求助!杀木马病毒
由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现“木马”。相信你看了这篇文章之后,就会成为一名查杀“木马”的高手了。
“木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。
当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,,“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的 *** ,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。
在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,更好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。
知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,最安全也是最有效的 *** 就是马上将计算机与 *** 断开,防止黑客通过 *** 对你进行攻击。然后编辑win.ini文件,将[WINDOWS]下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system.ini文件,将[BOOT]下面的“shell=‘木马’文件”,更改为:“shell=explorer.exe”;在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序,有时候还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了,因为有的“木马”如:BladeRunner“木马”,如果你删除它,“木马”会立即自动加上,你需要的是记下“木马”的名字与目录,然后退回到MS-DOS下,找到此“木马”文件并删除掉。重新启动计算机,然后再到注册表中将所有“木马”文件的键值删除。至此,我们就大功告成了。
小知识:
“木马”全称是“特洛伊木马(Trojan Horse)”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上,“特洛伊木马”指一些程序设计人员在其可从 *** 上下载(Download)的应用程序或游戏中,包含了可以控制用户的计算机系统的程序,可能造成用户的系统被破坏甚至瘫痪
解决办法:现在下载个360安全卫士,为什么推荐它呢?由于它跟卡吧斯基联手,下一个安全卫士能免费试用三个月卡吧斯基,这样你的问题就能解决。
下载安全卫士后它再把卡吧斯基装上,这在安全卫士杀马程序就能操作的,无须到网站上下,方便简洁。下完后它会提示你把现有的杀毒软件谢载掉,把它谢完重启后再装卡吧斯基,最后装完升级,重启进入安全模式。这样差不多能百分百把木马干掉,我还没试过这 *** 不爽的。你试试吧
手机中木马病毒怎么办
之一步,先用自带的安全软件尝试杀毒,如若不行第二步,拷贝资料,恢复出厂设置。当然我有见过特别厉害木马,第三步,直接去当地官方授权的售后维修点解决。希望帮到你
什么是品牌营销的木马病毒?
低效或者无效的品牌营销思维与手段就像木马病毒一样内置在企业体内使其市场引擎转速渐慢,即使是那些优秀的著名公司也不例外——一旦它们开始踏上众人瞩目的成功之旅,惯性定律便开始在它们身上作祟。它们开始对过去那些成功的做法产生强烈的依赖性,但实际上那些做法的边际效应越来越低,越来越不适应快速成长的企业需要。
现实让我们不得不经常反思企业品牌营销的现状。
A企业是一家知名的本土饮料企业——在短短的数年内,这家企业创造了市场份额迅速增长的奇迹,使之成为国内企业纷纷效仿的样板。在一次为其设计整合品牌营销方案的过程中,品牌营销人员充分发挥其创意热情与烹饪专长,以该饮料为主要调味品,经过反复实验,做出几道色香味俱全的佳肴,实景拍摄之后配上“菜谱”,并注明如何使之更美味、更养眼。这是一个让该饮料品牌渗透至大众日常生活及消费形态中的大胆创意,也是巧妙利用餐饮业渠道进行品牌推广的策略性手段。但后来企业品牌营销行为的“升级”,让我们看到该企业对这种不需耗费巨资的做法并没有坚持做下去,它开始踏 *** 电视台黄金时段这节火车头,把全年品牌营销预算的绝大部分贡献给了央视。
B企业是一家十分值得尊敬的知名学习工具企业——领先性的技术背景与强大的资本支持让它成为行业的领导者。在一次提案中,品牌营销人员建议以中学生“手抄报”大赛的方式进行品牌传播。在电脑普及的时代,手抄报的个性化表现力将让品牌表现得更有特色,而且这种方式能够帮助企业很好地整合到学校这一针对性的品牌营销资源。但该企业认为如今市场竞争激烈,企业品牌营销预算有限,所以只能采用其实更耗资金的做法:把绝大多数的广告费用贡献给央视及地方卫视……
像上面这样的事情每天都在发生,过去如此,现在如此,相信未来也决不会绝迹。
对于已经看到传统大众品牌营销没落先兆的实效主义者而言,向企业积极建言采取更贴近消费者、更具针对性的品牌营销手段,其结果反而使自己心灰意冷。
这不能怪企业缺乏实效品牌营销的思维。
在今日的市场,只要企业胆量够大,钱包够鼓,用烧钱的方式解决市场问题,操作起来最简便可行。
但,这正是问题之所在。品牌营销战,不是资本战。资本大奏凯旋曲,意味着品牌营销智慧的萎缩,也意味着一种类似于“星球大战”式的、以资源消耗为主要特征的恶性循环在品牌营销领域蓬勃生长。
当越来越多的市场“新贵”不停地在媒体上向我们闪耀其炫目光芒时,昨天很多辉煌的市场传奇如回放的电影历历在目。
重庆奥妮曾经是中国日化业最成功的企业。从奥妮首乌到百年润发,在两年之内,该企业先后成功启用华人娱乐圈更具影响力的明星做形象代言人,电视广告的鸿篇巨制至今尚难有本土企业可以超越。其年销售额超过8亿元,市场占有率达12.5%,锋芒直逼全球日化行业的“老大哥”宝洁。奥妮于1997年登上荣耀巅峰,谁料颓败接踵而至。1998年,奥妮与全球知名的奥美广告公司合作开展市场品牌营销计划,准备向更高的山峰攀登,却不料开始了跌落深渊的万劫不复之旅,从此一败涂地。当年,奥妮新皂角的销售收入只有1亿多,而广告费用反而达到上亿元。如此滑稽的投入产出比,令人匪夷所思!奥妮的浮沉如跑马观花让人应接不暇,但一切如过眼烟云。到如今,这个曾经创造了中国企业与国际巨头对弈最辉煌业绩的品牌,陷入商标先后两次被拍卖、归属权纠缠不清的困局。
这不过是中国企业品牌营销沉浮录中最典型的一幕而已。中国市场的很多往事,总会给人“无巧不成书”的印象。同样有一家曾经名噪一时的中国企业在1997年登上荣耀巅峰,在1998年便跌入谷底。
1997年11月,广东爱多以2.1亿元天价购得央视黄金时段的5秒版广告,成为炙手可热的广告“标王”,开创了VCD行业最辉煌的时代。中国颇具影响力的导演张艺谋与演员成龙一同演绎的影视广告巨制,更让爱多写下了本土品牌营销史上让人津津乐道的篇章。1997年,爱多VCD的销售额猛升至16亿元,其品牌认知率在城市中高达90%以上。然而,谁又能料到,世事如棋、瞬息变幻。1999年,《羊城晚报》上的一则股东声明便将创造爱多神话的草莽英雄打回原形。草创、辉煌、倾覆三部曲在不到四年的光景中匆匆如浮云般一一上演。
如今的爱多被作为经典载入史册——不是经典的榜样,而是经典的反面教材,被陈列在商学院的讲台上。
成功与失败都是那么相似,品牌营销路径也毫无差别。像奥妮、爱多这些曾经创造过中国品牌营销史上后来者不可追之奇迹的企业,都将命运寄托在一时无限风光的烧钱式品牌营销传播,而非自身品牌营销执行能力的系统性提升以及与消费者的深度沟通上,到最终“无限风光”后换来的是企业的“风光大葬”。
这种以大规模资金投入为基础,以大规模传播为基本手段的品牌营销方式给企业带来太多惨痛的教训。
只要企业不进入追求实效的时代,这种似曾相识的经验绝不会成为过去时。
联想、海尔、万科,这些创造更大市场价值并始终引导国内企业发展方向的本土企业从未创造过品牌营销大跃进的神话,却是真正创造品牌传奇的样板。
不要总说塑造一个有影响力的领袖型企业需要太长的时间,我们经不起这样的等待。这三大旗帜性的企业创造辉煌业绩也就10年左右的时间,这样的时间周期对于追求急速发展的中国企业来说应该不算太漫长,但更多的企业却想在三五年内创造出一个神话来。
这些稳健成长的企业的存在,以及越来越多的实效品牌营销实践让更多的企业有理由相信:能为消费者创造价值,丰富其日常生活,使其加深体验,以互动为主要特征的非传统广告手段与创意性品牌营销,其效率比那些已经让我们上瘾的“品牌营销 *** ”——耗费巨资的高举高打式的大规模传播运动更理想。
这是一个正在重构也需重新想象的市场。
新技术、新手段、新媒体、新的组合方式及整合思维,可以让那些曾经为我们谱出舒缓变奏曲的最基本的音符,变幻出新长征路上的摇滚。
但本土企业的品牌营销实践与品牌营销思想转变均落后于市场经济发展的步伐。
从竞争进化的角度来比照,企业竞技与体育竞技有着很大的相似之处。
拿体育竞技项目跳高来说,让我们把历史的镜头回放到1968年,在这以前,跳高的方式有两种:运动员可以采取俯卧式跳高,也可以采取跨栏式跳高。那时的体育专家认为这两种方式是更好的跳高方式,如果一个人想成为跳高冠军必须依照这两种跳高方式苦练。
但有一天,研究医药学的跳高运动员理查德·福斯贝里突然意识到从杆上跳过去的更佳方式不是俯卧式,也不是跨栏式,或许,应该是背跃式。福斯贝里最早采用这种姿势时,人们都感到滑稽可笑,但他毫不动摇,坚持采用背跃式参加跳高比赛。1965年,18岁的福斯贝里用这种独特的背跃式技术越过了2米的高度,使人们看到这种新姿势的生命力。
最终,在1968年墨西哥奥林匹克运动会上,福斯贝里使用他摸索出来的背跃式一举夺魁。全世界的电视观众都被他舒展而优美的姿势征服了,人们把背跃式同他的名字连在一起,称为“福斯贝里背跃式”。这是跳高史上的一次技术革命。背跃式的优点在于动作简单、自然、容易掌握,能更大限度地发挥运动员的运动潜力。自从福斯贝里以背跃式获得奥运会冠军后,世界上许多优秀选手都采用这一姿势,并获得巨大成功。进入20世纪80年代,风行一时的俯卧式几乎完全被背跃式所取代。
竞争的激烈,对抗的强烈,让体育界人士能够迅速接受更具效率的革新性手段。
糟糕的是,企业界对有效的品牌营销手段的反应则显得相当迟钝。虽然有不少勇敢创新的企业利用“背跃式”获益匪浅,但更多的企业还在采用“俯卧式”或“跨栏式”,试图越过消费者不断升高的需求认知栏杆。
过去20年间,面对不断分化的市场、激烈的全球竞争、产品商品化趋势的加强、产品生命周期的缩短以及强大的分销渠道,品牌营销这一企业增长的“发动机”显得越来越不灵光。
品牌营销难题成为企业经营者们面临的大挑战。然而,惯性的力量以及未见消减的品牌营销趋同现象让我们无法确认品牌营销人员能否应对这些挑战。
要找到一条“实效”的品牌营销之路,企业首先必须找到那些抵消品牌营销努力成果的元素,并在此基础上发现企业的意识偏差。这是企业检讨品牌营销失误并实现市场效应更大化的必由之路。
一般什么扩展名的文件容易是病毒或者木马
一般都是以下四种,下面我分别加以介绍并简要说明以下清除的 *** :
一、EXE后缀型病毒文件
这类病毒一般是以进程的方式运行,这类病毒一般是比较好被发现的。下边先说下这类病毒,是在哪里启动的。
1.注册表
如果发现计算机有不名的进程和异常情况请在注册表内下列地方进行核实找住可以的程序进行删除:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER/Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/brExplorer/ShellFolders
Startup="C:/windows/start menu/programs/startup
2.系统WIN.INI文件内
在win.ini文件中,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动件。也许你会问了我是XP系统啊 怎么没有这个呢?不必担心给你个正确的你参考下就知道有没有可疑程序了。下边就是正常的WIN.INI(XP):
; for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1
CMCDLLNAME32=mapi32.dll
CMCDLLNAME=mapi.dll
CMC=1
MAPIX=1
MAPIXVER=1.0.0.1
OLEMessaging=1
[MCI Extensions.BAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideo
asf=MPEGVideo2
asx=MPEGVideo2
au=MPEGVideo
m1v=MPEGVideo
m3u=MPEGVideo2
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo2
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo2
wm=MPEGVideo2
wma=MPEGVideo2
wmv=MPEGVideo2
wmx=MPEGVideo2
wvx=MPEGVideo2
wpl=MPEGVideo
3.SYSTEM.INI文件中
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。又会有人问了,我是XP系统怎么又不一样呢?给你个正常的XP系统的SYSTEM.INI,请大家可以参考下正常的SYSTEM.INI文件:
; for 16-bit app support
[drivers]
wave=mmdrv.dll
timer=timer.drv
[mci]
[driver32]
[386enh]
woafont=app936.FON
EGA80WOA.FON=EGA80WOA.FON
EGA40WOA.FON=EGA40WOA.FON
CGA80WOA.FON=CGA80WOA.FON
CGA40WOA.FON=CGA40WOA.FON
4.在Config.sys内
这类加载方式比较少见,但是并不是没有。如果上述 *** 都找不到的话,请来这里也许会有收获的。
5.在Autuexec.bat内
这类加载方式也是比较少见,建议跟Config.sys *** 一样。
4和5的加载方式建议大家先必须确定计算机有病毒,并且上边的 *** 都找不到后,最后来这里进行查找。
总结:这类病毒是比较容易暴露的,建议手动删除时更好进入安全模式下,因为安全模式只运行WINDOWS必备的系统进程,EXE型病毒很容易暴露出来的,下边附上一张WINDOWS安全模式的必须进程表:
*** ss.exe Session Manager
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) 产生
会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务) -netlogon
svchost.exe 包含很多系统服务 !!!-eventsystem,(SPOOLSV.EXE 将文件加载到内存中以便迟后打
印。)
explorer.exe 资源管理器 (internat.exe 托盘区的拼音图标)
system
System Idle Process 这个进程是不可以从任务管理器中关掉的。这个进程是作为单线程运行在每个处
理器上,并在系统不处理其他线程的时候分派处理器时间
taskmagr.exe 就是任务管理器了
二、DLL型后缀病毒
这类病毒大多是后门病毒,这类病毒一般不会把自己暴露在进程中的,所以说特别隐蔽,比较不好发现。启动DLL后门的载体EXE是不可缺少的,也是非常重要的,它被称为:Loader。如果没有Loader,那DLL后门如何启动呢?因此,一个好的DLL后门会尽力保护自己的Loader不被查杀。Loader的方式有很多,可以是为我们的DLL后门而专门编写的一个EXE文件;也可以是系统自带的Rundll32.exe和Svchost.exe,即使停止了Rundll32.exe和Svchost.exeDLL后门的主体还是存在的。现在大家也许对DLL有了个初步的了解了,但是不是后缀是DLL就是病毒哦,也不要因为系统有过多的Rundll32.exe和Svchost.exe进程而担心,因为他们不一定就是病毒,所以说这个病毒比较隐蔽,下边来介绍几种判别办法
1.Svchost.exe的键值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Current
Version\Svchost”每个键值表示一个独立的Svchost.exe组。微软还为我们提供了一种察看系统正在运行在Svchost.exe列表中的服务的 *** 。以Windows XP为例:在“运行”中输入:cmd,然后在命令行模式中输入:tasklist /svc。如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令替换为:“tlist -s”即可。如果你怀疑计算机有可能被病毒感染,Svchost.exe的服务出现异常的话通过搜索 Svchost.exe文件就可以发现异常情况。一般只会找到一个在:“C:\Windows\System32”目录下的Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话,那很可能就是中毒了。
2.还有一种确认Svchost.exe是否中毒的 *** 是在任务管理器中察看进程的执行路径。但是由于在Windows系统自带的任务管理器不能察看进程路径,所以要使用第三方的进程察看工具。比如Windows优化大师中的Windows 进程管理 2.5。这样,可以发现进程到底调用了什么DLL文件.
3.普通后门连接需要打开特定的端口,DLL后门也不例外,不管它怎么隐藏,连接的时候都需要打开端口。我们可以用netstat –an来查看所有TCP/UDP端口的连接,以发现非法连接。大家平时要对自己打开的端口心中有数,并对netstat –an中的state属性有所了解。当然,也可以使用Fport来显示端口对应的进程,这样,系统有什么不明的连接和端口,都可以尽收眼底。
4.最关键的 *** ,对比法。安装好系统和所有的应用程序之后,备份system32目录下的EXE和DLL文件:打开CMD,来到WINNTsystem32目录下,执行:dir *.exeexe.txt dir *.dlldll.txt,这样,就会把所有的EXE和DLL文件备份到exe.txt和dll.txt文件中;日后,如发现异常,可以使用相同的命令再次备份EXE和DLL文件(这里我们假设是exe0.txt和dll0.txt),并使用:
fc exe.txt exe0.txtexedll.txt fc dll.txt dll0.txtexedll.txt
其意思为使用FC命令比较两次的EXE文件和DLL文件,并将比较结果保存到exedll.txt文件中。通过这种 *** ,我们就可以发现多出来的EXE和DLL文件,并通过文件大小,创建时间来判断是否是DLL后门。
DLL型病毒的清除
1.在确定DLL病毒的文件的话请尝试下边的移除 *** :
a. 开始——运行——输入"Regedit" ;
b. 搜索“*.dll” ;
c. 删除搜索到的键值;
d. 重启;
e. 转到C:\Windows\System32\;
f. 删除*.dll;
2.到注册表下列地方寻找DLL的踪迹
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/Currentversion/Svchost
3.如果上边的地方都找不到的话建议使用优化大势进程显示工具对RUNDLL32.EXE和SVCHOST.EXE里边运行的DLL程序进行核实找到病毒文件对其进行结束,然后在对他进行删除。建议使用第1种 *** 是非常有效的。
三、$NtUninstallQxxxxxxx$(x代表数字)型病毒
这个属于恶意脚本文件病毒。C盘下生成文件夹:$NtUninstallQxxxxxxx$(x代表数字)冒充微软更新补丁的卸载文件夹,并且在Win2000/XP下拥有系统文件级隐藏属性。下边说下清楚 *** :
注册表手动删除启动项,参考:
HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run
删除:regedit -s C:\$NtUninstallQxxxxxxx$\WINSYS.cer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
删除:Sys32,值为:C:\$NtUninstallQxxxxxxx$\WINSYS.vbs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除:Sys32,值为:regedit -s C:\$NtUninstallQxxxxxxx$\WINSYS.cer
删除:internat.exe,值为:internat.exe
删除整个$NtUninstallQxxxxxxx$ 目录
补充说明
系统文件夹(\WINNT或\Windows)下出现的如$NtUninstallQ823980$ 、$NtUninstallQ814033$ 这类文件夹是Windows Update 或安装微软补丁程序留下的卸载信息,用来卸载已安装的补丁,按补丁的编号如Q823980、Q814033 可以在微软的网站查到相应的说明。请注意与恶意代码建立的文件夹区分。
四、压缩文件杀毒工具对其不能删除
这类病毒大多是在IE临时文件里的,请对临时文件进行清除即可清楚此类病毒,建议定时清理IE临时文件。
如果我设置了密码保护!木马病毒 能 盗我的号吗?
很多朋友都有过 *** 号被盗的经历,即使用“密码保护”功能找回来后,里面的Q币也已经被盗号者洗劫一空,碰到更恶毒的盗号者,还会将你的好友统统删除,朋友们将会永远得离开你。想过反击吗?什么,反击?别开玩笑了,我们只是菜鸟,不是黑客,我们只会看看网页,聊聊天,连 *** 号是怎么被盗的都不知道,还能把盗号者怎么样呢?其实喜欢盗号的所谓“黑客”们,也只是利用了一些现成的盗号工具,只要我们了解了 *** 号被盗的过程,就能作出相应防范,甚至由守转攻,给盗号者以致命一击。 一、知己知彼,盗号技术不再神秘 如今,还在持续更新的 *** 盗号软件已经所剩无几,其中最为著名,流传最广的则非“啊拉 *** 大盗”莫属,目前绝大多数的 *** 号被盗事件都是由这个软件引起的。软件的使用条件很简单,只要你有一个支持 *** tp发信的邮箱或者一个支持asp脚本的网页空间即可。而且该木马可以将盗取的 *** 号自动分为靓号和非靓号两种,并将它们分别发送到不同的信箱中,这也是“啊拉 *** 大盗”如此流行的原因之一。接下来,便让我们先来了解一下其工作原理,以便从中找到反击的良方。 1、选择盗号模式 下载“啊拉 *** 大盗”,解压后有两个文件:alaqq.exe、爱永恒,爱保姆qq.asp.其中alaqq.exe是“啊拉 *** 大盗”的配置程序,爱永恒,爱保姆qq.asp是使用“网站收信”模式时需使用的文件。正式使用之前,还需要设置其参数。 “邮箱收信”配置:运行alaqq.exe,出现程序的配置界面。在“发信模式选择”选项中选中“邮箱收信”,在“邮箱收信”填写电子邮箱地址(建议使用程序默认的163.com网易的邮箱)。这里以邮箱n12345@163.com(密码n_12345)为例来介绍“邮箱收信”模式时的配置,并进行下文中的测试。此外,在“收信箱(靓)”和“收信箱(普)”中可以填入不同的邮箱地址用来接受 *** 靓号和普通 *** 号。然后在“发信服务器”下拉框中选择自己邮箱相应的 *** tp服务器,这里是 *** tp.163.com.最后填入发信箱的帐号、密码、全称即可。 设置完毕后,我们可以来测试一下填写的内容是否正确,点击下方“测试邮箱”按钮,程序将会出现邮箱测试状态。如果测试的项目都显示成功,即可完成邮箱信息配置。 “网站收信”配置:除了选择“邮箱收信”模式之外,我们还可以选择“网站收信”模式,让盗取的 *** 号码自动上传到指定的网站空间。当然,在使用之前,也需要做一些准备工作。 用FTP软件将爱永恒,爱保姆qq.asp上传支持ASP脚本的空间,运行alaqq.exe,在“Asp接口地址”中输入爱永恒,爱保姆qq.asp所在的URL地址,那么,当木马截获 *** 号码信息后,就会将其保存于爱永恒,爱保姆qq.asp同目录下的qq.txt文件中。 2、设置木马附加参数 接下来我们进行高级设置。如果勾选“运行后关闭 *** ”,对方一旦运行“啊拉 *** 大盗”生成的木马, *** 将会在60秒后自动关闭,当对方再次登录 *** 后,其 *** 号码和密码会被木马所截获,并发送到盗号者的邮箱或网站空间中。此外,如果希望该木马被用于网吧环境,那就需要勾选“还原精灵自动转存”,以便系统重起后仍能运行木马。除这两项外,其他保持默认即可。 3、盗取 *** 号码信息 配置完“啊拉 *** 大盗”,点击程序界面中的“生成木马”,即可生成一个能盗取 *** 号码的木马程序。我们可以将该程序伪装成图片、小游戏,或者和其他软件捆绑后进行传播。当有人运行相应的文件后,木马会隐藏到系统中,当系统中有 *** 登录时,木马便会开始工作,将相关的号码及密码截取,并按照此前的设置,将这些信息发送到邮箱或者网站空间。 二、练就慧眼,让木马在系统中无处可逃 现在,我们已经了解了“啊拉 *** 大盗”的一般流程,那么如何才能从系统中发现“啊拉 *** 大盗”呢?一般来说,如果碰到了以下几种情况,那就应该小心了。 · *** 自动关闭。 ·运行某一程序后其自身消失不见。 ·运行某一程序后杀毒软件自动关闭。 ·访问杀毒软件网站时浏览器被自动关闭。 ·如果杀毒软件有邮件监控功能的,出现程序发送邮件的警告框。 ·安装有 *** 防火墙(例如天网防火墙),出现NTdhcp.exe访问 *** 的警告。 出现上述情况的一种或多种,系统就有可能已经感染了“啊拉 *** 大盗”。当然,感染了木马并不可怕,我们同样可以将其从系统中清除出去。 1、手工查杀木马。发现系统感染了“啊拉 *** 大盗”后我们可以手工将其清除。“啊拉 *** 大盗”运行后会在系统目录中的system32文件夹下生成一个名为NTdhcp.exe的文件,并在注册表的启动项中加入木马的键值,以便每次系统启动都能运行木马。我们首先要做的就是运行“任务管理器”,结束其中的木马进程“NTdhcp.exe”。然后打开资源管理器中的“文件夹选项”,选择其中的“查看”标签,将其中“隐藏受保护的操作系统文件”选项前面的勾去掉。接着进入系统目录中的system32文件夹,将NTdhcp.exe文件删除。最后进入注册表删除NTdhcp.exe键值,该键值位于HKEY_LOCAL_MACHINE\Software \Microsoft \Windows \Currentversion \Run. 2、卸载木马。卸载“啊拉 *** 大盗”很简单,只要下载“啊拉 *** 大盗”的配置程序,运行后点击其中的“卸载程序”按钮即可将木马完全清除出系统。 三、以退为进,给盗号者以致命一击 忙乎了半天,终于把系统中的“啊拉 *** 大盗”彻底清除,那么,面对可恶的盗号者,我们是不是应该给他一个教训呢? 1、利用漏洞,由守转攻 这里所谓的“攻”,并不是直接入侵盗号者的电脑,相信这种“技术活”并不适合大家。这里只是从盗号软件几乎都存在的漏洞入手,从而给盗号者一个教训。 那么这个漏洞是什么呢? 从此前对“啊拉 *** 大盗”的分析中可以看到,配置部分填写了收取 *** 号码信息邮件的邮箱帐号和密码,而邮箱的帐号和密码都是明文保存在木马程序中的。因此,我们可以从生成的木马程序中找到盗号者的邮箱帐号和密码。进而轻松控制盗号者的邮箱,让盗号者偷鸡不成反蚀把米。 提示:以上漏洞仅存在于将 *** 号码信息以邮件发送方式的木马,如果在配置“啊拉 *** 大盗”的过程中选择使用网站接收的方式则不存在该漏洞。 2、 *** 嗅探,反夺盗号者邮箱 当木马截取到 *** 号码和密码后,会将这些信息以电子邮件的形式发送到盗号者的邮箱,我们可以从这里入手,在木马发送邮件的过程中将 *** 数据包截取下来,这个被截获的数据包中就含有盗号者邮箱的帐号和密码。截取数据包时我们可以使用一些 *** 嗅探软件,这些嗅探软件可以很轻松得截取数据包并自动过滤出密码信息。 ·x-sniff x-sniff是一款命令行下的嗅探工具,嗅探能力十分强大,尤其适合嗅探数据包中的密码信息。 将下载下来的x-sniff解压到某个目录中,例如“c:\”,然后运行“命令提示符”,在“命令提示符”中进入x-sniff所在的目录,然后输入命令“xsiff.exe -pass -hide -logpass.log”即可(命令含义:在后台运行x-sniff,从数据包中过滤出密码信息,并将嗅探到的密码信息保存到同目录下的pass.log文件中)。 嗅探软件设置完毕,我们就可以正常登录 *** .此时,木马也开始运行起来,但由于我们已经运行x-sniff,木马发出的信息都将被截取。稍等片刻后,进入x-sniff所在的文件夹,打开pass.log,便可以发现x-sniff已经成功嗅探到邮箱的帐户和密码。 ·sinffer 可能很多朋友对命令行下的东西都有一种恐惧感,所以我们可以使用图形化的嗅探工具来进行嗅探。例如适合新手使用的sinffer. 运行sinffer之前,我们需要安装WinPcap驱动,否则sinffer将不能正常运行。 运行sinffer.首先我们需要为sinffer.exe指定一块网卡,点击工具栏上的网卡图标,在弹出的窗口中选择自己使用的网卡,点“OK”后即可完成配置。确定以上配置后,点击sinffer工具栏中的“开始”按钮,软件即开始了嗅探工作。 接下来,我们正常登陆 *** ,如果嗅探成功,就会在sinffer的界面中出现捕获的数据包,其中邮箱帐号密码信息被很清晰得罗列了出来。 得到盗号者的邮箱帐号和密码以后,我们可以将其中的 *** 号码信息邮件全部删除,或者修改他的邮箱密码,给盗号者一个教训,让我们菜鸟也正义一把!
电脑中了特洛伊木马病毒怎么办
电脑中了特洛伊木马病毒要用腾讯电脑管家全面体检,全盘杀毒。彻底杀病毒能找出常见的木马病毒
修复漏洞可以修复高危安全漏洞等。
防病毒全盘查杀能力等都很强
这样才能保证电脑安全。当扫描出病毒时,电脑管家已经帮您勾选了所有病毒,您只需要点击“立即处理”,即可轻松清除所有的病毒。
电脑中病毒了,怎么办?有木马篡改文件,都不敢用电脑了…
有病毒就要杀的,建议重新查杀,推荐你可以试试腾讯电脑管家,他拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎!保证杀毒质量。
安装运行腾讯电脑管家后可以很醒目的看到杀毒选项
你可以根据需要选择闪电查杀、全盘查杀、和自定义位置查杀三种模式进行查杀
或进行安全模式下全盘杀毒,安全模式下,将该目录的所有文件按修改时间重新排列,将该病毒以及修改时间和病毒一样的文件删除(先纪录名字)。安全模式下,在运行中输入msconfig,在“启动”中将除了ctfmon之外的所有项目的勾去掉。在安全模式下,把刚才的名字一个一个在注册表中查找一遍,一样路径和名称的键都删除。
如果遇到顽固木马,可以进入安全模式杀毒看看,可以用腾讯电脑管家工具箱——顽固木马克星(强力查杀功能),也可以试试文件粉碎哟。
温馨提示:如果遇到木马或病毒杀不掉,一般是由于木马病毒正在运行,或者有其他的病毒进程守护,造成的。如果遇到这类隐藏性很高的、又释放驱动的病毒,很难处理。所以要先对病毒灭活,杀掉活体病毒之后就很容易查杀了。
如果不能解决,就只能重装系统了。
怎么金山说皮皮米免费高清影视有一个模块是网银大盗木马伪装的
那是因为有一个木马被嵌入了皮皮!我以前也中过一次!你还是换一个用着,安全之一嘛!