今天公司流转了一份关于好些先进员工的表彰文件，感概一下。文件内容大意是某分公司遭受暴雨，山体滑坡导致光缆中断，值班人员发现相关一干二干传输有单边开环和中断。当地分公司外出抢险的同事，找到现场后，不顾现场大雨仍在继续，山体泥土非常疏松很可能再次发生滑坡或泥石流等危险情况，在大雨中奋战5小时，抢通了干线光缆，恢复了通信业务。公司的宣传导向是不正确的，员工生命安全应该比业务阻断几小时或者开环要重要。在明显的灾害性气象条件下，不应该强调尽快抢通业务，排第一位的还是保障外出员工的生命安全。即便我作为客户，我也可以理解这样的故障发生后修复时间适当的延长到更适合抢险的时机。公司提供安全的工作环境也是劳动法的基本要求，我们不能这么要求我们的员工，更应该制止不顾危险蛮干的同事，要珍爱生命，来日方长。具体在我们办公室，就是每次去现场安装设备，尽量都安排两个人一起去，哪怕是我们的人和厂家的人一起也可，万一诉摔跤被螺丝刀刺中也还有得照应；涉及到动电源的，一定要去两个人，安全，安全第一。

今天有客户A认为他购买的网络接入服务质量非常差，打开网页非常慢，经常掉线，要求立即解决。公司老大们开了很久的会，东拉西扯的说了许多，总结就是以下几点，其实很短时间就可以说清楚。

我们的业务人员重述用户意见：网络速度非常慢，随时掉线，要求查明原因，立即解决。

我们的维护提到的若干问题：1.网络建设方案结构不合理，造成网络质量不好，设备无法监控，问题不易分析。2.现有网络拓扑未实施每用户vlan划分，无法隔离用户之间的相互影响，结果就是一个恶意用户可造成成片业务受损。3.正在实施的鉴权系统，自身问题太多，尚需工程组织部门尽快解决。4.针对现有用户投诉的M和N两地，要区分对待。建议先将O到M再从M下挂的N更改成N直连O，然后再解决恶意用户的问题。5.如果4的方法无效，继续尝试更换N处的接入用ADSL交换机，以观后效。6.等待鉴权系统具备条件后上鉴权并划分vlan。7.针对用户的恶意攻击，要求业务口提供用户mac地址资料。

我认为1.从O到M再到N的方案在投资一定的条件下属于常见合理的接入方案，除光纤收发器不可网管外，没有重大不合理的地方。光纤收发器不可网管的问题，也可通过测定从O到M和N两处的ADSL交换机IP网质量间接反应光纤收发器工作性能。2.宽带鉴权系统工程内容并未包含现有用户割接与划分vlan的工作。宽带鉴权系统平台上线后，应尽快完成组织验收。如果验收通过，在根据现网条件先上鉴权解决认证计费问题，随后再合理组织部分用户割接成每用户一个vlan的方案。3.鉴权系统业务部门认为有问题，建议找出具体案例，我们两部门及厂家工程师到现场共同确认现象，如果是用户使用问题，现场澄清；如果是系统问题，督促供应商限期解决。4.M和N的投诉问题，首先要测试M到O和M到N的IP层质量，并分析流量大小和内容。其次确保无背景流量时M到O的IP层丢包率为0，时延和抖动正常时，测试M和N处到网内各节点的时延，再测试上网的实际感观感受，和认为速度极慢的客户沟通。如果观察到上行链路拥塞的情况时，测试上行拥塞的时候IP层实际质量。5.针对未划分每用户一个vlan时用户相互影响的问题，在交换机上对流量镜像后抓包分析应该可迅速定位恶意用户mac地址，进而在ADSL交换机上切断用户接入，保障其它客户业务正常。

后来现场测试无背景流量条件下，M到O的IP层质量，64字节短包丢包率1%，1000字节丢包率5%，时延小于5ms，短时抖动不大。打开网页的实际感受基本可接受，至少不比办公室的OA网更慢。

其实用户经常简单抱怨的“网络速度”，我想要分成好几段来考虑。第一段是用户到我们机房的本地接入部分，IP层质量要做到承诺带宽内0丢包，时延小于10ms，抖动小于25ms。第二段，省内骨干网0丢包，时延小于5ms，抖动小于10ms。第三段，省际节点间，直连节点间终端到终端丢包小于1%，时延小于50ms；非直连节点间终端到终端丢包小于1%，时延小于100ms。第四段，互联互通链路上IP层质量基本没有任何保证。这里面总部负责第三和第四，我们自己负责有能力处理的第二不存在问题，ADSL用户的问题都集中在第一段。ADSL交换机到骨干网络之间的链路有时候会非常拥塞，有时候会有这样那样异常的流量，这些情况比较复杂，的确要具体情况具体分析了。

中招病毒后的处理建议 

1. 如果电脑尚可操作，先用ATF CLEANER删除多于的文件

2. 安装任意一款杀毒软件，更新病毒特征代码库到最新。

杀毒软件没有最好，各有利弊，一台计算机装一个即可，多装基本无用。但凡是杀毒软件的，多少都能对付大多数的病毒，不用管别人评价如何，只要能运行的都很有用。实在不知道那个好就闭着眼睛蒙一个，个人推荐XX版诺顿，因为用了13年习惯了。

更新病毒特征代码库在线更新是方法一，还可在别的电脑上下载可执行的更新文件后用文件更新。

电脑无法正常启动，或启动后啥子杀毒软件都无法安装的尝试在安全模式操作。电脑刚通电显示前几个画面的时候赶快多按几下F8（注意是一个钮，不是F和8），选择带命令行的安全模式。进去以后如果看不见桌面的，输入explorer回车即可。这种安全模式里面至少可以安装并运行norton9.0，我测试过的。传说开始选择带网络连接的安全模式还可以在线更新等。

3. 杀毒，看结果。

4. 用任意一款防间谍、木马、广告等等等恶意软件的软件同样检查、处理机器。

5. 到http://windowsupdate.microsoft.com/ 更新。

如果遇到系统完全无法启动或所有杀毒软件无法安装，或杀毒软件说病毒杀不掉等情况初学者最好请有经验朋友协助，或参阅后文。

http://www.atribune.org/content/view/25/2/ ATF CLEANER

杀毒软件参考：

http://online.rising.com.cn/free/index.htm 瑞星 在线杀毒

http://online.jiangmin.com/checkonline.asp 江民 在线杀毒

http://www.kaspersky.com.cn/KL-Downloads/KL-Product6.0.htm 卡巴斯基

http://www.pandasoftware.com/products/activescan.htm Panda Antivirus可在线杀毒

http://shop.symantecstore.com/store/symnahho/en_US/ContentTheme/ThemeID.106300/pbPage.Trialware_en_US Norton系列产品

http://www.avast.com/eng/free_software.html avast! 4

防间谍、木马、广告等等等恶意软件：

http://www.lavasoft.com/products/ad_aware_free.php Ad-Aware 2007 Free

http://www.safer-networking.org/en/download/index.html Spybot - Search & Destroy

http://www.ewido.net/en/download/ AVG Anti-Spyware

其它可参考的资源：

http://www.download.com/Spyware-Center/2001-2023_4-0.html?tag=dir

http://spywarewarrior.com/asw-features.htm#rec

http://www.spywareinfo.com/downloads.php?cat=sp#det

进阶篇

1. 利用现有的杀毒软件，更新到最新病毒特征代码库，查杀病毒，记录下那些未能成功杀掉的病毒名称。

2. 上网搜索专杀工具，用专杀工具消灭之。

3. 运行Hijackthis、AutoRuns这类的软件分析一下是否还有异常。有经验的朋友用途即在于此，他们可告诉你分析结果中哪些可删除哪些最好不要删除。人缘人品差的也不怕，还可以找一台操作系统版本相符的计算机，一边对比一边判断。假如A中毒，B正常，B中没有的东西，A里面有，肯定可以安全删除，大不了就重装应用软件。如果是A和B里面都有，建议比较文件的md5结果，结果不一样的就值得怀疑了。如果大家的电脑里都有的东西，最好google清楚，不要误删了系统关键进程或服务就很麻烦了。

4. 根据分析结果用上述工具消灭或辅以KillBox等杀人不眨眼的工具开刀。自己看文档，不要问怎么用！！

5. 注意HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 这个键值，很多程序不能运行或许和这里有关。

6. 小心%systemroot%\system32\Rundll32.exe "%systemroot%\system32\ddodtt73.dll",DllCanUnloadNow这类容易忽略的dll，实体程序看起来都是正常文件。

7. 工具软件不好使的情况下，命令行有几条命令也许很适用。写在这里大家不要笑，命令很简单也很古董，其实还多好用的，现在很多人没有接触过DOS或许还不知道。所有命令不知道怎么用都可 命令 /? 调阅帮助信息。

Ren 文件更名

Del 删除文件

Attrib 显示文件属性 S系统 H隐藏 R 只读

Tasklist

Tskill 结束进程

ntsd -c q -p PID 结束进程的强力命令，可结束除纯内核态以外全部系统关键进程

以上方法仍不能搞定的，恐怕就遇到凶险的家伙了，最好请有经验的朋友现场支援，或者自己一边参阅后面骨灰级专家指南并google说法详情。

http://www.tomcoyote.org/hijackthis#Top Hijackthis

http://www.microsoft.com/technet/sysinternals/utilities/autoruns.mspx?wt.svl=whatsnew AutoRuns

http://www.killbox.net/help.html killbox仅有使用方法，自己google下载

再介绍两类其它非常杀毒手段，特殊手段而已，需配合正常方法结合使用！！

方法甲：

1. 将c:/winnt/system32/cmd.exe 更改为cmd.com

2. 点击 开始 —— 运行 输入cmd 确定

3. 在命令提示符下面输入：assoc .exe=exefile

4. 打开Norton等杀毒软件运行程序，升级病毒库定义文件，扫描整个硬盘后、清除病毒。记录杀毒软件工作结果。

5. 然后重启电脑后，检查电脑中是否还有中毒的表征，如果有进安全模式手动清除。

方法乙：

第一步:在“开始→运行”中输入CMD，打开“命令提示符”窗口。

第二步:输入ftype exefile=notepad.exe %1，这句话的意思是将所有的EXE文件用“记事本”打开。这样原来的病毒无法启动了。

第三步:重启电脑，你会看见打开了许多“记事本”。当然，这其中不仅有病毒文件，还有一些原来的系统文件比如输入法程序。

第四步:右击任何文件，选择“打开方式”，然后点击“浏览”，转到Windows\System32下，选择cmd.exe，这样就可以再次打开“命令提示符”窗口。

第五步:运行ftype exefile="%1" %*，将所有的EXE文件关联还原。现在运行杀毒软件或直接改回注册表，就可以杀掉病毒了。

第六步:在每一个“记事本”中，点击菜单中的“文件→另存为”，就可看到了路径以及文件名了。找到病毒文件，手动删除即可。但得小心，必须得确定那是病毒才能删除。建议将这些文件改名并记下，重启后，如果没有病毒作怪，也没有系统问题，再进行删除。

附：Ftype的用法

在Windows中，Ftype命令用来显示及修改不同扩展名文件所关联的打开程序。相当于在注册表编辑器中修改[HKEY_CLASSES_ROOT]项下的部分内容一样。
Ftype的基本使用格式为:Ftype [文件类型[=[打开方式/程序]]]

比如像上例中的ftype exefile=notepad.exe %1，表示将所有文件类型为EXE(exefile表示为EXE类型文件)的文件都通过“记事本”程序打开，后面的%1表示要打开的程序本身(就是双击时的那个程序)。

ftype exefile="%1" %*则表示所有EXE文件本身直接运行(EXE可以直接运行，所以用表示程序本身的%1即可)，后面的%*则表示程序命令后带的所有参数(这就是为什么EXE文件可以带参数运行的原因)。

骨灰级杀毒工具列表：

1、查毒在正常模式，杀毒在安全模式!
杀除病毒前进入分区采用右击、“打开”方式防自动播放引发病毒杀除病毒前建议首先导入文摘762所有附件， 防文件关联引发病毒

2、工具Hijackthisv最佳拍档：killbox（任何文件的强删工具）扫描后所列每种项目，按下“关于该项目的信息”可获得简短提示 含文件的项，GOOGLE确认为系统文件、各种驱动文件或应用程序文件且在正确的文件夹中，属性、版权信息完整者可放心 不含文件的项，多有问题，参考该文件夹中相关帮助勾选并修复。或贴出来log文件内容到相关论坛寻求分析。

3、Msinfo32模块分析:
关闭IE外所有应用程序后，开始菜单运行msinfo32 查看软件环境\加载模块 点击制造商标签进行排序方便排查，GOOGLE制造商不明的模块文件所列项目单选或按shift键多选后，ctrl-c复制粘贴出来以供分析。

4、icesword http://pjf.blogcn.com/index.shtml http://mail.ustc.edu.cn/~jfpan/
查看问题端口对应程序 查看隐藏服务（红色项） 内核模块平时用菜单log功能作列表备份，以供中毒后分析查看SSDT劫持，底部红色项。

5、x:\windows\system32 x:\windows\system32\drivers
按时间排序，排查近期属性版权信息不全、日期又较孤立的文件 GOOGLE确认,鉴于rootkit渐盛，建议DOS、linux下过滤可疑文件

6、lspfix winsockfix
少数穷凶极恶的病毒劫持了window底层winsock api调用。这个时候可以用lspfix，去除HIJACKTHIS中010 -开头的危险项。 不过注意，一些杀毒软件和防火墙本身也会劫持winsock调用。

7、搜索硬盘Autorun.inf,有立即删除，无用。 HKCU\Softw.\Micros.\Wind.\CurrentV.\Expl.\MountPoints2 分支下若存在shell键，对应各分区自动播放启动文件.

8、filemon regmon（华军等下载网站搜索即得）
在病毒文件、注册表项删除但立刻重复出现的情况下 使用这两个工具，监视病毒文件和注册表项由哪些进程 或线程再次生成。有助发现问题。

9、比系统还原更有效的系统还原步骤：
总不能彻底清除病毒文件，并怀疑系统重要文件被病毒修改的情况下 请插入操作系统安装盘，进入安全模式 运行 sfc /purgecache 再运行 sfc /scannow 之后再进行病毒的排查。

中毒了，被整惨了。我的笔记本保持了18个月不中毒，但程序装太多已经非常非常慢了。公司电脑用了34个月，程序虽多，但都经过严格选择，所以性能尚可，从未真正中毒，历史上查处病毒入侵若干，中招过几个不具备病毒特质的木马。今天它们兄弟俩一起感染同样的病毒，惨。

现象：因为笔记本C盘空间紧张，卸载了几个大型软件后要求启动，准备重启后做碎片整理的。等待启动快要完成的时候，很惊讶的看见Norton图标从正常状态变成关闭实时监控状态，再被彻底关闭了。大惊，直觉是立马拔网线。妈哟，无线的，还只能用鼠标禁用无线网卡。等切断了网络来看任务管理器，多出来好些个没见过的异常 进程，中止后自动启动，毫无疑问中XX病毒或者XX木马了。仔细检查发现系统服务里面似乎多出三四个服务来，注册表启动部分多出一堆古怪的程序来，系统还原程序说找不到文件了，cmd里面明明可以看见的文件非说找不到，电脑上的逻辑盘下都有autorun.inf，右键打开居然弹出一个选择打开程序的对话框，所有和symantec有关的窗口、程序，以及Hijackthis都会被某些进程自动关闭，而那些乱七八糟的进程关是肯定关不掉的了。

结果：花费3小时多时间试图修复未果，最好结果是控制了病毒发作的范围，可以把杀毒软件等运行起来，但始终觉得有没有杀干净的进程，又找不到在哪里启动的。考虑到修复难度太大，决定导出数据重装，又花费1小时拷贝数据到其它逻辑盘上堆起，然后等待重装系统。笔记本的Ghost映像文件在公司电脑上，今天扛电脑到公司来，花费20分钟Ghost回到2006年1月初的一个备份，2小时多用于更新，升级软件，一共超过3小时彻底修复。笔记本上一共耗费超过8小时时间。

插曲：本来决定重装后已经是比较简单的了，但犯了个低级错误，用USB接口将硬盘连上电脑的时候忘记按住shift了，电脑对新加入的三个盘运行了一下自动运行……然后眼睁睁的看着Norton图标被自动关闭，这次真的是用手拔了网线以保护我的文件。借助昨天的经验，一共花费2.5小时也就只能把公司的电脑修复到基本正常，但肯定被插入了个有很大潜在威胁的程序。表现是过一会儿Norton就报告说有一个病毒被消灭了，过一会儿又出来一个。看了半天都找不出是那个进程有问题；用netstat –a也看不出大异常，仅仅是在说有病毒以后可以看见曾经访问过某个IP地址的http端口；用Hijackthis仍然看不出；最后妥协处理办法把iexplorer.exe修改成不允许任何用户访问，终于安静了。

分析：从最终获得的全部信息来看，一共感染了7种不同种类的病毒或木马。应该不是累积得来的，是中招一个以后暴露出破绽后被利用了的。最初感染的啥子东西想不清楚，因为笔记本似乎至少有一个星期没有重启过了，就昨天因为上网想下载一本书访问了好些网站，别的时候啥都没做。两种可能性，1昨天网络上有下载的链接要求用FlashGet下载，因为我没有装被定向到了一个新网站下载FlashGet。当时那个域名我瞄了一眼，觉得差不多应该是FlashGet的官方网站，现在想来恐怕有假，不过确实没有仔细看也说不准了。第二的可能性是因为在e.pku.edu.cn上搜索文件，要用代理，就启动了IE，意外用firefox不开代理，用ie用代理可以快速搞定，用ie访问了好多网站，也有可能是那里面其中有挂马的，ie就中招了。最初中招的其实就是在合适的位置安置了一个文件，然后重启才真正激活了这个病毒。

总结：

1.      需要想法关闭光盘的自动运行以及U盘的自动运行。很早很早以前有一种破解屏保密码的办法就是把特别的程序自己刻成一张自动运行的光盘放别人的光驱里去自动运行。如何关闭所有移动存储设备的自动运行简易办法我还不知道，只晓得可以用兔子魔法师一类的工具来做，猜想改注册表应该也可行的。实在没有关闭的，也一定要在插入U盘的时候按住shift，并且万万不可双击盘符打开。相对最安全做法是先打开一个本地磁盘，然后在地址栏修改成合适的盘符敲回车。那种右键单击打开的方法比双击好点，还是有一些风险可被利用。

2.      平时后还是不要用管理员权限的帐号干普通工作，给自己的电脑分两个帐号，一个用于安装软件调试维护等，另一个普通用户帐号用于干活和娱乐。

3.      IE可被利用的问题太多太多，能不用最好不要用。

4.      杀毒软件不是万能的，但可执行代码肯定可以做它任意想做的事，包括干掉你的杀毒软件，消灭掉你杀毒或恢复系统的途径。所以在运行一个新的可执行程序前务必三思而行，最好找无关紧要的机器测试一下，或者推荐别人试用先，哈哈。

5.      目前的国产木马，技术含量不很高，但手段险恶至极。国外杀毒软件不是很能对付，总之就是要小心小心再小心。系统提示你有风险的地方都是很危险了，系统没有说有风险也不是说就安全。那些歪门邪道的网站还是少去为妙。实在觉得拿不准的，可以用它的链接地址在google里面搜一下，如果结果中有：这个网站有可能会损害您的计算机，那奉劝大家还是算了。

6.      杀毒用的工具软件最好平时后在计算机上换个自己明白的名字保存，免得临时处理麻烦，杀毒软件最好不要用默认安装目录，默认的名字，目的就是晃点写病毒的。

7.      每次中个小毒，搞得身心疲惫，一个星期计算机都恢复不到习惯的状态，使用时还是要小心谨慎。

网际控制报文协议允许路由器向其他路由器或主机发送差错或控制报文；ICMP在两台机器上的网际协议软件之间提供了通信。

差错报告与差错更正的对比——当数据报产生差错时，ICMP只能向数据报的最初源站回报差错情况；源站必须把差错交给一个应用程序或采取其它措施来纠正问题。

ICMP报文交付——ICMP报文是用IP封装和发送的，但ICMP不是IP的高层协议而是IP的一个必要部分。规定：在一个拥塞的网络中，不为携带ICMP差错报文的数据报中出现差错而生成ICMP报文。

ICMP报文格式——

1.测试目的站的可达性与状态（ping），回送请求和应答报文格式

2.目的站不可达报告，0网络不可达、1主机不可达、2协议不可达、3端口不可达、4需要分片但DF置位、5源路由失败、6目的网络未知、7目的主机未知、8源主机被隔离、9出于管理目的禁止与目的网络通信、10出于管理目的禁止与目的主机通信、11对所请求的服务类型，网络不可达、12对所请求的服务类型，主机不可达

尽管路由器在数据报不能转发或交付时，会发送一个目的站不可达报文，但它不能检测到所有的这类差错。

3.拥塞和数据流控制，主机收到对目的站D的源站抑制报文，就会降低它向D发送数据报的速率，直到它停止收到源站抑制报文，只要没有再收到源站抑制请求，就会逐渐提高发送速率。

4.路由器的改变路由请求，假定路由器是知道正确路由的；主机从最少的选路信息开始，并从路由器那里了解新的路由。

5.检测循环的或过长的路由，

6.报告其他问题

7.时钟同步和传输时间估计

8.过时不再使用的信息请求和应答报文

9.获得子网掩码

10.路由器发现

11.路由器恳求