PWIN95 3.2G硬盘(分一个区),华硕主板,用硬盘启动机

   器,运行KV300会死机;如果用KV300系统软盘引导机器,则不能读写硬盘:dir c
:,
   会出现提示:Invalid drive specification,当然更不能杀毒了.这种情况还出

   在安装了PWIN98等的机器中.
 
 故障现象:KV300原盘不能启动机器,用KV300启动机器出现Bad or missing comm
and
   interperate.怎么办?
 故障现象:用OFFICE 95打印带有图片的文档,则图片打印不出来,而且是在用了一

   断时间后才会出现这种情况,模拟显示图片显示正常,而且用最新版本的KV300
 查
   不出有病毒, 为什么?或者会是有什么问题?
 
 故障现象:NETWARE 网络服务器(操作系统为NETWARE 4.12)上安装有OFFICE 4.2
,
   其中装有WORD6.0,用KV300查出有宏病毒在服务器上,但是网络上还有100 多台

   软驱而有硬盘的工作站,这些工作站的硬盘中仍然会有WORD宏病毒,由于工作站

   无软驱,而一个一个地安装软驱杀毒,工作量又会很大,怎么办?
故障现象:当用硬盘启动机器,用KV300查出内存中驻留有病毒,提示用干净的系统

   软盘启动机器,但是当我将干净的系统软盘插入软驱中重新冷启动机器,系统仍

   由硬盘启动,而不从A盘启动,为什么?
故障现象:用KV300的F4(查COM和EXE文件)功能可以查出硬盘中的一些文件有die_

   hard/hd2病毒和tpvo/3783病毒,但是用F3(清杀病毒功能)却杀不掉,用F4查出

   文件确含有病毒吗?如何解决?
故障现象:一台普通兼容机,硬盘为昆腾2.1G,分一个区,操作系统安装:MSDOS6.20

   PWIN32.在进行EXCEL表格操作存盘后,机器突然跳出WINDOWS系统并死机,重新
引导
   机器不成功,出现的提示为:missing operating system.用软盘启动机器,后能
进入
   C盘但是在列目录时出现:Invalid media type reading drive C,Abort,Retr
y, 
   Fail?
问    题:从电脑专业媒体上经常看到KV300反病毒专栏,我们如何利用它?病毒的
种类
   是很多的,杀毒软件也有不少,那么这些专栏中的病毒特征字符串别的杀毒软件
能使用
   吗?
问    题:如果我想了解一下目前的流行病毒的种类及它们相应的特点,特别是它
们的
   危害情况,我该怎么作?
故障现象:在硬盘的根目录下出现了目录:dir00001,而在此目录下又有上万个子目
录,
   但是,用传统的删除方法又删除不了,该如何处理?
 
故障现象:用KV300检查硬盘的病毒,KV300提示内存有毒,并要求用干净的系统软盘

   动机器,用KV300/K杀毒.但是当按此步骤操作到最后,提示是否更新硬盘主引导
区时,
   提示:no file or disk error! 然后退出到A 提示符下;而在有的机器上则提
示:
   boot sector writing . virus,continue(y/n).而且此提示为闪烁提示行.重
新启动
   机器查毒,故障依旧.该如何处理?
故障现象:我使用KV300的最新版检查病毒,发现在WORD文档目录下有TAIWAN NO.1
病毒
   但是用F3杀毒却没有清除的提示,这是为什么?而且该文件打开正常.
故障现象:当用KV300杀毒时,每当检查到文件C:\WININST0.400\ WWWW.WWW后,机器

   就会出现死机的现象,为什么?该如何处理?
问    题:在使用KV300的F6功能察看硬盘分区表时,在第一物理扇区上出现"80"和
"
   "55AA"闪烁,这是病毒的提示吗?
问    题:KV300的说明书中讲:用户必需自备多种不同版本的DOS系统软盘,以适应

   不同版本格式化的硬盘.这里讲的"多种"和"不同版本"的DOS 系统软盘指的是
什么
   意思?
故障现象:在编写文章及编程序存盘时,文件的字节数正常,但是文件的建立时间却

   是80年01月04日,这是由病毒引起的吗?用KV300的最新版本查不出有病毒.如果
不是病
   毒的话,该如何解决这一现象呢?
故障现象:KV300的说明书中讲,应该用干净的系统软盘启动机器来清除计算机中的

   毒,但是,当使用干净的系统软盘启动机器,KV300却不认识硬盘,这是怎么回事
?机器的
   基本配置是:P75,SEAGATE 540M硬盘,8M内存,S364V+显卡,系统软件安装的是P
WIN32.
 
问    题:在DM软件分区格式化的硬盘中,如何制作ON TRACK DISK MANAGER BOOT
 DISK,
   以便使我能在用干净的软盘启动杀毒?
故障现象:当我运行了光盘上的某执行程序后,重新启动机器后,逻辑C及D驱动器均

   见了.用干净的系统软盘启动,也不能正确查看逻辑C盘及D盘中的文件,这时为
什么,该
   如何处理?
故障现象:当使用KV300查杀病毒,查到硬盘根目录下的某个子目录时进入死循环,
即进
   入该目录后,又会重复进入该目录,周而复始.
 
故障现象:一机器采用P75,主板为LX,硬盘为ST540M.机器硬盘不能正常启动,而只
屏幕
上提示:MISSING OPERATING SYSTEM.然后就死机.但是用干净的系统软盘启动,可
以转
   到硬盘C,并能正常列文件目录.同时还能正常执行执行文件,用与硬盘相同DOS
版本的
   系统盘启动后,利用命令SYS C:给硬盘传递系统文件成功,显示:system is 
   transferred!但是,用硬盘仍然不能启动机器,出现的提示仍为以上的提示.该
如何处
   理这一问题?
 

警惕!最新版BO黑客有害程序BO2000(BO2K)的危害特点,
请广大用户用KV300查杀

今年七月,在美国拉斯维加斯的黑客年会上,黑客们发布了功能强大最新版的BO
黑客BO2000(BO2K)
升级程序。同时,将其源程序公开于INTERNET网络上,可以预料的是,随着INTE
RNET的日益普及,其
变种及类似的程序会接踵而至,后果极为严重。该程序和其前任BO1.2程序一样,
都可以侵袭基于
WINDOWS系统的计算机,但是BO1.2只是仅仅基于WINDOWS 95或98 ,而BO2K则可以
同时运行于WINDOWS95/98/2000及WINDOWS NT系统。目前只能运行基于INTEL平台
的系统。BO2K可以通过
EMAIL附件的方式发送,也可以通过手工的方式安装在一台计算机上,或者隐藏在
INTERNET的程序文件中。
BO2K主要由两部分组成:客户端程序(client)或服务器端程序(server)。
客户端的程序可以用来监控及控制运行服务器端程序的计算机。客户端程序能对
被控制的服务器的计算机执行很多操作:执行被控端计算机中的任何程序、记录
被控计算机上的任何键盘输入、启动或者锁死目标计算机、查看计算机任何内容
、在本机(客户端)及被控端(服务器端)来回传送文件并且能显示被控计算机
当前用户的屏幕保护的口令。
BO2K主要程序的组成:
服务器端的程序大约100K(足够小);客户端的程序大约500K(足够大,图形接
口,MFC...),整个程序包完全可以用一张1.44MB软盘来保存。
(1)服务器端程序:BO2K.EXE (114688字节),该程序为BO2K系统的核心程序
。该程序利用系统的空闲资源,因此它能几乎不可觉察的运行,而与此同时它还
是一个完全可插入的、可控制的模块。
(2)客户端程序组件:BO2KGUI.EXE (581632字节)该程序为用户端与被控制的
服务器端的用户接口程序。它不管您使用的是什么网络接口协议或者自己编写的
插件协议,它都能与服务器端进行通讯。
(3)BO2K组态程序:BO2KCFG.EXE(221184字节)该程序可以改变BO2K.EXE服务
器端程序的设置,它是一个辅助的组态工具。和前任BO的组态程序不同的是:现
在版本的BO2K不再需要额外的组态文件。当您打开一个服务器,该程序可以从该
执行程序的内部的不同地方获取一个组态字串的列表,当您存盘的时候,实际上
它会自动改变自己,并将您的改变保存。
该版本的BO2K还能使您自己编写的DLL动态地连接到BO2K中, 使之成为BO2K的一
部分。当运行该程序后,它会提示您网络的连接类型(TCP或者UDP)、端口号(
1-65535)、连接时的数据加密类型(XOR或者3DES)、进入服务器端的加密口令
等。同时,它还能够将已经加入的插件去掉或改变一个新的插件。
(4)BO2K的第一个插件:BO_PEEP.DLL(53248字节)该程序为BO2K一系列强力插
件的第一个。该插件可以创建远程被控制计算机的灰度影像流,并且使您能远程
的控制键盘及鼠标。它以每秒8帧的速度记录键盘及鼠标的移动情况,传送的速度
是:每秒3.3K字节,即使对于28.8K的MODEM来说,这样的设置也是合理的。在办
公室,这特别有用:您可以在一台计算机上使用一个鼠标或键盘,在不使用切换
盒的情况下,同时控制您周围的许多计算机上的键盘及鼠标。它只是完全由一个
用户自定义的热键来控制的。该插件既可用于客户端,又可运行于服务器端。
(5)另外一个插件:BO3DES.DLL. 该程序为一标准3倍DES加密系统的弥补程序。
目前为止最危险的插件。该插件既可用于客户端,又可运行于服务器端。提供一
个图形接口文件流览及注册表编辑接口。使得许多操作简单到只需轻轻一点。
文件流览: 它提供目录及文件属性的查看及修改。文件的上载及下载都是通过一
个加密/认证通道来进行的。它可以完成的工作有:上载及下载文件、列目录、删
除文件、移动文件或者文件夹、拷贝文件或文件夹、将文件或文件夹改名称、改
变文件或文件夹的属性。
注册表编辑:注册表编辑器让您能在注册表中流览、删除键值、增加键值、将键
改名称及改变键值。
当组态好BO2K后,运行它后,它将自身写入到\WINDOWS\SYSTEM或者\WINNT\SYST
EM32目录下,默认的文件名称是:UMGR32.EXE,接着它修改注册表:
(1)在Windows 95/98 下,UMGR32.EXE执行字符串被写入到:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServic
es
(2)在WINDOWS NT下则表现为:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,此后
,原文件可能被删除掉(如果组态的话),以后当WINDOWS系统每次启动的话,B
O2K将被激活,并且黑客如果有适当的口令及
客户端程序的话,就能进入系统。在WINDOWS NT下,服务期端会自动改变自己的
进程(PROCESS)名称,以防被NT的TASK MANAGER(任务管理器)删除掉,在NT下
它会不断的改变自己进程的ID号(识别号)并且能自动建立一个自身进程的副本
,以防止当被删除后,能自动再生。另外服务器端会将自己的文件名后面加上许
多随机(数字很大)的空格及字母‘e’,所以在WINDOWS下无法删除该文件(当
删除该文件时系统会显示非法的长文件名),但是磁盘扫描程序却不能发现任何
错误。因此,服务器端的文件只能在纯DOS下删除掉。象其前辈BO1.2等一样,BO
2K有许多的特点,但是它还是有许多的改进:连接过程的加密(包括最厉害的DE
S加密方法)、能够在WINDOWS NT系统下运行、使用UDP通讯协议、允许DLL格式的
内部插件、更好的安全性、更多的远程控制特性。
特点小结:

(1)可以查询或访问服务器端;

(2)重新启动计算机、锁死系统、列出系统口令(从内存中获得)、获得系统信
息。

(3)记录键盘的活动:可以查看并删除LOG文件;

(4)用一指定的文字及标题打开一个对话框;

(5)将TCP端口影射到另外的一个IP地址,控制程序,HTTP文件服务器,文件名


影射端口和TCP文件发送的列表;

(6)增加或者去掉网络共享,网络共享的列表(包括局域网),共享影像设备的


表、活动连接的列表。

(7)进程控制(在WINDOWS NT下也能运行):列表、删除及启动进程

(8)注册表的控制:虽然使用起来不太方便,所有的键都得手工键入。

(9)播放WAV(声音)文件(还有可能循环播放),捕捉静止的屏幕图像、AVI及
小影牒图像。

(10)完全磁盘寻址:列文件或目录、查找文件、查看文件、删除文件、移动文
件、

拷贝文件或者文件夹、传送文件列表的管理。

(11)远程压缩或者解压缩文件(可以从远程计算机中获得大文件)

(12)解析完全主文件名称及其IP地址。

(13)灵活服务器控制,其中包括插件控制,命令接口管理器。

(14)可以运行任何插件,可以以任何参数激活他们中的任何功能:例如一个插


可以初始化视屏流,并能“劫持”远方的计算机。

KV300杀毒软件(Z.1版)可以防杀BO2000(BO2K)黑客有害程序。

return

HDCOPY是一个快速磁盘拷贝工具。使用它进行升级KV300+(或KV300)的主要优点
在于它可以
按照我们的预想来升级,而运用COPY命令进行升级拷贝,往往会因为DOS、WINDO
WS系统的记忆性,
而使KV300+(或KV300)磁盘上的文件组织排列不整齐,而有可能覆盖到磁盘的加
密点,从而引起拷贝
失败(在如何正确升级中有详细的描述)。return
运用HDCOPY拷贝工具进行正常的升级必须弄清楚影像文件:该文件包括了一张软
盘的BOOT区域、
FAT区域、文件目录区域以及数据区域中的所有文件内容。KV300+(或KV300)的
影像文件是将需要
升级的KV300+(KV300)的文件及其系统文件都包含在一起的一个文件,并且这些
文件的排列方式是
按照出厂生产的顺序排列整齐的。return
HDOCPY 的具体使用方法:1)在网络上下载HDCOPY的使用工具,然后使用网络上的
PKUNZIP解
缩工具将压缩,就会得到可以在MSDOS PROMPT下可以执行的HDCOPY工具了(解压
缩时,请注意
HDCOPY可执行文件的生成路径),解压缩的方法是:PKUNZIP HD22。2)执行HDCO
PY,选择
Get from file选项,在路径栏中输入正确的影像文件的路径及其文件名称。例如
:假如您下载的影
像文件被下载到D:\DOWNLOADKV子目录下,那么对于KV300+的升级,您所应该输入
的是:
D:\DOWNLOADKV\KV300AZA.IMG,当读入成功后选择Write功能写入到您要升级的KV
300+磁盘即可。
在写入目标盘之前,请注意将Format Destination选项设置成OFF。return
采用拷贝的方法来升级KV300也是可以的,不过在拷贝之前,应该先将原来盘中相
应的文件删除再拷
贝。拷贝的升级文件包括:KV300.EXE、KV300FIX.EXE、VIRUS.DAT、VIRLIST.EX
E、
README.EXE及KVW3000.EXE。KV300+和KV300的不同的升级文件只有KV300.EXE
及KV300FIX.EXE。return
一些报纸、杂志等的配套光盘中有KV300+(KV300)的升级文件,一样也可以用来
升级您的KV300+
(KV300),应该注意的是,有的光盘上的KV300+(KV300)的升级文件的属性为
只读属性,请在拷贝完
后,将KV软盘中该只读属性去掉。
return
问:如何用KV300+来处理WINDOWS NT下的引导型病毒及其WINDOWS NT下引导型病
毒的
基本特点?
答:如果运行WINDOWS NT的机器起动正常,那么WINDOWS NT系统将禁止一切程序

写0磁道或BOOT区域,因此,从WINDOWS NT系统本身来将,它大大的减少了引导

型病毒对机器的危害;
但是,以上所说的仅仅是在WINDOWS NT正常启动后的情形,然而,BOOT型病毒则

是在任何操作系统(当然包括WINDOWS NT系统)起动前感染系统的,因此虽然您

安装了WINDOWS NT 操作系统,只要您用染读的软盘引导机器,那么您安装了WIN
DOWS 
NT 系统的机器仍然可能被病毒感染。尽管如此,由于大多数BOOT引导型病毒是用

实模式编写的,而WINDOWS NT 正常启动是处于保护模式,因此尽管您的NT系统感

了BOOT型病毒,但是当您的系统重新启动,病毒也不会驻留内存,也不会传染到

您所使用过的软盘中。
由以上的分析,我们可以看出:WINDOWS NT系统可能被BOOT型病毒所感染,但即
使
感染了也不会传染到其他软盘,因此,只要您用干净的系统软盘启动机器,用KV
300
完全可以干净彻底的查杀WINDOWS NT下的引导型病毒!return
问题:从网上下载文件很方便,但是很害怕感染计算机病毒,该如何正确处理?

回答:(1)网站上本身并没有病毒,下载升级文件是十分安全的,只要按照正确
的升级方法
操作即可实现正常的升级;(2)问题在于:如果您下载文件的计算机本身内存含
有病毒的这种情况的处理:上网下载文件可以正常进行,但是解压缩时,则必需
用干净的系统软盘启动机器,
才能执行解压缩操作。return

问题:请问最近流行的黑客程序BO,是怎么回事?
   回答:98年8月以来,在网上流行一种黑客工具:Back Orifice(V1.2)程序,简
称BO1.2,
有人通过Internet网络乱发E_mail,不知情的用户执行该程序后,它就偷偷的修
改了注册表
信息,潜藏在系统内,并且能使得以后每次运行Windows系统,它都会驻留内存,
联网后受
到外界黑客的监控。已发现相当多的网络用户被监控。
KV300+(X++)版能全面、安全地查出它,并清除之。
下面将其基本特点、危害及检测方法等简述如下:
一、Back Orifice v1.2黑客程序基本特点:
它是从98年8月开始流行于网络上的,凡是基于TCP/IP协议的局域网或Internet网
络上的任何
机器均可能遭受它的攻击。当它在您的机器上运行后,任何一个在网络上的人都
可以访问您的
机器,并且能作一些甚至连您本人都无法做的一些操作,它本身没有付作用。对
运行了该程序
的机器而言,没有任何觉察,它所占用内存及资源均很少。
它通常可以夹杂在邮件的附件程序中。
一旦您运行该程序,它会将自己隐藏到WINDOWS\SYSTEM文件夹中,同时修改注册
表信息,最后
将自身从当前目录中删除掉,这样一来以后,你每次起动机器,它都会被自动运
行。
二、危害:
从实质上讲,Back Orifice它本身不是病毒,但是当它被安装到您的机器后,就
使您的计算机
处于一种非常危险的地步。Back Orifice将使任何人通过Internet网络访问您的
计算机成为可
能。它的优先权为最高:“系统管理员”级,它会在您毫不觉察的情况下,对您
的计算机做任
何你能作的事。
(1) 它具有系统控制功能:它能记录您的键击,锁死或重起动计算机,获得详
细系统信息:
包括用户名、CPU类型、WINDOWS版本、内存使用情况,可装载磁盘(包括硬盘、
CDROM、可移动
驱动器及远程网络驱动器)及其信息,屏幕保护程序密码、用户拨号上网密码、
上Web站点密码
及其它密码。
(2) 文件控制系统:拷贝、重命名、删除、浏览及搜索文件及目录,文件压缩
或解压缩。
(3) 进程控制:列表、删除、加载执行进程。
(4) 注册表控制:列表、建立、删除或设置键及相应键值。
(5) 网络控制:查看所有可寻址的网络资源,所有进入或发出的链接、列表,
建立及删除网络
连接。
(6) 多媒体控制:播放波形文件,捕捉屏幕图像等。
(7) 能通过WWW客户端(如NETSCAPE)在任何端口上载及下载文件。
三、检测清除办法:
用干净的KV300+(X++)原盘起动机器,执行KV300,选择相应的驱动器,即可查
出或删掉潜藏
在系统中的网络黑客程序BO1·2.
边远地区的用户,也可用KV300自我升级的方式扩充以下代码,即可查出机
器中的BO黑客
程序。
"8B C8 85 C9 75 07 B8 69 7A 00 00 EB 66 %% 85 C9 7E 0E"
Found Hacker program BACK ORIFICE v1.2! Please DELETE !!!
"F2 AE F7 D1 49 74 13 8D 84 24 %% 50 68 %% 53 FF D6 %% 75 B7 68"
Found Hacker program BACK ORIFICE v1.2! Please DELETE !!!
拥有KV300软件的用户,可用WPS、CCED、WORD编辑软件(应用纯文本格式),将上
述几行特征码和
文字编进一个文本文件中,用KV300就可快速自升级查出“BO1.2”有害程序。
return
故障现象:当读KV300软盘时,DOS提示:General reading drive A(读盘错误).
   并提示:Abort,Retry,Fail?按A,R,F键可放弃,重试或失败.
   解决方法:出现这种现象的主要原因是该磁盘的介质存储出现错误,一般来讲,

   该磁盘不能使用了.如果暂时没有条件更换磁盘,可以参考下面的方法试一试
.
   由于KV300原盘的密码位于磁盘的后部分,因此遇到这种情况后, 可以用格式化

   命令将该原盘格式化到一半,然后将文件重新拷贝到该盘即可;然而如果出现

   "0磁道坏", 则必须更换原盘片.
return
故障现象:当使用KV300查硬盘中的病毒时,出现"win386.exe被别的程序所占用"?

   解决方法:windows为多任务操作系统,当运行了windows后,再执行KV300则有可

   能出现某程序为别的程序所用而不能进行查(杀)毒的情况.解决的办法是:  用

   KV300原盘直接启动,然后执行KV300即可.
return
故障现象:用KV300的J+版查PWIN95 的OSR2.1报告硬盘主引导区有病毒,但未报
   告病毒的名字,只说主引导区有新病毒,请用KV300/K清除.
   解决方法:PWIN95的安装和PWIN32等操作系统的安装有一个显著的不同在于:前

   者会修改硬盘主引导扇区主引导记录的内容,而后者则不会.由于这一特点, 因

   此有可能导致一些杀毒软件的误报有毒.在这种情况下,应该升级KV300,以便适

   应这种情况.KV300高版本加入对PWIN95 OSR2的识别代码,应以最新版的 KV30
0
   为准. 如果KV300还报告有毒,那么十有八九硬盘已被病毒感染,应用KV300/K的

   格式清除该病毒.
return
故障现象:在INTERNET网上升级KV300(网址为HTTP://WWW.JIANGMIN.COM)时,时
   断时续,为什么?
   解决方法:由于上网用户的多少及上网的时间不同,以及我国目前的通讯条件所

   限,可能会出现网络拥挤的现象,因而会出现这样或那样的问题. 我们这时可以

   采用更换网址或者重试的方法来实验,为了方便用户下载,我们还另外开了两个

   网址:http://www.jiangmin.com.cn.另外下载文件时间约10分钟左右,时间如
果太长
   则可能应该重试了.
return
故障现象:在DOS下,打印报表程序时出现死机,用KV300查出BOOT区有CMOS/B病毒

   KILL OK!后,打印报表程序仍然会出现死机,为什么?
   解决方法:在DOS下可以运行WPS,看看是否同样出现死机现象,如果还出现同样

   情况,则可能与打印程序或打印机本身出现故障有关,应该检查硬件部分或更换

   硬件重试;如果WPS打印正常,那么应该找最新版本的KV300检查硬盘,看看是否

   新的病毒,或者重新安装该打印报表程序.
return
故障现象:一台机器安装了PWIN95 3.2G硬盘(分一个区),华硕主板,用硬盘启动机

   器,运行KV300会死机;如果用KV300系统软盘引导机器,则不能读写硬盘:dir c
:,
   会出现提示:Invalid drive specification,当然更不能杀毒了.这种情况还出

   在安装了PWIN98等的机器中.
   解决方法:由于KV300系统软盘预装了MSDOS6.20,它是16位的操作系统,当然它

   识别32位的操作系统PWIN95,PWIN98等,这时应该用DOS7.1的系统软盘启动机器
,
   然后再用KV300来杀毒.
      制作DOS7.1系统软盘的过程如下:启动PWIN95,选START项中的控制面板,然

   选择"安装删除程序"项,会出现三条功能项,其中最后一项为"制作系统盘",此

   只需要您插入PWIN95的光盘,并在软驱中插一张空白的软盘即可成功地制作一

   DOS7.1的系统软盘.如果怀疑此软盘中会有病毒,那么您可以重新用KV300的软

   启动机器,并杀一下刚制作好的那张系统软盘即可使用了.
      至于用硬盘启动机器执行KV300出现死机的情况,则与内存的分配情况有关
,
   应该在尽可能地减少内存驻留程序,以便执行KV300来检查病毒.
return
故障现象:KV300原盘不能启动机器,用KV300启动机器出现Bad or missing comma
nd
   interperate.怎么办?
   解决方法:将KV300软盘的COMMAND.COM文件改名,然后重拷贝一个同版本的命令
文件
   即可使用KV300软件,或者用SYS A:命令传递系统文件, 当然也可以用更换新盘
片的
   办法来处理.
return
故障现象:用OFFICE 95打印带有图片的文档,则图片打印不出来,而且是在用了一

   断时间后才会出现这种情况,模拟显示图片显示正常,而且用最新版本的KV300
 查
   不出有病毒, 为什么?或者会是有什么问题?
   解决方法:可以启动OFFICE 95 的WORD7.0的TOOLS菜单中的Macro,看看是否有
病毒
   宏,可以用删除病毒宏的办法来解除KV300可能不能查出的WORD宏病毒.或者将
通用
   模板文件NORMAL.DOT文件删除.
return
故障现象:NETWARE 网络服务器(操作系统为NETWARE 4.12)上安装有OFFICE 4.2,

   其中装有WORD6.0,用KV300查出有宏病毒在服务器上,但是网络上还有100 多台

   软驱而有硬盘的工作站,这些工作站的硬盘中仍然会有WORD宏病毒,由于工作站

   无软驱,而一个一个地安装软驱杀毒,工作量又会很大,怎么办?
   解决方法:如果网络服务器上有软驱,那么可以将KV300+的查杀WORD宏病毒的程

   KVWSETUP.EXE安装到网络服务器的硬盘中,然后在各工作站端调用服务器硬盘
中的
   以安装好的查杀WORD 宏病毒的方式来解除当地硬盘中的WORD宏病毒.
return
故障现象:当用硬盘启动机器,用KV300查出内存中驻留有病毒,提示用干净的系统

   软盘启动机器,但是当我将干净的系统软盘插入软驱中重新冷启动机器,系统仍

   由硬盘启动,而不从A盘启动,为什么?
   解决方法:系统的BIOS设置中,有一项boot sequence:是管启动顺序的,当设置
成:
   C,A时,即使软驱中有系统软盘也不能启动;这时应该将该项设置成:A,C,这样当

   驱中有系统软盘时,则可以由软盘启动机器进行杀毒了.
return
故障现象:用KV300的F4(查COM和EXE文件)功能可以查出硬盘中的一些文件有die_

   hard/hd2病毒和tpvo/3783病毒,但是用F3(清杀病毒功能)却杀不掉,用F4查出

   文件确含有病毒吗?如何解决?
   解决方法:确定文件中是否含有计算机病毒的基本原则是看该文件执行后能否
传染
   到其它文件,这些查出有病毒的文件我们可以采用执行的方法来确定它是否为
真的
   病毒:先执行这些可疑文件,然后再执行另外的没有查出有病毒的文件,或用列
目录
   表的方式实验,然后再用干净的系统软盘启动机器,用KV300来重新检查硬盘,检
查 
   刚才试执行的干净文件是否会有病毒,如果没有,则这些查出有病毒的文件中仅
仅 
   含有病毒残体,而不是真正意义上的病毒.可行的解决方法是用好的或备份的文
件重
   新覆盖原文件即可.必需说明的是:die_hard/hd2病毒和tpvo/3783病毒由于编
制的
   问题,容易产生"病毒尸体".
       另外,由于HDCOPY,DDI等高效拷贝工具软件的大量使用,也极其容易产生
类似
   的问题:HDCOPY能将高密软盘的全部内容拷贝到一个文件中,因此人们经常使用
它来
   备份软盘文件,如果原被备份软盘中含有引导型(BOOT)病毒,那么它将随着有用
的文
   件一块被拷贝入一个影像文件中(扩展名为IMG或DDI).因此当您用KV300的F1功
能查
   所有的文件病毒时,有时会在某个文件(FILE)中查出有引导型(BOOT)病毒!除非
有意
   这样做,显然它们是由于不正确使用HDCOPY,DDI文件引起的.知道原因后,解决
的方法
   当然很简单:您只需要将该影像文件解压到软盘中,然后利用KV300/K将软盘中
的BOOT
   型病毒杀掉,然后重新形成影像文件即可.由此我们也可以看出,经常使用KV30
0检查病
   毒是非常必要的.
        不知是否是受HDCOPY的启发,还是独创,WINDOWS95及其以上的操作系统在
每次
   SHUT DOWN(关机)前,均要将该硬盘的主引导扇区的内容及BOOT扇区的内容存入
一个
   名称为:SUHDLOG.DAT文件中,WIN95操作系统的查毒能力不强,不管有没有病毒
,它都
   将其原有的内容写入该文件中,这样也可能导致以上所将的现象:即能查出有引
导型
   病毒,却杀不掉.
return
故障现象:一台普通兼容机,硬盘为昆腾2.1G,分一个区,操作系统安装:MSDOS6.20

   PWIN32.在进行EXCEL表格操作存盘后,机器突然跳出WINDOWS系统并死机,重新
引导
   机器不成功,出现的提示为:missing operating system.用软盘启动机器,后能
进入
   C盘但是在列目录时出现:Invalid media type reading drive C,Abort,Retr
y, 
   Fail?
   解决方法:由计算机的提示我们可以看出,硬盘的主引导记录及硬盘分区表存在
,但是
   BOOT区或FAT表丢失.我们可以用KV300的最新版来重建硬盘BOOT区,至于FAT表
部分
   则可用自编程序的方法或用高版本的NU软件来写硬盘的文件分配表,使两张文
件分配
   表一致,当然这必需要有一定的计算机硬盘结构知识为基础.建议不熟悉的用户
不要
   使用.
return
问    题:从电脑专业媒体上经常看到KV300反病毒专栏,我们如何利用它?病毒的
种类
   是很多的,杀毒软件也有不少,那么这些专栏中的病毒特征字符串别的杀毒软件
能使用
   吗?
   解决方法:我们经常看到的KV300反病毒专栏,是KV300开放式的一大体现,为了
使用它
   使用者必需至少熟悉一种文字处理软件,常见的有EDIT,WPS等,但他们都必需是
纯文本
   方式编写的,不能带有修饰符.文件名可以由用户自己确定,使用时只要将此文
件置于
   KV300命令行后,作为KV300的参数即可方便地调用.
       由于KV300反病毒特征字符串带有含有过滤功能的特征字符:"??"及"%%",
而这一
   特点是其它反病毒软件所没有的,因此KV300反病毒专栏中的病毒特征字符串只
能用于
   KV300软件本身.
return
问    题:如果我想了解一下目前的流行病毒的种类及它们相应的特点,特别是它
们的
   危害情况,我该怎么作?
   解决方法:可以从INTERNET上下载最新版本的KV300软件,将其解压缩后拷到硬
盘的某
   一目录下,运行VIRLIST.EXE文件即可了解当前流行病毒的种类及其特点,病毒
的主要
   危害体现在:感染执行文件的种类,是否驻留内存,是否自身变形加密,是否感染
软硬盘
   BOOT区等.
return
故障现象:在硬盘的根目录下出现了目录:dir00001,而在此目录下又有上万个子目
录,
   但是,用传统的删除方法又删除不了,该如何处理?
   解决方法:这些目录是由一些修复软件产生的,可以采用DELTREE删除目录树的
方法实
   验,或者用SCANDISK命令来修复此硬盘中的交叉联接的情况.有经验的话,还可
以采用
   PCTOOLS工具来试.
return
故障现象:用KV300检查硬盘的病毒,KV300提示内存有毒,并要求用干净的系统软盘

   动机器,用KV300/K杀毒.但是当按此步骤操作到最后,提示是否更新硬盘主引导
区时,
   提示:no file or disk error! 然后退出到A 提示符下;而在有的机器上则提
示:
   boot sector writing . virus,continue(y/n).而且此提示为闪烁提示行.重
新启动
   机器查毒,故障依旧.该如何处理?
   解决方法:这是由于机器的BIOS设置中,将病毒保护开关设置成有效,即保护硬
盘引导
   扇区有效,它将阻止一切对硬盘主引导区的写操作.而杀硬盘主引导区病毒又正
好 要
   写此扇区,因此会出现以上的现象,由于主板的BIOS程序的不同,其提示则有所
不同,但
   其实质是一样的.解决的办法是进入BIOS设置菜单,将其中virus warning的相
应选项
   设置:on改为off或Enable改为Disable或Write protected改为Normal等即可.

return
故障现象:我使用KV300的最新版检查病毒,发现在WORD文档目录下有TAIWAN NO.1
病毒
   但是用F3杀毒却没有清除的提示,这是为什么?而且该文件打开正常.
   解决方法:出现这种现象的主要原因在于该文件中残留有TAIWAN NO.1的剩余代
码,我
   们可以使用以下方法来消除这种想象:
       1:打开该文件(ALT+F,OPEN FILE);
       2:全选该文档(CTRL+A);
       3:拷贝到剪切板上(CTRL+C);
       4:新建一文件(ALT+F,NEW FILE);
       5.将剪切板中的内容粘贴到此新文件中(CTRL+V);
       6.另存为一新文件(SAVE AS...)名,同时将原文件删除.
       经过以上的处理后就会过滤掉该文件中的病毒残余代码,再用KV300的F1功
能检
   查就不会出现类似的问题了.
return
故障现象:当用KV300杀毒时,每当检查到文件C:\WININST0.400\ WWWW.WWW后,机器

   就会出现死机的现象,为什么?该如何处理?
   解决方法:由于系统文件分配表的混乱,很容易造成这种现象.解决的办法是运
行硬盘
   修复软件SCANDISK检查并整理硬盘,将交叉的文件链修复后,就能顺利地杀毒了
.
return
    问题:在使用KV300的F6功能察看硬盘分区表时,在第一物理扇区上出现"80"和
"
   "55AA"闪烁,这是病毒的提示吗?
   解决方法:这不是病毒的指示.而是KV300显示的用于表示关键代码的独特表示
方法.
   硬盘的主引导扇区必需要有这两个"闪烁"的部分,才可能启动.当然,这只是必
要条
   件,而不是充分条件:硬盘能否正常启动还得依靠主引导记录及正确的硬盘分区
表.
return
问    题:KV300的说明书中讲:用户必需自备多种不同版本的DOS系统软盘,以适应

   不同版本格式化的硬盘.这里讲的"多种"和"不同版本"的DOS 系统软盘指的是
什么
   意思?
   解决方法:说明书中所讲的"多种DOS版本"指的是:最流行的MSDOS操作系统,IB
M DOS
   操作系统,COMPAQ DOS,DR DOS操作系统等多种,虽然它们的基本功能相同,但是
在一些
   特殊的情况下,它们还会发挥各自的优点的.最明显的例子是,用DM软件格式化
的硬盘
   无论用何种标准的DOS系统软盘启动都不能识别该软件格式化形成的硬盘分区
表,必需
   其自带的ONTRACK DISK MANAGER BOOT DISKETTE 系统软盘启动才能正确识别
该软件
   分区格式化的硬盘.而"不同版本的DOS版本"则相对容易理解,它指的是:各个时
期不同
   厂家出品的不同版本的DOS版本,如常见的有MSDOS3.X,MSDOS5.0,MSDOS6.X等,
它们各
   自的功能及管理硬盘的大小是各不相同的.
return
故障现象:在编写文章及编程序存盘时,文件的字节数正常,但是文件的建立时间却

   是80年01月04日,这是由病毒引起的吗?用KV300的最新版本查不出有病毒.如果
不是病
   毒的话,该如何解决这一现象呢?
   解决方法:如果用最新版的KV300查不出有病毒,则没有病毒.文件的存储时间总
是80年,
   而不是当前的日期,那么是由于机器的CMOS的供电电池不足,引起机器的时间不
能正常
   走时而使机器的系统时间不能保持住.解决的办法是重新更换CMOS电池,重新设
置系统
   日期即可.
return
故障现象:KV300的说明书中讲,应该用干净的系统软盘启动机器来清除计算机中的

   毒,但是,当使用干净的系统软盘启动机器,KV300却不认识硬盘,这是怎么回事
?机器的
   基本配置是:P75,SEAGATE 540M硬盘,8M内存,S364V+显卡,系统软件安装的是P
WIN32.
   解决方法:可以从两个方面来看这一问题:(1)判断硬盘的分区表是否被病毒加
密:可用
   硬盘启动机器,然后在软盘写保护的情况下,在软盘上运行KV300来检测内存中
是否有
   病毒,如果有的话,那么就应该在此情况下,使用KV300/B的格式将正确的主引导
扇区备
   份到软盘中,文件名为HDPT.DAT,然后用干净的系统软盘启动,使用格式KV300/
HDPT.DAT
   将备份在软盘中的正确的主引导扇区的内容写入此硬盘中,最后使用KV300将那
备份软
   中的引导型病毒杀死即可恢复正常.(2)如果以上步骤中,在内存中没有发现病
毒,那么
   就应该检测一下此硬盘是否是用SEAGATE 硬盘厂家的DM软件格式化分区的,如
果是的
   话,则应该用DM软件制作一张ON TRACK DISK MANAGER 系统软盘.然后用ONTRA
CK系统
   软盘启动机器就可以查杀硬盘中的病毒了.
return
问    题:在DM软件分区格式化的硬盘中,如何制作ON TRACK DISK MANAGER BOOT
 DISK,
   以便使我能在用干净的软盘启动杀毒?
   解决方法:原装硬盘如希捷(SEAGATE),伟仕(MAXTOR),昆腾(QUANTUM)等在出厂
时,均有
   一个临时的,预置的硬盘分区,其中包含有硬盘分区,格式化程序.当然,它是以
压缩文
   件的方式存在的.对于SEAGATE硬盘,其文件名为:SEAMOVE.EXE,SEAMOVE.DAT及

   README.EXE等.可以运行SEAMOVE命令,它可将DM.EXE等软件解压到软盘中.至此
,才可
   以用DM.EXE软件制作ONTRACK BOOT DISK,具体制作步骤如下:
       1:运行DM.该软件可自动检测此硬盘是否为SEAGATE硬盘所设计的,当然MA
XTOR,
   QUANTUM等都会有各自的DM软件.请注意由于制作原理的差异,它们不能相互通
用;
       2.成功后,会出现六项选择,此时可选择第三项:MAINTENANCE MENU;
       3.此时会出现八项选择,这时可选择第一项:CREATE ONTRACK BOOT DISKE
TTE,意思
   是建立或制作ONTRACK BOOT DISKETTE.
       4.选择制作后,会出现两项选择,如果只想制作启动系统盘,则只需要选择
第一项:
   MAKE THIS DISKETTE AN ONTRACK DISKETTE,选择该项后,会提示您插入系统启
动盘在
   A驱中,并可选择动态驱动器覆盖文件的选项开关,各项都准备好后,就可以顺利
地制作
   ON TRACK BOOT DISKETTE了.
      由以上的制作过程,我们也可以体会到除了标准的MSDOS系统盘外,制作多种
系统软
  盘的重要性了.
return
故障现象:当我运行了光盘上的某执行程序后,重新启动机器后,逻辑C及D驱动器均

   见了.用干净的系统软盘启动,也不能正确查看逻辑C盘及D盘中的文件,这时为
什么,该
   如何处理?
   解决方法:首先,不能使用盗版光盘的软件.其次我们可以用KV300软盘引导机器
后,按
   功能键F6可以查看硬盘主引导扇区的内容,如果0面0柱1扇区中没有正确的主引
导信息
   那么可以按翻页键在硬盘的隐含扇区中查找,如果找到合适的硬盘主引导信息
就可以按
   F9功能键将其写入0面0柱1扇区,一般来将就可以使硬盘起死回生了;如果该方
法不能奏
   效,可以使用F10键重建硬盘分区表,在此就不一一详述了.
return
故障现象:当使用KV300查杀病毒,查到硬盘根目录下的某个子目录时进入死循环,
即进
   入该目录后,又会重复进入该目录,周而复始.
   解决方法:这极有可能是使用了某所谓的"加密软件"后,更改了该目录的目录项
的首簇
   数,把它改成了根目录的首簇数,从而会引起以上的现象.解决的办法是使用DO
S工具软
   件SCANDISK C:来整理硬盘的数据结构,该软件可自动修复上述交叉联结的情况
.
return
故障现象:一机器采用P75,主板为LX,硬盘为ST540M.机器硬盘不能正常启动,而只
屏幕
   上提示:MISSING OPERATING SYSTEM.然后就死机.但是用干净的系统软盘启动
,可以转
   到硬盘C,并能正常列文件目录.同时还能正常执行执行文件,用与硬盘相同DOS
版本的
   系统盘启动后,利用命令SYS C:给硬盘传递系统文件成功,显示:system is 
   transferred!但是,用硬盘仍然不能启动机器,出现的提示仍为以上的提示.该
如何处
   理这一问题?
   解决方法:从故障的描述来看,硬盘的分区表及文件分配表以及目录项均正常.
由对硬
   盘的物理结构我们分析到,可能是由于主引导扇区的主引导记录被损坏或被病
毒修改
   而致使它不能正确地调用系统文件,而出现此现象.解决的办法是:用KV300软盘
启动机
   器,然后执行KV300/K更新主引导记录即可.另外,需要注意的是:硬盘的组态模
式:LBA,
   NORMAL,LARGE,CHS等不能相混淆.
return

--
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 61.139.11.252]

[关闭][返回]