本文作者：胡凌霄 單位：國家廣電總局824臺

一、前言

信息技術的發展推動了計算機網絡的普及，局域網的重要性逐漸顯現出來，影響正常工作的病毒也日漸增多。局域網的病毒危害極大，不但會導致機器中的數據丟失，還會將病毒轉染給局域網中的其他機器，嚴重時導致網絡癱瘓。因此對網絡病毒的防范及排除，是網絡機房維護人員關注的重要問題。

二、計算機病毒概述要探析怎樣排除網絡機房中計算機病毒故障，首先要弄明白產生計算機病毒的原因，只有找準病因才能夠對癥下藥，才能夠有效排除故障。

（一）計算機病毒現象

1.有時候計算機中會多了來歷不明的文件或壓縮包，嚴重影響計算機正常運行。2.計算機系統發生異常的動作；如沒有任何操作指令下，計算機突然死機后又自動重新啟動。3.莫名其妙的多了許多數據，導致系統空間大幅降，低影響計算機正常運行。4.遭受病毒攻擊導致大量占用引導區，致使系統運行緩慢甚至死機。5.計算機中的數據與程序莫名其妙丟失，影響計算機正常運行。6.頻頻出現死機現象。7.對可執行文件進行雙擊，沒有反應。8.病毒進入到計算機后，修改了硬盤引導信息或刪除某些文件，致使系統不能啟動。9.鼠標或鍵盤無端鎖死。

（二）計算機病毒緣由

1.感染計算機硬盤磁盤，必然會影響到引導扇區。這種病毒自身附加到boot扇區中引導程序上，把部分或全部病毒分別存進引導扇區，并且以各種方式隱藏在引導區；如果計算機要啟動該引導區或要讀取數據，必然會引發病毒。再將這些帶有病毒數據拷貝進機器內存中，必然會擴展開來感染其他磁盤引導區，也可能經過網絡感染其他計算機。這種病毒傳播主要途徑是U盤。

2.感染計算機的操作系統，這種途徑是病毒經過操作系統中的模塊或者程序實施傳染。當系統啟動之后，操作系統要調入一些數據到內存，該病毒就能夠通過模塊或程序一起進入到內存中。一旦具備了傳染條件馬上影響內存運行。比如網絡上傳播著一種蠕蟲病毒，能夠通過計算機操作系統而影響音頻文件（比如mp3），事實上該病毒并沒有對音頻文件造成破壞，僅僅讓文件無法正常運行；一旦感染了蠕蟲病毒的音頻文件傳到WEB服務器上，還能夠經過在線播放下載感染到其他的計算機系統，進一步給其他計算機造成危害。

3.感染計算機應用程序，這種病毒多是以鏈接方式感染應用程序。該病毒一旦在某個程序中取得控制權，必然會掃描到其他硬盤上的應用程序，等到具備傳染條件之后馬上進行傳染。比如馬吉斯變種G病毒即經過局域網、感染文件等各種方式進行傳播，導致許多常用的軟件不能正常工作。該病毒侵入之后就會自動感染到Windows中EXE可執行文件，導致一些軟件被損而不能正常運行。

三、排除網絡機房計算機病毒的故障

病毒進入網絡機房計算機中，無論是何種方式何種狀態都會影響到計算機正常運行，嚴重者還可能導致數據外泄造成經濟損失。因此，一旦確診網絡機房計算機發生了病毒故障，就要及時進行排除，可以從如下幾個方面進行。

（一）采用殺毒軟件

對于一些簡單病毒可以使用殺毒軟件進行查殺，最好的狀態即是將病毒清除干凈。在使用殺毒軟件時，要采用干凈的引導盤來啟動計算機。當然不同的病毒不能夠統一而定，應該在不同環境下進行殺毒。

1.非系統文件內被激活的病毒查殺比較簡單，在Windows環境中就能夠進行查殺，而且大都能夠全部殺滅。

2.系統文件內發作的病毒查殺就不能那么隨意，要在Windows的安全模式中進行，在這種模式中病毒是不能夠被激活，只有這樣才能徹底把病毒清除干凈。

3.系統文件內的病毒，查殺難度相對比較大，大都是在干凈DOS環境中進行查殺，如果有必要還需要反復進行查殺才可以徹底清除。因此在查殺前要做好備份，防止查殺導致文件數據丟失。

4.經過局域網傳播病毒，要先將網絡斷開才能夠進行查殺清除。

5.有一些病毒不能夠自動刪除，需要手動刪除；比如打開資源管理器，從中找到“Nimad”病毒進行手工刪除；打開注冊表找到“木馬”病毒進行手工刪除。

（二）重裝系統

有時候除了上面幾種查殺之外，還有其他病毒不能夠解決，這種就只能夠用重裝系統的方法加以解決。對于網絡機房可以使用網絡版ghost恢復所有機器的系統。首先要完整安裝好一臺機器，利用ghost克隆該機器硬盤，制作出映像文件存放到指定硬盤之中。接著運行對應Ghost可執行文件，啟動克隆功能。當然需要工作站的硬盤與網卡配置上要完全一致，只需要完成映像文件的復制，最后重新啟動計算機就安裝好所有機器了。但是如只需要對操作系統以及一些數據進行恢復，就不必克隆整個硬盤，只需要克隆有操作系統分區就可以了。

（三）ARP病毒

1.ARP病毒概述。事實上，ARP病毒屬于一種欺騙地址的病毒，是目前比較特殊的一種木馬病毒，不能自我復制不會主動傳播，但是該病毒一旦發作之后就會通過網絡發布偽造ARP的數據包，導致網絡運行中的垃圾數據大幅增加，嚴重影響到網絡正常運行，導致上網斷斷續續，嚴重者可能導致整個網絡出現癱瘓，其危害性不亞于一些蠕蟲病毒。因此對ARP病毒處理至關重要。而要處理這種病毒就必須要清楚其工作原理，在原理基礎上對病毒進行診斷。

（1）AIP病毒的攻擊原理ARP病毒大都使用了ARP欺騙攻擊方式。具體有兩種形式：其一，當局域網中某一臺主機被ARP病毒所感染，病毒就會截取網關數據，給路由器傳送錯誤內網MAC地址，并且這種錯誤不斷進行，導致真實地址信息根本不能夠進行更新保存。這樣就會讓流向網絡中心流量改變方向流向病毒的主機，導致網絡出現故障而無法正常運行。其二，ARP病毒在路由器中構建假網關，網段內PC發出數據被假網關所截獲，導致正常路由器根本無法獲取信息正常上網。

（2）診斷ARP病毒其一，一旦發現無法正常上網就要先把網卡禁用，之后再啟動，還不能夠正常上網就要懷疑是ARP病毒。其二，打開“開始”—“運行”，輸入cmd命令，再輸入arp-a，如果出現了多個IP地址，但是多個地址對應MAC卻是一樣，這種幾乎可以確診為ARP欺騙。其三，打開“開始”—“運行”，輸入cmd命令，再輸入arp-a，點擊“確定”，重新上網，如果恢復且可以診斷為ARP病毒造成。