系統安全技巧之如何對MSN密碼進行修改
[ 2007-03-25 02:47:06 | 作者: sun ]
原來MSN的密碼可以通過其主站直接修改,但由于某些合并的問題,所以他(MSN,LIVE)修改密碼就更困難了。
下面提供了兩種方法:
1.給你一個網站直接登錄后,輸入你的msn用戶名和密碼就可以修改了。
2.教你如何一步一步的進入MSN修改密碼的提示框。
希望對大家有幫助。
1.直接登錄:https://account.live.com/ (推薦)
2.通過MSN進入的詳細辦法:
登錄http://www.msn.com/
在的圖標下面是頻道列表,再下面是MSN 服務里面有一項叫MSN 客戶服務。點擊后會彈出一個頁面,在這個圖標下面你會找到“重新設置密碼”,頁面會變成一個白色的問題和回答。這是一個MS解答用戶的頁面,在這個頁面下邊更改密碼才是我們的需要的。
單擊后會進入另一個問題就是更改密碼。這樣我們可以通過點擊“1.登錄帳戶服務。”等待一會,輸入你的用戶名(Email)和密碼就可以進入了。登錄成功后點擊更改密碼就可以修改密碼。
下面提供了兩種方法:
1.給你一個網站直接登錄后,輸入你的msn用戶名和密碼就可以修改了。
2.教你如何一步一步的進入MSN修改密碼的提示框。
希望對大家有幫助。
1.直接登錄:https://account.live.com/ (推薦)
2.通過MSN進入的詳細辦法:
登錄http://www.msn.com/
在的圖標下面是頻道列表,再下面是MSN 服務里面有一項叫MSN 客戶服務。點擊后會彈出一個頁面,在這個圖標下面你會找到“重新設置密碼”,頁面會變成一個白色的問題和回答。這是一個MS解答用戶的頁面,在這個頁面下邊更改密碼才是我們的需要的。
單擊后會進入另一個問題就是更改密碼。這樣我們可以通過點擊“1.登錄帳戶服務。”等待一會,輸入你的用戶名(Email)和密碼就可以進入了。登錄成功后點擊更改密碼就可以修改密碼。
警惕!網絡交易詐騙多
[ 2007-03-25 02:46:47 | 作者: sun ]
網絡詐騙已成為目前一些詐騙分子的主要作案手段。此類案件的發生很難防范,尤其網上銀行和電話銀行又是一種較為新生的事物,對于大多數群眾來說仍然比較陌生,一些規則、手續不是很清楚,犯罪嫌疑人往往會利用這種人們認識上的盲區,實施詐騙。合肥警方在打擊犯罪的同時,將我市及周邊地區發生的部分案例通報給廣大市民,提醒廣大市民警惕,不要輕信來歷不明的短信,謹慎保管與銀行卡有關的一切信息,特別是卡號和密碼,以免造成不必要的損失。如有上當受騙者,請及時到公安機關報案。
以“網上購物”為名實施詐騙、盜竊
網上購物是近年來興起的一種銷售方式,它的優勢在于銷售環節基本上不需要成本,價格比正規渠道便宜。因此,對社會上年輕人有著巨大的吸引力。由此,出現一批犯罪團伙或犯罪分子在互聯網上,通過各種新的手段和伎倆選擇被害目標,進而伺機實施侵害。
2006年我市公安機關受理以“網上購物”為名的詐騙、盜竊案件達20余起。
2006年4月19日至30日,合肥市民李某在包河區自己家中電腦網站上網上購物,被詐騙12040元。
“無抵押貸款”為誘餌實施詐騙
日前,上海市連續發生數十起以幫助貸款為誘餌,利用網上銀行轉賬的方式實施貸款詐騙的案件。犯罪嫌疑人以無抵押貸款為誘餌,主要是通過網絡和當地主流報紙以及發短信的手段發布放貸信息,當被害人要貸款時,則要求被害人開設銀行卡,并在卡內存入一定數量的貸款額,以示其具有還貸能力,從而達至詐騙目的。
今年2月9日,鄭某根據其舅舅在報紙上看到的貸款廣告,向一名姓王的男子聯系,要求貸款40萬元,該男子要其先在某銀行開卡存入10萬元,并開通網上銀行。12日下午3時許,鄭按對方的要求至某銀行,開通了網上銀行,并存入10萬元,15分鐘后查該卡內的錢,發現卡內只有15元,后通過銀行查詢發現錢已被電子匯出。
以“投資海外基金”為由實施詐騙
今年2月13日,何某到浙江某公安分局報案稱,通過上家俞某在域名為××××的網站上投資海外基金被騙。
經調查,域名為××××的網站物理地址為美國。投資者經由財務策劃師介紹,通過該網站加入海外基金投資,最低投資金額100美元,投資24小時后開始返利,每天返利6%,共返利50次,本金不歸還,但收益率高達300%;而財務策劃師則可以一次性獲得投資者投資總額8%—15%的回扣。1月16日,何某經人介紹將24800元現金交給上家俞某,讓俞幫她在網上進行業務操作。當日,俞某將24800元現金匯入其上家伊某的賬戶。之后,該網頁何某的賬號中顯示投資額3100元美金。從1月17日至27日,俞某先后從其上家伊某處為何獲得了9次返還金,每次為1488元人民幣,共計13392元,但1月27日以后,何某再也沒有獲得過返還金。據上家俞某介紹,其上家伊某有很多的下家,最近可能資金周轉陷入困境,電話已經難以聯系了。
目前該網站仍然能夠登錄,網頁賬戶中的返還金仍有顯示,極有可能是針對國內投資者設立的投資騙局,涉及網上非法集資和網上基金傳銷等諸多問題。
因此,省城警方再次提醒廣大基金投資者保持清醒的頭腦,防止上當受騙。
以“網上購物”為名實施詐騙、盜竊
網上購物是近年來興起的一種銷售方式,它的優勢在于銷售環節基本上不需要成本,價格比正規渠道便宜。因此,對社會上年輕人有著巨大的吸引力。由此,出現一批犯罪團伙或犯罪分子在互聯網上,通過各種新的手段和伎倆選擇被害目標,進而伺機實施侵害。
2006年我市公安機關受理以“網上購物”為名的詐騙、盜竊案件達20余起。
2006年4月19日至30日,合肥市民李某在包河區自己家中電腦網站上網上購物,被詐騙12040元。
“無抵押貸款”為誘餌實施詐騙
日前,上海市連續發生數十起以幫助貸款為誘餌,利用網上銀行轉賬的方式實施貸款詐騙的案件。犯罪嫌疑人以無抵押貸款為誘餌,主要是通過網絡和當地主流報紙以及發短信的手段發布放貸信息,當被害人要貸款時,則要求被害人開設銀行卡,并在卡內存入一定數量的貸款額,以示其具有還貸能力,從而達至詐騙目的。
今年2月9日,鄭某根據其舅舅在報紙上看到的貸款廣告,向一名姓王的男子聯系,要求貸款40萬元,該男子要其先在某銀行開卡存入10萬元,并開通網上銀行。12日下午3時許,鄭按對方的要求至某銀行,開通了網上銀行,并存入10萬元,15分鐘后查該卡內的錢,發現卡內只有15元,后通過銀行查詢發現錢已被電子匯出。
以“投資海外基金”為由實施詐騙
今年2月13日,何某到浙江某公安分局報案稱,通過上家俞某在域名為××××的網站上投資海外基金被騙。
經調查,域名為××××的網站物理地址為美國。投資者經由財務策劃師介紹,通過該網站加入海外基金投資,最低投資金額100美元,投資24小時后開始返利,每天返利6%,共返利50次,本金不歸還,但收益率高達300%;而財務策劃師則可以一次性獲得投資者投資總額8%—15%的回扣。1月16日,何某經人介紹將24800元現金交給上家俞某,讓俞幫她在網上進行業務操作。當日,俞某將24800元現金匯入其上家伊某的賬戶。之后,該網頁何某的賬號中顯示投資額3100元美金。從1月17日至27日,俞某先后從其上家伊某處為何獲得了9次返還金,每次為1488元人民幣,共計13392元,但1月27日以后,何某再也沒有獲得過返還金。據上家俞某介紹,其上家伊某有很多的下家,最近可能資金周轉陷入困境,電話已經難以聯系了。
目前該網站仍然能夠登錄,網頁賬戶中的返還金仍有顯示,極有可能是針對國內投資者設立的投資騙局,涉及網上非法集資和網上基金傳銷等諸多問題。
因此,省城警方再次提醒廣大基金投資者保持清醒的頭腦,防止上當受騙。
不懼黑客 用安全重啟刪除Hxdef后門
[ 2007-03-25 02:46:24 | 作者: sun ]
Hxdef 是一款隱藏進程、隱藏注冊表、隱藏連接、隱藏文件的后門,運行以后,你用任務管理器無法看到相應的進程、注冊表這些。
作者還推出了黃金版的Hxdef,這個版本據說可以躲過Iceword、Knlps、Rootkitreveal這些內核級后門檢測工具。當然黃金版的是要付錢的。
但我相信,無論他怎么改,使用安全重啟一定可以把他找出來。下面是我做的一個簡單的介紹,教你如何使用安全重啟的。
一、運行我電腦里面一個病毒樣本Hxdef,然后安全專家會攔截掉他,為了描述安全重啟的功能,我們在這里面允許這個進程運行。
作者還推出了黃金版的Hxdef,這個版本據說可以躲過Iceword、Knlps、Rootkitreveal這些內核級后門檢測工具。當然黃金版的是要付錢的。
但我相信,無論他怎么改,使用安全重啟一定可以把他找出來。下面是我做的一個簡單的介紹,教你如何使用安全重啟的。
一、運行我電腦里面一個病毒樣本Hxdef,然后安全專家會攔截掉他,為了描述安全重啟的功能,我們在這里面允許這個進程運行。
殺軟之我見 由熊貓燒香看各款殺毒軟件
[ 2007-03-25 02:45:58 | 作者: sun ]
最近熊貓燒香流行,我試了幾款殺軟,深有體會在這和大家分享一下,看來這個主動防御還是蠻實用的。
殺毒軟件用戶都會有所體會,通過病毒特征庫的嚴格比對來判別病毒的殺毒方式總是會“慢半拍”,因此用戶只得無奈的把殺軟的落后殺毒方式比喻成“過期藥”。近年殺毒軟件廠商為解決這個問題動足了腦筋,以“主動防御”功能為主要特征的新一代防病毒體系已經成為反病毒行業技術主流。既然各主流殺軟都相繼推出了“主動防御”功能及相關技術,那么究竟哪一款殺軟才是主動防御功能的“王中之王”呢?我們在同一測評平臺下對“主動防御技術”的各項指標逐一比較。
測評軟硬件環境
CPU P4 2.6GA
內存 金士頓 512MB DDR
硬盤 WD 80GB/7200轉
網絡 中國電信 2MB ADSL獨享
操作系統 Windows XP Pro SP2+IE6.0
殺毒軟件“主動防御技術”之“實時監控”
現如今各種病毒和木馬程序真的可謂是無孔不入,對于從不同途徑可能進入到用戶系統中的病毒和木馬,殺毒軟件能夠提供的實時監控和主動攔截有害信息的項目越多,用戶可能感染病毒和被植入木馬程序的機率就會大大得到減少。
參評殺軟:
江民:文件、郵件、網頁、即時通訊軟件、注冊表、惡意腳本、系統監測和用戶隱私信息等。
特色:注冊表、隱私信息和系統監測
金山:文件、郵件、網頁、ActiveX控件、即時通訊軟件和用戶隱私信息等。
特色:ActiveX控件、用戶隱私信息
瑞星:網頁、注冊表、文件、郵件收發、漏洞攻擊、引導區和內存等
特色:注冊表、漏洞攻擊、引導區和內存
諾頓2007:文件、郵件收發、網頁、即時通訊軟件(不包括QQ)、間諜軟件入侵和可移動介質等。
特色:間諜軟件、可移動介質
卡巴斯基6.0:文件、郵件收發、網頁、注冊表、應用程序完整性、Office和系統監測等。
特色:注冊表、系統監測
點評:
各殺軟通過實時監控,可以將試圖“流竄”到系統中的絕大部分電腦病毒攔截于系統之外。因為“用戶隱私信息”監控可以快速徹底的防止敏感信息外流,從而達到防“盜號”的目的;而“注冊表”監控可以自動捕獲任何一種對注冊表鍵值的修改或讀寫操作,一旦發現存在試圖對注冊表鍵值的修改或讀寫操作,軟件會立即報警并可以由用戶選擇決定是否接受修改或讀寫。
綜合比較,在該項目比拼中,江民KV2007兼有包括“用戶隱私信息監控”、“注冊表監控”和“系統級行為監測”等在內的多項監控目標,特別是系統監測功能更是給筆者留下了深刻印象,筆者在沒有升級病毒庫的情況下,在虛擬機中運行了“熊貓燒香”病毒,江民系統監測迅速報警并攔截了病毒,是名副其實的“主動防御”,所以它應該是最大的贏家。另外,筆者這里還遇到了一件有趣的事,由于知道卡巴斯基也具有與江民KV2007相類似的“系統監測功能”,所以筆者也同樣在裝有卡巴斯基6.0的系統中分別運行虛擬機和“熊貓燒香”病毒,結果卡巴斯基果然在第一時間報警,不過報警后系統便長時間處于死機狀態,第二遍實驗結果依然如故,不知道是何原因。
殺毒軟件用戶都會有所體會,通過病毒特征庫的嚴格比對來判別病毒的殺毒方式總是會“慢半拍”,因此用戶只得無奈的把殺軟的落后殺毒方式比喻成“過期藥”。近年殺毒軟件廠商為解決這個問題動足了腦筋,以“主動防御”功能為主要特征的新一代防病毒體系已經成為反病毒行業技術主流。既然各主流殺軟都相繼推出了“主動防御”功能及相關技術,那么究竟哪一款殺軟才是主動防御功能的“王中之王”呢?我們在同一測評平臺下對“主動防御技術”的各項指標逐一比較。
測評軟硬件環境
CPU P4 2.6GA
內存 金士頓 512MB DDR
硬盤 WD 80GB/7200轉
網絡 中國電信 2MB ADSL獨享
操作系統 Windows XP Pro SP2+IE6.0
殺毒軟件“主動防御技術”之“實時監控”
現如今各種病毒和木馬程序真的可謂是無孔不入,對于從不同途徑可能進入到用戶系統中的病毒和木馬,殺毒軟件能夠提供的實時監控和主動攔截有害信息的項目越多,用戶可能感染病毒和被植入木馬程序的機率就會大大得到減少。
參評殺軟:
江民:文件、郵件、網頁、即時通訊軟件、注冊表、惡意腳本、系統監測和用戶隱私信息等。
特色:注冊表、隱私信息和系統監測
金山:文件、郵件、網頁、ActiveX控件、即時通訊軟件和用戶隱私信息等。
特色:ActiveX控件、用戶隱私信息
瑞星:網頁、注冊表、文件、郵件收發、漏洞攻擊、引導區和內存等
特色:注冊表、漏洞攻擊、引導區和內存
諾頓2007:文件、郵件收發、網頁、即時通訊軟件(不包括QQ)、間諜軟件入侵和可移動介質等。
特色:間諜軟件、可移動介質
卡巴斯基6.0:文件、郵件收發、網頁、注冊表、應用程序完整性、Office和系統監測等。
特色:注冊表、系統監測
點評:
各殺軟通過實時監控,可以將試圖“流竄”到系統中的絕大部分電腦病毒攔截于系統之外。因為“用戶隱私信息”監控可以快速徹底的防止敏感信息外流,從而達到防“盜號”的目的;而“注冊表”監控可以自動捕獲任何一種對注冊表鍵值的修改或讀寫操作,一旦發現存在試圖對注冊表鍵值的修改或讀寫操作,軟件會立即報警并可以由用戶選擇決定是否接受修改或讀寫。
綜合比較,在該項目比拼中,江民KV2007兼有包括“用戶隱私信息監控”、“注冊表監控”和“系統級行為監測”等在內的多項監控目標,特別是系統監測功能更是給筆者留下了深刻印象,筆者在沒有升級病毒庫的情況下,在虛擬機中運行了“熊貓燒香”病毒,江民系統監測迅速報警并攔截了病毒,是名副其實的“主動防御”,所以它應該是最大的贏家。另外,筆者這里還遇到了一件有趣的事,由于知道卡巴斯基也具有與江民KV2007相類似的“系統監測功能”,所以筆者也同樣在裝有卡巴斯基6.0的系統中分別運行虛擬機和“熊貓燒香”病毒,結果卡巴斯基果然在第一時間報警,不過報警后系統便長時間處于死機狀態,第二遍實驗結果依然如故,不知道是何原因。
克均衡流量幫助互聯網抵御大規模DDos攻擊
[ 2007-03-25 02:45:46 | 作者: sun ]
編者按:洪水來了怎么辦?我們的祖先大禹已經告訴我們,最合理的方法是“疏導”。所以,DDos來了也不要怕,通過流量均衡,我們也能阻斷它的瘋狂攻擊。“簡單”的攻擊,也應該用“簡單”的方法來解決!】
據上周發表的一份報告顯示,2月初對互聯網骨干網絡關鍵部門的攻擊幾乎沒有造成什么影響,主要原因是采用了新的保護技術。
在上周四發布的一份文檔中,ICANN表示,這次對域名系統的分布式拒絕服務攻擊證明了Anycast負荷平衡系統的有效性。
據ICANN的文檔顯示,互聯網遭受了來自亞太地區的大規模分布式拒絕服務攻擊(distributed denial-of-service),但它頂住了這次攻擊。ICANN將互聯網的強壯歸結為Anycast的技術將流量轉移到了最近的服務器上。
在為期8周的攻擊中,13臺根服務器中的6臺受到了攻擊。但是,只有2臺服務器受到明顯的影響。
由于仍然在測試過程中,這2臺服務器沒有安裝Anycast的技術。ICANN表示,由于Anycast的技術已經得到了證明,其余的服務器將很快使用這些技術。
(t003)
據上周發表的一份報告顯示,2月初對互聯網骨干網絡關鍵部門的攻擊幾乎沒有造成什么影響,主要原因是采用了新的保護技術。
在上周四發布的一份文檔中,ICANN表示,這次對域名系統的分布式拒絕服務攻擊證明了Anycast負荷平衡系統的有效性。
據ICANN的文檔顯示,互聯網遭受了來自亞太地區的大規模分布式拒絕服務攻擊(distributed denial-of-service),但它頂住了這次攻擊。ICANN將互聯網的強壯歸結為Anycast的技術將流量轉移到了最近的服務器上。
在為期8周的攻擊中,13臺根服務器中的6臺受到了攻擊。但是,只有2臺服務器受到明顯的影響。
由于仍然在測試過程中,這2臺服務器沒有安裝Anycast的技術。ICANN表示,由于Anycast的技術已經得到了證明,其余的服務器將很快使用這些技術。
(t003)
主流計算機病毒對系統有哪些破壞方式
[ 2007-03-25 02:45:33 | 作者: sun ]
電腦病毒激發后,就可能進行破壞活動,輕者干擾屏幕顯示,降低電腦運行速度,重者使電腦軟硬盤文件、數據被肆意篡改或全部丟失,甚至使整個電腦系統癱瘓。
常見的破壞方式有:
(1)刪除磁盤上特定的可執行文件或數據文件。
(2)修改或破壞文件中的數據。
(3)在系統中產生無用的新文件。
(4)對系統中用戶儲存的文件進行加密或解密。
(5)毀壞文件分配表。
(6)改變磁盤上目標信息的存儲狀態。
(7)更改或重新寫入磁盤的卷標。
(8)在磁盤上產生“壞”的扇區,減少盤空間, 達到破壞有關程序或數據文件的目的。
(9)改變磁盤分配,使數據寫入錯誤的盤區。
(10)對整個磁盤或磁盤的特定磁道進行格式化。
(11)系統空掛,造成顯示屏幕或鍵盤的封鎖狀態。
(12)影響內存常駐程序的正常運行。
(13)改變系統的正常運行過程。
(14)盜取有關用戶的重要數據。
總之,病毒是程序,它能夠做程序所能做的一切事情。
然而,電腦病毒的本質是程序,它也只能做程序所能做的事,并不是無所不能的,它不可能侵入未開機的RAM,也不可能傳染一個貼上“寫保護”的軟盤(除非軟盤驅動器物理故障),也不能破壞主機板、燒毀電源,病毒并不是硬件故障和軟件問題的“替罪羊”。
常見的破壞方式有:
(1)刪除磁盤上特定的可執行文件或數據文件。
(2)修改或破壞文件中的數據。
(3)在系統中產生無用的新文件。
(4)對系統中用戶儲存的文件進行加密或解密。
(5)毀壞文件分配表。
(6)改變磁盤上目標信息的存儲狀態。
(7)更改或重新寫入磁盤的卷標。
(8)在磁盤上產生“壞”的扇區,減少盤空間, 達到破壞有關程序或數據文件的目的。
(9)改變磁盤分配,使數據寫入錯誤的盤區。
(10)對整個磁盤或磁盤的特定磁道進行格式化。
(11)系統空掛,造成顯示屏幕或鍵盤的封鎖狀態。
(12)影響內存常駐程序的正常運行。
(13)改變系統的正常運行過程。
(14)盜取有關用戶的重要數據。
總之,病毒是程序,它能夠做程序所能做的一切事情。
然而,電腦病毒的本質是程序,它也只能做程序所能做的事,并不是無所不能的,它不可能侵入未開機的RAM,也不可能傳染一個貼上“寫保護”的軟盤(除非軟盤驅動器物理故障),也不能破壞主機板、燒毀電源,病毒并不是硬件故障和軟件問題的“替罪羊”。
專家解析寬帶賬號安全問題
[ 2007-03-25 02:45:19 | 作者: sun ]
寬帶賬號失竊問題日趨嚴重
隨著網絡化步伐的加快,網絡已經成為我們生活中的一部分,近年來我國寬帶用戶迅猛增長,寬帶給家庭用戶帶來了信息溝通的便利。但是寬帶對應的安全問題日益突出,帳戶被盜、密碼丟失、系統被黑等系列問題又帶來了多級代理、惡意盜號、非法充網絡游戲幣值等更多更嚴重的問題,也給我國寬帶的發展帶來了負面影響。
目前,涉及到的寬帶安全問題主要是盜用寬帶帳號及密碼問題。3月12日,北京網通與西城區人民檢察院、西城區人民法院、市公安局內保局聯合通報了我國第一例盜取寬帶賬號并上網販賣的案件,因為盜竊并出售了700多個網通ADSL寬帶賬號,曾是IT技術人員的羅東標將度過長達12年的鐵窗歲月。其實,這個問題由來已久,由于網通ADSL賬號不僅能夠用于上網,還能夠在線購買游戲點數、繳納視頻點播資費等,且開銷通常隨同用戶的座機電話費一同繳納。經常有人在網上發布“索求某地AD-SL賬號和密碼”的帖子,甚至還有人發帖宣稱“長期提供全國各地低價ADSL賬號”,其價格少則數十元,多則上百元。難怪有網民評論說,買賣ADSL,已經形成了網上盜號“黑市”。
除了出售被盜的ADSL賬號,一些“黑客”還充當起義務教師,在網上傳授“ADSL盜號教程”。在不少網絡技術專業論壇中,都可以看到標題類似“如何防止ADSL被盜號”的文章,但仔細閱讀后卻發現,通篇都是傳授利用網絡漏洞和黑客軟件盜取他人ADSL的手法,還根據操作手法區分出“巧取法”和“豪奪法”,更有黑客在后面跟帖彼此交流盜號經驗。
失竊問題癥結所在
寬帶撥號用戶的認證方式主要有PPPOE和WEB認證兩種。PPPOE采用先認證,后分配IP的方式,需注意,如果是包月制,采用PPPOE方式不能解決對非法用戶的遠程停、開機,這些用戶可盜用他人帳號及密碼上網,采用WEB認證方式也解決不了這個問題。目前國內的寬帶用戶大多是基于PPPOE的DSL用戶,當終端接入INTERNET時需要撥號驗證,而驗證的用戶名及密碼是在用戶辦理寬帶業務時取得,由于電信出于管理原因,這個帳號及密碼有很大規律可循:用戶名很多都以電話號碼為基數,加上其他一些簡易字母,后邊加上諸如@163等的后綴,密碼幾乎都是電話號碼,猜解這個帳號及密碼非常容易。
寬帶用戶對帳號密碼更根本沒有安全意識,甚至某些寬帶安裝人員也對用戶說,寬帶密碼不存在安全問題,只有你的電話能用。久而久之,這個隱性問題非常普遍,去找到一個寬帶賬號非常容易。這個問題也還是根源于電信的政策,目前電信的寬帶驗證過程如下:第一,你的電話必須辦理了寬帶業務,物理上線路是可用的。第二,你在撥號時用的用戶名及密碼是匹配的。
用戶名及密碼匹配,就是說只要是一對用戶名和密碼,即使這個用戶名密碼不和你的線路匹配,你一樣可以通過電信的機房設備認證,撥號分得IP連上網。目前電信作了些調整,同一帳號及密碼在同一時間只能有一個用戶使用。遵循先入為主原則,這樣就會引起賬號盜用問題。因為ADSL數據信號與普通電話語音信號走不同的頻段,而且使用ADSL上網的時候并不經過電話交換機,所以沒有辦法根據電話號碼查出來是誰在盜用你的帳號及密碼,這樣的后果其實很嚴重,也就是說使用你的帳號及密碼接入網絡后一切違法后果均由帳號及密碼辦理人承擔,因為最終確立責任是查找電信的寬帶業務記錄。
盜竊手段以及用戶防范措施
這些不懷好意的人,使用善意的手段,非法盜取用戶的寬帶接入賬號,主要表現及盜取途徑如下:
1.使用查看“*”號密碼的軟件
很多用戶為了方便,都在撥號軟件中選擇保存密碼,在Windows XP版本以下的系統中,保存的密碼都以“*”顯示,這樣就不用每次上網都輸入密碼。保存密碼在方便自己的同時,也增加了自己的危險性。如果有不懷好意的人接觸你電腦,利用查看星號密碼的軟件,就可以很容易地知道星號背后真正的密碼。
2.使用讀取撥號網絡密碼的專用工具
比較資深的“黑客”們,可以自己編寫或從相關黑客站點找到讀取撥號網絡密碼的專用工具,來讀出ADSL賬戶的用戶名和密碼,比如“Dialupass”工具等。
3. 利用系統漏洞、弱口令入侵
電腦黑客可以利用開放端口和弱口令甚至空口令漏洞侵入用戶電腦。黑客可以通過QQ獲取對方網段(或直接獲取IP),利用掃描工具(例如: Superscan、X-scan等)掃描用戶計算機端口并獲取IP,再運行客戶端連接工具(例如:冰河2.2)侵入用戶電腦,只要你的網絡是通過寬帶賬號已經撥通的,他們就可以利用互聯星空的“互聯星空一點通”功能直接進行遠程消費。
寬帶,帶給用戶的應該是便捷,可現在卻出現這樣的嚴峻問題。為了廣大寬帶用戶的利益不受侵害,下面給大家簡單介紹一些防范措施。
⑴ 注銷互聯星空賬號或取消信用額度
寬帶用戶如果不打算使用互聯星空,應盡快到電信營業廳申請銷戶或登陸互聯星空網站www.chinavnet.com, 在“我的星空”---“我的帳戶”---“我要銷戶”欄目申請注銷。如發現賬號被別人盜用,立刻修改自己的adsl賬號密碼,并在“互聯星空”的“我的星空”下及時取消所有訂購的服務。
⑵ 強化系統,防止黑客入侵
強化系統:及時升級操作系統或打補丁以修補系統漏洞;減少電腦管理員人數;設置安全選項---不顯示上次用戶名;不要打開來路不明的電子郵件及軟件程序,不要回陌生人的郵件;電腦要安裝使用必要的防黑軟件、防火墻和殺毒軟件,并保持定期更新,及時查殺電腦病毒和木馬,阻止黑客侵入電腦。一般來說,采用一些功能強大的反黑軟件和軟件防火墻來保證我們的系統安全。
強化口令:正確設置管理員密碼(系統開機密碼)和adsl上網密碼;數字與字母混合編排,同時包含多種類型的字符,比如大寫字母、小寫字母、數字、標點符號(@,#,!,$,%,& …);密碼應該不少于8個字符;禁用ADSL撥號軟件記住密碼的功能,即不勾選“記住密碼”項。
⑶ 限制開放端口,防止非法入侵
通過限制端口來防止非法入侵,關閉相應開放端口,比如3389端口。簡單說來,非法入侵的主要方式可粗略分為2種。(1)掃描端口,通過已知的系統Bug攻入主機。(2)種植木馬,利用木馬開辟的后門進入主機。如果能限制這兩種非法入侵方式,就能有效防止利用黑客工具的非法入侵。而且這兩種非法入侵方式有一個共同點,就是通過端口進入主機。要想防止被黑就要關閉這些危險端口,對于個人用戶來說,您可以限制所有的端口,因為您根本不必讓您的機器對外提供任何服務;而對于對外提供網絡服務的服務器,我們需把必須利用的端口(比如WWW端口80、FTP端口21、郵件服務端口25、110等)開放,其他的端口則全部關閉。
對于采用Windows 2000或者Windows XP的用戶來說,不需要安裝任何其他軟件,可以利用“TCP/IP篩選”功能限制服務器的端口。具體設置(關閉的方法)如下:點擊“開始→控制面板→網絡連接→本地連接→右鍵→屬性”,然后選擇“Internet(tcp/ip)”→“屬性”,。在“Internet(tcp/ip)屬性”對話框中選擇“高級”選項卡。在“高級TCP/IP設置”對話框中點選“選項”→“TCP/IP篩選”→“屬性”,。在這里分為3項,分別是TCP、UDP、IP協議。假設我的系統只想開放21、80、25、110這4個端口,只要在“TCP端口”上勾選“只允許”然后點擊“添加”依次把這些端口添加到里面,然后確定。注意:修改完以后系統會提示重新啟動,這樣設置才會生效。這樣,系統重新啟動以后只會開放剛才你所選的那些端口,其它端口都不會開放。
⑷ 關閉默認共享,禁止空連接
當前家用電腦所使用的操作系統多數為Win XP 和Win2000 pro,這兩個系統提供的默認共享(IPC$,C$,D$,ADMIN$等)是黑客最喜歡利用的入侵途徑,寬帶用戶可以運行CMD輸入net share來查看本機的共享,如果看到有異常的共享,那么應該關閉。但是有時你關閉共享下次開機的時候又出現了,那么你應該考慮一下,你的機器是否已經被黑客所控制了,或者中了病毒。
關閉默認共享可以使用net share 默認共享名 /delete 命令(如 net share C$ /delete),但是這種方法關閉共享后下次開機的時候又出現了,所以如果寬帶用戶不在局域網內使用共享服務,干脆將“本地連接‘屬性中的“網絡的文件和打印機共享 ”卸載掉,默認共享就可以徹底被關閉了。
禁止建立空連接的方法是:首先運行regedit,在注冊表中找到如下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous(DWORD)的鍵值由0改為1。
⑸ 使用入侵檢測手段,及時防范入侵
最為常見的木馬通常都是基于TCP/UDP協議進行client端與server端之間的通訊的,既然利用到這兩個協議,就不可避免要在server端(就是被種了木馬的機器)打開監聽端口來等待連接。我們可以利用查看本機開放端口的方法來檢查自己是否被種了木馬或其它黑客程序。
可以使用 Windows本身自帶的netstat命令(詳細方法可使用 netstat /?命令查詢)和在windows2000下的命令行工具fport,可以較為有效地看到計算機開放的端口,以及通過開放端口運行的一些可疑程序。及時關閉這些端口,刪除這些可疑程序,就能較為有效地保證計算機系統的安全性。
總結
寬帶用戶應提高網絡安全意識,并采取強化系統、限制開放端口、關閉共享等相應的技術防范措施,以防止黑客侵入計算機,減少或避免因寬帶賬號被盜用而產生的經濟損失。
隨著網絡化步伐的加快,網絡已經成為我們生活中的一部分,近年來我國寬帶用戶迅猛增長,寬帶給家庭用戶帶來了信息溝通的便利。但是寬帶對應的安全問題日益突出,帳戶被盜、密碼丟失、系統被黑等系列問題又帶來了多級代理、惡意盜號、非法充網絡游戲幣值等更多更嚴重的問題,也給我國寬帶的發展帶來了負面影響。
目前,涉及到的寬帶安全問題主要是盜用寬帶帳號及密碼問題。3月12日,北京網通與西城區人民檢察院、西城區人民法院、市公安局內保局聯合通報了我國第一例盜取寬帶賬號并上網販賣的案件,因為盜竊并出售了700多個網通ADSL寬帶賬號,曾是IT技術人員的羅東標將度過長達12年的鐵窗歲月。其實,這個問題由來已久,由于網通ADSL賬號不僅能夠用于上網,還能夠在線購買游戲點數、繳納視頻點播資費等,且開銷通常隨同用戶的座機電話費一同繳納。經常有人在網上發布“索求某地AD-SL賬號和密碼”的帖子,甚至還有人發帖宣稱“長期提供全國各地低價ADSL賬號”,其價格少則數十元,多則上百元。難怪有網民評論說,買賣ADSL,已經形成了網上盜號“黑市”。
除了出售被盜的ADSL賬號,一些“黑客”還充當起義務教師,在網上傳授“ADSL盜號教程”。在不少網絡技術專業論壇中,都可以看到標題類似“如何防止ADSL被盜號”的文章,但仔細閱讀后卻發現,通篇都是傳授利用網絡漏洞和黑客軟件盜取他人ADSL的手法,還根據操作手法區分出“巧取法”和“豪奪法”,更有黑客在后面跟帖彼此交流盜號經驗。
失竊問題癥結所在
寬帶撥號用戶的認證方式主要有PPPOE和WEB認證兩種。PPPOE采用先認證,后分配IP的方式,需注意,如果是包月制,采用PPPOE方式不能解決對非法用戶的遠程停、開機,這些用戶可盜用他人帳號及密碼上網,采用WEB認證方式也解決不了這個問題。目前國內的寬帶用戶大多是基于PPPOE的DSL用戶,當終端接入INTERNET時需要撥號驗證,而驗證的用戶名及密碼是在用戶辦理寬帶業務時取得,由于電信出于管理原因,這個帳號及密碼有很大規律可循:用戶名很多都以電話號碼為基數,加上其他一些簡易字母,后邊加上諸如@163等的后綴,密碼幾乎都是電話號碼,猜解這個帳號及密碼非常容易。
寬帶用戶對帳號密碼更根本沒有安全意識,甚至某些寬帶安裝人員也對用戶說,寬帶密碼不存在安全問題,只有你的電話能用。久而久之,這個隱性問題非常普遍,去找到一個寬帶賬號非常容易。這個問題也還是根源于電信的政策,目前電信的寬帶驗證過程如下:第一,你的電話必須辦理了寬帶業務,物理上線路是可用的。第二,你在撥號時用的用戶名及密碼是匹配的。
用戶名及密碼匹配,就是說只要是一對用戶名和密碼,即使這個用戶名密碼不和你的線路匹配,你一樣可以通過電信的機房設備認證,撥號分得IP連上網。目前電信作了些調整,同一帳號及密碼在同一時間只能有一個用戶使用。遵循先入為主原則,這樣就會引起賬號盜用問題。因為ADSL數據信號與普通電話語音信號走不同的頻段,而且使用ADSL上網的時候并不經過電話交換機,所以沒有辦法根據電話號碼查出來是誰在盜用你的帳號及密碼,這樣的后果其實很嚴重,也就是說使用你的帳號及密碼接入網絡后一切違法后果均由帳號及密碼辦理人承擔,因為最終確立責任是查找電信的寬帶業務記錄。
盜竊手段以及用戶防范措施
這些不懷好意的人,使用善意的手段,非法盜取用戶的寬帶接入賬號,主要表現及盜取途徑如下:
1.使用查看“*”號密碼的軟件
很多用戶為了方便,都在撥號軟件中選擇保存密碼,在Windows XP版本以下的系統中,保存的密碼都以“*”顯示,這樣就不用每次上網都輸入密碼。保存密碼在方便自己的同時,也增加了自己的危險性。如果有不懷好意的人接觸你電腦,利用查看星號密碼的軟件,就可以很容易地知道星號背后真正的密碼。
2.使用讀取撥號網絡密碼的專用工具
比較資深的“黑客”們,可以自己編寫或從相關黑客站點找到讀取撥號網絡密碼的專用工具,來讀出ADSL賬戶的用戶名和密碼,比如“Dialupass”工具等。
3. 利用系統漏洞、弱口令入侵
電腦黑客可以利用開放端口和弱口令甚至空口令漏洞侵入用戶電腦。黑客可以通過QQ獲取對方網段(或直接獲取IP),利用掃描工具(例如: Superscan、X-scan等)掃描用戶計算機端口并獲取IP,再運行客戶端連接工具(例如:冰河2.2)侵入用戶電腦,只要你的網絡是通過寬帶賬號已經撥通的,他們就可以利用互聯星空的“互聯星空一點通”功能直接進行遠程消費。
寬帶,帶給用戶的應該是便捷,可現在卻出現這樣的嚴峻問題。為了廣大寬帶用戶的利益不受侵害,下面給大家簡單介紹一些防范措施。
⑴ 注銷互聯星空賬號或取消信用額度
寬帶用戶如果不打算使用互聯星空,應盡快到電信營業廳申請銷戶或登陸互聯星空網站www.chinavnet.com, 在“我的星空”---“我的帳戶”---“我要銷戶”欄目申請注銷。如發現賬號被別人盜用,立刻修改自己的adsl賬號密碼,并在“互聯星空”的“我的星空”下及時取消所有訂購的服務。
⑵ 強化系統,防止黑客入侵
強化系統:及時升級操作系統或打補丁以修補系統漏洞;減少電腦管理員人數;設置安全選項---不顯示上次用戶名;不要打開來路不明的電子郵件及軟件程序,不要回陌生人的郵件;電腦要安裝使用必要的防黑軟件、防火墻和殺毒軟件,并保持定期更新,及時查殺電腦病毒和木馬,阻止黑客侵入電腦。一般來說,采用一些功能強大的反黑軟件和軟件防火墻來保證我們的系統安全。
強化口令:正確設置管理員密碼(系統開機密碼)和adsl上網密碼;數字與字母混合編排,同時包含多種類型的字符,比如大寫字母、小寫字母、數字、標點符號(@,#,!,$,%,& …);密碼應該不少于8個字符;禁用ADSL撥號軟件記住密碼的功能,即不勾選“記住密碼”項。
⑶ 限制開放端口,防止非法入侵
通過限制端口來防止非法入侵,關閉相應開放端口,比如3389端口。簡單說來,非法入侵的主要方式可粗略分為2種。(1)掃描端口,通過已知的系統Bug攻入主機。(2)種植木馬,利用木馬開辟的后門進入主機。如果能限制這兩種非法入侵方式,就能有效防止利用黑客工具的非法入侵。而且這兩種非法入侵方式有一個共同點,就是通過端口進入主機。要想防止被黑就要關閉這些危險端口,對于個人用戶來說,您可以限制所有的端口,因為您根本不必讓您的機器對外提供任何服務;而對于對外提供網絡服務的服務器,我們需把必須利用的端口(比如WWW端口80、FTP端口21、郵件服務端口25、110等)開放,其他的端口則全部關閉。
對于采用Windows 2000或者Windows XP的用戶來說,不需要安裝任何其他軟件,可以利用“TCP/IP篩選”功能限制服務器的端口。具體設置(關閉的方法)如下:點擊“開始→控制面板→網絡連接→本地連接→右鍵→屬性”,然后選擇“Internet(tcp/ip)”→“屬性”,。在“Internet(tcp/ip)屬性”對話框中選擇“高級”選項卡。在“高級TCP/IP設置”對話框中點選“選項”→“TCP/IP篩選”→“屬性”,。在這里分為3項,分別是TCP、UDP、IP協議。假設我的系統只想開放21、80、25、110這4個端口,只要在“TCP端口”上勾選“只允許”然后點擊“添加”依次把這些端口添加到里面,然后確定。注意:修改完以后系統會提示重新啟動,這樣設置才會生效。這樣,系統重新啟動以后只會開放剛才你所選的那些端口,其它端口都不會開放。
⑷ 關閉默認共享,禁止空連接
當前家用電腦所使用的操作系統多數為Win XP 和Win2000 pro,這兩個系統提供的默認共享(IPC$,C$,D$,ADMIN$等)是黑客最喜歡利用的入侵途徑,寬帶用戶可以運行CMD輸入net share來查看本機的共享,如果看到有異常的共享,那么應該關閉。但是有時你關閉共享下次開機的時候又出現了,那么你應該考慮一下,你的機器是否已經被黑客所控制了,或者中了病毒。
關閉默認共享可以使用net share 默認共享名 /delete 命令(如 net share C$ /delete),但是這種方法關閉共享后下次開機的時候又出現了,所以如果寬帶用戶不在局域網內使用共享服務,干脆將“本地連接‘屬性中的“網絡的文件和打印機共享 ”卸載掉,默認共享就可以徹底被關閉了。
禁止建立空連接的方法是:首先運行regedit,在注冊表中找到如下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous(DWORD)的鍵值由0改為1。
⑸ 使用入侵檢測手段,及時防范入侵
最為常見的木馬通常都是基于TCP/UDP協議進行client端與server端之間的通訊的,既然利用到這兩個協議,就不可避免要在server端(就是被種了木馬的機器)打開監聽端口來等待連接。我們可以利用查看本機開放端口的方法來檢查自己是否被種了木馬或其它黑客程序。
可以使用 Windows本身自帶的netstat命令(詳細方法可使用 netstat /?命令查詢)和在windows2000下的命令行工具fport,可以較為有效地看到計算機開放的端口,以及通過開放端口運行的一些可疑程序。及時關閉這些端口,刪除這些可疑程序,就能較為有效地保證計算機系統的安全性。
總結
寬帶用戶應提高網絡安全意識,并采取強化系統、限制開放端口、關閉共享等相應的技術防范措施,以防止黑客侵入計算機,減少或避免因寬帶賬號被盜用而產生的經濟損失。
教你如何應對殺除病毒時提示清除失敗
[ 2007-03-25 02:45:03 | 作者: sun ]
很多網友在保衛自己的愛機時,不管使用了哪些殺毒軟件,幾乎都會碰到儲如此類的問題,如:
★清除病毒失敗怎么辦?
★殺毒出現清除失敗怎么辦?
★清除失敗或未解決病毒怎么辦?
★發現病毒時提示“刪除失敗”,怎么辦?
★發現病毒時提示“清除失敗”,怎么辦?
★系統中了病毒、木馬、蠕蟲,清除、隔離、刪除失敗怎么辦?
產生這些問題的主要原因在于:
1、病毒正在使用中;
2、病毒防止殺毒軟件清除而做的自我保護;
3、病毒中有守護進程在保護病毒。
簡單解釋下這其中的原因:
1、這是較早期的殺毒軟件無法清除病毒時的提示,比如一個文件,如果你正在打開使用它時,你是沒有辦法刪除這個文件的, 因為文件正在使用中,受到系統正常的保護;同樣病毒進程如果沒有終止掉,直接刪除病毒文件的話,同樣會提示該信息。
2、 原因2與原因3可以歸類來說,簡單地講,就相當于病毒躲在巨人的身后,你想要抓住這個“病毒”,首先要打敗這個“巨人”,否則就會受到“巨人”的干擾而讓你無法順利抓到這個“病毒”。同樣地,病毒為了防止自己不被殺毒軟件查殺、剿滅,而使用了如:權限提升到系統級、阻止病毒進程被終止、阻止病毒體被刪除、電腦中同時存在2個以上的病毒,相互負責監控對方,如發現自己的保護對象不存在了,重新生成新的病毒體。
解決辦法:
1、 重新啟動電腦進入操作系統的安全模式, 使用殺毒軟件清除或手工刪除病毒體。
2、 使用終截者抗病毒中的“安全回歸”功能,在電腦重新啟動的同時迅速將病毒隔離,之后,你可以通過殺毒軟件清除或手工刪除。
小插曲:什么是安全回歸?
安全回歸看似是“重新啟動”,它主要是針對目前許多惡意病毒無法徹底查殺,在每次電腦開機啟動后又重新發作的問題,安全回歸行為識別技術提供一個快速解決方案。用戶只須輕點擊“安全回歸用戶電腦將在一次重新啟動電腦的過程中恢復到一個無病毒、無流氓軟件運行的安全狀態,并告知用戶已經攔截了哪些危險程序,整個過程的感覺就像是上天給予了一次安全重來的機會。
安全回歸基本原理
安全回歸在計算機開機啟動過程中,識別和判斷所有將要運行的程序,包括病毒、木馬等惡意程序,只允許運行合法的系統程序和用戶在安全回歸許的程序,其它的一律禁止。這樣可以保證:
1、電腦啟動完成后,沒有任何病毒及流氓軟件正在運行,同時也抑制了所有病毒程序對電腦破壞;
2、不用擔心病毒程序先于安全回歸運行,它有一夫當關,萬夫莫開之功效;
3、使用安全回歸不會刪除用戶任何數據,請用戶放心使用。
安全回歸可以解決什么問題?
1、解決頑固木馬、病毒無法清除,或反復清除失敗的問題;
2、拒絕流氓軟件困擾、減少彈出窗口的干擾;
3、禁止了與安全無關的進程、服務及插件的運行,加快了系統運行速度。
★清除病毒失敗怎么辦?
★殺毒出現清除失敗怎么辦?
★清除失敗或未解決病毒怎么辦?
★發現病毒時提示“刪除失敗”,怎么辦?
★發現病毒時提示“清除失敗”,怎么辦?
★系統中了病毒、木馬、蠕蟲,清除、隔離、刪除失敗怎么辦?
產生這些問題的主要原因在于:
1、病毒正在使用中;
2、病毒防止殺毒軟件清除而做的自我保護;
3、病毒中有守護進程在保護病毒。
簡單解釋下這其中的原因:
1、這是較早期的殺毒軟件無法清除病毒時的提示,比如一個文件,如果你正在打開使用它時,你是沒有辦法刪除這個文件的, 因為文件正在使用中,受到系統正常的保護;同樣病毒進程如果沒有終止掉,直接刪除病毒文件的話,同樣會提示該信息。
2、 原因2與原因3可以歸類來說,簡單地講,就相當于病毒躲在巨人的身后,你想要抓住這個“病毒”,首先要打敗這個“巨人”,否則就會受到“巨人”的干擾而讓你無法順利抓到這個“病毒”。同樣地,病毒為了防止自己不被殺毒軟件查殺、剿滅,而使用了如:權限提升到系統級、阻止病毒進程被終止、阻止病毒體被刪除、電腦中同時存在2個以上的病毒,相互負責監控對方,如發現自己的保護對象不存在了,重新生成新的病毒體。
解決辦法:
1、 重新啟動電腦進入操作系統的安全模式, 使用殺毒軟件清除或手工刪除病毒體。
2、 使用終截者抗病毒中的“安全回歸”功能,在電腦重新啟動的同時迅速將病毒隔離,之后,你可以通過殺毒軟件清除或手工刪除。
小插曲:什么是安全回歸?
安全回歸看似是“重新啟動”,它主要是針對目前許多惡意病毒無法徹底查殺,在每次電腦開機啟動后又重新發作的問題,安全回歸行為識別技術提供一個快速解決方案。用戶只須輕點擊“安全回歸用戶電腦將在一次重新啟動電腦的過程中恢復到一個無病毒、無流氓軟件運行的安全狀態,并告知用戶已經攔截了哪些危險程序,整個過程的感覺就像是上天給予了一次安全重來的機會。
安全回歸基本原理
安全回歸在計算機開機啟動過程中,識別和判斷所有將要運行的程序,包括病毒、木馬等惡意程序,只允許運行合法的系統程序和用戶在安全回歸許的程序,其它的一律禁止。這樣可以保證:
1、電腦啟動完成后,沒有任何病毒及流氓軟件正在運行,同時也抑制了所有病毒程序對電腦破壞;
2、不用擔心病毒程序先于安全回歸運行,它有一夫當關,萬夫莫開之功效;
3、使用安全回歸不會刪除用戶任何數據,請用戶放心使用。
安全回歸可以解決什么問題?
1、解決頑固木馬、病毒無法清除,或反復清除失敗的問題;
2、拒絕流氓軟件困擾、減少彈出窗口的干擾;
3、禁止了與安全無關的進程、服務及插件的運行,加快了系統運行速度。
教你識辨幾個容易被誤認為病毒的文件
[ 2007-03-25 02:44:36 | 作者: sun ]
隨著計算機的普及和信息技術的發展,“計算機病毒”一詞對每一個人來說都已經不再陌生了,現如今計算機病毒可謂層出不窮,甚至讓廣大計算機用戶幾乎到了“談毒色變”的程度。江民公司技術工程師發現有許多用戶對操作系統下的文件不是很了解了解,以至于產生種種的懷疑。以下是用戶經常懷疑是病毒的文件:
一、Thumb.db文件
Thumb.db文件被用戶誤認為是病毒的原因應該有三點:
1、該文件在一些操作系統中的帶有圖片的文件夾中都存在;
2、即使刪除此文件,下次打開該文件夾時仍會生成;
3、該文件可能會不斷增大。
其實,Thumb.db文件在Windows Me或更新的Windows版本中都會有,這是Windows對圖片的緩存(也可以說是緩沖文件),它可以方便用戶對圖片進行預覽,圖片越多,這個文件可能就越大,這是正常的。在Windows XP系統下可以在“文件夾選項”里面選擇“不緩存縮略圖”,就不會產生這種文件了。
二、Mfm1992文件 或“Mfm1992.AVB.AVB.AVB.AVB(后綴是無窮AVB)”
Mfm1992文件用戶誤認為是病毒的主要原因應該是:此文件可能生成在任何一個文件夾中,而且刪除后可能還會重新生成。
Mfm1992文件是由于智能ABC的詞庫出錯而產生的一個文件。由于智能ABC輸入法的詞庫容量有限,當超出這個容量的時候,就會產生這個文件。當前程序運行在哪個目錄,這個文件就在該目錄下產生。這個文件的大小一般為43KB。這是智能ABC4.0的一個Bug,Win2000和me中自帶的智能 ABC5.0已經修正了這個錯誤。
如果想讓計算機中不再出現這個文件,有兩種辦法:
1、可以把4.0的智能ABC升級至高版本。
2、可以把Windowssystem目錄下的*.rem文件刪除,然后重啟計算機。
三、Word的臨時文件
用戶在打開一個Word文檔時會發現在同一個目錄下出現了一個與原文檔名稱相同但前面加了一個“~$”符號的文件,它的圖標與Word文檔的圖標相同,但是“灰”顏色的(即具有隱藏屬性)。許多用戶覺得可疑,認為是病毒造成的。
其實這是一個正常的現象,這個文件是Word生成的,可以理解為是一個緩沖文件,它的作用是最大限度的保存由于意外原因(如突然死機等)造成的用戶對修改或建立的Word文檔在未進行保存時的損失。其實這個文件在關閉了Word文檔后即會自動消失,用戶不必擔心。
四、jdbgmgr.exe文件
與以上幾種文件不一樣,該文件即不是出錯時生成的文件也不是臨時文件,是一個正常的系統文件。用戶本來是注意不到它的,因為它存在于系統目錄下。但很多用戶把它認為是病毒的原因是由于一封具有欺騙性的電子郵件在網上四處散發。這封被偽裝成一份病毒防治報告的電子郵件,對收到郵件的用戶發出警告,聲稱 “jdbgmgr.exe”文件是一種病毒,可以在感染PC兩周后損害整個電腦系統。這一謊言被許多相信自己已經被感染的PC用戶四處散發,希望能幫助其他受害者清除這個病毒。
實際上,“jdbgmgr.exe”文件是Java調試管理器,是所有Windows系統中所安裝Java軟件的一個組成部分。該文件一旦被刪除之后,可能會導致一些Javaapplets和JavaScript停止工作。
一、Thumb.db文件
Thumb.db文件被用戶誤認為是病毒的原因應該有三點:
1、該文件在一些操作系統中的帶有圖片的文件夾中都存在;
2、即使刪除此文件,下次打開該文件夾時仍會生成;
3、該文件可能會不斷增大。
其實,Thumb.db文件在Windows Me或更新的Windows版本中都會有,這是Windows對圖片的緩存(也可以說是緩沖文件),它可以方便用戶對圖片進行預覽,圖片越多,這個文件可能就越大,這是正常的。在Windows XP系統下可以在“文件夾選項”里面選擇“不緩存縮略圖”,就不會產生這種文件了。
二、Mfm1992文件 或“Mfm1992.AVB.AVB.AVB.AVB(后綴是無窮AVB)”
Mfm1992文件用戶誤認為是病毒的主要原因應該是:此文件可能生成在任何一個文件夾中,而且刪除后可能還會重新生成。
Mfm1992文件是由于智能ABC的詞庫出錯而產生的一個文件。由于智能ABC輸入法的詞庫容量有限,當超出這個容量的時候,就會產生這個文件。當前程序運行在哪個目錄,這個文件就在該目錄下產生。這個文件的大小一般為43KB。這是智能ABC4.0的一個Bug,Win2000和me中自帶的智能 ABC5.0已經修正了這個錯誤。
如果想讓計算機中不再出現這個文件,有兩種辦法:
1、可以把4.0的智能ABC升級至高版本。
2、可以把Windowssystem目錄下的*.rem文件刪除,然后重啟計算機。
三、Word的臨時文件
用戶在打開一個Word文檔時會發現在同一個目錄下出現了一個與原文檔名稱相同但前面加了一個“~$”符號的文件,它的圖標與Word文檔的圖標相同,但是“灰”顏色的(即具有隱藏屬性)。許多用戶覺得可疑,認為是病毒造成的。
其實這是一個正常的現象,這個文件是Word生成的,可以理解為是一個緩沖文件,它的作用是最大限度的保存由于意外原因(如突然死機等)造成的用戶對修改或建立的Word文檔在未進行保存時的損失。其實這個文件在關閉了Word文檔后即會自動消失,用戶不必擔心。
四、jdbgmgr.exe文件
與以上幾種文件不一樣,該文件即不是出錯時生成的文件也不是臨時文件,是一個正常的系統文件。用戶本來是注意不到它的,因為它存在于系統目錄下。但很多用戶把它認為是病毒的原因是由于一封具有欺騙性的電子郵件在網上四處散發。這封被偽裝成一份病毒防治報告的電子郵件,對收到郵件的用戶發出警告,聲稱 “jdbgmgr.exe”文件是一種病毒,可以在感染PC兩周后損害整個電腦系統。這一謊言被許多相信自己已經被感染的PC用戶四處散發,希望能幫助其他受害者清除這個病毒。
實際上,“jdbgmgr.exe”文件是Java調試管理器,是所有Windows系統中所安裝Java軟件的一個組成部分。該文件一旦被刪除之后,可能會導致一些Javaapplets和JavaScript停止工作。
Viking變種清除史上最完美攻略
[ 2007-03-25 02:44:20 | 作者: sun ]
經過了兩天的日夜奮戰,今天凌晨時終于把viking變種完全搞定。在之前在這里我也曾發過貼求助,但沒有正確答案。所以在這里我把總結出的經驗分享一下。
以下是我前兩天的遭遇:
一次上網過后發現了一些可疑的進程。使用ecq-ps進程王來查看它們的路徑,有些是病毒文件。有些則是通過正常系統進程如“svchost.exe csrss.exe“等作為勾子運行的dll和sys文件,我心里又想,這些小毛毒又來了,(我的系統裝于04年,一直使用至今,中過無數次病毒,都被我統統搞定了,心想這次又來一個殺一個,來兩個殺一雙吧)。我用的雙系統,重啟進win98的dos手動刪除以上路徑的文件,再進winxp,刪除以上文件相關的注冊表鍵值。再進服務里邊檢查一下發現病毒殘留的服務項目,還偽裝得很好的。描述還和正常服務一個模樣,什么管理系統應用程序的128位密鑰傳輸的許可證服務。看了我都想笑。不過再看看源路徑(文件名忘了)和依存關系,就露陷了。心想麻外行還可以。。二話不說machine\system\currentcontrol\sevices\下揪出來刪!
重啟,觀察進程。一切恢復正常。喝口水。看會網絡電視休息了。。可是就在這時真正的死神出現了。系統進程里突然暴出NN多病毒進程。瑞星也被關閉了,有些是剛才的有些不是。我慌了。先刪除染毒的瑞星。(是昨天才升級的最新版啊)急忙用剛才的方法反復查殺多次,但每次啟動后不久又會出現。。。且在98的純dos下刪除病毒文件時提示access denied(拒絕訪問)時應該是內存駐留型的。于是冷啟動再用windowsPE啟動盤啟動光盤里的PE操作系統,我想,PE內核都不一樣,我看你還咱辦。于是在PE里邊刪除病毒文件,果然這次啟動進程恢復正常了。恢復完注冊表。我就打開訊雷看一下我下載的工具軟件,結果,又中標了。。。我開始總結:應該是把EXE文件感染了。不然怎么會無端多出些病毒進程出來。于是仔細看目錄,發現被感染的exe文件下有exe.exe擴展名的文件,比如是acdsee.exe就會有acdsee.exe.exe并且文件圖標丟失(不是網上說的那種在同目錄下生成_desktop.ini文件,那是老版維金。我這個也有_desktop.ini,不過在c:\下,而且在D盤還會生成autorun.inf 及iexplorer.pif文件) 于是刪除所有*.exe.exe文件,再次光盤啟動刪毒。這下進程雖然又恢復正常了。但是桌面上大多數的圖標變成白的了。。心想這下完了,病毒感染了大多數exe文件。很多年沒有遇到這樣了。我又不敢啟動這些程序,一啟動包又中標,于是我安卡巴。安了6。0307,升級最新,安全模式下掃,正常模式下掃。。掃不出一點東西。又安6。04XX 還安5XXbeta最新的了,中英文都安過了,,掃不出。。。。。。。。。怒火!!!!(網上明明說卡巴掃得到的,我想都是針對舊版維金吧)于是再來賣咖啡(mcafee),在線升級mcafee,掃描。。。結果賣咖啡也賣不脫。。。暴怒!!!!再于是找到金山、瑞星的專殺工具來,也是一個掃不到。。。狂怒!!!!。。我看了一下win98se\setup.exe的文件大小,和源光盤里的文件比較足足多了近60K。而且每個受感染的文件都同樣多了近60K ,證明感染的是都是vking!!。。。江民的專殺工具能殺,不過還好我點停止點得快。。。因為我看了一下,它的所謂殺大多數都是刪除!!!刪除了我好幾個exe文件呢。就算保留,保留下來的也是不能運行的僵尸文件。什么exe修復機根本不頂用。一邊涼快!!
這下完了。絕望。這么多exe文件,打死我也不愿意格盤刪'除。
在網上看了一下維金的免疫方法。突然想起什么。。經過自己內心激烈的思想斗爭于是作出了以下決定:
我做了個試驗,先將C盤做了個ghost,然后雙擊一個感染文件,系統進程出現viking,然后被雙擊這個exe文件圖標,大小恢復正常.進程里首先出來三個文件。ghost恢復恢復。。這下有點眉目了
就是在病毒原有目錄下建一些0字節txt文件,改成病毒進程名,如:logon_1.exe 偽裝一下,把它們改成只讀,然后一個一個的點exe文件,讓EXE文件中的異常代碼釋放入內存,再結束相應進程
說干就干。仿照先前三個文件在c:\windows\建立 logon_1.exe richdll.dll (有些維金版本不是這個dll名字,變種有不同。路徑也不同。但原理相同)再在C:\windows\unistall下建立 RUNDL132.exe ,設只讀
找出所有exe文件,網上說過只感染27Kb到10mb的exe文件,可我的10多20mb的文件也中標了,再次證明不是網上說的那種viking。。。開始 一 一雙擊釋放。。。。。就這樣。。。就這樣。。它們快樂地流浪,就這樣。它們為愛歌唱。。。狼愛上。。。。啪!!完了跑題挨臭雞蛋了。
*.*
不是。。我只是形容一下上千個文件一 一打開的漫長。。過了幾個小時后。終于完成。。舒展下酸痛的腰。。重建圖標緩存。。。。冷啟動。。。
。。。。。。。。大功告成。。。至此。全部viking一個不留
已經很久沒有這樣fighting過了
經過了這么長時間的周旋。已經對這個變種病毒的原理有初步了解。以下列出本人總結出的該病毒特征及清除方案:
viking"維金"病毒 變種
應該算一個木馬。互聯網高度發展的產物
首先在被種植機器的系統盤下\windows目錄下生成logon_1.exe RUNDL132.exe 還有一個dll文件,我的是richdll.dll,還有網上說的dll.dll vtd.dll什么五花八門的,反正就是dll文件,并加載入系統進程。刪除不掉.
這些文件相互關聯,結束進程并刪除后馬上又會出現。
自動禁用殺毒防火墻,并且感染防火墻文件
然后調用net share 命令打開$ipc命名管道共享。以傳播到局域網上其它機器上.
釋放出諸如rundll32.com services.exe finder.com iexplore.pif regedit.com dxdiag.com
msconfig.com mhs.exe等文件,并修改注冊表exe文件,網站鏈接,scr文件,未知(打開方式)文件,等常用文件的關聯為iexplore.pif或以上的其它某個病毒程序.將exe文件改為自創的winfile文件類型,從而讓每個exe文件運行時同時調用病毒,這招太狠了;更改文件查找檢索方式關聯為finder.com ;把原本用rundll32.exe文件調用的程序,如網上鄰居屬性,通過注冊表改為帶有rundll32.com的命令行。在 Hkey_local_machine或hkey_current_user\software\microsoft\windows\currentversion\run鍵值下添加名為load等字樣的木馬加載項。在currentversion\logon下也有。。。另外還改了些其它鍵值,這些只是較明顯的。
檢測可用驅動器。在其中生成_desktop.ini 或autorun.inf iexplore.pif 讓雙擊操作變為“自動播放病毒”所以只能右擊打開了。。。
最最可恨的就是感染所有驅動器上大于大約27KB的exe文件。加上約60KB的數據,文件圖標丟失,目的在于被清除病毒后通過exe文件復活,當調用該句柄時自我釋放為logon_1.exe rundl132.exe
并且恢復exe文件以便讓它正常運行。。。
同時會自動從網上下載多達幾十種其它類型的病毒,QQ盜號木馬,熱門網絡游戲木馬。至此,taskmgr任務管理器一團糟。。
因為木馬眾多會影響清除效率及難度,內存占用超大,危險系數也大。這點不得不佩服。。
如果你的系統有以上狀況,那么請follow they step:
首先你斷開internet網,刪除殺毒軟件。因為它已被病毒感染,它在內存里只是添麻煩而已
重新安裝殺毒軟件,比較可以的有卡巴斯基、mcafee、江民,推薦用卡巴,安完馬上重啟。不要停留不然新的殺軟會又中標的。安全模式下因為不能啟用msiexec所以很多軟件安不了
冷啟動或關機,撥電源也可,待光電鼠標燈不亮了再開機(呵呵太夸張了)
進入帶網絡連接的安全模式,(如果不能上網就還是進正常模式),用文件夾選項里面打開顯示所有文件;取消隱藏系統文件復選框,選中顯示已知文件擴展名;下載viking專殺工具,這里推薦江民的。下載"瑞星卡卡助手"用于以后修復注冊表,如果為exe文件最好改下后綴名。以后運行時再改回來。升級殺毒軟件為最新版。升了馬上重啟進入純安全模式,只運行系統盤掃描。掃到的病毒名及路徑用筆記下來。
冷啟動。。光盤或U盤啟動dos,查找剛才記下來那些文件,有就刪。我用的是windowsPE啟動盤啟動。所以免去了dos命令帶來的麻煩,最主要要找到并刪除上文說到的那些文件,這里很關鍵,一定要仔細找。
進入安全模式,運行regedit.exe (記住一定要輸入.exe,因為如果沒刪干凈,exe文件會被再度被作為winfile文件類型中的病毒命令行打開。)
按ctrl+f查找以上述文件的文件名的鍵值刪除。
進入正常模式,這時可能因為殺毒引起不能上網了,用剛才下載的“瑞星卡卡助手”修復IE和注冊表吧。順便也掃一下剛才可能viking下載有的其它木馬及殘留(切記不要啟動寬帶撥號程序,因為Enternet500這類撥號程序己被感染,如果是xp下的默認撥號,也最好不要去動)
接下來進程應該干凈了,就要處理被感染的exe文件了,如果你不想要這些文件可以選擇直接用專查工具把它們殺爛,或查找直接刪除,還省了下邊的步驟。因為以下步驟最安全但容易累死人
仿制logon_1.exe rundl132.exe richdll.dll
新建文本文檔.txt,建三個,分別改為以上三個文件名。并且設為只讀。放在平時它們感染的目錄下。目錄位置上文己提及。目的用于免疫,防止染毒exe文件釋放出同名病毒文件。
也可使用gpedit.msc,組策略中用戶配置\管理模板\系統\不要運行windows程序中,啟用并添加logon_1.exe
rundl132.exe
也可使用mcafee殺毒軟件中的文件規則,禁止在硬盤中新建*.exe *.com 文件
后兩種限制方法我沒試過,但理論上說是成立的
接下來按順序分別查找每個盤上的exe文件。按大小排列結果,降序排列。旁邊打開個任務管理器窗口,記下任務條目及數量。如進程數:22
雙擊空白圖標exe文件,注意任務管理器變化。例:如果雙擊game.exe則, 已染毒現象:任務管理器會多出一個進程叫game.exe 這時你再雙擊。或反復再雙擊。會看到又會多出game.exe,如果是基于16位兼容模式的程序,會出現一個ntvdm的進程,不影響,可結束。稍后你可能會發現net 和 net1 進程一閃而過,持續不到1秒,而后出現一個或多個cmd進程。這時請結束所有game.exe,cmd進程也會結束。病毒從內存中得到釋放。可以再次雙擊如果不再產生cmd進程或能恢復正常圖標,或能正常運行,證明該文件不再帶毒。第二種情況:game.exe一會自動消失
或每雙擊一次多出一個game.exe而沒其它進程。說明此文件未被感染
一個一個分區,一個一個文件的測試。修復。當然,你要是煩了,可以將不重要的文件放一邊。專心找自己心愛的exe文件。反正剩下的不重要的exe文件就留給江民專殺來殺爛得了。。無所謂
辛苦工作完成后,也不必要重啟,打開江民專殺來清理漏網之魚吧。
查毒軟推薦使用Mcafee(賣咖啡),查毒功能較強,且最強最具特色最實用之處在于他可以像設置IP安全策略那樣設置禁止任何類型文件的建立,寫入,修改,甚至讀取!!,這在我們訪問不可信站點或發現有木馬苗頭的時候大有幫助。即使查不出來我也不準你建文件改文件!強吧??
缺點就是占用內存資源太高,優化版的我都發現有七個進程。。暈。。。魚和熊掌不可兼得啊。。
寫了這么多,我盡量想到的都想到了。我曾如此辛苦,故不希望大家都繞彎路。但愿對大家有所幫助。
最后發表我的一點看法,殺毒軟件只是一個輔助工具。每個廠商的殺軟都有優點有缺點。很多人就是把殺軟看成無敵的了。認為中了毒,清一色殺毒掃描的做法。其實,很多時候甚至是心理安慰,障眼法。。我是從dos時代一路走來的,中過多種病毒。看到老師們用pctools及debug手動殺過不少毒,總結出:手動才是王道!!手動萬歲。。
在E時代,我們要發揚取長補短的做法,把殺軟的效率化,全面化,結合人工的仔細,靈活。這樣才能盡心盡力像對待生活那樣對待電腦
以下是我前兩天的遭遇:
一次上網過后發現了一些可疑的進程。使用ecq-ps進程王來查看它們的路徑,有些是病毒文件。有些則是通過正常系統進程如“svchost.exe csrss.exe“等作為勾子運行的dll和sys文件,我心里又想,這些小毛毒又來了,(我的系統裝于04年,一直使用至今,中過無數次病毒,都被我統統搞定了,心想這次又來一個殺一個,來兩個殺一雙吧)。我用的雙系統,重啟進win98的dos手動刪除以上路徑的文件,再進winxp,刪除以上文件相關的注冊表鍵值。再進服務里邊檢查一下發現病毒殘留的服務項目,還偽裝得很好的。描述還和正常服務一個模樣,什么管理系統應用程序的128位密鑰傳輸的許可證服務。看了我都想笑。不過再看看源路徑(文件名忘了)和依存關系,就露陷了。心想麻外行還可以。。二話不說machine\system\currentcontrol\sevices\下揪出來刪!
重啟,觀察進程。一切恢復正常。喝口水。看會網絡電視休息了。。可是就在這時真正的死神出現了。系統進程里突然暴出NN多病毒進程。瑞星也被關閉了,有些是剛才的有些不是。我慌了。先刪除染毒的瑞星。(是昨天才升級的最新版啊)急忙用剛才的方法反復查殺多次,但每次啟動后不久又會出現。。。且在98的純dos下刪除病毒文件時提示access denied(拒絕訪問)時應該是內存駐留型的。于是冷啟動再用windowsPE啟動盤啟動光盤里的PE操作系統,我想,PE內核都不一樣,我看你還咱辦。于是在PE里邊刪除病毒文件,果然這次啟動進程恢復正常了。恢復完注冊表。我就打開訊雷看一下我下載的工具軟件,結果,又中標了。。。我開始總結:應該是把EXE文件感染了。不然怎么會無端多出些病毒進程出來。于是仔細看目錄,發現被感染的exe文件下有exe.exe擴展名的文件,比如是acdsee.exe就會有acdsee.exe.exe并且文件圖標丟失(不是網上說的那種在同目錄下生成_desktop.ini文件,那是老版維金。我這個也有_desktop.ini,不過在c:\下,而且在D盤還會生成autorun.inf 及iexplorer.pif文件) 于是刪除所有*.exe.exe文件,再次光盤啟動刪毒。這下進程雖然又恢復正常了。但是桌面上大多數的圖標變成白的了。。心想這下完了,病毒感染了大多數exe文件。很多年沒有遇到這樣了。我又不敢啟動這些程序,一啟動包又中標,于是我安卡巴。安了6。0307,升級最新,安全模式下掃,正常模式下掃。。掃不出一點東西。又安6。04XX 還安5XXbeta最新的了,中英文都安過了,,掃不出。。。。。。。。。怒火!!!!(網上明明說卡巴掃得到的,我想都是針對舊版維金吧)于是再來賣咖啡(mcafee),在線升級mcafee,掃描。。。結果賣咖啡也賣不脫。。。暴怒!!!!再于是找到金山、瑞星的專殺工具來,也是一個掃不到。。。狂怒!!!!。。我看了一下win98se\setup.exe的文件大小,和源光盤里的文件比較足足多了近60K。而且每個受感染的文件都同樣多了近60K ,證明感染的是都是vking!!。。。江民的專殺工具能殺,不過還好我點停止點得快。。。因為我看了一下,它的所謂殺大多數都是刪除!!!刪除了我好幾個exe文件呢。就算保留,保留下來的也是不能運行的僵尸文件。什么exe修復機根本不頂用。一邊涼快!!
這下完了。絕望。這么多exe文件,打死我也不愿意格盤刪'除。
在網上看了一下維金的免疫方法。突然想起什么。。經過自己內心激烈的思想斗爭于是作出了以下決定:
我做了個試驗,先將C盤做了個ghost,然后雙擊一個感染文件,系統進程出現viking,然后被雙擊這個exe文件圖標,大小恢復正常.進程里首先出來三個文件。ghost恢復恢復。。這下有點眉目了
就是在病毒原有目錄下建一些0字節txt文件,改成病毒進程名,如:logon_1.exe 偽裝一下,把它們改成只讀,然后一個一個的點exe文件,讓EXE文件中的異常代碼釋放入內存,再結束相應進程
說干就干。仿照先前三個文件在c:\windows\建立 logon_1.exe richdll.dll (有些維金版本不是這個dll名字,變種有不同。路徑也不同。但原理相同)再在C:\windows\unistall下建立 RUNDL132.exe ,設只讀
找出所有exe文件,網上說過只感染27Kb到10mb的exe文件,可我的10多20mb的文件也中標了,再次證明不是網上說的那種viking。。。開始 一 一雙擊釋放。。。。。就這樣。。。就這樣。。它們快樂地流浪,就這樣。它們為愛歌唱。。。狼愛上。。。。啪!!完了跑題挨臭雞蛋了。
*.*
不是。。我只是形容一下上千個文件一 一打開的漫長。。過了幾個小時后。終于完成。。舒展下酸痛的腰。。重建圖標緩存。。。。冷啟動。。。
。。。。。。。。大功告成。。。至此。全部viking一個不留
已經很久沒有這樣fighting過了
經過了這么長時間的周旋。已經對這個變種病毒的原理有初步了解。以下列出本人總結出的該病毒特征及清除方案:
viking"維金"病毒 變種
應該算一個木馬。互聯網高度發展的產物
首先在被種植機器的系統盤下\windows目錄下生成logon_1.exe RUNDL132.exe 還有一個dll文件,我的是richdll.dll,還有網上說的dll.dll vtd.dll什么五花八門的,反正就是dll文件,并加載入系統進程。刪除不掉.
這些文件相互關聯,結束進程并刪除后馬上又會出現。
自動禁用殺毒防火墻,并且感染防火墻文件
然后調用net share 命令打開$ipc命名管道共享。以傳播到局域網上其它機器上.
釋放出諸如rundll32.com services.exe finder.com iexplore.pif regedit.com dxdiag.com
msconfig.com mhs.exe等文件,并修改注冊表exe文件,網站鏈接,scr文件,未知(打開方式)文件,等常用文件的關聯為iexplore.pif或以上的其它某個病毒程序.將exe文件改為自創的winfile文件類型,從而讓每個exe文件運行時同時調用病毒,這招太狠了;更改文件查找檢索方式關聯為finder.com ;把原本用rundll32.exe文件調用的程序,如網上鄰居屬性,通過注冊表改為帶有rundll32.com的命令行。在 Hkey_local_machine或hkey_current_user\software\microsoft\windows\currentversion\run鍵值下添加名為load等字樣的木馬加載項。在currentversion\logon下也有。。。另外還改了些其它鍵值,這些只是較明顯的。
檢測可用驅動器。在其中生成_desktop.ini 或autorun.inf iexplore.pif 讓雙擊操作變為“自動播放病毒”所以只能右擊打開了。。。
最最可恨的就是感染所有驅動器上大于大約27KB的exe文件。加上約60KB的數據,文件圖標丟失,目的在于被清除病毒后通過exe文件復活,當調用該句柄時自我釋放為logon_1.exe rundl132.exe
并且恢復exe文件以便讓它正常運行。。。
同時會自動從網上下載多達幾十種其它類型的病毒,QQ盜號木馬,熱門網絡游戲木馬。至此,taskmgr任務管理器一團糟。。
因為木馬眾多會影響清除效率及難度,內存占用超大,危險系數也大。這點不得不佩服。。
如果你的系統有以上狀況,那么請follow they step:
首先你斷開internet網,刪除殺毒軟件。因為它已被病毒感染,它在內存里只是添麻煩而已
重新安裝殺毒軟件,比較可以的有卡巴斯基、mcafee、江民,推薦用卡巴,安完馬上重啟。不要停留不然新的殺軟會又中標的。安全模式下因為不能啟用msiexec所以很多軟件安不了
冷啟動或關機,撥電源也可,待光電鼠標燈不亮了再開機(呵呵太夸張了)
進入帶網絡連接的安全模式,(如果不能上網就還是進正常模式),用文件夾選項里面打開顯示所有文件;取消隱藏系統文件復選框,選中顯示已知文件擴展名;下載viking專殺工具,這里推薦江民的。下載"瑞星卡卡助手"用于以后修復注冊表,如果為exe文件最好改下后綴名。以后運行時再改回來。升級殺毒軟件為最新版。升了馬上重啟進入純安全模式,只運行系統盤掃描。掃到的病毒名及路徑用筆記下來。
冷啟動。。光盤或U盤啟動dos,查找剛才記下來那些文件,有就刪。我用的是windowsPE啟動盤啟動。所以免去了dos命令帶來的麻煩,最主要要找到并刪除上文說到的那些文件,這里很關鍵,一定要仔細找。
進入安全模式,運行regedit.exe (記住一定要輸入.exe,因為如果沒刪干凈,exe文件會被再度被作為winfile文件類型中的病毒命令行打開。)
按ctrl+f查找以上述文件的文件名的鍵值刪除。
進入正常模式,這時可能因為殺毒引起不能上網了,用剛才下載的“瑞星卡卡助手”修復IE和注冊表吧。順便也掃一下剛才可能viking下載有的其它木馬及殘留(切記不要啟動寬帶撥號程序,因為Enternet500這類撥號程序己被感染,如果是xp下的默認撥號,也最好不要去動)
接下來進程應該干凈了,就要處理被感染的exe文件了,如果你不想要這些文件可以選擇直接用專查工具把它們殺爛,或查找直接刪除,還省了下邊的步驟。因為以下步驟最安全但容易累死人
仿制logon_1.exe rundl132.exe richdll.dll
新建文本文檔.txt,建三個,分別改為以上三個文件名。并且設為只讀。放在平時它們感染的目錄下。目錄位置上文己提及。目的用于免疫,防止染毒exe文件釋放出同名病毒文件。
也可使用gpedit.msc,組策略中用戶配置\管理模板\系統\不要運行windows程序中,啟用并添加logon_1.exe
rundl132.exe
也可使用mcafee殺毒軟件中的文件規則,禁止在硬盤中新建*.exe *.com 文件
后兩種限制方法我沒試過,但理論上說是成立的
接下來按順序分別查找每個盤上的exe文件。按大小排列結果,降序排列。旁邊打開個任務管理器窗口,記下任務條目及數量。如進程數:22
雙擊空白圖標exe文件,注意任務管理器變化。例:如果雙擊game.exe則, 已染毒現象:任務管理器會多出一個進程叫game.exe 這時你再雙擊。或反復再雙擊。會看到又會多出game.exe,如果是基于16位兼容模式的程序,會出現一個ntvdm的進程,不影響,可結束。稍后你可能會發現net 和 net1 進程一閃而過,持續不到1秒,而后出現一個或多個cmd進程。這時請結束所有game.exe,cmd進程也會結束。病毒從內存中得到釋放。可以再次雙擊如果不再產生cmd進程或能恢復正常圖標,或能正常運行,證明該文件不再帶毒。第二種情況:game.exe一會自動消失
或每雙擊一次多出一個game.exe而沒其它進程。說明此文件未被感染
一個一個分區,一個一個文件的測試。修復。當然,你要是煩了,可以將不重要的文件放一邊。專心找自己心愛的exe文件。反正剩下的不重要的exe文件就留給江民專殺來殺爛得了。。無所謂
辛苦工作完成后,也不必要重啟,打開江民專殺來清理漏網之魚吧。
查毒軟推薦使用Mcafee(賣咖啡),查毒功能較強,且最強最具特色最實用之處在于他可以像設置IP安全策略那樣設置禁止任何類型文件的建立,寫入,修改,甚至讀取!!,這在我們訪問不可信站點或發現有木馬苗頭的時候大有幫助。即使查不出來我也不準你建文件改文件!強吧??
缺點就是占用內存資源太高,優化版的我都發現有七個進程。。暈。。。魚和熊掌不可兼得啊。。
寫了這么多,我盡量想到的都想到了。我曾如此辛苦,故不希望大家都繞彎路。但愿對大家有所幫助。
最后發表我的一點看法,殺毒軟件只是一個輔助工具。每個廠商的殺軟都有優點有缺點。很多人就是把殺軟看成無敵的了。認為中了毒,清一色殺毒掃描的做法。其實,很多時候甚至是心理安慰,障眼法。。我是從dos時代一路走來的,中過多種病毒。看到老師們用pctools及debug手動殺過不少毒,總結出:手動才是王道!!手動萬歲。。
在E時代,我們要發揚取長補短的做法,把殺軟的效率化,全面化,結合人工的仔細,靈活。這樣才能盡心盡力像對待生活那樣對待電腦
