木马的防范
一、防范木马应该注意的一些问题
1、不到不受信任的网站上下载软件运行
2、不随便点击来历不明邮件所带的附件
3、及时安装相应的系统补丁程序
4、为系统选用合适的正版杀毒软件,并及时升级相关的病毒库
5、为系统所有的用户设置合理的用户口令
口令设置要求:
1.口令应该不少于8个字符;
2.不包含字典里的单词、不包括姓氏的汉语拼音;
3.同时包含多种类型的字符,比如
o大写字母(A,B,C,..Z)
o小写字母(a,b,c..z)
o数字(0,1,2,…9)
o标点符号(@,#,!,$,%,& …)
win2000口令设置方法:
当前用户口令:在桌面环境下按crtl+alt+del键后弹出选项单,选择其中的更改密码项后按要求输入你的密码(注意:如果以前administrator没有设置密码的话,旧密码那项就不用输入,只需直接输入新的密码)。
其他用户口令:
在开始->控制面板->用户和密码->选定一个用户名->点击设置密码
二、检查和清除木马可能会使用到命令
1、如何进入命令行方式?
win98下在开始-->运行中输入command点确定
winnt、win2000、winxp下在开始-->运行中输入cmd后点确定
2、如何使用netstat命令?
netstat是用来显示网络连接、路由表和网络接口信息的命令,使用方法是在命令行下输入netstat -an后回车,输出结果格式如下:
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:2967 *:*
UDP 0.0.0.0:38037 *:*
这其中Proto项代表是协议类型,Local Address项代表的是本地IP地址和端口(冒号后面为端口号),Foreign Address项代表的是外部IP地址和端口,State表示的是当前状态。上面这个结果表示这台机器开放了TCP的135、445、1025和1026端口,UDP的445、2967和38027端口
3、如何使用Fport命令?
Fport是查看系统进程与端口关联的命令,使用方法是在命令行方式下输入Fport后回车,输出结果格式如下:
Pid Process Port Proto Path
472 svchost -> 135 TCP C:\WINNT\system32\svchost.exe
8 System -> 445 TCP
580 MSTask -> 1025 TCP C:\WINNT\system32\MSTask.exe
8 System -> 1026 TCP
8 System -> 445 UDP
444 rtvscan -> 2967 UDP C:\Program Files\NavNT\rtvscan.exe
812 MsgSys -> 38037 UDP C:\WINNT\System32\MsgSys.EXE
这其中port下面代表的是系统当前开放的端口而path下面列出的是与该端口关联的程序及其所在位置。
从上面这个结果看,系统上135、445端口是与C:\winnt\system32\svchost.exe程序关联的1025、1026、445(udp)端口与 c:\winnt\system32\mstask.exe程序关联的2967(udp)端口是与C:\Program Files\NavNT\rtvscan.exe程序关联的38027(udp)端口是与 C:\WINNT\System32\MsgSys.EXE程序关联的
注:fport仅适用于winnt、win2000和winxp,在win98下无法使用
4、如何编辑注册表?
请在开始--〉运行中输入regedit后点确定进入注册表编辑状态。注册表编辑框左边显示的是注册表的项,右边显示的是注册的键值,要删除键值请点中该键值后点右键选择其中的删除。要修改键值请点中该键值后点鼠标右键选择修改。要删除项请选中该项后点右键选删除。
5、如何关闭服务?
开始-->控制面版-->管理工具-->服务进入服务管理工具,选中要关闭的服务后点右键选停止
注:上面方法仅适用于WINNT、WIN2000和WINXP
6、如何进入安全模式?
系统启动时按F8
7、如何杀进程?
win98下按ALT+CTRL+DEL,在弹出的对话框中选中你要结束的进程后点关闭,winnt、win2000和winxp下按ALT+CTRL+DEL弹出窗口后选择任务管理器,在进程一项里选中你要结束的进程后点击结束进程
三、常见木马及控制软件的服务端口与关闭方法
注意:下文中提到的相关路径根据您的操作系统版本不同会有所不同,请根据自己的系统做相应的调整
win98系统: c:\windows c:\windows\system
winnt和win2000系统: c:\winnt c:\winnt\system32
winxp系统: c:\windows c:\windows\system32
根据系统安装的路径不同,目录所在盘符也可能不同,如系统安装在D盘,请将C:\windows改为D:\windows依此类推大部分的木马程序都可以改变默认的服务端口,我们应该根据具体的情况采取相应的措施,一个完整的检查和删除过程如下例所示:
例:113端口木马的清除(仅适用于windows系统):
这是一个基于irc聊天室控制的木马程序。
1.首先使用netstat -an命令确定自己的系统上是否开放了113端口
2.使用fport命令察看出是哪个程序在监听113端口
例如我们用fport看到如下结果:
Pid Process Port Proto Path
392 svchost -> 113 TCP C:\WINNT\system32\vhos.exe
我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为
c:\winnt\system32下。
3.确定了木马程序名(就是监听113端口的程序)后,在任务管理器中查找到该进程,并使用管理器结束该进程。
4.在开始-运行中键入regedit运行注册表管理程序,在注册表里查找刚才找到那个程序,并将相关的键值全部删掉。
5.到木马程序所在的目录下删除该木马程序。(通常木马还会包括其他一些程序,如,rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等,根据木马程序不同,文件也有所不同,你可以通过察看程序的生成和修改的时间来确定与 监听113端口的木马程序有关的其他程序)
6.重新启动机器。
以下列出的端口仅为相关木马程序默认情况下开放的端口,请根据具体情况采取相应的操作:
707端口的关闭:
这个端口开放表示你可能感染了nachi蠕虫病毒,该蠕虫的清除方法如下:
停止服务名为WINS Client和Network Connections Sharing的两项服务
删除c:\winnt\SYSTEM32\WINS\目录下的DLLHOST.EXE和SVCHOST.EXE文件
编辑注册表,删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services项中名为RpcTftpd和RpcPatch的两个键值
1999端口的关闭:
这个端口是木马程序BackDoor的默认服务端口,该木马清除方法如下:
使用进程管理工具将notpa.exe进程结束
删除c:\windows\目录下的notpa.exe程序
编辑注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中包含c:\windows\notpa.exe /o=yes的键值
2001端口的关闭:
这个端口是木马程序黑洞2001的默认服务端口,该木马清除方法如下:
首先使用进程管理软件将进程windows.exe杀掉
删除c:\winnt\system32目录下的windows.exe和S_Server.exe文件
编辑注册表,删除将HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\项中名为windows的键值
将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES项中的Winvxd项删除
修改HKEY_CLASSES_ROOT\txtfile\shell\open\command项中的c:\winnt\system32\S_SERVER.EXE %1为C:\WINNT\NOTEPAD.EXE %1
修改HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command项中的c:\winnt\system32\S_SERVER.EXE %1键值改为C:\WINNT\NOTEPAD.EXE %1
2023端口的关闭:
这个端口是木马程序Ripper的默认服务端口,该木马清除方法如下:
使用进程管理工具结束sysrunt.exe进程
删除c:\windows目录下的sysrunt.exe程序文件
编辑system.ini文件,将shell=explorer.exe sysrunt.exe 改为shell=explorer.exe后保存
重新启动系统
2583端口的关闭:
这个端口是木马程序Wincrash v2的默认服务端口,该木马清除方法如下:
编辑注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\项中的WinManager = "c:\windows\server.exe"键值
编辑win.ini文件,将run=c:\windows\server.exe改为run=后保存退出
重新启动系统后删除C:\windows\system\ SERVER.EXE
3389端口的关闭:
首先说明3389端口是windows的远程管理终端所开的端口,它并不是一个木马程序,请先确定该服务是否是你自己开放的。如果不是必须的,请关闭该服务。
win2000关闭的方法:win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项,
选中属性选项将启动类型改成手动,并停止该服务。
win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。
winxp关闭的方法:在我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
4444端口的关闭:
如果发现你的机器开放这个端口,可能表示你感染了msblast蠕虫,清除该蠕虫的方法如下:
使用进程管理工具结束msblast.exe的进程
编辑注册表,删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中的"windows auto update"="msblast.exe"键值
删除c:\winnt\system32目录下的msblast.exe文件
4899端口的关闭:
首先说明4899端口是一个远程控制软件(remote administrator)服务端监听的端口,他不能算是一个木马程序,但是具有远程控制功能,通常杀毒软件是无法查出它来的,请先确定该服 务是否是你自己开放并且是必需的。如果不是请关闭它。
关闭4899端口:
请在开始-->运行中输入cmd(98以下为command),然后cd C:\winnt\system32(你的系统安装目录),输入r_server.exe /stop后按回车。然后在输入r_server /uninstall /silence 到C:\winnt\system32(系统目录)下删除r_server.exe admdll.dll raddrv.dll三个文件
5800,5900端口:
首先说明5800,5900端口是远程控制软件VNC的默认服务端口,但是VNC在修改过后会被用在某些蠕虫中。
请先确认VNC是否是你自己开放并且是必须的,如果不是请关闭
关闭的方法:
首先使用fport命令确定出监听在5800和5900端口的程序所在位置(通常会是c:\winnt\fonts\explorer.exe)
在任务管理器中杀掉相关的进程(注意有一个是系统本身正常的,请注意!如果错杀可以重新运行c:\winnt\explorer.exe)
删除C:\winnt\fonts\中的explorer.exe程序。
删除注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中的Explorer键值。
重新启动机器。
6129端口的关闭:
首先说明6129端口是一个远程控制软件(dameware nt utilities)服务端监听得端口,他不是一个木马程序,但是具有远程控制功能,通常的杀毒软件是无法查出它来的。请先确定该服务是否是你自己安装并且是必需的,如果不是请关闭。
关闭6129端口:
选择开始-->设置-->控制面板-->管理工具-->服务
找到DameWare Mini Remote Control项点击右键选择属性选项,将启动类型改成禁用后停止该服务。
到c:\winnt\system32(系统目录)下将DWRCS.EXE程序删除。
到注册表内将HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\项中的DWRCS键值删除
6267端口的关闭:
6267端口是木马程序广外女生的默认服务端口,该木马删除方法如下:
启动到安全模式下,删除c:\winnt\system32\下的DIAGFG.EXE文件
到c:\winnt目录下找到regedit.exe文件,将该文件的后缀名改为.com
选择开始-->运行输入regedit.com进入注册表编辑页面
修改HKEY_CLASSES_ROOT\exefile\shell\open\command项的键值为"%1" %*
删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunServices项中名字为Diagnostic Configuration的键值
将c:\winnt下的regedit.com改回到regedit.exe
6670、6771端口的关闭:
这些端口是木马程序DeepThroat v1.0 - 3.1默认的服务端口,清除该木马的方法如下:
编辑注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run项中的‘System32=c:\windows\system32.exe键值(版本1.0)或‘SystemTray‘ = ‘Systray.exe‘ 键值(版本2.0-3.0)键值
重新启动机器后删除c:\windows\system32.exe(版本1.0)或c:\windows\system\systray.exe(版本2.0-3.0)
6939 端口的关闭:
这个端口是木马程序Indoctrination默认的服务端口,清除该木马的方法如下:
编辑注册表,删除
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce\
四项中所有包含Msgsrv16 ="msgserv16.exe"的键值
重新启动机器后删除C:\windows\system\目录下的msgserv16.exe文件
6969端口的关闭:
这个端口是木马程序PRIORITY的默认服务端口,清除该木马的方法如下:
编辑注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services项中的"PServer"=C:\Windows\System\PServer.exe键值
重新启动系统后删除C:\Windows\System\目录下的PServer.exe文件
7306端口的关闭:
这个端口是木马程序网络精灵的默认服务端口,该木马删除方法如下:
你可以使用fport察看7306端口由哪个程序监听,记下程序名称和所在的路径
如果程序名为Netspy.exe,你可以在命令行方式下到该程序所在目录输入命令Netspy.exe /remove来删除木马
如果是其他名字的程序,请先在进程中结束该程序的进程,然后到相应目录下删除该程序
编辑注册表,将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run项和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunServices项中与该程序有关的键值删除
7511端口的关闭:
7511是木马程序聪明基因的默认连接端口,该木马删除方法如下:
首先使用进程管理工具杀掉MBBManager.exe这个进程
删除c:\winnt(系统安装目录)中的MBBManager.exe和Explore32.exe程序文件,删除c:\winnt\system32目录下的editor.exe文件
编辑注册表,删除注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中内容为C:\WINNT\MBBManager.exe键名为MainBroad BackManager的项
修改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command中的c:\winnt\system32\editor.exe %1改为c:\winnt\NOTEPAD.EXE %1
修改注册表HKEY_LOCAL_MACHINE\Software\CLASSES\hlpfile\shell\open\command项中的C:\WINNT\explore32.exe %1键值改为C:\WINNT\WINHLP32.EXE %1
7626端口的关闭:
7626是木马冰河的默认开放端口(这个端口可以改变),木马删除方法如下:
启动机器到安全模式下,编辑注册表,删除HKEY_LOCAL_MACHINE\software\microsoft\windows\ CurrentVersion\Run项中
内容为c:\winnt\system32\Kernel32.exe的键值
删除HKEY_LOCAL_MACHINE\software\microsoft\windows\ CurrentVersion\Runservices项中内容为C:\windows\system32\Kernel32.exe的键值
修改HKEY_CLASSES_ROOT\txtfile\shell\open\command项下的C:\winnt\system32\Sysexplr.exe %1为C:\winnt\notepad.exe %1
到C:\Windows\system32\下删除文件Kernel32.exe和Sysexplr.exe
8011端口的关闭:
8011端口是木马程序WAY2.4的默认服务端口,该木马删除方法如下:
首先使用进程管理工具杀掉msgsvc.exe的进程
到C:\windows\system目录下删除msgsvc.exe文件
编辑注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中内容为C:\WINDOWS\SYSTEM\msgsvc.exe的键值
9989端口的关闭:
这个端口是木马程序InIkiller的默认服务端口,该木马删除方法如下:
编辑注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\项中的Explore="C:\windows\bad.exe"键值
重新启动系统后删除C:\windows目录下的bad.exe程序文件
19191端口的关闭:
这个端口是木马程序兰色火焰默认开放的telnet端口,该木马关闭方法如下:
使用管理工具结束进程tasksvc.exe
删除c:\windows\system目录下的tasksvc.exe、sysexpl.exe、bfhook.dll三个文件
编辑注册表,删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中的Network Services=C:\WINDOWS\SYSTEM\tasksvc.exe键值
将注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command项中的C:\WINDOWS\SYSTEM\sysexpl.exe "%1"键值改为c:\windows\notepad.exe "%1"键值
将注册表HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command项中的C:\WINDOWS\SYSTEM\sysexpl.exe "%1键值"改为c:\windows\notepad.exe "%1"
1029端口和20168端口:
这两个端口是lovgate蠕虫所开放的后门端口。
蠕虫相关信息请参见:Lovgate蠕虫
你可以下载专杀工具:FixLGate.exe
使用方法:下载后直接运行,在该程序运行结束后重起机器后再运行一遍该程序。
23444端口的关闭方法:
这个端口是木马程序网络公牛的默认服务端口,关闭该木马的方法如下:
进入安全模式,删除c:\winnt\system32\下的CheckDll.exe文件
将系统中的如下文件的大小与正常系统中的文件大小比较,如果大小不一样请删除,然后将正常的文件拷贝回来,需要检查的文件包括:
notepad.exe;write.exe,regedit.exe,winmine.exe,winhelp.exe
替换回正常文件后进入注册表编辑状态,删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项中的"CheckDll.exe"="C:\WINNT\SYSTEM32\CheckDll.exe“键值
删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices中的"CheckDll.exe"="C:\WINNT\SYSTEM32\CheckDll.exe"键值
删除HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run中的"CheckDll.exe"="C:\WINNT\SYSTEM32\CheckDll.exe"键值
请注意该病毒还可能会捆绑在其他应用软件上,请检查你的软件大小是否有异,如果有请卸载后重装
27374端口的关闭方法:
这个端口是木马程序SUB7的默认服务端口,关闭该木马方法如下:
首先使用fport软件确定出27374端口由哪个程序打开,记下程序名称和所在的路径。
编辑注册表,将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中包含刚才使用fport察看出的文件名的键值删除
将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServic项中包含刚才使用fport察看出的文件名的键值删除
在进程中将刚才察看的文件进程杀掉,如果杀不掉请到服务中将关联该程序的服务关掉(服务名应该是刚才在注册表RunServic中看到的)
编辑win.ini文件,检查“run=”后有没有刚才的文件名,如有则删除之
编辑system.ini文件,检查“shell=explorer.exe”后有没有刚才那个文件,如有将它删除
到相应的目录中将刚才查到的文件删除。
30100端口的关闭:
这个端口是木马程序NetSphere默认的服务端口,清除该木马方法如下:
编辑注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\项中的NSSX ="C:\WINDOWS\system\nssx.exe"键值
删除HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中的NSSX ="C:\WINDOWS\system\nssx.exe"键值
删除HKEY_USERS\****\Software\Microsoft\Windows\CurrentVersion\Run 中的NSSX ="C:\WINDOWS\system\nssx.exe"键值
重新启动系统后删除删除C:\WINDOWS\system\目录下的nssx.exe文件
31337端口的关闭:
这个端口是木马程序BO2000的默认服务端口,清除该木马方法如下:
将机器启动到安全模式状态
编辑注册表,删除\HEKY-LOCAL-MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServicse项中包含Umgr32.exe的键值
删除\Windows\System目录下的Umgr32.exe程序
重新启动机器
45576端口:
这是一个代理软件的控制端口,请先确定该代理软件并非你自己安装(代理软件会给你的机器带来额外的流量)
关闭代理软件:
1.请先使用fport察看出该代理软件所在的位置
2.在服务中关闭该服务(通常为SkSocks),将该服务关掉。
3.到该程序所在目录下将该程序删除。
50766端口的关闭:
这个端口是木马程序Schwindler的默认服务端口,清除该木马的方法如下:
编辑注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\项中的User.exe = "C:\WINDOWS\User.exe"键值
重新启动机器后删除c:\windows\目录下的user.exe文件
61466端口的关闭:
这个端口是木马程序Telecommando的默认服务端口,关闭该木马程序方法如下:
编辑注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\中的SystemApp="ODBC.EXE"键值
重新启动机器后删除C:\windows\system\目录下的ODBC.EXE文件。
教您手工轻松清除隐藏在电脑里的病毒和木马
大众网络报
现在上网的朋友越来越多了,其中有一点不可避免的就是如何防范和查杀病毒和恶意攻击程序了。但是,如果不小心中了病毒而身边又没有杀毒软件怎么办?没有关系,今天我就来教大家怎样轻松地手工清除藏在电脑里的病毒和木马。
检查注册表
注册表一直都是很多木马和病毒“青睐”的寄生场所,注意在检查注册表之前要先给注册表备份。
1. 检查注册表中HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runserveice,查看键值中有没有自己不熟悉的自动启动文件,扩展名一般为EXE,然后记住木马程序的文件名,再在整个注册表中搜索,凡是看到了一样的文件名的键值就要删除,接着到电脑中找到木马文件的藏身地将其彻底删除?比如“爱虫”病毒会修改上面所提的第一项,BO2000木马会修改上面所提的第二项)。
2. 检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的几项(如Local Page),如果发现键值被修改了,只要根据你的判断改回去就行了。恶意代码(如“万花谷”)就经常修改这几项。
3. 检查HKEY_CLASSES_ROOT\inifile \shell\open\command和HKEY_CLASSES_ROOT \txtfile\shell\open\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来,很多病毒就是通过修改.txt、.ini等的默认打开程序而清除不了的。例如“罗密欧与朱丽叶”?BleBla病毒就修改了很多文件(包括.jpg、.rar、.mp3等)的默认打开程序。
检查你的系统配置文件
其实检查系统配置文件最好的方法是打开Windows“系统配置实用程序”(从开始菜单运行msconfig.exe),在里面你可以配置Config.sys、Autoexec.bat、system.ini和win.ini,并且可以选择启动系统的时间。
1. 检查win.ini文件(在C?\windows\下),打开后,在?WINDOWS?下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。在一般情况下,在它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。比如攻击QQ的“GOP木马”就会在这里留下痕迹。
2.检查system.ini文件(在C:\windows\下),在BOOT下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,然后你就要在硬盘找到这个程序并将其删除了。这类的病毒很多,比如“尼姆达”病毒就会把该项修改为“shell=explorer.exe load.exe -dontrunold”。
对于进程这个概念,许多电脑用户都没有给予太多关注。在很多人印象里,只知道结束进程可以杀死程序,至于哪些进程对应哪些程序,究竟什么样的进程该杀,什么样的进程不能杀这些问题很少考虑。这里通过几个实例为大家揭开进程的神秘面纱。
实例一:和进程的“表演者”交个朋友
很多时候,我们并没有注意到系统中到底有多少进程。如果想了解进程的秘密,首先就必须和一些常见系统进程交个朋友,一旦掌握了它们,就能像侦探一样迅速从进程名单中发现可疑的家伙。
在Windows 2000/XP中,Ctrl+Shift+Esc组合键能快速调出任务管理器,而Windows 9X为Ctrl+Alt+Del组合键。
1.“主角”进程
首先来熟悉一下系统中的基本进程,它们是系统运行的基本条件,一般情况下不能关闭它们,否则会导致系统崩溃。
Windows 2000/XP:smss.exe、csrss.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe(可以同时存在多个)、spoolsv.exe、explorer.exe、System Idle Process;
Windows 9x:msgsrv32.exe、mprexe.exe、mmtask.tsk、kenrel32.dll。
你知道吗
进程与程序
简单地说,每启动一个程序,就启动了一个进程。在Windows 3.x中,进程是最小运行单位。在Windows 9X/2000/XP中,每个进程还可以启动几个线程,比如每下载一个文件可以单独开一个线程。在Windows 9X/2000/XP中,线程是最小单位。程序是永存的,进程是暂时的。举一个例子说:如果程序是剧本,那么表演过程就是进程;如果程序是菜谱,那么烹调过程就是进程。
人鬼情未了——Svchost.exe
它位于系统目录的System32文件夹,是从动态链接库(DLL)运行服务的一般性宿主进程。在任务管理器中,可能会看到多个Svchost.exe在运行,不要大惊小怪,这可能是多个DLL文件在调用它。不过,正因为如此,它也成为了病毒利用的对象,以前的“蓝色代码”病毒就是一例。另外,如果感染了冲击波病毒,系统也会提示“Svchost.exe出现错误”。
如果要查看哪些服务正在使用Svchost.exe,对于Windows 2000可从其安装光盘的SupportToolsSupport.cab压缩包中,将Tlist.exe解压缩至任意目录,接着在“命令提示符”中进入Tlist.exe所在目录,输入“tlist -s”并回车(“tlist pid”命令可看到详细信息)。而在Windows XP则直接输入“Tasklist /SVC”查看进程信息(“Tasklist /fi "PID eq processID"”则可看到详细信息)。
2.“配角”进程
这些系统进程虽然不是系统运行必须的,但也经常在进程列表中抛头露面。如internat.exe、systray.exe、rundll32.exe、loadwc.exe、ddhelp.exe、mstask.exe、ctfmon.exe、taskmagr.exe、msnmsgr.exe、wmiexe.exe,它们都是正常的系统进程。
建议在安装完Windows后,点击“开始→程序→附件→系统工具→系统信息”,在打开的“系统信息”窗口中再点击“软件环境→正在运行任务”(在此进程列表中,可看到更详细的属性,其中程序路径是非常重要的信息),接着点击“操作→另存成文本文件”,以后系统出现异常时则对照进行分析。另外,“优化大师”也提供了保存进程快照的功能●。
实例二:查找木马的蛛丝马迹
许多木马和一些防护工具采用了双进程保护手段,例如“Falling Star”木马就采用双进程模式,下面来看看如何发现它们。
第一步:打开任务管理器。根据和常见进程比较,很明显会发现两个“熟悉的陌生人”(和系统基本进程名称相似,但不相同):“internet.exe”和“systemtray.exe”。请和上一实例中的”配角“进程比较。
第二步:打开“系统信息”的“软件环境→正在运行任务”,查看路径信息,两者均指向WindowsSystem32目录,而且文件大小、日期均相同,但从文件日期来看并不属于微软的系统文件。进入资源管理器查看其版本属性,虽然公司标明为Microsoft,但与系统文件中的微软公司名称书写并不相同,基本可断定是非法进程,并且为双进程模式。
第三步:在尝试结束进程时,第一次选择“systemtray.exe”来结束进程树,结果进程马上就再生了,任务管理器中又显示出这两个进程!于是再次选择“internet.exe”,然后结束进程树●。进程没有再生,从而将木马进程从系统中清除。
实例三:真真假假系统进程
许多病毒和木马为避免从进程名称中发现它们的踪影,往往会采用“障眼法”,使用和系统文件或系统进程名称类似的进程名称。
1.文件名伪装
(1)修改常见程序或进程个别字符
例如,上面介绍的“Falling Star”木马的进程名称“internet.exe”就与输入法进程“internat.exe”十分相似。“WAY无赖小子”的服务端进程名称为“msgsvc.exe”,与系统基本进程“msgsrv32.exe”类似,还有Explorer.exe和Exp1orer.exe的区别,不仔细的话你能看出来吗?(数字“1”取代了字母“l”)
(2)修改扩展名
著名的冰河木马的服务端进程为Kernel32.exe,乍一看很熟悉,好像是哪个系统进程,其实系统根本不存在这样一个文件,Windows 9x的基本进程中却有一个叫做“Kernel32.dll”的。诸如此类的还有“Shell32.exe”的木马进程是从“Shell32.dll”这个大家都很熟悉的文件“演变”而来的,实际在系统中都是不存在的。
2.路径伪装
Windows目录和System目录是系统核心文件所在地,一般是“闲人免进”。因此,出入它们的文件一般都被人们认为是系统文件,而病毒和木马就借机将源文件放在这两个目录中。对于这类情况,一般只需要通过系统信息找到其源文件路径,打开文件的属性,从日期(这个非常重要,可以看是否与系统文件日期一样)、版本、公司名称信息中即可看出破绽。没有哪个病毒、木马文件能设计得与系统文件完全一致。
实例四:优化系统从进程开始
除系统运行必须的基本进程外,每个程序运行后都会在系统中生成进程,每个进程都会占用一定的CPU资源和内存资源。过多的进程和一些设计不良的进程就会导致系统变慢、性能下降,这时可对它们进行一下优化。
1.精简进程
系统中的一些进程并不是必须的,结束它们并不会对系统造成什么损害。
比如:internat.exe(显示输入法图标)、systray.exe(显示系统托盘小喇叭图标)、ctfmon.exe(微软Office输入法)、mstask.exe(计划任务)、sysexplr.exe(超级解霸伺服器)、winampa.exe(Winamp代理)、wzqkpick.exe(WinZip助手)等。
有一款叫做“进程杀手”的免费小工具,具备自动精简进程功能,可自动中止系统基本进程以外的所有进程。在怀疑电脑运行了某些黑客进程或病毒进程但又不能确定是哪一个时,该软件就可以有效清除那些非法进程。不过它只适合Windows 9x/Me。下载地址http://js-http.skycn.net:8080/down/prockiller_23.rar。
2.杀死不良进程
有时你会发现系统运行速度特别慢,这时可打开任务管理器,单击“进程”标签,点击“CPU”列标签让进程按CPU资源占用排序,可以很明显地看到资源占用最高的程序。同样方法,可以点击“内存”列标签,查看那些内存占用大户,及时结束进程。
这里有一种情况比较特殊:在查看CPU占用率时,一个叫做“System Idle Process”的进程会一直显示在90%左右。不必担心,实际上它并没有占用这么多系统资源,单击“性能”标签可看到其实际的CPU资源占用情况。
★对于Windows 9x,使用任务管理器是无法像Windows 2000/XP那样看到所有进程以及CPU、内存占用情况,推荐使用Process Explorer(下载地址http://www.sysinternals.com/ntw2k/freeware/procexp.shtml)。
★如果某个16位程序影响了系统运行,而且死活也关不掉,可进入任务管理器的进程选项卡,找到NTVDM.exe进程,将其关掉即可杀掉所有16位应用程序,而不用重启。
你还可以通过改变软件和游戏进程优先级来提高其性能,这样能使它们运行得更快,当然负作用就是可能影响到其他正在运行的进程。比如,为避免刻录缓存溢出问题造成刻录失败,可进入任务管理器的进程选项卡,找到并右击刻录软件的进程项,选择“设置优先级”,然后在弹出的子菜单中选择“高”。如果你不想每次都这样设置,可使用下面的方法。
第一步:打开软件或游戏所在目录,比如:D:/game,在这里新建一个文本文件,在其中输入以下语句:
echo off
start /priority game.exe
说明:将priority替换为所需的CPU优先级,建议使用high(高)、abovenormal(高于标准),因为它们的效果最好。将game.exe替换为软件或游戏的可执行文件名称,比如:stvoy.exe。
第二步:做完以上修改后将其保存为game.bat,现在就能通过这个文件来启动游戏或软件,而它将会使游戏或软件具有更高的CPU优先级。不过要注意的是,该文件必须要保存在游戏或软件所在目录
.rising.com.cn/image/011/antivirus2004011702.jpg target=_blank>
你还可以通过改变软件和游戏进程优先级来提高其性能,这样能使它们运行得更快,当然负作用就是可能影响到其他正在运行的进程。比如,为避免刻录缓存溢出问题造成刻录失败,可进入任务管理器的进程选项卡,找到并右击刻录软件的进程项,选择“设置优先级”,然后在弹出的子菜单中选择“高”。如果你不想每次都这样设置,可使用下面的方法。
第一步:打开软件或游戏所在目录,比如:D:/game,在这里新建一个文本文件,在其中输入以下语句:
echo off
start /priority game.exe
说明:将priority替换为所需的CPU优先级,建议使用high(高)、abovenormal(高于标准),因为它们的效果最好。将game.exe替换为软件或游戏的可执行文件名称,比如:stvoy.exe。
第二步:做完以上修改后将其保存为game.bat,现在就能通过这个文件来启动游戏或软件,而它将会使游戏或软件具有更高的CPU优先级。不过要注意的是,该文件必须要保存在游戏或软件所在目录
.rising.com.cn/image/011/antivirus2004011702.jpg border=0 alt=按此在新窗口浏览实际大小的图片 onload="javascript:if(this.width>screen.width-400)this.width=screen.width-400">
木马的出现对我们的系统造成了很大的危害,但是由于木马通常植入得非常隐蔽,很难完全删除,因此,这里我们介绍一些常见木马的清除方法。
1. 网络公牛(Netbull)
网络公牛是国产木马,默认连接端口23444。服务端程序newserver.exe运行后,会自动脱壳成checkdll.exe,位于C:\WINDOWS\SYSTEM下,下次开机checkdll.exe将自动运行,因此很隐蔽、危害很大。同时,服务端运行后会自动捆绑以下文件:
win2000下:notepad.exe;regedit.exe,reged32.exe;drwtsn32.exe;winmine.exe。
服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、QQ、ICQ等)上,在注册表中网络公牛也悄悄地扎下了根。
网络公牛采用的是文件捆绑功能,和上面所列出的文件捆绑在一块,要清除非常困难。这样做也有个缺点:容易暴露自己!只要是稍微有经验的用户,就会发现文件长度发生了变化,从而怀疑自己中了木马。
清除方法:
1.删除网络公牛的自启动程序C:\WINDOWS\SYSTEM\CheckDll.exe。
2.把网络公牛在注册表中所建立的键值全部删除:
3.检查上面列出的文件,如果发现文件长度发生变化(大约增加了40K左右,可以通过与其它机子上的正常文件比较而知),就删除它们!然后点击“开始→附件→系统工具→系统信息→工具→系统文件检查器”,在弹出的对话框中选中“从安装软盘提取一个文件(E)”,在框中填入要提取的文件(前面你删除的文件),点“确定”按钮,然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如:realplay.exe、QQ、ICQ等被捆绑上了,那就得把这些文件删除,再重新安装。
2. Netspy(网络精灵)
Netspy又名网络精灵,是国产木马,最新版本为3.0,默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能,客户端现在可以不用NetMonitor,通过IE或Navigate就可以进行远程监控了。服务端程序被执行后,会在C:\Windows\system目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINE\software\ microsoft\windows\CurrentVersion \Run\下建立键值C\windows\ system\netspy.exe,用于在系统启动时自动加载运行。
清除方法:
1.重新启动机器并在出现Staring windows提示时,按F5键进入命令行状态。在C:\windows\system\目录下输入以下命令:del netspy.exe;
2.进入HKEY_LOCAL_MACHINE\
Software\microsoft\windows\ CurrentVersion\Run\,删除Netspy的键值即可安全清除Netspy。
3. SubSeven
SubSeven的功能比起BO2K可以说有过之而无不及。最新版为2.2(默认连接端口27374),服务端只有54.5k,很容易被捆绑到其它软件而不被发现。最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe,客户端程序subseven.exe。SubSeven服务端被执行后,变化多端,每次启动的进程名都会发生变化,因此很难查。
清除方法:
1.打开注册表Regedit,点击至: HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\Run和RunService下,如果有加载文件,就删除右边的项目:加载器=“c:\windows\system\***”。注:加载器和文件名是随意改变的
2.打开win.ini文件,检查“run=”后有没有加上某个可执行文件名,如有则删除之。
3.打开system.ini文件,检查“shell=explorer.exe”后有没有跟某个文件,如有将它删除。
4.重新启动Windows,删除相对应的木马程序,一般在c:\windows\system下,在我在本机上做实验时发现该文件名为vqpbk.exe。
4. 冰河
我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。 冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就会在C:\Windows\system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe。
清除方法:
1.删除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件;
2.冰河会在注册表HKEY_LOCAL_
MACHINE\software\microsoft\windows\ CurrentVersion\Run下扎根,键值为C:\windows\system\Kernel32.exe,删除它;
3.在注册表的HKEY_LOCAL_
MACHINE\software\microsoft\windows\ CurrentVersion\Runservices下,还有键值为C:\windows\system\Kernel32.exe的,也要删除;
4.最后,改注册表HKEY_CLASSES_
ROOT\txtfile\shell\open\command下的默认值,由表中木马后的C:\windows\system\Sysexplr.exe %1改为正常的C:\windows\notepad.exe %1,即可恢复TXT文件关联功能。
5. 网络神偷(Nethief)
网络神偷是个反弹端口型木马。什么叫“反弹端口”型木马呢?与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口,为了隐蔽起见,客户端的监听端口一般开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似“TCP 服务端的IP地址:1026 客户端的IP地址:80 ESTABLISHED”的情况,稍微疏忽一点你就会以为是自己在浏览网页。
清除方法:
1.网络神偷会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\Run下建立键值“internet”,其值为“internet.exe /s”,将键值删除;
2.删除其自启动程序C:\WINDOWS\SYSTEM\INTERNET.EXE。
6. 广外女生
“广外女生”是是一种新出现的远程监控工具,破坏性很大,远程上传、下载、删除文件、修改注册表等自然不在话下。其可怕之处在于“广外女生”服务端被执行后,会自动检查进程中是否含有“金山毒霸”、“天网”等字样,如果发现就将该进程终止,也就是说使防火墙完全失去作用!
清除方法:
1.启动到纯DOS模式下,找到System目录下的DIAGFG.EXE,删除它;
2.我们找到Windows目录中的注册表编辑器“Regedit.exe”,将它改名为“Regedit.com”;
3.回到Windows模式下,运行Windows目录下的Regedit.com程序(就是我们刚才改名的文件);
4.找到HKEY_CLASSES_ROOT\
exefile\shell\open\command,将其默认键值改成"%1" %*;
5删除注册表中名称为“Diagnostic Configuration”的键值;
6.关掉注册表编辑器,回到Windows目录,将“Regedit.com”改回“Regedit.exe”。
7. WAY2.4
WAY2.4是国产木马程序,默认连接端口是8011。WAY2.4的注册表操作的确有特色,对受控端注册表的读写,就和本地注册表读写一样方便!WAY2.4服务端被运行后在C:\windows\system下生成msgsvc.exe文件,图标是文本文件的图标,很隐蔽。看来它想冒充系统文件msgsvc32.exe。同时,WAY2.4在注册表HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run下建立串值Msgtask。
清除方法:
用进程管理工具查看,你会发现进程CWAY,只要删除它在注册表中的键值,再删除C:\windows\system下的msgsvc.exe这个文件就可以了。
要注意在Windows下直接删除msgsvc.exe是删不掉的,此时你可以用进程管理工具终止它的进程,然后再删除它。或者到DoS下删除msgsvc.exe也可。如果服务端已经和可执行文件捆绑在一起了,那就只有将那个可执行文件也删除了。注意在删除前请做好备份。
本文原题:【通知】欢迎使用《偷懒用笔记本》
问:XXX是个什么病毒?
答:
http://it.rising.com.cn/newSite/Channels/Anti_Virus/index.htm
使用病毒名可以在上页查询瑞星的资料库。
_____________________________________________
问:我感染了XXX病毒,该怎么杀啊?
答:
请使用查出此病毒的软件,在安全模式下断网全盘杀毒。
进入安全模式的方法:重新启动电脑, 开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows
还不行的话,建议将杀毒软件升级到最新版,在DOS下断网全盘杀毒。
DOS杀毒简要说明
在BIOS里设置从光盘或者软盘启动,然后用瑞星的光盘或者A盘启动,有提示,按照提示杀毒(使用其它杀毒软件的话,请参考相关软件说明书)。
请参考
BIOS设置图解说明
http://community.rising.com.cn/Forum/msg_read.asp?FmID=3&SubjectID=1724648&page=1
简单说,进CMOS设置(一般是开机过程中按Del,也可能是其它键,参考你的主板说明书),并选择BIOS FEATURES SETUP——>Boot Sequence,将其值设为A,C或A;C,SCSI(注:用PageUp\PageDown设置),按ESC退出,选择SAVE&EXIT SETUP保存设置并重新启动。这就设成了从软驱优先启动,即可以用瑞星A盘在纯DOS下查杀。(注:不同主板的电脑进入CMOS设置有可能不一样,但设置大体相似)
_____________________________________________
问:杀毒后,我的大部分程序不能运行了,怎么办?
答:
试试瑞星的注册表修复器(这是个com文件,如果只是更改了exe关联,这个还能运行)
http://download.rising.com.cn/zsgj/RegClean.com
或者
下载下面网址提供的文件后双击
http://it.rising.com.cn/service/technology/Sircam_download.htm
_____________________________________________
问:杀毒时,瑞星提示“请解压”是怎么回事?
答:
如果提示“请解压”
1 病毒在\Temporary Internet Files目录下
请清空IE临时文件(打开IE浏览器——工具——internet选项——删除文件,
可以把“删除所有脱机内容”选上。)。
普通模式不行的话,在安全模式重复上述操作。
进入安全模式的方法:重新启动电脑, 开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows
如果还不行,试试看,启动到安全模式,在文件夹选项中,显示隐藏文件和取消“隐藏受保护的操作系统文件”。然后到C:\Documents and Settings\Local Settings\Temporary Internet Files\下面,把能删除的都删掉。(这是XP下的步骤,其它系统参照)
2 病毒在\_Restore目录下(WinMe)或者System Volume Information目录下(WinXP),请关闭系统还原。
\_Restore目录(WinMe)或者System Volume Information目录(WinXP)都是系统还原用到的目录,要是病毒藏身在那里,需要关闭系统还原。
操作系统是WindowsMe的话,系统还原目录为\_Restore,需要禁用系统还原,DOS下删除。具体请参考下文:
http://community.rising.com.cn/Forum/msg_read.asp?FmID=33&SubjectID=2028691&page=1
XP关闭系统还原的方法:右键单击“我的电脑”,选“属性”——“系统还原”——在“在所有驱动器上关闭系统还原”前面打勾——按“确定”退出。
XP关闭系统还原的同时,里面的内容会自己清空,里面的病毒也没有了。不放心的话,您再查一下毒看看。
3 病毒在windows安装目录的Downloaded Program Files目录下,一般为cab文件,可能您需要在文件夹选项中显示隐藏文件和取消“隐藏受保护的操作系统文件”才能看到这个目录和其中的文件。找到该cab文件后在上面点右键,选“删除”。
4 其它情况,请参考下文相关章节
【圣诞节礼物】新手常见问题解答
http://community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=2487737&page=1
_____________________________________________
问:(倒计时关机、2000不能粘贴复制等冲击波症状)
答:
怀疑冲击波病毒。
可以使用瑞星的冲击波专杀来杀,最好断网在安全模式查杀。
http://download.rising.com.cn/zsgj/ravblaster.exe
要给系统打RPC漏洞补丁,补丁下载地址,参考此页http://it.rising.com.cn/newSite/Channels/Safety/LatestHole/Hole_Windows/200308/12-164011274.htm
杀毒后,打补丁,打开防火墙,才能正常上网。
具体信息,请参考下面网页
http://it.rising.com.cn/service/technology/RS_blaster.htm
提醒一下,“高波”病毒利用“冲击波”利用的RPC漏洞以及其它几个不为常知的漏洞,所以建议杀毒后使用windows update(打开IE——工具——windows update)给系统打上所有关键补丁、安全补丁。
XP的话,是否能打补丁要考虑好。
_____________________________________________
问:(关于感染WORM_NACHI.A、W32.Welchia.Worm、W32.Nachi.worm、Win32.Nachi.Worm、Welchia、W32/Nachi-A、WORM_KillMSBlaster.10240)
答:
这是“冲击波杀手”病毒。
可以使用瑞星的冲击波专杀来杀,最好在安全模式。
http://download.rising.com.cn/zsgj/ravblaster.exe
转贴手动清除方法(建议还是使用上面的专杀,那样方便):
如果您的计算机感染了Welchia蠕虫,可以用如下方法清除:
1、停止如下两项服务(开始->控制面板->管理工具->服务):
WINS Client
Network Connections Sharing
2、检查、并删除文件:
%SYSTEMROOT%\SYSTEM32\WINS\DLLHOST.EXE
%SYSTEMROOT%\SYSTEM32\WINS\SVCHOST.EXE
%SYSTEMROOT%指的是你的系统安装目录
对于Windows 2000,默认在C:\Winnt\SYSTEM32\WINS\
对于Windows XP,默认在C:\Windows\SYSTEM32\WINS\
3. 进入注册表(开始->运行:regedit),删除如下键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcPatch
要给系统打RPC漏洞补丁(否则很快被再次感染)
补丁下载地址,参考此页http://it.rising.com.cn/newSite/Channels/Safety/LatestHole/Hole_Windows/200308/12-164011274.htm
杀毒后,打补丁,打开防火墙,才能正常上网。
.............................................
注意,对于新的变种Worm.Welchia.b,需要“禁用”的服务为Wkspatch
重新启动电脑,然后您可以删除文件
%System%\drivers\svchost.exe
%System%指的是你的系统文件目录
对于2000,删除X:\WINNT\system32\drivers\svchost.exe
对于XP,删除X:\WINDOWS\system32\drivers\svchost.exe
这里的X指的是你的系统盘的盘符。
_____________________________________________
问:(反复中毒、中木马)
答:(主要针对NT内核的系统)
如果在局域网,需要断网查杀所有电脑。
建议给你的管理员账号设置个复杂的密码。停用Guest账号。
建议使用windows update(打开IE——工具——windows update)给系统打上所有关键补丁、安全补丁。
XP的话,是否能打补丁要考虑好。
不能打补丁的话,也要:
升级IE到6.0sp1,然后打上IE最新的补丁,这样可以增加安全性。
下载地址(华军软件园):
Microsoft Internet Explorer 6.0 SP1 简体中文完全版
http://www.onlinedown.net/soft/17441.htm
至少打上这个补丁:IE6修补iFrame漏洞补丁(注意,要选对语言版本,一般用简体中文补丁,这个包含在IE6sp1中):
http://www.microsoft.com/windows/ie/downloads/critical/q319182/download.asp
其它安全注意事项:
禁止建立空连接
运行regedit,找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous(DWORD)的键值改为:00000001。
禁止隐含共享
windows2000禁止隐含共享的方法
在计算机管理器中先删掉这些默认共享。
(控制面板——管理工具——计算机管理——共享文件夹,在这里删除。
或者运行下列命令删掉这些默认共享
net share IPC$ /delete
net share admin$ /delete
net share C$ /delete
net share D$ /delete
net share E$ /delete
直到最后一个硬盘分区)
然后在注册表中操作,找到如下键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
如果是服务器,在该键下增加一个名为“AutoShareServer”的DWORD值,值设为0。
如果是工作站(对于XP家庭版或者专业版也适用),在该键下增加一个名为“AutoShareWks”的DWORD值,值设为0。
最后重启即可!
或者干脆禁止server这个服务,如果不使用IIS等,在停止共享的同时,不会有不良影响。
http://community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=2431173&page=1
需要关闭的服务,请参考下文。
http://community.rising.com.cn/Forum/msg_read.asp?FmID=3&SubjectID=1706401&page=1
_____________________________________________
问:(QQ连发器)
答:
如果中了QQ连发器,请用最新版瑞星杀一下,或者用专杀试试看(最好在安全模式杀毒)
http://it.rising.com.cn/service/technology/RS_QQMsender.htm
http://www.spant.net/
先杀毒,杀毒后,试试瑞星的注册表修复器
http://download.rising.com.cn/zsgj/RegClean.com
还不行的话,先把主页改成空白的(工具——internet选项——常规,主页改为空白页),运行msconfig查看启动项,看看是否有可疑的,禁止掉(比如后缀为url,html,htm,hta的都禁止掉),最好找到相关文件,一并删除。
2000没有msconfig,可以复制98、XP的。
或者请参考《HijackThis简明教程(编译+部分原创)》
http://community.rising.com.cn/forum/msg_read.asp?FmID=28&SubjectID=2525930&page=1
看看能否用它修复。您也可以把HijackThis生成的log日志文件的内容贴上来,方便大家分析。
_____________________________________________
问:(恶意网站修改主页)
答:请用最新版瑞星杀一下,或者用专杀试试看。
专杀方面,若是上了某个中文的网引起的问题,请用spant试试(最好在安全模式使用)
http://www.spant.net/
若是上了某个外文的网引起的,请下载下面的工具,4个地址,同一工具。
http://www.merijn.org/files/CWShredder.exe
http://www.zerosrealm.com/downloads/CWShredder.zip
http://www.spywareinfo.com/~merijn/files/CWShredder.exe
http://www.spywareinfo.com/~merijn/files/cwshredder.zip
关闭所有IE窗口,运行此工具让它修复(Fix),问题仍在的话,再用Hijackthis扫描一次贴上来。
(请参考《HijackThis简明教程(编译+部分原创)》
http://community.rising.com.cn/forum/msg_read.asp?FmID=28&SubjectID=2525930&page=1
您可以把HijackThis生成的log日志文件的内容贴上来,方便大家分析。)
_____________________________________________
问:hkcmd.exe是病毒吗?
答:
这是intel芯片组(含显卡的那种)驱动中自带的支持热键改变显示模式的程序。可以禁用,不是病毒,但可能被病毒替代。如果杀毒软件没报,应该不必担心。热键程序自然会监视键盘输入,某些老版本的优化大师会误报。
_____________________________________________
问:进程里的taskmgr.exe是什么?
答:
taskmgr.exe是任务管理器,你用Ctrl+Alt+Del调出来的就是任务管理器,这种情况下,taskmgr.exe本身会占用大量CPU时间,但会很快降下来。
另外,一些病毒会感染或替换、注入taskmgr.exe。不放心的话,请将杀毒软件升级到最新版,在安全模式下断网全盘杀毒。
进入安全模式的方法:重新启动电脑, 开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows
_____________________________________________
问:我把给瑞星设的密码忘了,怎么办?
答:
找到rav.ini文件,用记事本打开,删除如下两行
[RavDlg]
MenuItem=*********
_____________________________________________
问:(无法打开网页上的任何链接,包括不能复制、粘贴)
答:
先杀毒,看看是否中毒(如果查出是冲击波请打补丁)。
然后卸载3721和ACDSee5.0迷你版(如果装了的话),接下来按下面的方法操作:
1.点击“开始”→“运行”,在弹出的“运行”对话框中输入“regsvr32 actxprxy.dll”(注意输入时没有引号),然后点击“确定”按钮,接着会出现一个信息对话框
“DllRegisterServer in actxprxy.dll succeeded”,在该对话框中点“确定”按钮;
2.再次点击“开始”→“运行”,在弹出的“运行”对话框中输入“regsvr32 shdocvw.dll”(注意输入时没有引号),然后点击“确定”按钮,接着会出现一个信息对话框
“DllRegisterServer in shdocvw.dll succeeded”,在该对话框中点“确定”按钮;
3.重新启动。
不行的话,运行下面的
regsvr32 shdocvw.dll ,确定,接着出现一个消息框,确定
regsvr32 oleaut32.dll,确定,接着出现一个消息框,确定
regsvr32 actxprxy.dll,确定,接着出现一个消息框,确定
regsvr32 mshtml.dll,确定,接着出现一个消息框,确定
regsvr32 msjava.dll,确定,接着出现一个消息框,确定
regsvr32 browseui.dll,确定,接着出现一个消息框,确定
regsvr32 urlmon.dll,确定,接着出现一个消息框,确定
重新启动
仍旧不行的话,运行下面的
regsvr32 /i /s MFC42.DLL
regsvr32 /i /s advpack.dll
regsvr32 /i /s browselc.dll
regsvr32 /i /s WSOCK32.DLL
regsvr32 /i /s js cript.dll
regsvr32 /i /s rpcrt4.dll
regsvr32 /i /s MSHTMLED.DLL
regsvr32 /i /s oleaut32.dll
regsvr32 /i /s MSRATING.DLL
regsvr32 /i /s comctl32.dll
regsvr32 /i /s msratelc.dll
regsvr32 /i /s URL.DLL
regsvr32 /i /s URLMON.DLL
regsvr32 /i /s WININET.DLL
regsvr32 /i /s SHDOCVW.DLL
regsvr32 /i /s OLE32.DLL
regsvr32 /i /s mydocs.dll
regsvr32 /i /s ACTXPRXY.DLL
regsvr32 /i /s RPCRT4.dll
regsvr32 /i /s mshtml.dll
regsvr32 /i /s MSVCRT.DLL
regsvr32 /i /s DXTMSFT.DLL
regsvr32 /i /s DDRAWEX.DLL
regsvr32 /i /s DDRAW.DLL
regsvr32 /i /s DXTRANS.DLL
regsvr32 /i /s ATL.DLL
regsvr32 /i /s DINFO.DLL
regsvr32 /i /s LOCSCRCH.DLL
regsvr32 /i /s CONCL.DLL
regsvr32 /i /s SHDOCLC.DLL
regsvr32 /i /s MSLS31.DLL
regsvr32 /i /s SHDOCLC.DLL
regsvr32 /i /s CESWEB.DLL
regsvr32 /i /s NETAPI32.DLL
regsvr32 /i /s NETBIOS.DLL
regsvr32 /i /s MSI.DLL
regsvr32 /i /s MSOSS.DLL
regsvr32 /i /s BROWSELC.DLL
regsvr32 /i /s MFC42LOC.DLL
regsvr32 /i /s imm32.dll
regsvr32 /i /s VERSION.dll
regsvr32 /i /s ADVAPI32.dll
regsvr32 /i /s OLEPRO32.DLL
regsvr32 /i /s shell32.dll
regsvr32 /i /s shlwapi.dll
重新启动
_____________________________________________
问:如何关闭信使服务?
答:
XP服务设置法
打开“控制面板”,单击“性能和维护”,单击“管理工具”,双击“服务”。单击“Messenger”,然后在“操作”菜单中,单击“属性”。进入“常规”选项卡,单击“停止”按钮,再将“启动类型”改为“手动”或“已禁用”。如果“Messenger”服务被停止,Alerter消息不会被传输。如果“Messenger”服务被禁用,任何直接依赖于它的服务将无法启动,这正是我们所希望的。最后单击“确定”按钮。
以后,恼人的“信使服务”就不会再打扰你了。
2000服务设置法
点击“开始”并选择“运行”,输入“services.msc”,点击“确定”。然后,双击Messenger服务并按“停止”。从“启动类型”列表中,选择“禁用”,此后Windows启动时就不会自动载入Messenger了。
_____________________________________________
问:我新打开的IE窗口为什么不是最大化的?
答:
试试看,关闭所有IE窗口,打开一个IE窗口,从中再打开一个新窗口,关闭原窗口,把新窗口手动用鼠标左键拉到最大,关闭这个窗口。
重新打开IE,应该解决了。
_____________________________________________
问:开机报告“Boot.ini文件非法”,怎么办?
答:
这个问题一般是由于boot.ini文件丢失或格式不正确造成的。
boot.ini文件的格式一般是下面这种类型的——
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\Windows
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\Windows="Microsoft Windows XP Professional" /fastdetect
请参考
解读多重启动引导文件——BOOT.INI
日期:2002-7-3 9:19:29
出处:电脑爱好者
作者:-
Windows NT类的*作系统,也就是Windows NT/2000/XP中,有一个特殊文件,也就是“BOOT.INI”文件,这个文件会很轻松地按照我们的需求设置好多重启动系统。
“BOOT.INI”文件会在已经安装了Windows NT/2000/XP的*作系统的所在分区,一般默认为C:\下面存在。但是它默认具有隐藏和系统属性,所以你要设置你的文件夹选项,以便把“BOOT.INI”文件显示出来。我们可以用任何一种文本编辑器来打开他它。一般情况下,它的内容如下:
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\Windows
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\Windows="Microsoft Windows XP Professional" /fastdetect
在Windows 2000或者是XP系统中,我们可以很容易的设置“BOOT.INI”文件。那就是在“我的电脑”上面点击右键,选择“属性”打开“系统属性”对话框,再点击“高级”选项卡,在“启动和故障修复”里面点击“设置”按钮,就可以打开“启动和故障修复”对话框了,在这里面我们就可以对它进行详细设置。
如果你拥有Windows XP*作系统,那么你可以用“系统配置实用程序”来更方便的编辑“BOOT.INI”文件。具体做法是:打开“开始”菜单,点击“运行”命令,再在弹出的文本框中输入“msconfig”点击“确定”后就会弹出“系统配置实用程序”,再点击“BOOT.INI”选项卡,就会出现如图所示的界面。在这里,我们可以很方便地设置文件。
言归正传,现在,来说明一下这个文件内容的含义。
1.系统加载部分([boot loader])
这一部分很简单,只有两个设定。那就是“timeout=”和“default=”。
“timeout=”就是设定开机时系统引导菜单显示的时间,超过设定值则自动加载下面“default=”指定的*作系统。默认值是30,单位为秒。我们可以在这里面设定等待时间的长短。如果将其设为“0”那么就是不显示系统引导菜单。
“default=”则是设定默认引导的*作系统。而等号后面的*作系统必须是已经在“[operating systems]”中存在的。如果想默认为加载另外的*作系统,我们可以参看“[operating systems]”中的*作系统列表,然后把想要加载的*作系统按照格式写到“default=”后面就可以了。
2.*作系统部分([operating systems])
在这里面,列出了机器上所安装的全部*作系统。比如机器上只有一个*作系统,那么就只有一条信息,那就是“multi(0)disk(0)rdisk(0)partition(1)\Windows="Microsoft Windows XP Professional" /fastdetect”
在这里需要注意的是,在英文引号内的文字就是引导*作系统菜单时显示出来的让我们选择*作系统的提示文字,在这里面我们可以随意更改。而“multi(0)disk(0)rdisk(0)partition(1) \Windows”这一句就需要些解释了。因为它涉及ARC(高级RISC计算机)命名,它是x86或RISC计算机中用于标识设备的动态方法。
ARC命名的第一部分用于标识硬件适配卡/磁盘控制器,它有两个选项:SCSI和Multi。
Multi表示一个非SCSI硬盘或一个由SCSI BIOS访问的SCSI硬盘,而SCSI则表示一个SCSI BIOS禁止的SCSI硬盘。是硬件适配卡序号。Disk表示SCSI总线号。如果硬件适配卡为Multi,其正确表示方法就为disk(0),rdisk则表示硬盘的序号,如果硬件适配卡为SCSI则忽略此值;
partition表示硬盘的分区序号。了解这些,我们就可以解释前面那条信息的含义了,即“multi(0)disk(0)rdisk(0)partition(1) \Windows”为,在0号非SCSI设备上的第0号磁盘上的第一个分区里面的“Windows”目录下可以找到能够启动的*作系统。
等号后的内容前面已经说过,那个就是引导菜单显示出来的供我们选择的提示文字。而后面的“/fastdetect”又是作什么用的呢?这是一个开关符,用来控制启动该*作系统时的具体选项,下面再来详细的介绍各种开关符的含义:
/3GB:这是Win2000 SP3新引入的。这使得用户区和系统区分为3G比1G的比例。只有用户使用NT企业版,应用程序也支持3GB选项时,此选项才生效。
/BASEVIDEO:使用标准VGA方式启动。这种方式主要用于显示驱动程序失效时。
/BAUDRATE:指出用于调度的波特率,如果用户不设置,则使用默认的9600,而对于线缆Modem则使用19200。
/BOOTLOG:使Win2000将日志写入 %SystemRoot%\NTBTLOG.TXT 。
/BURNMEMORY=:使NT在已知的内存上少使用指定的数量,如果/burnmemory=64,则有64M内存NT不使用。
/CRASHDEBUG:调度器在NT启动时启动,只有在内核错误时才有用,如果系统经常会无故出错,这个选项就很有用了。
/DEBUG:在启动NT时调入调度器,它可以在任何时间激活,在错误可以再次出现时使用它比较合适。
/DEBUGPORT= comx :指定用于调度的端口,其它X就指端口号。
/FASTDETECT:对于Win2000启动时,它使系统不检查串行口和并行口。
/HAL=<hal>:允许用户不使用默认的HAL。
/INTAFFINITY:设置多处理器HAL(HALMPS.DLL),使编号最大的处理器接收中断请求。如果不设置此选项,Win2000会使所有处理器接收中断请求。
/KERNEL=<kernel>:与上面的功能相同,不过是针对SMP中的内核而言的。
/MAXMEM:n:指定NT可以使用的最大内存数,如果一个内存片损坏,这个开关就十分有用了。
/NODEBUG:不使用调试信息。
/NOGUIBOOT:指定此选项会使Win2000不加载VGA驱动程序,也就不会显示启动过程和失败时的兰屏信息。
/NOSERIALMICE=[COMx | COMx,y,z…]:在特定的COM中上禁止对串行鼠标的检测。如果用户有一个非鼠标设备接在COM口上,这个选项会十分有用。如果此开关未加参数,系统会禁止所有COM口。
/NUMPROC=n:只允许前N个系统处理器工作。
/ONECPU:在多处理器中只使用一个处理器。
/PCILOCK:不让NT为PCI设置分配IO/IRQ资源,而启用BIOS设置。
/SAFEBOOT:安全启动,这个大家一定十分熟悉,Win2000只启动HKLM\System\CurrentControlSetControl\SafeBoot中的驱动程序和服务,其后跟三个参数MINIMAL,NETWORK或DSREPAIR之一。MINIMAL和NETWORK在允许网络下启动系统。而DSREPAIR要求系统从备份设备中调入活动目录的设置。还有一个选项是"(AlterNATESHELL)",它让系统调入由HKLM\System\CurrentControlSetSafeBoot\AlternateShell指定的SHELL程序,而不使用默认的Explorer。
/SOS:在调入驱动程序名时显示它的名字,在因驱动问题而无法启动时使用比较好。
/WIN95:在装有三个系统DOS、Win9x和Windows NT的系统上,让NTLDR直接调用Win9x。启动文件BOOTSECT.W40。
/WIN95DOS:在装有三个系统DOS、Win9x和Windows NT的系统上,让NTLDR直接调用DOS启动文件BOOTSECT.DOS
/YEAR=:使用指定的年份,如果设置为/YEAR=2005,那现在的时间就是2005年,此选项仅对NT4+SP4和Win2000生效。
了解了以上这些,我们就可以更加轻松控制好我们系统的启动了。
_____________________________________________
问:我的进程里有svchost,是不是冲击波/冲击波杀手?
答:
2000/XP系统中正常情况下可以有3到5个svchost进程。
如果最新版的杀毒软件未报告病毒,不必过于担心。
Svchost.exe说明
精华序号:166
来自论坛:小熊在线 《软件论坛》
内容说明:解除对Svchost的困惑
Svchost.exe说明~~~解疑对Svchost的困惑~~~(1256字) 雨浪飘零 (279834)于2003/06/27(14:08:51)..
Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。
.
Svchost.exe 组是用下面的注册表值来识别。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
每个在这个键下的值代表一个独立的Svchost组,并且当你正在看活动的进程时,它显示作为一个单独的例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个或多个从注册表值中选取的服务名,这个服务的参数值包含了一个ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service
.
.
更多的信息
.
为了能看到正在运行在Svchost列表中的服务。
开始-运行-敲入cmd
然后在敲入 tlist -s (tlist 应该是win2k工具箱里的东东)
Tlist 显示一个活动进程的列表。开关 -s 显示在每个进程中的活动服务列表。如果想知道更多的关于进程的信息,可以敲 tlist pid。
Tlist 显示Svchost.exe运行的两个例子。
0 System Process
8 System
132 smss.exe
160 csrss.exe Title:
180 winlogon.exe Title: NetDDE Agent
208services.exe
Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkst
ation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs
404 svchost.exe Svcs: RpcSs
452 spoolsv.exe Svcs: Spooler
544 cisvc.exe Svcs: cisvc
556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
580 regsvc.exe Svcs: RemoteRegistry
596 mstask.exe Svcs: Schedule
660 snmp.exe Svcs: SNMP
728 winmgmt.exe Svcs: WinMgmt
852 cidaemon.exe Title: OleMainThreadWndName
812 explorer.exe Title: Program Manager
1032 OSA.EXE Title: Reminder
1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s
1080 MAPISP32.EXE Title: WMS Idle
1264 rundll32.exe Title:
1000 mmc.exe Title: Device Manager
1144 tlist.exe
在这个例子中注册表设置了两个组。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent RasautoRa
sman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs
smss.exe
csrss.exe
这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss 负责控制windows,创建或者删除线程和一些16位的虚拟MS-DOS环境。
_____________________________________________
问:在2000/XP下怎么不能运行SFC?
答:
在Windows 2000和Windows XP中虽然也带有一个SFC,但它的使用方法与Windows 9x下有所不同,在Windows 2000/XP下直接“运行”SFC得不到任何实质性效果,入眼只是一闪而过的黑屏。这是因为,在Windows 2000/XP下使用“系统文件检查器”时,必须要带上参数才能被Windows所接受。具体的参数及功能说明如下:
/scannow 立即扫描所有受保护的系统文件;
/scanonce 扫描一次所有受保护的系统文件;
/scanboot 每一次启动扫描所有受保护的系统文件;
/cancel 取消扫描所有暂停的受保护的系统文件;
/enable 正常操作后用Windows文件保护;
/purgecache 清除缓存并扫描受保护的系统文件;
/cachesize=x 设置文件缓存大小;
/quiet 不提示用户而直接替换所有不正确的版本。
_____________________________________________
问:“windows文件保护,系统文件已被替换成不可识别的版本”——这是什么意思?
答:
怀疑劳拉病毒。
劳拉(Win32.Xorala)病毒,又名:W32.Valla.2048(Norton)、W32/Valla.b(Mcafee)
瑞星的专杀——针对“劳拉(Win32.Xorala)”病毒的专杀工具。下载工具后直接运行即可。
http://download.rising.com.cn/zsgj/RavXorala.com
注意避免交叉感染。
建议给你的管理员账号设置个复杂的密码。停用Guest账号。
可以参考其他会员的经验
Win32.Xorala劳拉病毒的解决方案——欢迎大家一起探讨!
http://community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=1470092&page=1
彻底查杀 xorala 病毒的方子(原创百分百)--成功解救4台win 2k 特以此方献给苦苦挣扎于NTFS的病友们
http://community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=1176858&page=1
_____________________________________________
问:如何查看本机的ip地址?
答:
可以运行ipconfig来查看(开始——运行——输入 ipconfig——按“确定”)。
如果在ipconfig后面加参数 /all的话,可以得到更详细的资料(DNS、网关等)
_____________________________________________
问:Trojan.PSW.Legendmir.17.hook怎么总杀不死?(最近常见的问题)
答:
请参考——
木马Trojan.PSW.Legendmir.17.hook手动清除方案(征求意见稿)
http://community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=2483687&page=1恶意网页修改注册表的十二种现象及解决预防办法
--------------------------------------------------------------------------------
近来,屡屡发生网友在浏览网页时,造成注册表被修改,使得IE默认连接首页、标题栏及IE右键菜单被改为浏览网页时的地址(多为广告信息),更有甚者使浏览者的电脑在启动时出现一个提示窗口显示自己的广告,而且有愈演愈烈之势,遇到这种情况我们该怎样办呢?
一、注册表被修改的原因及解决办法
其实,该恶意网页是含有有害代码的ActiveX网页文件,这些广告信息的出现是因为浏览者的注册表被恶意更改的结果。
1.IE默认连接首页被修改
IE浏览器上方的标题栏被改成“欢迎访问……网站”的样式,这是最常见的篡改手段,受害者众多。
受到更改的注册表项目为:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
通过修改“Start Page”的键值,来达到修改浏览者IE默认连接首页的目的,如浏览“万花谷”就会将你的IE默认连接首页修改为“http://on888.home.chinaren.com/ ”,即便是出于给自己的主页做广告的目的,也显得太霸道了一些,这也是这类网页惹人厌恶的原因。
解决办法:
(1)在Windows启动后,点击“开始→运行”菜单项,在“打开”栏中键入regedit,然后单击“确定”键;
(2)展开注册表到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main,在右半部分窗口中找到串值“Start Page”双击 ,将Start Page的键值改为“about:blank”即可;
(3)同理,展开注册表到:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main,在右半部分窗口中找到串值“Start Page”,然后按(2)中所述方法处理。
(4)退出注册表编辑器,重新启动计算机,一切OK了!
特殊例子:
当IE的起始页变成了某些网址后,就算你通过选项设置修改好了,重启以后又会变成他们的网址,十分的难缠。其实他们是在你机器里加了一个自运行程序,它会在系统启动时将你的IE起始页设成他们的网站。
解决办法:运行注册表编辑器regedit.exe,然后依次展HKEY_LOCAL_ MACHINE\Software\Microsoft\Windows\Current Version\Run主键,然后将其下的registry.exe子键删除,然后删除自运行程序c:\Program Files\registry.exe,最后从IE选项中重新设置起始页就好了。
2.篡改IE的默认页
有些IE被改了起始页后,即使设置了“使用默认页”仍然无效,这是因为IE起始页的默认页也被篡改啦。具体说来就是以下注册表项被修改:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL,“Default_Page_URL”这个子键的键值即起始页的默认页。
解决办法:
运行注册表编辑器,然后展开上述子键,将“Default_ Page_UR”子键的键值中的那些篡改网站的网址改掉就好了,或者设置为IE的默认值。
3.修改IE浏览器缺省主页,并且锁定设置项,禁止用户更改回来
主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选):
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel
“Settings“=dword:1
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel
“Links“=dword:1
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel
“SecAddSites“=dword:1
解决办法:
将上面这些DWORD值改为“0”即可恢复功能。
4.IE的默认首页灰色按扭不可选
这是由于注册表
HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel下的DWORD值“homepage”的键值被修改的缘故。原来的键值为“0”,被修改为“1”(即为灰色不可选状态)。
解决办法:
将“homepage”的键值改为“0”即可。
5.IE标题栏被修改
在系统默认状态下,是由应用程序本身来提供标题栏的信息,但也允许用户自行在上述注册表项目中填加信息,而一些恶意的网站正是利用了这一点来得逞的:它们将串值Window Title下的键值改为其网站名或更多的广告信息,从而达到改变浏览者IE标题栏的目的。
具体说来受到更改的注册表项目为:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Window Title
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title
解决办法:
(1)在Windows启动后,点击“开始→运行”菜单项,在“打开”栏中键入regedit,然后单击“确定”键;
(2)展开注册表到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main,在右半部分窗口中找到串值“Window Title” ,将该串值删除即可,或将Window Title的键值改为“IE浏览器”等你喜欢的名字;
(3)同理,展开注册表到:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main,然后按(2)中所述方法处理。
(4)退出注册表编辑器,重新启动计算机,运行IE,你会发现困扰你的问题解决了!
6.IE右键菜单被修改
受到修改的注册表项目为:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt下被新建了网页的广告信息,并由此在IE右键菜单中出现!
解决办法:
打开注册标编辑器,找到:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt删除相关的广告条文即可,注意不要把下载软件FlashGet和Netants也删除掉啊,这两个可是“正常”的呀,除非你不想在IE的右键菜单中见到它们。
7.IE默认搜索引擎被修改
在IE浏览器的工具栏中有一个搜索引擎的工具按钮,可以实现网络搜索,被篡改后只要点击那个搜索工具按钮就会链接到那个篡改网站。出现这种现象的原因是以下注册表被修改:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant
解决办法:
运行注册表编辑器,依次展开上述子键,将“Customize Search”和“SearchAssistant”的键值改为某个搜索引擎的网址即可。
8.系统启动时弹出对话框
受到更改的注册表项目为:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Winlogon
在其下被建立了字符串“LegalNoticeCaption”和“Legal NoticeText”,其中“LegalNoticeCaption”是提示框的标题,“LegalNoticeText”是提示框的文本内容。由于它们的存在,就使得我们每次登陆到Windows桌面前都出现一个提示窗口,显示那些网页的广告信息!你瞧,多讨厌啊!
解决办法:
打开注册表编辑器,找到:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Winlogon这一个主键,然后在右边窗口中找到“LegalNoticeCaption”和“LegalNoticeText”这两个字符串,删除这两个字符串就可以解决在登陆时出现提示框的现象了。
9.浏览网页注册表被禁用
这是由于注册表:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\System下的DWORD值“DisableRegistryTools”被修改为“1”的缘故,将其键值恢复为“0”即可恢复注册表的使用。
解决办法:
用记事本程序建立以REG为后缀名的文件,将下面这些内容复制在其中就可以了:
REGEDIT4
(注意,这里一定要空一行)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\System]
“DisableRegistryTools“=dword:00000000
10.浏览网页开始菜单被修改
这是最“狠”的一种,让浏览者有生不如死的感觉。浏览后不仅有类似上面所说的那些症状,还会有以下更悲惨的遭遇:
(1)禁止“关闭系统”。
(2)禁止“运行”。
(3)禁止“注销”。
(4)隐藏C盘——你的C盘找不到了。
(5)禁止使用注册表编辑器regedit。
(6)禁止使用DOS程序。
(7)使系统无法进入“实模式”。
(8)禁止运行任何程序。
以上是比较常见的修改浏览者注册表的现象。
11.IE中鼠标右键失效
浏览网页后在IE中鼠标右键失效,点击右键没有任何反应!
12.查看“源文件”菜单被禁用
在IE窗口中点击“查看→源文件”,发现“源文件”菜单已经被禁用。
我在浏览网页时并没有注意到上面两个问题,事后发现IE中鼠标右键失效,“查看”菜单中的“源文件”被禁用。不能查看源文件也就罢了,但是无法使用鼠标右键真是太不方便了。
找出最新版的超级兔子魔法设置试试!不能解决!于是到注册表中一番搜寻,经过一番查找终于弄明白了问题的所在。
原来,恶意网页修改了系统的注册表,具体的位置为:在注册表HKEY_CURRENT_USER\Software\Policies\Microsoft\ Internet Explorer下建立子键“Restrictions”,然后在“Restrictions”下面建立两个DWORD值:“NoViewSource”和“NoBrowser ContextMenu”,并为这两个DWORD值赋值为“1”。
在注册表HKEY_USERS\.DEFAULT\Software \Policies\ Microsoft\Internet Explorer\Restrictions下,将两个DWORD值:“NoViewSource”和“NoBrowserContextMenu”的键值都改为了“1”。
通过上面这些键值的修改就达到了在IE中使鼠标右键失效,使“查看”菜单中的“源文件”被禁用的目的。要向你说明的是第2点中提到的注册表其实相当于第1点中提到的注册表的分支,修改第1点中所说的注册表键值,第2点中注册表键值随之改变。
解决办法:
明白了道理,问题解决起来就容易多了,具体解决办法为:将以下内容另存为后缀名为reg的注册表文件,比方说unlock.reg,双击unlock.reg导入注册表,不用重启电脑,重新运行IE就会发现IE的功能恢复正常了。
REGEDIT4
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions
“NoViewSource“=dword:00000000
“NoBrowserContextMenu“=dword:00000000
HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions
“NoViewSource“=dword:00000000
“NoBrowserContextMenu“=dword:00000000
要特别注意的是,在你编制的注册表文件unlock.reg中,“REGEDIT4”一定要大写,并且它的后面一定要空一行,还有,“REGEDIT4”中的“4”和“T”之间一定不能有空格,否则将前功尽弃!许多朋友写注册表文件之所以不成功,就是因为没有注意到上面所说的内容。请注意如果你是Windows 2000或Windows XP用户,请将“REGEDIT4”改为Windows Registry Editor Version 5.00。
二、预防办法
(1)要避免中招,关键是不要轻易去一些自己并不了解的站点,特别是那些看上去美丽诱人的网址更不要贸然前往,否则吃亏的往往是你。
(2)由于该类网页是含有有害代码的ActiveX网页文件,因此在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以避免中招。
具体方法是:在IE窗口中点击“工具→Internet选项”,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及Java相关全部选择“禁用”即可。不过,这样做在以后的网页浏览过程中可能会造成一些正常使用ActiveX的网站无法浏览。唉,有利就有弊,你还是自己看着办吧。
(3)对于Windows 98用户,请打开C:\Windows\Java\ Packages\cvlv1nbb.zip,把其中的“ActiveXComponent.class”删掉;对于Windows Me用户,请打开C:\Windows \Java\Packages\5nzvfpf1.zip,把其中的“ActiveXComponent.class”删掉。请放心,删除这个组件不会影响到你正常浏览网页的。
(4)对于所有用户,都建议安装Norton AntiVirus 2002 v8.0杀毒软件,此软件已经把通过IE修改注册表的代码定义为Trojan.Offensive ,增加了s cript Blocking功能,它将对此类恶作剧进行监控,并予以拦截。
另外,下载超级兔子魔法设置软件后安装,如果出现问题,可以用它来恢复。不过,“兔子”对于我们在上面所说的恶意网页使得IE中鼠标右键失效,“查看”菜单中的“源文件”被禁用这两种现象无法恢复。
(5)既然这类网页是通过修改注册表来破坏我们的系统,那么我们可以事先把注册表加锁:禁止修改注册表,这样就可以达到预防的目的。不过,自己要使用注册表编辑器regedit.exe该怎么办呢?因此我们还要在此前事先准备一把“钥匙”,以便打开这把“锁”!
加锁方法如下:
运行注册表编辑器regedit.exe;
展开注册表到:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\System下,新建一个名为DisableRegistryTools的DWORD值,并将其值改为“1”,即可禁止使用注册表编辑器regedit.exe。
解锁方法如下:
用记事本编辑一个任意名字的.reg文件,比如unlock.reg,内容如下:
REGEDIT4
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\System
“DisableRegistryTools”=dword:00000000
存盘,你就有了一把解锁的钥匙了!如果要使用注册表编辑器,则双击unlock.reg即可。请注意如果你是Windows 2000或Windows XP用户,请将“REGEDIT4”写为Windows Registry Editor Version 5.00。
(6)对Windows 2000用户,还可以通过在Windows 2000下把服务里面的远程注册表操作服务“Remote Registry Service”禁用,来对付该类网页。
具体方法是:点击“管理工具→服务→Remote Registry Service(允许远程注册表操作)”,将这一项禁用即可。
(7)如果觉得手动修改注册表太危险,可以下载如下reg文件,双击之可恢复被修改的注册表。
(8)虽然经过一番辛苦的劳动修改回了标题和默认连接首页,但如果以后又不小心进入该站就又得麻烦一次。其实,你可以在IE中做一些设置以便永远不进该站点:
打开IE,点击“工具→Internet选项→内容→分级审查”,点击“启用”按钮,会打开“分级审查”对话框,然后点击“许可站点”标签,输入不想去的网站网址,如输入:http://on888.home.chinaren.com/,点击“从不”按钮,再点击”确定”即大功告成!
(9)升级你的IE为6.0版本,可以有效防范上面这些症状。
(10)下载微软最新的Microsoft Windows s cript 5.6,可以预防上面所说的现象。
小心“武汉男生”木马病毒
病毒名称:"武汉男生"(Troj_WHBoy)
病毒种类:木马
感染系统:Windows 95/98/Me/NT/2000/XP
病毒特性:
该病毒通过聊天软件Oicq进行传播。当计算机被该病毒感染后,用户一旦运行了QQ,病毒就会不断搜寻当前已经打开的QQ"发送消息"窗口,并在找到"发送消息"窗口后,自动发送一条消息到其他用户那里,"我的相片..看看..(某网站网址)",一旦收到此消息的得用户点击了该网站的链接,就遭受了病毒的感染。
病毒运行后在系统目录下生成三个病毒文件,分别为ABCHELP.EXE,WINhelp32.exe和DirectX.exe,其中后2个文件的属性是隐含的。(系统目录在Windows 9x/Me下为C:\Windows\System,在Windows NT/2000下为 C:\WINNT\System32,在Windows XP下为 C:\Windows\System32)
病毒修改注册表,使病毒能随系统启动而自动运行。
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下生成run = "WINhelp32.exe"
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices下生成(default)= "abchelp.exe"
广大用户应及时升级杀毒软件,启动"实时监控"系统,在使用OICQ聊天时也要留意,不要轻易打开任何链接,以免遭受病毒的感染。
- 相关文章:
-
[伸出你的手] 四川汶川发生7.8级地震 为灾区的人民祝福 (2008-5-13 19:12:19)
铅对人体的危害 (2008-1-9 13:17:19)
人体的长寿穴-足三里 (2007-12-14 19:10:44)
各种水晶的成分组成和人体功效 (2007-12-10 17:46:18)
中医治疗风湿关节痛 (2007-9-23 14:29:25)
经典笑话---英语太他妈难学了 (2007-8-24 20:05:48)
水晶 (2007-7-4 8:42:14)
提高博客的页面访问量 (2007-7-3 14:17:43)
如何提高网站的Google PR值(更新时间2007-7-28) (2007-7-3 14:14:27)
二十六步获得网站流量 (2007-7-3 13:53:00)
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。
