本文目录一览:
- 1、魔兽世界经常掉线,肯定是中病毒或者木马~~高分求解
- 2、trojan木马病毒(内详,另追加100分)
- 3、Hook.sys是什么文件.我们网吧机子总是蓝屏.
- 4、应用程序无法正常启动0xc000007b
- 5、目前危害比较大的木马病毒有哪些?
- 6、刚用杀毒软件查木马,怎么所有DLL都是病毒啊?连WOW的DLL都是毒。怎么回事?
魔兽世界经常掉线,肯定是中病毒或者木马~~高分求解
可以查下的(下面用腾讯电脑管家举例)
1、首先测试下网速。下载腾讯电脑管家,然后打开电脑管家——工具箱——测试网速(不要用下载测试,毕竟资源不一样,速度不一样,不准确的,用软件好点)
2、是否有ARP攻击,建议开启防火墙(打开腾讯电脑管家——首页——工具箱——ARP防火墙)
3、是否有人恶意占用资源(蹭网),打开电脑管家——工具箱——安全助手,查下
4、不排除是被人挤号了,或者是系统存在病毒或木马。建议使用防火墙及杀毒软件。推荐腾讯电脑管家,免费软件。拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎!保证杀毒质量。
trojan木马病毒(内详,另追加100分)
一般中了木马程序最简单的办法就是用杀毒软件清除,如金山毒霸.如果对系统熟悉也可以手动清除.由于杀毒软件的升级多数情况下慢于木马的出现,因此学会手工查杀非常必要. *** 如下.
(1)检查注册表.看HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY-CURRENT-USER\Software\Windows\CurrentVersion下所有以”RUN”开头的键值名,其下有没有可疑的文件名.如果有,就需要删除相应的键值,再删除相应的应用程序.
(2)检查启动组.木马如果隐蔽在启动组,虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的.启动组对应的文件夹为C:\windows\start menu\programs\starup,在注册表中的位置是HKEY-CURRENT-USER\Software\Windows\CurrentVersion\EXPLORER\SHELLFOLDERSSTARTUP="C:\WINDOWS\START MENU\PROGRAMS\STARTup".要注意经常检查俩个地方哦!
(3)Win.ini及Sytem.ini也是木马喜欢的隐蔽场所,要注意这些地方.比方说,Win.ini的〔Windoes]〕小节下的Load和Run后面在正常情况下是没有跟什么程序的,如果有了那就要小心了,看看是什么;在System.ini的[boot]小节的Sell=Explorer.exe后面也是加载木马的好场所,因此也要注意这里.当看到变成这样:Sell=Explorer.exe
wind0ws.exe,请注意那个wind0ws.exe很有可能就是木马服务端程序,赶快检查吧.
(4)对于下面所列文件也要勤加检查,木马们也很可能隐蔽藏在C:\WINDOWS\WINSTAR.BAT.C:\WINDOWS\WININIT.INI.AUTOEXEC.BAT中.
(5)如果在EXE文件启动,那么运行这个程序,看木马是否被装入内存,端口是否打开.如果是的话,则说明要么是该文件启动了木马程序,要么是该文件捆绑了木马程序,只好再找一个这样的程序,重新安装一下了.
(6)万变不离其宗,木马启动都有一个方式,它只是在一个特定的情况下启动.所以,平时多注意一下你的端口,查看一下正在运行的程序,用此来检测大部分木马应该没问题的
Hook.sys是什么文件.我们网吧机子总是蓝屏.
下载者木马类病毒Backdoor.Win32.Small.duj运行后调用API获取系统文件夹路径,创建___temp.bat到%Windir%\Temp目录下,并执行批处理代码,目的将%Windir%\目录下与%system32%\dllcache目录下的explorer.exe文件授予当前用户完全控制权限,调用ZwQuerySystemInformation函数枚举进程模块,判断是否存在SunwardSysMon.sys(驱动防火墙文件),释放病毒驱动文件hook.sys到%Windir%\Temp目录下,创建病毒服务,等待加载完毕后将病毒驱动文件删除,并衍生病毒文件到系统目录%Windir%\Temp下;重命名为weilai.mp3;该文件伪装成MP3格式文件隐藏运行,连接 *** 下载大量恶意文件,下载的病毒文件多数为盗号木马,受感染用户还有可能会 *** 纵进行Ddos攻击、远程控制、发送垃圾邮件、创建本地Tftp、下载病毒文件等行为。
Backdoor.Win32.Small.duj行为分析:
1、文件运行后会释放以下文件:
%Windir%\hook.sys 8,960 字节
%system32%\weilai.mp3 2,976 字节
2、创建注册表病毒服务:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hook]
注册表值: "DisplayName"
类型: REG_SZ
值: 字串:" hook"
描述: 服务名称
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hook]
注册表值: "ErrorControl"
类型: REG_SZ
值:"DWORD: 1 (0x1)"
描述: 服务控制
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hook]
注册表值: "ImagePath
类型: REG_EXPAND_S
值:字串:"%WINDOWS%\Temp\hook.sys"
描述: 服务描述
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hook]
注册表值: "Start"
类型: REG_SZ
值:"DWORD: 3 (0x3)"
描述: 服务的启动方式,手动
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hook]
注册表值: "Type"
类型: REG_SZ
值:"DWORD: 1 (0x1)"
描述: 服务类型
3、创建___temp.bat到%Windir%\Temp目录下,并执行批处理代码,目的将%Windir%\目录下与%system32%\dllcache目录下与%Windir%\目录下的explorer.exe文件授予当前用户完全控制权限。
BAT代码为:echo y|cacls %system32%\dllcache\explorer.exe /g a:f
4、调用ZwQuerySystemInformation函数枚举进程模块,判断是否存在 SunwardSysMon.sys(驱动防火墙文件),释放病毒驱动文件hook.sys到%Windir%\Temp目录下,创建病毒服 务,等待加载完毕后将病毒驱动文件删除。
5、衍生病毒文件到系统目录%Windir%\Temp下;重命名为weilai.mp3;该文件伪装成MP3格式文件隐藏运行,连接 *** 下载大量恶意文件
6、连接 *** 下载大量病毒文件,并在本机运行,大部分病毒文件为盗号木马:
a0.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.aidm)
a1.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.aidm)
a2.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.aeay)
a3.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.adqo)
a4.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.afql)
a5.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.aimb)
a6.exe
病毒名:(Trojan-PSW.Win32.OnLineGames.aihg)
a7.exe
病毒名:( Trojan-Proxy.Win32.Xorpix.fc)
a8.exe,a9.exe,a10.exe,a11.exe,a12.exe
a13.exe,a14.exe,a15.exe,a16.exe,a17.exe,a18.exe,a19.exe,a20.exe,a21.exe,a22.exe,a23.exe,a24.exe,a25.exe,a26.exe,a27.exe,a28.exe,a29.exe,a30.exe,a31.exe,a32.exe
Backdoor.Win32.Small.duj清除方案:
1 、使用安天防线2008可彻底清除此病毒(推荐)
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)打开进程管理找到Explorer.exe进程,结束Explorer.exe进程。
(2)强行删除病毒文件:
%Windir%\tciocp32.exe
%system32%\tciocp32.dll
(3)删除病毒创建的注册表服务项:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hook]
注册表值: "DisplayName"
类型: REG_SZ
值: 字串:" hook"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hook]
注册表值: "ErrorControl"
类型: REG_SZ
值:"DWORD: 1 (0x1)"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hook]
注册表值: "ImagePath
类型: REG_EXPAND_S
值:字串:"%WINDOWS%\Temp\hook.sys"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hook]
注册表值: "Start"
类型: REG_SZ
值:"DWORD: 3 (0x3)"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hook]
注册表值: "Type"
类型: REG_SZ
值:"DWORD: 1 (0x1)"
(4) 删除下载的病毒衍生后的文件:
%system32%\drivers\mso *** sp2p32.sys
%system32%\mso *** hfp00.dll
%system32%\mso *** hfp.dat
%system32%\fmsiocps.dll
%system32%\anistio.dll
%system32%\SysWoWaVi.dll
%system32%\dionpis.dll
%system32%\nicozftp00.dll
%WINDOWS%\win.ini
%WINDOWS%\temp\__write_over__
%WINDOWS%\temp\weilai.mp3
%WINDOWS%\temp\list.jpg
%WINDOWS%\temp\0.jpg
%WINDOWS%\temp\1.jpg
%WINDOWS%\temp\5.jpg
%WINDOWS%\temp\7.jpg
%WINDOWS%\fmsiocps.exe
%WINDOWS%\anistio.exE
%WINDOWS%\dionpis.exe
应用程序无法正常启动0xc000007b
应用程序无法正常启动0xc000007b的原因是DirectX 9.0 组件损坏,出现此类问题的解决 *** :
1、安装DirectX 9.0c
形成原因是因为DirectX 9.0被损坏, 只需要安装即可。 如果有电脑管家的。在电脑管家里面搜索“DirectX 9.0 c” 然后点击安下载装即可。
2、一键修复工具:
有很多人可能安装了DirectX 9.0c还是会提示,这个可能是因为电脑未安装32位版本的DirectX文件,这些有些对电脑不懂得就会不知道怎么办,可以使用DirectX修复工具, 一键即可修复。
3、简短点的 *** :
1)出现这样的问题, 无非是电脑里面的几个文件损坏。d3dx9_39.dll、d3dx9_40.dll、d3dx9_41.dll、d3dx9_42.dll、d3dx9_43.dll、xinput1_3.dll !! 这几个文件可以直接到百度下载。 下载好之后先看自己的电脑是32位还是64位!!右键点击我的电脑,然后选择属性就可以看到电脑是多少位数的。
2)然后打开我的电脑, 打开目录64位的:C:/Windows/Syswow64 , 32位的 C:/Windows/Syswow32 。 然后下好的文件复制到这个文件夹即可。
目前危害比较大的木马病毒有哪些?
NRD系列网游窃贼
类型:盗号木马
危害:通过各种木马下载器进入用户电脑,利用键盘钩子等技术盗取地下城与勇士、魔兽世界、传奇世界等多款热门网游的账号和密码信息,还能够对受害用户的电脑屏幕截图、窃取用户存储在电脑上的图片文档和文本文档,以此破解游戏密保卡,并在后台将这些敏感信息发送到指定的服务器或邮箱中。
360安全卫士全年累计查杀量:152509102
二、“犇牛”下载器
类型:木马下载器
危害:牛年新春佳节爆发的“犇牛”堪称全年危害更大的恶意软件,它在全局劫持dll文件、感染多种类型压缩文件的基础上,综合了“熊猫烧香”在网页文件插入“网马”、局域网ARP攻击等传播手段,此外还有“磁碟机”式自动更新、“AV终结者”式强制关闭面板控件、“机器狗”式穿透还原卡的驱动技术、U盘木马的伪装和传播手段,并下载数十款盗号木马和广告程序进入受害用户电脑,堪称牛年破坏力最强、最邪恶的木马。
360安全卫士全年累计查杀量:119995842
三、IE首页劫匪
类型:广告木马
危害:具有流氓性质的IE首页劫匪在2009年格外活跃,这类广告木马的数量、感染用户规模甚至已经迫近网游盗号木马,它们的行为也具备高度的一致性,就是强制修改IE浏览器的首页为指定的网站,并在电脑桌面上生成恶意的浏览器快捷方式。IE首页劫匪的传播方式也五花八门,有的通过木马下载器侵入网民电脑,有的和不良网站提供的软件、视频等资源捆绑在一起,甚至还和大型游戏的安装文件捆绑,通过 *** 下载进行传播。
360安全卫士全年累计查杀量:100160913
四、文件夹模仿者
类型:U盘木马
危害:这是一类通过U盘等移动存储介质传播的木马程序,通常是由木马下载器创建的用于传播木马的功能组件,在打印店等频繁使用U盘的场所特别常见,受感染的学生用户群体也格外多。文件夹模仿者会将自己伪装成U盘中的文件夹,并把正常的文件夹设置为“隐藏”,从而欺骗用户点击,这样的话,即使用户禁止了U盘自动播放,文件夹模仿者仍然能运行起来,并且把它的母体木马下载器感染到电脑的其他磁盘中。
360安全卫士全年累计查杀量:77719535
五、魔兽密保克星
类型:盗号木马
危害:这类盗号木马将自己伪装为游戏的运行程序,针对热门网游《魔兽世界》,魔兽密保克星会把真正的wow.exe改名后设置为隐藏文件,木马却堂而皇之的以wow.exe的名称摆在玩家面前。如果玩家不加注意运行了木马,即使账号绑定了密码保护卡,游戏角色仍然会被盗取。
360安全卫士全年累计查杀量:73583440次
六、Gh0st肉鸡程序
类型:远程控制木马
危害:在2009年,Gh0st取代灰鸽子成为“肉鸡”控制最主流的黑客工具。由于该木马已经开源,各种修改版和变种更是层出不穷。和灰鸽子类似,Gh0st同样能监视受害用户的电脑屏幕、记录键盘操作、随意查看和盗取中招用户的资料,甚至自动开启用户电脑上的摄像头进行 *** 。
360安全卫士全年累计查杀量:52150554次
七、“母马”下载器
类型:木马下载器
危害:2009年1月出现的“母马”下载器采取“机器狗”式的穿透还原技术,感染系统文件实现自启动,可以穿透冰点、影子等系统还原软件,并具备更强的自我更新和变异能力:即便运行同一个“母马”样本,它所感染的系统文件都会出现不同的变化,感染方式和特征也随之变化。更特别的是,“母马”善于自动繁殖数千个子木马,将主进程文件藏身在其中,以此逃避安全软件的追杀,进而下载大量盗号木马及风险程序。
360安全卫士全年累计查杀量:24550339
八、 *** 消息木马插件
类型:诈骗程序
危害:这类诈骗程序高发于2009年前半年,通常借挂马、木马下载器等方式侵入网民电脑。它会把桌面右下角真正的 *** 图标隐藏起来,再将自己伪造为不断闪烁提示的 *** 消息,当受害用户点开消息后便弹窗推广中奖消息类的钓鱼网站,从而以保证金、手续费等名义诈骗受害用户钱财。
360安全卫士全年累计查杀量:20287859
九、“山寨熊猫”下载器
类型:木马下载器
危害:“山寨熊猫”从行为特征上最接近于当年肆虐一时的“熊猫烧香”,它会全盘感染exe类型可执行文件,对受害用户的电脑系统杀伤力极强,一旦运行起来就会占用大量CPU资源,甚至有可能导致电脑系统瘫痪死机。一些杀毒厂商也将“山寨熊猫”命名为“宝马下载器”。
360安全卫士全年累计查杀量:18201728
十、“执照凶手”下载器
类型:木马下载器
危害:2009年底危害更大的木马。它首次采用了真实的数字签名实现“免杀”,能突破几乎所有杀毒软件的防护,同时通过感染 *** 和迅雷等常用软件实现强行二次启动,因而具备空前的“免杀”能力和超强的隐蔽生存能力。单纯以查杀量计算,“执照凶手”并不能进入年度十大木马排行榜,但木马用上真实有效的数字签名,无疑是为安全行业敲响了警钟,甚至比犇牛、母马等顽固木马更值得人们警惕。
360安全卫士全年累计查杀量:1375166
刚用杀毒软件查木马,怎么所有DLL都是病毒啊?连WOW的DLL都是毒。怎么回事?
任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的 *** 。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文。
病毒进程隐藏三法
当我们确认系统中存在病毒,但是通过“任务管理器”查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法:
1.以假乱真
系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe就更加混乱了。如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。
2.偷梁换柱
如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe,和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:WINDOWSsystem32”目录下(Windows2000则是C:WINNTsystem32目录),如果病毒将自身复制到“C:WINDOWS”中,并改名为svchost.exe,运行后,我们在“任务管理器”中看到的也是svchost.exe,和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗?
3.借尸还魂
除了上文中的两种 *** 外,病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进程检测工具,否则要想发现隐藏在其中的病毒是很困难的。
系统进程解惑
上文中提到了很多系统进程,这些系统进程到底有何作用,其运行原理又是什么?下面我们将对这些系统进程进行逐一讲解,相信在熟知这些系统进程后,就能成功破解病毒的“以假乱真”和“偷梁换柱”了。
svchost.exe
常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:WINDOWSsystem32clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:WINDOWSsystem32svchost.exe -k LocalService”,而“Server”服务的可执行文件路径为“C:WINDOWSsystem32svchost.exe -k netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。
在Windows2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个,就要小心了,很可能是病毒假冒的,检测 *** 也很简单,使用一些进程管理工具,例如Windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“C:WINDOWSsystem32”目录外,那么就可以判定是病毒了。
explorer.exe
常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。
explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:Windows”目录,除此之外则为病毒。
iexplore.exe
常被病毒冒充的进程名有:iexplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像,因此比较容易搞混,其实iexplorer.exe是Microsoft Internet Explorer所产生的进程,也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了,iexplorer.exe进程名的开头为“ie”,就是IE浏览器的意思。
iexplore.exe进程对应的可执行程序位于C:ProgramFilesInternetExplorer目录中,存在于其他目录则为病毒,除非你将该文件夹进行了转移。此外,有时我们会发现没有打开IE浏览器的情况下,系统中仍然存在iexplore.exe进程,这要分两种情况:1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。
rundll32.exe
常被病毒冒充的进程名有:rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数,系统中存在多少个Rundll32.exe进程,就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的,他可以控制系统中的一些dll文件,举个例子,在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation”,回车后,系统就会快速切换到登录界面了。rundll32.exe的路径为“C:Windowssystem32”,在别的目录则可以判定是病毒。
spoolsv.exe
常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序,其作用是管理所有本地和 *** 打印队列及控制所有打印工作。如果此服务被停用,计算机上的打印将不可用,同时spoolsv.exe进程也会从计算机上消失。如果你不存在打印机设备,那么就把这项服务关闭吧,可以节省系统资源。停止并关闭服务后,如果系统中还存在spoolsv.exe进程,这就一定是病毒伪装的了。
限于篇幅,关于常见进程的介绍就到这里,我们平时在检查进程的时候如果发现有可疑,只要根据两点来判断:
1.仔细检查进程的文件名;
2.检查其路径。
通过这两点,一般的病毒进程肯定会露出马脚。
找个管理进程的好帮手
系统内置的“任务管理器”功能太弱,肯定不适合查杀病毒。因此我们可以使用专业的进程管理工具,例如Procexp。Procexp可以区分系统进程和一般进程,并且以不同的颜色进行区分,让假冒系统进程的病毒进程无处可藏。
运行Procexp后,进程会被分为两大块,“System Idle Process”下属的进程属于系统进程,
explorer.exe”下属的进程属于一般进程。我们介绍过的系统进程svchost.exe、winlogon.exe等都隶属于“System Idle Process”,如果你在“explorer.exe”中发现了svchost.exe,那么不用说,肯定是病毒冒充的。