第九课 电脑病毒的防治(二) 第一节 电脑病毒的检测与消除 检测与消除病毒的软件,分卡式和磁盘式两种。卡式安装在电脑上,随时检测 电脑的入侵,一旦发现有异常现象,立即报警。所以也被称为“防病毒狗”。1992 年以来,我国各电脑公司相继推出许多类型的反病毒卡,但是价格大都比较贵。再 说,现在软件版“病毒防火墙”不花钱就可以得到,因此,对个人用户来说,主要 还是使用反病毒工具软盘。 但是要注意一个问题:任何检测、预防病毒的软件,都不是万能的。在战争中, 必然是先有攻法后有守法;病毒也一样,必然是先产生某种病毒,然后才有专门对 付这种病毒的查杀软件。任何一个“天才”目前还不可能发明一种可以抵御任何一 种新病毒的软件。这就是为什么今天防治病毒的软件如此众多、如此强大,而依旧 有那么多电脑被新产生的病毒侵袭的原因。 国产的反病毒软件,品种也很多,其中“超级巡捕KV300 ”的杀病毒能力比较 强,购买也比较容易。KV300 的最大好处,第一是基本上每一个月推出一个升级版, 可以查杀最新发现的病毒,用户可以到任何一个销售点去免费升级,也可以从江民 公司的网站上下载文件自己升级;第二是有实时监控功能,等于安装了防病毒卡, 因此是目前使用者最多的杀毒软件之一。 下面,我们就以KV300 为重点,尽量详细地加以介绍。 注意:KV300 是DOS 下操作的软件,本书以Windows 操作为主,不讲解DOS 功 能,因此本课书最好在老师的指导下进行实习。如果没有老师指导,有些地方自己 单独操作还理解不了,不妨暂时跳过去。一般说来,只要能够掌握查杀功能和硬盘 引导区备份功能,能够把KVW3000 安装成功,还能够从江民公司的网站上把升级软 件拷贝下来自己升级,也就可以了。 (一)软件特点 这一软件采用独特的开放式系统,不但能查能杀,而且用户自己不需编程序就 可以方便地不断增加检测和清除电脑病毒的数量,是目前唯一具备开放式和封闭式 两套功能的杀病毒软件。它能一个不漏地查出已经发现的几种高级二维变形病毒— —Doctor(变形医生)、New Flip(精神病患者)、Casper(卡死脖幽灵)、Ghost/One_Half (3544幽灵)、VTech 、NATAS/4744(拿他死幽灵王)、HXH/1982、HXH/1748、HXH/1680、 V3、TREMOR、5VOLT4、CLME、HYY/2560、HYY/3532(福州1 号变形王)、合肥1 号 /8888-变形鬼魂、NEW DIR2、CON-NIE2、台湾2 号变形王病毒等。 主要功能有: (1 )能查能杀,采用独特的开放式系统,即用户自己不需编程序就可简单方 便地不断增加本软件检测和清除计算机病毒的数量。发现新病毒后,用户可以立即 自行抽取新病毒特征码或增加杀毒代码,也可以随时在有关专业报刊上获取新病毒 特征码和杀毒代码,不必为不能自升级查解新病毒而发愁。 (2 ) KV300是同时具备开放式和封闭式两套功能的杀病毒软件。既采用了开 放式外部病毒广谱特征库过滤法查病毒和接口编程加载法杀新病毒的原理和方式, 也采用了以往常规的封闭式内部定位法的查病毒原理和方式,用户可以任选其一或 分别使用。 (3 )设计了独特的病毒特征代码过滤器,很容易查出部分变种和变换自身代 码的变形病毒。也能很容易地查出Word(Macro 宏)病毒。特别是广谱代码过滤功 能,能查出用“病毒生产机”生产出来的千万种病毒。其广谱特性,还能杀死以后 出现的绝大多数新Word(Macro 宏)病毒。 (4 )在对抗病毒中,具有“特征代码过滤法”、“步步跟踪法”和“逻辑判 断法”等几套不同的查毒方法,使病毒难以逃脱。 (5 )能按用户意愿在软盘上保存硬盘正常的主引导信息,以防日后硬盘被病 毒破坏不能起动的时候可以用保存的软盘恢复。 (6 )能查看硬盘物理扇区主引导和DOS 引导信息是否正常。能一个不漏地查 出所有的主引导区病毒。 (7 )能安全查解所有主引导区病毒,引导区新病毒很难漏网。并且在杀主引 导区新病毒和更新主引导记录之前,会先备份原主引导信息,以防不测时可再恢复 原样。 (8 )该软件最有特点的高效广谱智能检测系统可以查出许多引导区和文件类 未知名新病毒。 (9 )一次启动该软件可以很方便地查解多个软硬盘中的病毒,能解除交差感 染的多层多种病毒。 (10)用0.3 秒种时间就可以快速查出内存中是否驻留病毒,还可以查出98% 以上驻留在内存中的未知名新病毒。 (11) KV300.EXE具有自我检查、自我修复、自我解除病毒的功能,确保自身 清洁和完整。 (12)有测试、修复和重建硬盘分区表功能,能使丢失了分区表的硬盘起死回 生,使硬盘上被封闭的重要数据存取如意。 (13)适应各种显示器,兼容中西文,而且DOS 、Windows 3.X 、Windows 95/98、 单机与NOVELL网络通用(都用DOS 启动)。 (14)版本升级方便。为了紧紧跟踪追杀新病毒,适应不同层次用户的要求, KV300 把扩充查解新病毒的接口留给了用户,用户可以按照公告自行扩充查解新病 毒的代码。厂家特别处理了正版软件的磁盘,如果用户之间或在经销商那里见到了 有更高版本的KV300 系列版,只要用COPY命令将每个文件拷贝到正版原盘上就可以 升级使用。此外还可以通过Internet快速下载升级版本。网址是: 1 ) http://www.jiangmin.com/ 2 ) http:// www.jiangmin.com.cn/ (二)辅助文件名与功能 KV300 软件提供了如下几个辅助文件与之配合使用。 (1 )文件名:VIRUS.DAT 功能:与KV300.EXE 配合,用来搜索查找新病毒的特征码库文件。用户可以不 断地增加其内容,使能够检测的病毒数量不断增加。或另起一个名字,如VIRUS1.DAT 等,将用户自己发现的一些新病毒的特征码输进去,使用的时候可以这样调用: A :\>KV300 C :VIRUS1.DAT. (2 )文件名:VIRUS-1.DAT 功能:与KV300.EXE 配合,用来搜索查找新老病毒的广谱特征码库文件。用户 可以不断地增加其内容,使查病毒的数量不断增加。使用时可以按如下两种形式之 一调用: A :\>KV300 VIRUS-1.DAT A :\>KV300 C :VIRUS-1.DAT (3 )文件名:KV300FIX.EXE 功能:自动修复KV300.EXE 的工具(可解除所有感染KV300.EXE 的病毒)。 (4 )文件名:HELP 功能:使用说明。 (5 )文件名:VIRLIST.TXT 功能:病毒目录及其基本性质表。 (6 )文件名:README.EXE 功能:汉字版使用说明书。 (7 )文件名: KILLBOOT.VVV 功能:扩展杀引导区病毒的程序例。 (8 )文件名:K-VTECH.VVV 功能:扩展杀有上万种变化的VTECH 变形病毒的程序例。 (9 )文件名:KILLXXXX.VVV 功能:扩展杀有关病毒的程序例。 (三)使用格式及功能 1 :采用全屏幕方式使用KV300 这是KV300 最常用的格式。由于KV300 是DOS 版软件,因此必须在DOS 下启动 使用。KV300 软盘中本身带有DOS 启动程序,只要先把KV300 磁盘插入A 驱,然后 再开电源或热启动,电脑就会以DOS 方式启动。如果你的电脑A 驱是大盘,也可以 用干净的DOS 盘启动,然后切换到B 驱。不论在中文或西文环境下,只要在软件所 在的驱动器符下键入启动命令KV300 并回车就可以。软件启动以后,屏幕显示如图 8-2 所示(如果在中文环境下,有些屏幕提示会用汉字显示)。
使用这这种格式, KV300会自动将当前盘下的病毒特征库文件VIRUS.DAT 读入 内存, [F1] 和[F4]键所定义的功能,就是用这个特征库中的病毒代码来搜索病毒 的。 上图是KV300+版的封面。出现封面以后,要击回车键,才显示主菜单界面如图 8-3 (原图为蓝底黄字,为求字迹清晰,这里经过反显处理,下同):
封面的下半部,列出了[F1]至[F10] 的十种功能。KV300 发售的是用英文提示 的国际通用版,没有专供国内用户的中文提示版,因此用户多少得学点儿英语。下 面先列出屏幕显示的中英文对照,详细用法下文再解释: F1 EXPAND (VIVUS.DAT ) SCAN 扩展扫描(按病毒特征库扫描) F2 HIGH SPEED SCAN快速扫描 F3 KILL VIRUS 杀病毒 F4 EXPAND SCAN(COM.EXE )扩展扫描(扫描。COM 和。EXE ) F5 DRIVE PATH 驱动器或路径选择 F6 VIEW HDPT显示硬盘分区表 F7 VIRLIST已知病毒列表 F8 HELP 帮助:使用说明书 F9 VER简易使用说明 F10 SYSTEM TEST OR FIX系统和硬盘检测 软件启动以后,系统默认为[F3]功能:杀病毒。所以屏幕的最下面一行是: Kill Virus! Drive? -> (A , B, C, D,……Z ): _ 意思是:现在的功能是杀病毒,请输入驱动器符。括号里的A 、B 、C 、D . . .Z,表示驱动器盘符。也就是说:要检测A 盘,就键入字母[A] ,要检测C 盘, 就键入字母[C] ,下面以此类推。 如果你采用系统默认功能,只要在行尾的闪烁光标处键入相应的驱动器符并回 车,屏幕的末行就会动态地显示正在检测哪个驱动器、哪个子目录和哪个文件。如 果在某个文件中发现了病毒,会提示Found XXXX Virus(发现某某病毒)字样;如 果没有病毒,则在扫描结束后末行仍显示原来的那一行字。 若要中途退出,只要按一下[Esc] 键即可。 进入KV300 主界面以后,只要按相应的功能键,就可以通过屏幕显示进行人机 对答。各功能键的功能和作用如下: F1──用KV300 的第一套查毒方式,即用外部开放式可扩展的病毒特征库(VIRUS.DAT) 和扫描过滤法对引导区和所有的文件进行全代码扫描搜索病毒,灵敏度和准确度极 高,速度稍慢。软件启动以后,这一功能即被调用。 F2──用KV300 的第二套查毒方式,即用程序内部封闭的另一套扫描方法,快 速对引导区和所有文件中的病毒进行扫描,速度较快。 F3──快速清杀已知名病毒。 F4──使用KV300 的第一套查毒方式,即用外部扩展的病毒特征库(VIRUS.DAT) 和扫描过滤法对引导区以及 .COM 和 .EXE 文件进行全代码扫描搜索病毒,灵敏度 和准确度极高,但速度稍慢,适应搜索网络服务器。 F5──对某一子目录内全部文件中的病毒进行扫描或清除。例如输入 C:\DOS 或输入C :\UCDOS后回车。 F6──可查看不归DOS 管理的硬盘隐含扇区,查看硬盘0 面0 柱1 扇区主引导 记录及分区表,可在硬盘隐含扇区内查找被搬家的主引导记录及分区表,并可向A 盘备份保存。备份后,可用KV300/HDPT.DAT的格式再恢复到硬盘0 面0 道1 扇区主 引导区中,但事先应先用KV300/B 的格式将当前0 面0 道1 扇区主引导区备份到某 一软盘上保存,以防不对的时候,再原样恢复回去。 F7──显示病毒名字及其基本性质。但事先应启动汉字。 F8──显示使用说明。但事先应启动汉字。 F9──显示版本号和简易说明等。但事先应启动汉字。 F10 ──自动测试和快速修复硬盘分区表。 Esc ──任何状态中,按下此键可返回、终止、或退出。 功能键用法说明: (1 ) [F1] 、[F4]定义使用开放式的病毒特征库VIRUS.DAT 文件中的病毒特 征代码来扩展搜索病毒。 (2 ) [F2] 定义用常规的内部封闭式的查毒原理和方法,快速查找已知名病 毒。 (3 )启动KV300 后的默认状态是F3=KILL ,快速清杀全盘引导区病毒和所有 文件中的病毒。 (4 )启动KV300 后的默认状态下再按[F5],可快速清杀某一子目录内全部文 件中的病毒。例如键入C :\DOS后回车。 (5 )按[F1]再按[F3],可定义对全盘所有文件中的病毒进行清除。 (6 )按[F1]再按[F3]再按[F5],可定义对某一子目录内全部文件中的病毒进 行清除。 (7 )按[F4]再按[F2],定义只对全盘中 .COM 和 .EXE 文件中的病毒进行快 速扫描,适应搜索网络服务器。 (8 )按[F4]再按[F3],定义只对全盘中 .COM 和 .EXE 文件中的病毒进行清 除。 (9 )按[F4],再按[F3],再按[F5],可定义对某一子目录内 .COM 和 .EXE 文件中的病毒进行清除。 (10) [F1] 、[F2]、[F3]、[F4]、[F5]都对内存中的病毒进行快速搜索。 (11)按[F6]键,屏幕上显示的是硬盘主引导信息,其中包括“硬盘分区表” (Hard Disk Partition Table ,简写为HDPT,所以[F6]的功能称为View HDPT )。 硬盘的主引导信息,各种型号规格的硬盘都不相同。图8-4 所示,是一种硬盘的主 引导信息。
其中倒数第四行第四组中的80和倒数第一行最后的55AA用红色显示,并呈闪烁 状态,表示这是硬盘分区的特征码。关于这张表的具体用法,请参看后文“巧用KV300 快速修复硬盘主引导信息”一节。 (12)按[F7]键,屏幕上显示一张已知病毒名称列表(前提是必须先启动汉字 系统,不然显示的是内码),表前的说明如下: “超级巡捕”-KV300 能查解的病毒名称及其性质表栏 这个表栏列举了KV300 能查出的已知病毒的名称和其危害性质,共计(包括已 知的变种病毒)500 多种。实际上这个版本的KV300 能查出的病毒总数要远远大于 这个数字。KV300 拥有特有的广谱特征码和智能系统可以查出许多本表没有列出名 字的变种病毒和新病毒,KV300 如在DOS 引导区(BOOT)发现新病毒,会建议你 “在硬盘DOS 引导区(BOOT)发现新病毒!请用相同板本的DOS 系统软盘引导机器 后,再键入SYS C :命令,即可清除病毒。”如果在软盘DOS 引导区发現新病毒, 会报告:“用KV300/K 的格式清除!”在文件中发现新病毒,会报告:“发现了普 通的新病毒!”或报告“Found Virus ???”。在内存中发现病毒,会报告一句 “内存中隐藏着病毒!”等。KV300 的广谱特征码可以查出本表中列出的三种“病 毒生产机”生产出的千万种病毒。对已知名病毒,这个表格中告知了对其清除的格 式。 注:本表指在DOS 操作平台上单机及网络中的病毒活动概况。 图8-5 是病毒名称及特征的列表(原表共500 多行,这里作为样品摘取其一屏, 并经过反显处理,其中病毒特征共13种,用星花[*] 表示有,用句号[.] 表示缺)。
(13)按[F8]键,显示KV300 的使用说明书。出售的KV300 软件,都有一本随 盘说明书,但是软件经常在升级变化,而说明书是一次性印刷的,内容往往比软件 陈旧,软盘中的说明书则随时可以改动。KV300 的盘内说明书一共有两个版本,一 个叫HELP,是纯文本文件,可以进入汉字系统之后用TYPE命令在屏幕上浏览,也可 以用任何一种汉字编辑软件调出来阅读或打印。但是HELP文件中有一些章节只有标 题而没有文字说明,要了解这一部分内容,必须阅读盘中的README.EXE文件。这个 文件是独立的,可以先进汉字系统后在主界面下按[F8]键调用阅读(可按[P] 键打 印),也可以进汉字系统后在软件所在驱动器提示符下键入README命令调用阅读 (不能打印)。 (14)按[F9]键,屏幕显示分上下两半,上半部分是版本说明及公司地址电话 等;下半部分是“简易使用说明”,如图8-6 所示(经过反显处理):
(15)按[F10] 键,显示的是一张系统和硬盘分区测试表如图8-7 所示:
其中前六行都是关于内存的信息,第七行是所用DOS 版本号,第八、九两行是 串口号和并口号,第十行是硬盘分区表,后面的OK,表示测试正常。 (16)按[Enter] 键或者空格键,都可以恢复主画面。 2.保存正确的硬盘主引导信息 命令格式如下: KV300/B ←┚ 这种格式向A 盘备份一个无病毒硬盘的主引导信息档案,名为: HDPT.DAT.然 后在软盘的标签上写明机器型号、硬盘容量、分区大小后长期保存,以便这个硬盘 主引导信息一旦被病毒破坏,或主引导记录被破坏硬盘不能起动的时候,再用以下 所述格式恢复到这个硬盘。 注意:所备份的主引导信息,只能恢复到本硬盘,不可恢复到别的硬盘中! 使用这种格式之前,应先检测C 盘,证明无病毒后再用无病毒的DOS 系统软盘 引导机器(冷启动机器),以确保内存中无驻留病毒。 3.恢复正确的硬盘主引导信息 命令格式如下: KV300/HDPT.DAT←┚ 这种格式将备份在A 盘的硬盘主引导信息档案恢复到原来的硬盘中。上述两种 格式配合使用,可以解决大部分硬盘主引导信息被破坏不能启动的故障。 注意:使用这种格式,不要搞错硬盘,也必须证明这个硬盘以后没有重新分区 和格式化。 4.清除所有引导区型病毒 命令格式如下: KV300/K ←┚ 这种格式能安全清除所有引导区型病毒,并保存(患毒或不正常)硬盘的主引 导信息于软盘上。 注意:使用这种格式之前,应用无病毒的DOS 系统软盘引导机器(冷启动机器)。 使用这种格式清除硬盘主引导区病毒之前,先要在A 驱动器中放一张软盘,以 便将硬盘患毒或不正常的主引导信息备份在软盘上,其文件名为: HDPT.VIR.这个 文件是预防万一原硬盘的主引导信息中有某种加锁的密码被解除而不能工作的时候, 再用以下所述格式将A 盘上HDPT.VIR文件中的原硬盘主引导信息原样恢复到硬盘。 5.恢复当前硬盘的主引导信息 命令格式如下: KV300/HDPT.VIR←- ┛ 这种格式能将用KV300/K 格式操作以后暂时存在软盘上的不正常主引导信息HDPT.VIR 文件的内容,原样恢复到硬盘的主引导区。 6.用外部的开放式可扩充病毒特征库VIRUS.DAT 或VIRUS-1.DAT 检测病毒 命令格式如下: KV300 VIRUS.DAT ←┚ 或: KV300 VIRUS-1.DAT←┚ 注意:使用这种格式,VIRUS.DAT 文件应该在当前盘中。或使用以下命令形式 : KV300 C :VIRUS-1.DAT ←┚ 使用这种格式,应该将VIRUS-1.DAT 文件拷贝在C 盘中使用。 如果用户自行扩展的病毒特征码数据文件名不是VIRUS.DAT ,而是其它名字, 可以拷贝到C 盘中(或B 盘中、或当前盘中),再用以下格式即可: A> KV300 C:\ 路径\XXXXXXXX.XXX ←┚ 例: KV300 C:\DOS\VIRUS-X.DAT←┚ 这种格式不清除病毒,只搜索病毒。 用户可以将KV300.EXE 和VIRUS.DAT 这两个文件都拷贝到硬盘中调用,但是KV300 的原盘必须放在驱动器中,因KV300 启动时要读一下原盘,启动成功后方可换进其 它要检查的软盘。 7.加载扩展程序杀新病毒 命令格式如下: KV300 d :KILLXXXX.VVV←┚ 这种扩展杀新病毒格式可以清除针对其名字的病毒。 注意:括展名必须为:。VVV 例如: KV300 d :KILLBOOT.VVV使用扩展的自升级程序杀引导 区新病毒 KV300 d :K-VTECH.VVV 使用扩展的自升级程序杀有上 万种变化的VTECH 变形病毒 用户可以将原盘中的全部文件拷贝到另一磁盘中保存,一旦原盘中的文件损坏, 可以将备份的文件再拷贝到原盘中,就可以恢复原样。但是保存盘上的文件不能使 用,因为加密点的密码是拷不上去的。 (四)如何自升级增加KV300 查病毒和查变形病毒的数量 1.如何增加KV300 查病毒和查变形病毒的数量 把新病毒的特征字串(每一个病毒特征串可选7 至5000个字节)用编辑软件如 EDIT、PE2 、PCTOOLS 、CCED和WPS (后两种要用“编辑非文书文件”功能)等编 写一个至数个病毒特征码数据库文件,文件名可以随意起,例如上面的VIRUS.DAT. 其内容及格式如下: 例1 :“0E %% 81 C1 %% 00 97 %% 43 EB %% E9 ” Found Omicron/FLIP Virus用KV300 清除 例2 :“F3 A5 0E 1F B4 3D BA” Found DIR2-3/DIR2-6 Virus ->用 KV300清除 例3 :“13 04 %% B1 06 %% D3” 发现普通的新病毒!用 KV300给出的方法解除 例4 :“9C %% 0E %% 56 %% 83 %% 2E 80 %% 75 %% E9 ” 发现Doctor(医生的忠告)变形病毒! (属二维变形病毒,用 KV300清除) 例5 :“AA AA %% BB BB %% ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ???? ?? ?? ?? ?? ?? ?? ?? ?? %% CC” 发现XX号变形病毒!!!4 例6 :“B8 ?? 42 ?? ?? ?? ?? %% B4 40 %% %% B8 ?? 57” 发现普通的感染文件新病毒!) ……等等 用户可以随时将所发现新病毒的特征字串添写进去,可达千百种,也可以分开 来多建几个文件,诸如VIRUS1.DAT、VIRUS2.DAT等等,使用的时候分别调用,从此 这一软件就具备能查到无数种病毒的能力。 2.怎样获得KV300 的升级版本及病毒特征码和扩展的杀毒程序 (1 )如果用户在朋友处或经销商那里见到有更高版本的KV300 系列(用拼音 字母A , B, C……表示,字母越靠后的版本越高,目前最新的版本是KV300 Z.4 ), 用户可以用COPY*.* 命令,将新版本的文件(除DOS 外)都拷贝到正版盘上,即等 于升级。 (2 ) KV300软件开发者在《电脑报》、《软件报》、《中国计算机报》、《 中国电脑教育报》、《电脑爱好者》杂志、《电脑》杂志等报刊刊登“KV300 反病 毒通告”,用户可以从中得到升级代码。用户也可以随时(或半年至1 年)给软件 开发者去信,并付足工本费(25元),他们将回寄一张软盘,上面录有近期最新最 全的KV300 新版和查毒代码及其扩展杀毒程序,用户收到以后,再用COPY命令,将 新版本的文件(除DOS 外)都拷贝到正版盘上,即等于升级。 (3 )还可通过国际互联网Internet快速下载KV300 升级版本。网址见前。 (五) KV300广谱性、抗变种、抗改写、抗变形的特征码 这一查病毒特点,可以说是KV300 的精华。比如说,使用以下一组广谱特征码 : “13 04 %% B1 06 %% D3”发现普通的新病毒!用 KV300清除! 拥有KV300 的用户,用上述这一组广谱特征码就可以查出: Ping-pong(小球 病毒)、Pakistan Brain(巴基斯坦智囊病毒)、Stoned(A-H 共7 种石头病毒)、 Hong-Kong/Azusa (2708共4 种病毒)、Michaelangelo (米开朗基罗病毒)、Disk killer(新杀手病毒)、Pretty Girl (漂亮女孩病毒)、CMOS Destroyer(CMOS 设置破坏者病毒)、Ctrl+ Break (中断就破坏病毒)、New Cen-tury(新世纪病 毒)、Yankee Doodle (扬基多德病毒)、Trill (颤音病毒)、Invader (侵入 者病毒)、Plastique (塑料炸弹病毒)、Liberty (自由者病毒)、广大一号病 毒、Flip-PT (在引导区的病毒)、Mask-1、Mask-2(假面具病毒)、31# 病毒、 2709/ROSE (玫瑰病毒)、BUPT病毒、3072(秋天的水病毒)、ALFA/3072-2 病毒、 Ghost/One_Half(3544幽灵病毒)、3584-2病毒、Denzuko 病毒、BFD/BOOTEXE 病 毒、Form(共5 种病毒)、Hard Disk Killer(硬盘杀手病毒)、DELWIN_BOOT 病 毒、PC_LOCK 病毒、NYB/B1病毒、1990病毒、TEQUILA 病毒、ANTIEXE 病毒、ALCON/RSY 病毒等50多种以上病毒。 再例如: “B8 ?? 42 ?? ?? ?? ?? ?? %% B4 40 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? %% B8 ?? 57” 发现普通的感染文件类新病毒!用KV300 清除! 拥有KV300 的用户,用上述一组特征码就可查出: Vienna (维也纳病毒)、 Invader (侵略者病毒)、Plastiqu(塑料炸弹病毒)、848 (上海病毒)、3072 (秋天的水病毒)、Oropax病毒、2128病毒、1167(乱屏幕者病毒)、2048病毒、 4096病毒、Hellok(大连好病毒)、555 病毒、Jerusalem (黑色星期五病毒)、 2803病毒、Mummy 病毒、PRGKILL 病毒、Denzuko 病毒、930 病毒、Sund病毒、NSund 病毒、W-13病毒、Taiwan(台湾病毒)、Taiwan-2(台湾二号病毒)、Xi-An (西 安病毒)、Nan-Jing(南京1 号、2 号、3 号、4 号病毒)、TAMSUI病毒、Birthday (生日病毒)、UGUR/1297 病毒、Violator病毒、891 病毒、AAV 病毒、Solano病 毒、Fumbe876病毒、HK2358病毒等30多种以上文件型病毒。 再例如,“IVP 病毒生产机”可以生产出千万种病毒来,KV300 只用以下一串 病毒特征码,就可轻而易举地将其全部查获。 “E8 00 00 %% 90 %% 5D %% 90 %% 81 ED ?? 01 ” The Virus is Made From IVP Virus-Creation Machine !!! 这个文件感染的病毒是“IVP 病毒生产机软件”生产的其中一种! KV300 的广谱特征码,可以查出“IVP ”生产的千万种病毒! 与KV300 配套的VIRUS.DAT 这个病毒特征码库中,有许多组这样高效的广谱特 征码,再加上内部的智能系统,使KV300 能查出以后出现的许许多多不知名新病毒。 一些别有用心的人,针对一些查解毒程序,修改了一些病毒的特征代码,由此 产生了一些“改形”、“变种”病毒,使以往的查解病毒程序失效。更有险恶的人, 开发出几种不同的“病毒生产机”软件。这种“病毒生产机”可以不用编程序就轻 易地自动生产出大量的新病毒。为了对付这类病毒,KV300 的病毒特征码中加入了 具有广谱性、抗变种、抗改写、抗变形的标志,使那些别有用心的人恶意难成。而 且,还可以在一种病毒中取其多串特征码,非常方便地建立在VIRUS.DAT 文件中来 查找病毒。另外,KV300 还有“步步跟踪分析法”、“逻辑分析法”、“数字比较 法”等等,使那些乱线团似的变形病毒如One_Half(3544幽灵病毒)、Natas/4744 (拿他死幽灵王病毒)、HYY/3532(福州1 号变形王病毒)、CONNIE2 (台湾2 号 变形王病毒)等病毒无法躲开KV300 的查杀。 (六)自我检查、自我修复、自我解除所有感染上的病毒 每次执行KV300 ,程序会进行自检,关键部位稍有变化或感染上了病毒,KV300 都会自动修复如初。 如果以后使用中不小心使KV300 感染上了不知名新病毒,KV300 会报警并自动 解除。如果KV300 自身被破坏,已经不能执行了,或系统内存有病毒,这时候可用 无病毒DOS 软盘引导机器,调用同一软盘上专门为此配套的修复工具KV300FIX.EXE 来进行自动修复。 KV300 在抗病毒过程中具有自维护和外维护两种方法,这一功能确保了KV300 自身洁净、完好。 (七)KV300/B ——检查或备份硬盘主引导信息功能 使用KV300/B 的格式,可以在软盘上备份一个硬盘的主引导区档案,并且在备 份前会自动先检测主引导记录是否患有病毒或有不正常现象,如有,会警告用户所 要备份的档案有病毒或不正常,并询问是否继续进行。当然,也可以强行备份。如 果没有不正常现象,程序会提示在A驱中插入一张已经格式化的软盘以便存储主引 导信息档案。该档案名为HDPT.DAT,其名字含义为:硬盘分配表数据。做完这项工 作以后,应将软盘贴好写保护,并在标签上写明主机型号、硬盘容量、分区大小, 然后妥善保管。当日后硬盘因主引导信息损坏或被病毒破坏而不能启动的时候,可 以用KV300/HDPT.DAT的命令格式将保存在软盘上的HDPT.DAT档案内容恢复到硬盘主 引导区中,就可以恢复硬盘的存取功能。这一步骤,对电脑用户来说,是非常有用 的,建议用户一定要将重要硬盘的主引导信息做一备份,并妥善保管。 如果恢复了硬盘主引导信息,用软盘引导后,可以进入硬盘了,但硬盘还不能 引导,这有可能是硬盘DOS 引导信息损坏或DOS 的三个引导文件被破坏,这时候, 用户可先用DOS 系统软盘引导机器,将硬盘中有用的数据备份出来。 有了这项条件,用户还可以用无病毒的DOS 系统软盘配合冷启动机器,用SYS C :命令传递DOS 系统,那么基本上所有的因硬盘主引导信息破坏、或因硬盘1面 0柱1扇区DOS 引导信息破坏以及因DOS 的三个主引导文件破坏的原因而不能启动 硬盘的故障就都可以解决了。 (八)KV300/K ——安全解除所有主引导区病毒 KV300 除了可以清除病毒表中列出的一些病毒外,还可以清除所有硬盘主引导 区病毒和软盘DOS (BOOT区)引导区病毒。使用格式为:KV300/K.出现主画面以后, 在屏幕最下面有一行提示: Kill All Boot Virus (A , B, C): 如要选择C 盘,应先在A驱中插入一张已经格式化的软盘,程序用来准备先备 份有毒的硬盘主引导信息档案,该档案名将为HDPT.VIR. 准备好以后,先按[C] 键, 再按两次[Y] 键,程序会先在软盘上备份硬盘有病毒的主引导记录,并清除硬盘中 的病毒或更新主引导记录。 备份HDPT.VIR文件的目的,是一旦有些特殊的或新式的硬盘上有独特的主引导 信息,或有两种操作系统的主引导信息,或是加密、加锁了的主引导信息,在解病 毒后也被更换掉,有可能造成硬盘不能启动,这时候可用KV300/HDPT.VIR的命令格 式将软盘上的原主引导信息恢复到硬盘中。如果软盘上备份的HDPT.VIR文件不小心 又被误删除掉,可以参考后面将要讲到的“巧用KV300 快速修复硬盘主引导记录” 进行恢复。 如果硬盘DOS (BOOT)引导区感染上了新病毒,KV300 查出以后,为了更安全 起见,会建议用户先用相同版本的无病毒DOS 系统软盘引导机器,再执行SYS C : 命令,就会传送一个新的相同版本的DOS 引导系统到C 盘,并将病毒覆盖。 (九)巧用KV300 快速修复硬盘主引导信息 警告:在硬盘能正常引导的情况下,不可乱用此方法! 有时候,由于病毒的破坏或操作上的失误,使硬盘主引导记录和分区表损坏, 硬盘不能引导或软盘引导也不能进入硬盘。如果先前用KV300/B 的命令格式在软盘 上备份过主引导记录,这时候可以用KV300/HDPT.DAT的格式恢复硬盘主引导记录。 如果先前没有备份过硬盘主引导信息,也可以用以下方法试一试: 先用软盘引导系统,再执行KV300 ,按下[F6]键,就可以查看已经不能引导的 硬盘隐含扇区,即查看硬盘0 面0 柱1 扇区主引导信息是否正常。硬盘的主引导信 息几乎每一个型号都不一样,常见的主引导信息内容大致如下表: ↓(共XX个硬盘隐含扇区,XX- 是每柱扇区数) Hard Disk C : 1-XX Sector(Hard Disk Partition Table ) Side 0, Cylinder 0 , Sector 1 FA33C08E D0BC007C 8BF45007 501FFBFC BF0006B9 0001F2A5 EA1D0600 00BEBE07 B304803C 80740E80 3C00751C 83C610FE CB75EFCD 188B148B 4C028BEE 83C610FE CB741A80 3C0074F4 BE8B06AC 3C00740B 56BB0700 B40ECD10 5EEBF0EB FEBF0500 BB007CB8 010257CD 135F730C 33C0CD13 4F75EDBE A306EBD3 BEC206BF FE7D813D 55AA75C7 8BF5EA00 7C000049 6E76616C 69642070 61727469 74696F6E 20746162 6C650045 72726F72 206C6F61 64696E67 206F7065 72617469 6E672073 79737465 6D004D69 7373696E 67206F70 65726174 696E6720 73797374 656D0000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00008001 01000??? ??????00 0000???? ??000000 0??????? ???????? 0000???? ??000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 000055AA Pgdn= ↑, Pgup=↓, S = Save Hard Disk Partition Table TO Disk A (按下[S] 键就会将此表备份到A 盘上) 说明: 1.表中的前10行是硬盘主引导记录,是第一关键代码(FA 33 C0等)。 2.硬盘主引导记录(病毒常感染区)KV300/K 可以重生成这些代码。如不是MS-DOS FDISK.EXE 生成的就有所不同。新版WINDOWS-95安装后也不同。 3.表中最后的4 行是硬盘分区表是第二关键代码(80 01 01等,呈闪烁状态)。 硬盘不同,/ ?参数不同,位置也会有所差异。 4.表中最后一行最后两个字节是第三关键代码(是55AA,呈闪烁状态)。 如果在硬盘的0 面0 柱1 扇区没找到上述表中的第二、第三种关键代码,那么, 这个问题很严重。肯定表现为:第一、硬盘本身不能自引导,第二、软盘引导后也 不能进入硬盘,这有可能是由于病毒的破坏或操作上的失误而造成的。怎么办呢? 这时候,可按翻页键[PgDn]或[PgUp]键,在硬盘的隐含扇区内查找,看看能否找到 被引导区病毒移位了的硬盘主引导信息。 注意:一般情况下,硬盘的隐含扇区只有0 面0 柱1 扇区有用,是主引导区。 0 面0 柱2 扇区以后的隐含扇区是空闲区,部分病毒主体有时候会隐藏在这些空闲 区内,但是只要0 面0 柱1 扇区中的病毒头被杀毒软件杀掉,再没有病毒的头来调 用,那么,这些病毒主体就成为无头的病毒僵尸,再也不会复发了。 有时候外来的新病毒占用或加密了0 面0 柱1 扇区,将原主引导信息搬到其后 某一空闲的隐含扇区上,只要再搬回去,将病毒头覆盖掉,即可恢复主引导信息。 上述表中所说的第一种关键代码,可用KV300/K 的格式修复和生成,这时候主 要是查看有没有上述表中所说的第二、第三种关键代码,如果有,会在表中出现闪 动的红色80和55AA,并有响声提示,下行会出现一行:F9 = Save To Side 0 Cylinder 0 Sector 1!!!这时候按一下[F9]键,就可以将刚找到的、即在表中显示出来的 原硬盘主引信息覆盖到硬盘0 面0 柱1 扇区中,然后,机器会重新引导硬盘,恢复 硬盘的起动性能,或者用软盘引导后也能进入硬盘。 但是,在做这件操作之前,必须先用KV300/B 的格式,将当前硬盘0 面0 柱1 扇区的内容先备份到另一张软盘上,一旦用上述方法操作后情况反而更糟,还可以 用KV300/HDPT.DAT的方式将软盘上的原备份再返回到硬盘上,恢复硬盘的原来状态。 有时候硬盘能启动,KV300 的智能广谱系统查出内存有病毒,如果用软盘启动 机器,反而不能进入硬盘,这就证明硬盘分区表被病毒加密了。这时候可以再运行 KV300 ,按[F6]键,查看硬盘0 面0 柱1 扇区主引导区信息是否已经被新病毒加密, 如果看到的表有很大差别,那么,这个表已经被病毒加密了,备份出来也无用,而 应该再用硬盘自行引导。硬盘引导区的病毒被激活,并驻留到内存,在内存有病毒 的情况下,再用KV300 的F6功能查看。如果看到的是病毒已经将硬盘主引导信息解 密而且显示正常了,再按[S] 键,将病毒自行解密的硬盘主引导信息备份到A 盘。 备份完了以后,再用干净软盘引导机器,用KV300/HDPT.DAT的格式,即可以将刚才 备份的正常的主引导信息恢复到硬盘。最后用KV300/K 的命令格式将已经感染到软 盘的引导区病毒杀掉,重新引导机器,就一切正常了。 如果先前没有备份过硬盘主引导信息,也可以在一台相同机型、相同硬盘型号、 相同容量、相同硬盘分区的机器上用KV300/B 将硬盘主引导信息备份到软盘上,然 后再用KV300/HDPT.DAT的格式恢复到不能启动的硬盘上,即可快速修复硬盘主引导 信息,使硬盘起死回生。 如果先前没有备份过硬盘的主引导信息,日后硬盘主引导信息被病毒破坏,整 个硬盘的数据取不出来,而用上述方法也找不到原分区表,可以到硬盘商那里借用 一个相同型号的硬盘,按原硬盘分区格式,对该硬盘进行分区,然后,用KV300/B 格式将硬盘主引导信息备份到软盘上,再用KV300/HDPT.DAT的格式恢复到不能启动 的硬盘上,即可使硬盘起死回生。 如果先前没有备份过硬盘的主引导信息,日后硬盘主引导信息被病毒破坏,整 个硬盘的数据取不出来,而又无法找到相同型号的硬盘,这时候,可以用KV300 的 重要功能“快速重建硬盘分区表”,按以下方法快速修复或重建硬盘分区表。 (十)用KV300 快速重建硬盘分区表 现在新产生的硬盘分区表病毒越来越毒辣,加密、移位、修改硬盘分区表或加 密硬盘上的数据区,大有我死你也活不成的趋向。所以,杀这一类病毒非常危险, 一不小心,就能造成硬盘不被认可。有时候病毒交叉感染,也能造成硬盘不被认可。 因此所用杀病毒软件一定要有备份和重建硬盘分区表的功能。 有时候由于病毒的破坏或操作上的失误,使硬盘主引导记录和分区表损坏,硬 盘不能引导或软盘引导也不能进入硬盘。如果先前用KV300/B 的格式在软盘上备份 过主引导记录,这时候可用KV300/HDPT.DAT的格式再恢复硬盘主引导记录。如果先 前没有备份过硬盘主引导信息,这时候只好用KV300 快速重建硬盘分区表的功能再 试一试。 重建硬盘分区表的方法: 先用软盘引导系统,执行KV300 ,主菜单出来后,按[F10] 键,就可以对系统 的有关参数和硬盘分区表快速测试,如果硬盘分区表不正常,KV300 会先将坏分区 表保存到软盘上,再自动重建硬盘分区表,使硬盘起死回生。 但是,如果硬盘只有一个分区,是C 盘,而且这个C 盘已经被病毒严重破坏, 将文件分配表(FAT 表)、文件目录表(ROOT表)严重损坏,数据都没有了。那么, 这个功能即使恢复了C 盘分区表,也不能使C 盘引导,数据也不能恢复。 这时候如果硬盘还有D 、E 等分区,一般情况下,KV300 能找回后面没有被破 坏掉的分区,重建一个新的硬盘分区表,然后再用DOS 系统软盘引导机器,就可以 进入硬盘D 、E 等分区,将数据拷贝出来,再将硬盘重新分区、格式化。 重建硬盘分区表的具体操作方法如下: 按[F10] 键,进入一个测试画面,首先测试并显示当前系统的部分信息,最后 检测硬盘分区表,如果正常,屏幕显示: Hard Disk Partition table - OK! Press any key to return …… 意思是:“硬盘分区表正常!”“按任意键返回。” 如果出现: No Hard Disk Partition table(No 80H)!!! Use F6=VIEW HDPT. “ 意思是:“没有硬盘分区表或没有引导标志'80',可用F6功能查看硬盘分区表。” 如果同时或单独出现: No“55AA”! in Hard Disk Partition table. Use F6=VIEW HDPT. Fix Hard Disk Partition table or Disk C Boot Sector (Y/N )? 意思是“在硬盘分区表扇区上没有分区表有效标志'55AA',可用F6功能查看硬 盘分区表。”“你是否要修复硬盘分区表或C 盘引导扇区?按[Y] 键进行,按[N] 键退出”。 警告:如果你的硬盘引导正常,也没病毒,请不要按[Y] 键,以免将你的硬盘 分区表搞乱。当然,为了安全起见,修复前要先备份、后修复。一旦修错了,可以 将备份的原分区表用“KV300/HDPT.VIR”的命令格式恢复原样。 如果按下[Y] 键后,出现提示: Insert a Formatted Diskette in Drive A, Pressed “Y ” to Save“Error ” Partition table into Floppy , Filename HDPT.VIR,“N ” to Exit, Continue?(Y/N ): 意思是“请在A 驱动器中插入一张已经格式化的软盘(打开写保护),键入[Y] 键,把硬盘的不正确主引导信息备份在软盘上,名为: HDPT.VIR ,键入[N] 则退 出。要进行吗?(Y/N )” 如果按下[Y] 键后,首先会将当前硬盘原分区表备份到软盘上保存。软盘上产 生一个名为HDPT.VIR的文件,字节数为512B. 如果软盘上已经有同名的文件,将拒 绝进行,应再换一张软盘。备份的目的是为了安全起见,一旦修复不对,可用KV300/HDPT.VIR 的命令格式恢复原样。备份以后,会立刻修复分区表,并出现Fixing…… OK ! OK! OK!“字样,这时候大功告成,按任意键,机器会自动引导,硬盘就可以进入了。 硬盘分区表损坏,硬盘进不去,用KV300 可修复如下状态: (1 )只有硬盘分区表丢失,DOS 引导区后的数据区完好,只是硬盘进不去。 能重建硬盘分区表,使硬盘一切正常。 (2 )硬盘分区表不正确(被病毒修改),DOS 引导区后的数据区完好,只是 硬盘进不去。能重建硬盘分区表,使硬盘一切正常。 (3 )分区表55AA标志丢失,硬盘进不去。能修补55AA,使硬盘一切正常。 (4 )分区表被病毒搬在隐含扇区另一扇区上,原表被病毒加密,硬盘进不去。 能杀死病毒,重建硬盘分区表,使硬盘一切正常。 (5 )分区表被病毒加密,DOS 引导区后的数据区完好,只是硬盘进不去。能 杀死病毒,重建硬盘分区表,使硬盘一切正常。 (6 )硬盘分区为C 、D 、E 等几个区;硬盘分区表、C 盘DOS 引导区、FAT 表、目录表丢失,硬盘进不去。能重建硬盘分区表,恢复D 、E ……等几个区。建 议你将修复好的D 、E 盘上的数据备份以后,重新对硬盘分区,再高级格式化硬盘。 (7 )硬盘分区为一个C 盘;硬盘分区表、DOS 引导区、FAT 表、目录表杂乱, 硬盘进不去。只能重建硬盘分区表,数据已经无法恢复。建议你重新高级格式化硬 盘。 (8 )硬盘分区为一个C 盘,硬盘分区表、DOS 引导区丢失,硬盘进不去。能 重建硬盘分区表,修复完后会建议你用DOS 3.31系统软盘引导机器,就可以自由出 入硬盘。建议你备份数据以后,再高级格式化硬盘。 (9 )硬盘主引导记录(见“巧用KV300 快速修复硬盘主引导信息”表中的第 一关键代码)被病毒破坏,硬盘不能引导,软盘引导可出入硬盘。用KV300/K 的格 式,可重写硬盘主引导记录,恢复硬盘的引导功能(详见“KV300/K 安全解除所有 主引导区病毒”一节)。修复硬盘主引导记录的时候,不会改变硬盘分区表。 KV300 在修复硬盘主引导扇区(硬盘0 面0 道1 扇区)内容的时候,KV300 不 会改动其他任何地方,所以KV300 重建硬盘分区表的功能是安全可靠的。 (十一)注意事项 (1 )使用KV300 软件查解病毒,必须使用无病毒的DOS 系统软盘引导机器 (冷启动机器),以确保内存无病毒。 (2 )使用KV300 软件查解病毒,用户必须自备多种不同版本的无病毒的DOS 系统软盘,以适应不同版本格式化的硬盘,而且能更好地延长KV300 原盘片的使用 寿命,一般不是在要查毒的情况下,就不要用KV300 原版引导机器,否则,会降低 原盘的使用寿命。 (3 )使用KV300 软件查解病毒,为了安全起见,应先使用本软件的扫描功能, 如果查出有引导区病毒,那么,在使用本软件的杀毒功能前,应先使用本软件的备 份功能,将硬盘主引导信息先备份到软盘中保存,然后再使用杀毒功能。如果查出 文件中有病毒,也应该先备份,再杀毒。 (4 ) KV300软件中不设驻留内存的防病毒程序,因为DOS 5.0 以上任何DOS 系统盘中都带有一个非常优异的内存驻留监测程序:VSAFE.COM ,用户们可以很容 易找到。 (5 )如果你用KV300 格式的F1、F4能查出某个文件中感染了已知名病毒,但 是KV300 能清除其它文件中的同类病毒,而只对这一个文件(或几个文件)中的病 毒不能清除,用F2、F3也不能查出,这就说明你曾经使用非法解密的、有缺陷的KILL 软件(或使用了驻留拦劫解密软件KEY )来杀过此病毒,虽然把病毒杀死了,没有 传染力了,但病毒僵尸还留在文件上。所以,不要相信驻留拦劫解密软件KEY 之类, 它们会使原版正常软件的功能大大丢失或漏查漏杀病毒! (6 )有些大字节的 .EXE 文件(采用多级多段连接而生成的文件),因被那 些设计得有缺陷的病毒感染,不能执行了,查出病毒以后,应先将带毒的文件备份, 再用KV300 试杀,有时候经过杀毒,文件又可以执行了,有时候杀毒以后文件仍不 可执行。这时候,只好找出无毒的备份来替换损坏文件。 (7 )如果发现可执行文件的字节数增加了几百甚至几千,而用KV300 扫描却 没有反应,证明这是一种新病毒。你可以将发现的新病毒寄给江民公司,由公司抽 取病毒特征码,如果是新病毒,将反馈给你并赠送新版KV300 软件,同时向全国公 告。 (8 )个别情况下,KV300 会误报“内存发现病毒”,这一般是硬盘中的CONFIG.SYS 和AUTOEXEC.BAT这两个文件中有用户的“内存驻留程序”。这时候,应该将这两个 文件改名后重新引导硬盘。如果用硬盘启动了机器,还报告“内存发现病毒”,这 证明硬盘引导区或COMMAND.COM 文件被病毒感染了。可用干净的DOS 软盘重引导机 器后再查。 在广谱查毒功能下,极个别情况下, KV300有可能只对一两个文件报告“发现 xxxxxx病毒”,这是KV300 的广谱特征码的报告。这时候,你应该认真分析或与公 司联系,以便正确认定是否病毒。 (9 )如果你购买的是正版盘,因使用频繁或不小心将盘片损坏,可以将带有 激光防伪标志的坏盘片及工本费邮费25元(需开票者40元),汇寄到江民公司,将 为你换新盘。 10)再好的解毒程序,也应付不了日新月异的新病毒和其变种病毒。当你用本 软件查出某些文件有已知名或不知名新病毒,出现提示Found Virus ???或出现 提示Found Generic Files Virus !(发现普通的感染文件类新病毒!)但是杀不 掉,这可能是遇到了新病毒或变种病毒,也可能是一些劣质杀毒软件留下的没有传 染能力的病毒尸体(或是病毒残余代码)。你应该及时与江民公司联系,以便取得 最快的服务。北京江民新技术有限公司的地址:北京海淀区海淀路171 号大华商厦 写字楼A 座201-203 号。邮编:100086;电话:010-62510187;62510116. (十二)Windows 下的实时监控 执行KV300 软件中的自解压文件KVW3000.EXE ,系统会在C 盘自动建立一个KVW3000 子目录,以后每次开机,KVW3000 的Windows 实时监控程序就会被激活,并在屏幕 上显示一个提示框如图8-8 所示。
KVW3000 实时监控程序的全名叫“DOS 、Windows 、网络蠕虫、黑客、CIH 、 宏病毒实时检测防火墙”,能够随时监控来往于网络和各主机之间的信息,只许授 权信息通过,阻止病毒入侵。这个软件是不加密的,可以从KV300 软盘中拷贝到任 意一台电脑中使用。但是要注意:一定要使用最新的、刚刚升级的KVW3000 软件 (最新版为2000年5 月20日发布的3.34版)。不然,许多新制造的病毒就无法发现。 (十三)KV300 主要英文提示的解释 1. Backup Hard Disk Partition table to A,Press Any Key …… 向A 盘备份硬盘主引导区信息,请按任意键…… 2. Kill All Boot Virus. (A , B, C): 强行清除所有引导区病毒!请选择A , B, C盘: 3. Be to Restore File HDPT.DAT in Disktte A to Hard Disk, Press Any Key …… 将保存在A 盘中的硬盘主引导区信息(HDPT.DAT)恢复到硬盘,请按任意键… … 4. Be to Restore Abnormal File HDPT.DAT in Disktte A to Hard Disk , Press Any Key …… 将在A 盘中的硬盘不正常主引导区信息(HDPT.VIR)恢复到硬盘,请按任意键 …… 5. Not Found The Hard Disk Master Boot Record (Partition Pable )! Use “F6” = View (Scan) Hard Disk Master Boot Record to Save A Disk to KV300/HDPT.DAT Renewed It ! or KV300/K to Renewed It ! 没发现硬盘主引导记录!请用“F6”功能查看,或用KV300/HDPT.DAT格式恢复! 或用KV300/K 格式修复! 6. Warning: This File is Wrapped by CPAV.EXE Immunize Function , so it May Protect Some Viruses CPAV.EXE Can't Identify , so That Other Kill Virus Software Can't Kill This Virus, Use CPAV.EXE Remove Immunization ! 警告:这个文件已经被CPAV.EXE软件的免役功能包裹起来,有可能把CPAV.EXE 自身不能识别的新病毒包裹在内,使其它查解病毒软件无法解除病毒。请用CPAV自 身的解免役功能先解除这个文件的免役外壳,然后再用KV300.EXE 来查杀! 7. No Hard Disk Partition table !!! Use F6=VIEW HDPT. 警告!硬盘分区表不正常!不能更新硬盘主引导记录!请用F6功能查看。 8. No Hard Disk Partition table (No 80H)!!! Use F6=VIEW HDPT. 没有硬盘分区表或没有引导标志“80”,可用F6功能查看硬盘分区表。 9. No “55AA”! in Hard Disk Partition table. Use F6=VIEW HDPT. 硬盘分区表扇区上没有分区表有效标志55AA,可用F6功能查看硬盘分区表。 10.Found Virus active in Memory or User Program Resident in Memory, Rename & Root Directory File CONFIG.SYS and AUTOEXEC.BAT, Reboot Machine Check Again , If This Program Report Has active Virus, This Reveals BOOT or File “COMMAND.COM ” is Affected by Virus , Please Cold Boot Machine With Clean DOS System Diskette and Continue to Scan , Continue (Y/N ) : 内存中隐藏着病毒!或内存中有用户驻留的程序!请将CONFIG.SYS和AUTOEXEC.BAT 文件改名,重新引导硬盘,在内存不驻留其它程序的状态下再检查!如果还报告内 存有病毒,说明硬盘引导区或COMMAND.COM 文件被病毒感染!请用无病毒DOS 系统 软盘启动机器后再用本程序进行查解!是否需要继续进行?(Y/N ): 11. Found Virus in Partition table!, Use KV300/K to Kill It ! 在硬盘主引导区发现新病毒!用KV300/K 格式清除! 12. Found Virus in DOS Boot Sector! Use KV300/K to Kill It ! 在软盘的DOS 引导区(BOOT区)发现新病毒!请用KV300/K 格式清除! 13. Found Virus in DOS Boot Sector! Please Boot The Machine With The Same DOS Version Form The Floppy Diskette , And Use Command SYS C: Can Remove The Virus. 在DOS 引导区(BOOT区)发现新病毒!请用与C 盘相同版本的无病毒DOS 系统 软盘启动机器,再执行SYS C :即可清除病毒! 14. Found Virus in DOS Boot Sector! If This Virus Is in DOS Boot Area, Please Boot The Machine With The same DOS Version As Drive C From the Floppy Diskette, And Use SYS C: Can kill the Virus ; if This Virus is in Floppy Disk, Please Use KV300/K to Clean it. 在DOS 引导区(BOOT区)发现新病毒!如果发现的病毒是在C 盘的DOS 引导区 上,请用与C 盘相同版本的无病毒DOS 系统软盘引导机器,再执行SYS C :即可清 除病毒!如果这个病毒是在软盘上,请用KV300/K 格式清除! 15. No This File or File name Error !!! 在当前盘中没找到用来查解病毒的、可扩充的病毒特征码数据库文件VIRUS.DAT 或外扩展自升级杀毒程序KILLXXXX.VVV. 16. Insert a Formatted Diskette in Drive A, Pressed“Y ” to Save “Error ” Partition table into Floppy, Filename HDPT.VIR,“N ” to Exit. Continue?(Y/N ): 请在A 驱动器中插入一张已格式化的软盘,去掉写保护,键入“Y ”,将把硬 盘的不正确主引导信息先备份在软盘上,名为: HDPT.VIR ,键入“N ”将退出。 要进行吗?(Y/N ) 17. Insert a Formatted Diskette in Drive A, Pressed“Y ” to Save Partition table into Floppy , Filename HDPT.DAT. “N ” to Exit. Continue?(Y/N ) : 请在A 驱动器中插入一张已格式化的软盘,去掉写保护,键入“Y ”,将把硬 盘0 柱0 面1 扇区的主引导信息或其它一个扇区信息备份在软盘上,名为: HDPT.DAT. 键入“N ”将退出。要进行吗?( Y/N) 18. Do You Want to Refresh Hard Disk Partition table?(Y/N ): 你要更新硬盘主引导信息吗?键入Y/N 选择。 注意:如果你的硬盘主引导区存有进入硬盘的加锁密码,应先解除密码再执行 本程序。如果你更新了硬盘主引导信息后,又想恢复原主引导信息,请插入刚备有 HDPT.VIR文件的软盘,再执行: KV300/HDPT.VIR ,即可恢复原主引导信息。 19. File HDPT.VIR Already Exits , Please Change another Diskette. 软盘中已经有HDPT.VIR文件!请另换一张软盘! 20. Make Sure The Drive A Floppy Disk Has File:HDPT.VIR, And Press “Y ” Will Restore HDPT.VIR to Hard Disk , Press“ N” to Exit. Continue? (Y/N ): 请在A 驱动器中插入一张有HDPT.VIR文件的软盘,键入“Y ”将把HDPT.VIR文 件中的原主引导扇区的内容写回到硬盘主引导扇区上,键入“N ”将退出。要进行 吗?( Y/N) 21. Make Sure The Drive A Floppy Disk Has File: HDPT.DAT , And Press “Y ” Will Restore HDPT.DAT to Hard Disk , Press“ N” to Exit, Notice : File HDPT.DAT Must Be Obtained From This Machine , And Don't Reforma. Continue?(Y/N ): 请在A 驱动器中插入一张有HDPT.DAT文件的软盘,键入“Y ”,将把HDPT.DAT 文件中原主引导扇区的内容写回到硬盘主引导扇区上。键入“N ”将退出。注意: 软盘上的HDPT.DAT文件必须是从本硬盘上备份出来的,该硬盘以后也没有重新分区 或格式化!要进行吗?( Y/N) 22. File HDPT.DAT Already Exits , Please Change another Diskette. No Save HDPT.DAT ! 这张软盘上已经有HDPT.DAT文件,请换一张没有HDPT.DAT文件的软盘! 23. WARNING : The Hard Disk Partition Table SAVE Side 0, Cylinder 0 , Sector 1 !!! Continue ?(Y/N ): 警告:键入“Y ”将把旧的(原)硬盘主引导扇区的内容写回到硬盘主引导扇 区0 面0 柱1 扇区上;键入“N ”退出。