杀不知名病毒心得

flytosea

现象：NORTON 8。0客户端无法升级


1,进安全模式,可以启动NORTON ,能杀毒,但是没有杀到病毒,病毒库为4-7

2,进网络安全模式,不能升级,连接不到SYMANTEC升级网站,怀疑是某个模块为安装好

3,启动到正常模式,加载所有模块,但是还不能升级,打开IE,输入WWW.CITIZ.NET,打开网页正常 ... �苑小学的网站(也就是本地服务器的网站)

4,检查HOSTS,问题解决
在HOSTS文件中添加如下内容，造成NORTON等杀毒软件无法升级

127.0.0.1    www.symantec.com
127.0.0.1    securityresponse.symantec.com
127.0.0.1    symantec.com
127.0.0.1    www.sophos.com
127.0.0.1    sophos.com
127.0.0.1    www.mcafee.com
127.0.0.1    mcafee.com
127.0.0.1    liveupdate.symantecliveupdate.com
127.0.0.1    www.viruslist.com
127.0.0.1    viruslist.com
127.0.0.1    viruslist.com
127.0.0.1    f-secure.com
127.0.0.1    www.f-secure.com
127.0.0.1    kaspersky.com
127.0.0.1    www.avp.com
127.0.0.1    www.kaspersky.com
127.0.0.1    avp.com
127.0.0.1    www.networkassociates.com
127.0.0.1    networkassociates.com
127.0.0.1    www.ca.com
127.0.0.1    ca.com
127.0.0.1    mast.mcafee.com
127.0.0.1    my-etrust.com
127.0.0.1    www.my-etrust.com
127.0.0.1    download.mcafee.com
127.0.0.1    dispatch.mcafee.com
127.0.0.1    secure.nai.com
127.0.0.1    nai.com
127.0.0.1    www.nai.com
127.0.0.1    update.symantec.com
127.0.0.1    updates.symantec.com
127.0.0.1    us.mcafee.com
127.0.0.1    liveupdate.symantec.com
127.0.0.1    customer.symantec.com
127.0.0.1    rads.mcafee.com
127.0.0.1    trendmicro.com
127.0.0.1    www.trendmicro.com

这种病毒想法愚蠢了点，但是也是比较隐蔽的


5,重新启动电脑,最新的病毒库,检查到c:\\winnt\\system32\\netlink32.exe有病毒,并隔离

6,安装天网

7,进行常规检查,清除了隔离区的垃圾文件等

独孤

HOSTS中文字并不多，楼主罗列的被添加的文字是其中之一还是全部，要是全部的话一瞧就能瞧出变动了。我的电脑移动来移动去，HOSTS中修改的东西不少，用了一个很傻冒的办法，将HOSTS备份了一个。

上次安装诺顿后升级被拒绝，还真没想到有这出戏。活到老学到老：）

冰洋海盗

HOSTS文件就是自己机器自带的DNS解析文件。
上网之前，通常会先查找本机的DNS解析文件。如楼主所列，symantec的地址被指定到本机地址，所以不能更新。
细心点的人，看到127。0的地址一般都会先查hosts文件，
呵呵。没想到搂主那摸仔细，可以和我称道了，^_^
       

楼上独孤所言， 我认为没必要备份，现在上网的速度算蛮快的了，不需要依靠hosts文件来提速。所以清空列表也没关系的。

此贴由 冰洋海盗 在 2004-04-26 21:52:53 最后编辑

另外，还提供一种测试方法，tracert ipaddress. 看看ip路由怎么走，如果像楼主所例： tracert www.symantec.com
如果老是指定到本机地址那就肯定要查DNS方面的问题了。
       

此贴由 冰洋海盗 在 2004-04-26 21:55:47 最后编辑

xiaofeng_yh

我的诺顿也无法升级

HOSTS无间如下：
# Copyright (c) 1998 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP stack for Windows98
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

127.0.0.1       localhost

好像和楼主说得不一样吗
怎么解决？

零下一度

这个病毒会改写HOSTS文件的内容
屏蔽一些杀毒软件的主页和一些经常浏览的网页

中招后，很难想到是HOSTS的问题