编写的程序怎么能让人在任务管理器里找不到?
关于进程的隐藏,98下的例子数不胜数。WinNT/Win2K下的隐藏方法,西祠的高手shotgun在去年的6月就已经在网上发布出实例《揭开木马的神秘面纱四》 ,我也多次拜读他的文章,对他的计算机水平及热心帮助朋友的作风十分敬佩。这里也可算是对shotgun的文章的补充与深入介绍吧,好了,闲话少说。 在WinNT下"真正隐藏进程"这一说法,可以讲是根本不可能实现,只要我们的程序是以进程内核的形式运行,都是不可能逃离CTRL+ALT+DEL的法眼。那么奇怪了,这岂不是与我们的标题《WinNT Win2K下实现进程的完全隐藏》相矛盾吗?是的,实际上应该是:以非进程方式执行目标代码,而逃避进程查看器的检查,从而达到"进程隐藏"的目的。 我们这里用的,是在宿主进程中,以线程的方式执行我们的代码。实现起来非常简单。首先,我们先建立一个不执行任何语句的线程 DWORD stdcall ThreadProc(LPVOID *lpVoid){ return 0; } 然后,将线程代码拷备至宿主进程所能够执行的任何地方(即页面属性为PAGGE_EXECUTE_READWRITE),如:共享内存影射区、宿主进程内。这里我们选择宿主进程,拷备的时侯,我们需要先在宿主进程中使用VirtualAllocEx函数申请一段内存,然后再使用WriteProcessMemory将线程体写入宿主进程中。 以上工作完成后,我们便可CreateRemoteThread函数激活其执行。下面给出一个完整的例子 //远程线程执行体 DWORD __stdcall ThreadProc (void *lpPara){ return 0; } int main(int argc, char* argv[]){ const DWORD THREADSIZE=1024*4;//暂定线程体大小为4K,实际上没这么大,稍后我将会介绍 DWORD byte_write; //获得指定进程ID句柄,并设其权限为PROCESS_ALL_ACCESS,992是宿进程的ID号,获取ID号的方法这里我就不多讲了 HANDLE hWnd = ::OpenProcess (PROCESS_ALL_ACCESS,FALSE,992); if(!hWnd)return 0; void *pRemoteThread =::VirtualAllocEx(hWnd,0,THREADSIZE,MEM_COMMIT| MEM_RESERVE,PAGE_EXECUTE_READWRITE);//申请 if(!pRemoteThread)return 0; if(!::WriteProcessMemory(hWnd,pRemoteThread,ThreadProc,THREADSIZE,0))//写入进程 return 0; //启动线程 HANDLE hThread = ::CreateRemoteThread (hWnd ,0,0,(DWORD (__stdcall *)(void *))pRemoteThread ,NULL,0,byte_write); if(!hThread){ //还有内存分配未释放 return 0; } return 0; } 到这里,对于隐藏的方法就算告一段落,相信看过的朋友对这个思路有个非常明确的概念了吧。 在理解隐藏的方法后,我们着重开始写线程的执行部分了。如下: DWORD __stdcall ThreadProc(void *lpPara){ MessageBox(NULL,"hello","hello",0); return 0; } 编译执行后,你会发现出现一个非法操作错误,为什么呢?在我们以段页式内存管理的win2K操作系统中,编译时会把所有的常量编译在PE文件的.data节中,而代码段则在.text中,所以,我们拷备到宿主进程中的代码是在.text中的代码,MessageBox(NULL,(char *)指针,p,0);所指向的地址是本进程的内存虚拟地址。而在宿主进程中是无法访问的。解决的方法很简单,按旧照搬的将"hello"也拷备到目标进程中,然后再引用。同理,MessageBox函数地址编译时,也是保存在.Import中,写过Win2k病毒的朋友都知道,所有常量与函数入口地址都需在代码段定义与得出,我们这里也与他有点类似。言归正传,同样情况我们也把函数的入口地址一起写入目标进程中。 //先定义参数结构 typedef struct _RemotePara{//参数结构 char pMessageBox[12]; DWORD dwMessageBox; }RemotePara; //付值 RemotePara myRemotePara; ::ZeroMemory(myRemotePara,sizeof(RemotePara)); HINSTANCE hUser32 = ::LoadLibrary ("user32.dll"); myRemotePara.dwMessageBox =(DWORD) ::GetProcAddress (hUser32 , "MessageBoxA"); strcat(myRemotePara.pMessageBox,"hello\0"); //写进目标进程 RemotePara *pRemotePara =(RemotePara *) ::VirtualAllocEx (hWnd ,0,sizeof(RemotePara),MEM_COMMIT,PAGE_READWRITE);//注意申请空间时的页面保护属性 if(!pRemotePara)return 0; if(!::WriteProcessMemory (hWnd ,pRemotePara,myRemotePara,sizeof myRemotePara,0))return 0; //启动进将参数传递进入 HANDLE hThread = ::CreateRemoteThread (hWnd ,0,0,(DWORD (__stdcall *)(void *))pRemoteThread ,pRemotePara,0,byte_write); if(!hThread){ return 0; } 好了,就这么简单,下在给出一个弹出一个MessageBox的实例: // RemoteThread.cpp : Defines the entry point for the console application. // #include "stdafx.h" typedef struct _RemotePara{//参数结构 char pMessageBox[12]; DWORD dwMessageBox; }RemotePara; //远程线程 DWORD __stdcall ThreadProc (RemotePara *lpPara){ typedef int (__stdcall *MMessageBoxA)(HWND,LPCTSTR,LPCTSTR,DWORD);//定义MessageBox函数 MMessageBoxA myMessageBoxA; myMessageBoxA =(MMessageBoxA) lpPara-dwMessageBox ;//得到函数入口地址 myMessageBoxA(NULL,lpPara-pMessageBox ,lpPara-pMessageBox,0);//call return 0; } void EnableDebugPriv();//提升应用级调试权限 int main(int argc, char* argv[]){ const DWORD THREADSIZE=1024*4; DWORD byte_write; EnableDebugPriv();//提升权限 HANDLE hWnd = ::OpenProcess (PROCESS_ALL_ACCESS,FALSE,992); if(!hWnd)return 0; void *pRemoteThread =::VirtualAllocEx(hWnd,0,THREADSIZE,MEM_COMMIT| MEM_RESERVE,PAGE_EXECUTE_READWRITE); if(!pRemoteThread)return 0; if(!::WriteProcessMemory(hWnd,pRemoteThread,ThreadProc,THREADSIZE,0)) return 0; //再付值 RemotePara myRemotePara; ::ZeroMemory(myRemotePara,sizeof(RemotePara)); HINSTANCE hUser32 = ::LoadLibrary ("user32.dll"); myRemotePara.dwMessageBox =(DWORD) ::GetProcAddress (hUser32 , "MessageBoxA"); strcat(myRemotePara.pMessageBox,"hello\0"); //写进目标进程 RemotePara *pRemotePara =(RemotePara *) ::VirtualAllocEx (hWnd ,0,sizeof(RemotePara),MEM_COMMIT,PAGE_READWRITE);//注意申请空间时的页面属性 if(!pRemotePara)return 0; if(!::WriteProcessMemory (hWnd ,pRemotePara,myRemotePara,sizeof myRemotePara,0))return 0; //启动线程 HANDLE hThread = ::CreateRemoteThread (hWnd ,0,0,(DWORD (__stdcall *)(void *))pRemoteThread ,pRemotePara,0,byte_write); if(!hThread){ return 0; } return 0; } //提升权限 void EnableDebugPriv( void ) { HANDLE hToken; LUID sedebugnameValue; TOKEN_PRIVILEGES tkp; if ( ! OpenProcessToken( GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, hToken ) ) return; if ( ! LookupPrivilegeValue( NULL, SE_DEBUG_NAME, sedebugnameValue ) ){ CloseHandle( hToken ); return; } tkp.PrivilegeCount = 1; tkp.Privileges[0].Luid = sedebugnameValue; tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; if ( ! AdjustTokenPrivileges( hToken, FALSE, tkp, sizeof tkp, NULL, NULL ) ) CloseHandle( hToken ); } 好了,程序编译执行后会在进程号为992的进程中创建一线程,弹出hello对话框。是不是非常简单呢! 这里有几个地方需要注意的: 1、远程线程在宿主进程中申请空间时,空间大小的确定了是我一直无法解决的问题。我曾使用两个贴近一起的线程,以线程间的距离大小,并加上参数大小,作为申请空间时,仍然会出现非法操作,如下: static void StartThread (LPVOID *lpPara){ return ; } static void EndThread(LPVOID *lpPara){ return; } 然后使用DWORD dwLenght = (DWORD)((char *)StartThread - (char *)EndThread);//得到StartThread线程代码长度, dwLenght += sizeof(ThreadPara); 仍会出现非法操作让我很迷惑。在win2k中,线程的默认堆栈的页大小是4KB,这里我在为线程申请内存时,申请的大小暂时使用一个常数,始终为4KB的倍数,选取时尽量取大,在线程可成功运行后,再一点点改小。办法是笨了点,如这里的朋友有更好的方法,请不吝赐教。 2、什么时侯,什么参数是需要从外部传递进来的呢?我这里并没有一个十分有力的答案,我的理解是:PE文件中除了.text节以外的所有节,均需使用外部参数传递到线程中使用,如:.rsrc、.data、rdata等其他的15个节。在我们实际编写的过程中,初学者并不知道我们的代码会编译在什么地方,这个时侯,我们可以在运行的时侯ALT + 8(VC中快捷键)反编译过来,一般有lea eax p、push offset p等取地址语句,这个时侯,我们大都需要以参数传递进来。所以,大家在编写的时侯,一定要注意参数,因为线程的执行是在别的进程中,一个普通权限的应用程序是无法跨越进程来调试其他进程的。包括VC,也无法调试我们的远程线程,熟悉汇编的朋友,可用softice调试,这需要一定的功底。 3、权限,这一点很重要,shotgun在这方面也介绍得很清楚了,网上相关的文章也很多,我就不多说了。文中的EnableDebugPriv函数可使本进程在internet、winLogin、lsass等进程中创建线程。win2k的进程查看器无法将其杀除。 4、进程ID获方法较多,如:EnumProcesses、CreateToolhelp32Snapshot/Process32First/Process32Next、NtQuerySystemInformation等函数均可,为减少代码,例子中的进程ID是直接在进程查看器中得到的。 最后,我们再回到shotgun的文章中,这时侯我们因已经非常清楚他的方法中为何会多出一个DLL文件了。远程线程的线程体本身就是LoadLibrary函数,即,线程的入口地址就是LoadLibrary的入口地址,这是系统Kernel32.dll中的函数,任何进程都可调用。线程中使用LoadLibrary函数将我们的DLL加载到系统空间内,线程一执行,我们的DLL就开始工作了。线程执行结束后,别忘了使用VirtualFreeEx将其申请的内存区释放。 两种方法一比较,很明显: 1、在使用DLL时,创建十分简单,也不需要太多的操作系统与内存操作知识,并可直接调试DLL文件。实现起来比较简单。 2、直接拷备到进程中的方法稍为复杂一点,一不小心,很容易出现非法操作。当然,也去掉那了个让人讨厌DLL文件。程序执行后,很难找到他的来源地,是除了病毒以外的木马隐藏的首选方法。 这里我大量参考了nongmin.cn(农民)程序的源码,他的程序对我的帮助非常大。虽然未有谋面,但对他的计算机水平与作为十分的敬佩,并尊从他的作风,以后我所写的所有非商业软件或小代码,均以源码形式出现。这里写得有点乱,希望对大家能够有所帮助
NetMeeting Remote Desktop Sharing服务启动后又停止了,请问怎么启动呀?
计算机重新启动
一、软件方面
1.病毒
“冲击波”病毒发作时还会提示系统将在60秒后自动启动。
木马程序从远程控制你计算机的一切活动,包括让你的计算机重新启动。
清除病毒,木马,或重装系统。
2.系统文件损坏
系统文件被破坏,如Win2K下的KERNEL32.DLL,Win98 FONTS目录下面的字体等系统运行时基本的文件被破坏,系统在启动时会因此无法完成初始化而强迫重新启动。
解决方法:覆盖安装或重新安装。
3.定时软件或计划任务软件起作用
如果你在“计划任务栏”里设置了重新启动或加载某些工作程序时,当定时时刻到来时,计算机也会再次启动。对于这种情况,我们可以打开“启动毕睿�觳槔锩嬗忻挥凶约翰皇煜さ闹葱形募�蚱渌�ㄊ惫ぷ鞒绦颍��淦帘魏笤倏��觳椤5比唬�颐且部梢栽凇霸诵小崩锩嬷苯邮淙搿癕sconfig”命令选择启动项。
二、硬件方面
1.机箱电源功率不足、直流输出不纯、动态反应迟钝。
用户或装机商往往不重视电源,采用价格便宜的电源,因此是引起系统自动重启的最大嫌疑之一。
①电源输出功率不足,当运行大型的3D游戏等占用CPU资源较大的软件时,CPU需要大功率供电时,电源功率不够而超载引起电源保护,停止输出。电源停止输出后,负载减轻,此时电源再次启动。由于保护/恢复的时间很短,所以给我们的表现就是主机自动重启。
②电源直流输出不纯,数字电路要求纯直流供电,当电源的直流输出中谐波含量过大,就会导致数字电路工作出错,表现是经常性的死机或重启。
③CPU的工作负载是动态的,对电流的要求也是动态的,而且要求动态反应速度迅速。有些品质差的电源动态反应时间长,也会导致经常性的死机或重启。
④更新设备(高端显卡/大硬盘/视频卡),增加设备(刻录机/硬盘)后,功率超出原配电源的额定输出功率,就会导致经常性的死机或重启。
解决方法:现换高质量大功率计算机电源。
2.内存热稳定性不良、芯片损坏或者设置错误
内存出现问题导致系统重启致系统重启的几率相对较大。
①内存热稳定性不良,开机可以正常工作,当内存温度升高到一定温度,就不能正常工作,导致死机或重启。
②内存芯片轻微损坏时,开机可以通过自检(设置快速启动不全面检测内存),也可以进入正常的桌面进行正常操作,当运行一些I/O吞吐量大的软件(媒体播放、游戏、平面/3D绘图)时就会重启或死机。
解决办法:更换内存。
③把内存的CAS值设置得太小也会导致内存不稳定,造成系统自动重启。一般最好采用BIOS的缺省设置,不要自己改动。
3.CPU的温度过高或者缓存损坏
①CPU温度过高常常会引起保护性自动重启。温度过高的原因基本是由于机箱、CPU散热不良,CPU散热不良的原因有:散热器的材质导热率低,散热器与CPU接触面之间有异物(多为质保帖),风扇转速低,风扇和散热器积尘太多等等。还有P2/P3主板CPU下面的测温探头损坏或P4 CPU内部的测温电路损坏,主板上的BIOS有BUG在某一特殊条件下测温不准,CMOS中设置的CPU保护温度过低等等也会引起保护性重启。
②CPU内部的一、二级缓存损坏是CPU常见的故障。损坏程度轻的,还是可以启动,可以进入正常的桌面进行正常操作,当运行一些I/O吞吐量大的软件(媒体播放、游戏、平面/3D绘图)时就会重启或死机。
解决办法:在CMOS中屏蔽二级缓存(L2)或一级缓存(L1),或更换CPU排除。
4.AGP显卡、PCI卡(网卡、猫)引起的自动重启
①外接卡做工不标准或品质不良,引发AGP/PCI总线的RESET信号误动作导致系统重启。
②还有显卡、网卡松动引起系统重启的事例。
5. 并口、串口、USB接口接入有故障或不兼容的外部设备时自动重启
①外设有故障或不兼容,比如打印机的并口损坏,某一脚对地短路,USB设备损坏对地短路,针脚定义、信号电平不兼容等等。
②热插拔外部设备时,抖动过大,引起信号或电源瞬间短路。
6.光驱内部电路或芯片损坏
光驱损坏,大部分表现是不能读盘/刻盘。也有因为内部电路或芯片损坏导致主机在工作过程中突然重启。光驱本身的设计不良,FireWare有Bug。也会在读取光盘时引起重启。
7.机箱前面板RESET开关问题
机箱前面板RESET键实际是一个常开开关,主板上的RESET信号是 5V电平信号,连接到RESET开关。当开关闭合的瞬间, 5V电平对地导通,信号电平降为0V,触发系统复位重启,RESET开关回到常开位置,此时RESET信号恢复到 5V电平。如果RESET键损坏,开关始终处于闭合位置,RESET信号一直是0V,系统就无法加电自检。当RESET开关弹性减弱,按钮按下去不易弹起时,就会出现开关稍有振动就易于闭合。从而导致系统复位重启。
解决办法:更换RESET开关。
还有机箱内的RESET开关引线短路,导致主机自动重启。
8. 主板故障
主板导致自动重启的事例很少见。一般是与RESET相关的电路有故障;插座、插槽有虚焊,接触不良;个别芯片、电容等元件损害。
三、其他原因
1.市电电压不稳
①计算机的开关电源工作电压范围一般为170V-240V,当市电电压低于170V时,计算机就会自动重启或关机。
解决方法:加稳压器(不是UPS)或130-260V的宽幅开关电源。
②电脑和空调、冰箱等大功耗电器共用一个插线板的话,在这些电器启动的时候,供给电脑的电压就会受到很大的影响,往往就表现为系统重启。
解决办法就是把他们的供电线路分开。
2.强磁干扰
不要小看电磁干扰,许多时候我们的电脑死机和重启也是因为干扰造成的,这些干扰既有来自机箱内部CPU风扇、机箱风扇、显卡风扇、显卡、主板、硬盘的干扰,也有来自外部的动力线,变频空调甚至汽车等大型设备的干扰。如果我们主机的搞干扰性能差或屏蔽不良,就会出现主机意外重启或频繁死机的现象。
3、交流供电线路接错
有的用户把供电线的零线直接接地(不走电度表的零线),导致自动重启,原因是从地线引入干扰信号。
4.插排或电源插座的质量差,接触不良。
电源插座在使用一段时间后,簧片的弹性慢慢丧失,导致插头和簧片之间接触不良、电阻不断变化,电流随之起伏,系统自然会很不稳定,一旦电流达不到系统运行的最低要求,电脑就重启了。解决办法,购买质量过关的好插座。
5. 积尘太多导致主板R
电脑右下角出现RemoteControl 图标怎么关掉?急死我了
是一种远程控制软件,恭喜你,你已经成为了肉鸡,赶快杀病毒吧!你现在的一切操作,以及键盘记录,全部在网络的另一端全部监控着!
1.Remotecontrol??????是一种远程控制软件,木马。如果你没装过手机软件,你试试用avg看看能不能杀掉。你说的启动项关不掉,可能是服务没关掉,所以不能在启动项去掉。要关掉服务,我的电脑-右键 管理-服务和应用程序-服务里面找Remotecontrol??????相关的服务。双击将启动类型选禁用。 然后在注册表,和文件夹里搜索这个关键字,然后删除。
也可以用360安全卫士,查找一下
2.你被别人装了remote administrator 2以上的版本
开始 运行 cmd 确定
cd\windows\system32 回车
这是以xp系统为例
net stop r_server
先停止掉这个服务,如果给你下马的人没改文件名的话,继续下面的
r_server/uninstall 回车,删除这个服务
然后依次删除r_server.exe
admdll.dll
raddrv.dll
这三个文件就可以了,有可能限藏了!
谁知道Trojan/Win32是什么病毒?
很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor. RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名,这时有些人就懵了,那么长一串的名字,我怎么知道是什么病毒啊?
其实只要我们掌握一些病毒的命名规则,我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。
世界上那么多的病毒,反病毒公司为了方便管理,他们会按照病毒的特性,将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样,但大体都是采用一个统一的命名方法来命名的。一般格式为:病毒前缀.病毒名.病毒后缀 。
病毒前缀是指一个病毒的种类,他是用来区别病毒的种族分类的。不同的种类的病毒,其前缀也是不同的。比如我们常见的木马病毒的前缀 Trojan ,蠕虫病毒的前缀是 Worm 等等还有其他的。
病毒名是指一个病毒的家族特征,是用来区别和标识病毒家族的,如以前著名的CIH病毒的家族名都是统一的“ CIH ”,还有近期闹得正欢的振荡波蠕虫病毒的家族名是“ Sasser ”。
病毒后缀是指一个病毒的变种特征,是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示,如Worm.Sasser.b就是指 振荡波蠕虫病毒的变种B,因此一般称为 “振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多(也表明该病毒生命力顽强),可以采用数字与字母混合表示变种标识。
综上所述,一个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。通过判断病毒的类型,就可以对这个病毒有个大概的评估(当然这需要积累一些常见病毒类型的相关知识,这不在本文讨论范围)。而通过病毒名我们可以利用查找资料等方式进一步了解该病毒的详细特征。病毒后缀能让我们知道现在在你机子里呆着的病毒是哪个变种。
1、系统病毒
系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。
2、蠕虫病毒
蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件)等。
3、木马病毒、黑客病毒
木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如Trojan.LMir.PSW.60 。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。
4、脚本病毒
脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)——可不是我们的老大代码兄。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
5、宏病毒
其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,依此类推。该类病毒的公有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。
6、后门病毒
后门病毒的前缀是:Backdoor。该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。
7、病毒种植程序病毒
这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
8.破坏性程序病毒
破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。免费杀毒软件下载金山毒霸2008
9.玩笑病毒
玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。
10.捆绑机病毒
捆绑机病毒的前缀是:Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。
以上为比较常见的病毒前缀,有时候我们还会看到一些其他的,但比较少见,这里简单提一下:
DoS:会针对某台主机或者服务器进行DoS攻击;
Exploit:会自动通过溢出对方或者自己的系统漏洞来传播自身,或者他本身就是一个用于
Hacking的溢出工具;
HackTool:黑客工具,也许本身并不破坏你的机子,但是会被别人加以利用来用你做替身去破坏别人。
你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况,达到知己知彼的效果。在杀毒无法自动查杀,打算采用手工方式的时候这些信息会给你很大的帮助。
Emoter是什么意思?
emoter
n.emote的变形
emote
vi.[美国口语、常为诙谐幽默语](演戏、拍电影时)有感情地表演;强烈地表现感情;过火(或不恰当)地表演
矫饰,矫揉造作,装模作样,装腔作势:
电脑里有一个名叫 Trojandownloader:Win32/Adload.BM!dll 的病毒,怎么样也删不掉,跪求高人帮
您好:如果怀疑系统存在病毒,建议您安装瑞星杀毒软件V16版本升级到最新病毒库后进行病毒扫描查杀,下载地址:http://pc.rising.com.cn/
我的电脑主页 要修改老被360阻止了 IE的浏览器 退出360就可以改 可是 360浏览器没法改 请指点
以下文字是网上找的,应该对你有帮助。觉得第一和第二点对你有帮助。
一、注册表被修改的原因及解决办法
其实,该恶意网页是含有有害代码的ActiveX网页文件,这些广告信息的出现是因为浏览者的注册表被恶意更改的结果。
1、IE默认连接首页被修改
IE浏览器上方的标题栏被改成“欢迎访问******网站”的样式,这是最常见的篡改手段,受害者众多。
受到更改的注册表项目为:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMainStart Page
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainStart Page
通过修改“Start Page”的键值,来达到修改浏览者IE默认连接首页的目的,如浏览“*****”就会将你的IE默认连接首页修改为 ****.com ”,即便是出于给自己的主页做广告的目的,也显得太霸道了一些,这也是这类网页惹人厌恶的原因。
解决办法:
A. 注册表法:
①在Windows启动后,点击“开始”→“运行”菜单项,在“打开”栏中键入regedit,然后按“确定”键;
②展开注册表到
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain下,在右半部分窗口中找到串值“Start Page”双击 ,将Start Page的键值改为“about:blank”即可;
③同理,展开注册表到 HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain
在右半部分窗口中找到串值“Start Page”,然后按②中所述方法处理。
④退出注册表编辑器,重新启动计算机,一切OK了!
特殊例子:当IE的起始页变成了某些网址后,就算你通过选项设置修改好了,重启以后又会变成他们的网址啦,十分的难缠。其实他们是在你机器里加了一个自运行程序,它会在系统启动时将你的IE起始页设成他们的网站。
解决办法:
运行注册表编辑器regedit.exe,然后依次展开
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRun主键,然后将其下的registry.exe子键删除,然后删除自运行程序c:Program Files egistry.exe,最后从IE选项中重新设置起始页就好了。
2、篡改IE的默认页
有些IE被改了起始页后,即使设置了“使用默认页”仍然无效,这是因为IE起始页的默认页也被篡改啦。具体说来就是以下注册表项被修改:
HKEY_LOCAL_MACHINESoftwareMicrosoftInternet Explorer
MainDefault_Page_URL“Default_Page_URL”这个子键的键值即起始页的默认页。
解决办法:
A.运行注册表编辑器,然后展开上述子键,将“Default_Page_UR”子键的键值中的那
些篡改网站的网址改掉就好了,或者设置为IE的默认值。
B.msconfig 有的还是将程序写入硬盘中,重启计算机后 首页设置又被改了回去,这时可使用“系统配置实用程序”来解决。开始-运行,键入msconfig点击“确定”,在弹出的窗口中切换到“启动”选项卡,禁用可疑程序启动项。
3、修改IE浏览器缺省主页,并且锁定设置项,禁止用户更改回来。
主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选):
[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Pan
el]"Settings"=dword:1
[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Pan
el]"Links"=dword:1
[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Pan
el]"SecAddSites"=dword:1
解决办法:
将上面这些DWORD值改为“0”即可恢复功能。
4、IE的默认首页灰色按扭不可选
这是由于注册表HKEY_USERS.DEFAULTSoftwarePoliciesMicrosoftInternet E
xplorerControl Panel下的DWORD值“homepage”的键值被修改的缘故。原来的键值为“0”,被修改为“
1”(即为灰色不可选状态)。
解决办法:
将“homepage”的键值改为“0”即可。
5、IE标题栏被修改
在系统默认状态下,是由应用程序本身来提供标题栏的信息,但也允许用户自行在上述注册表项目中填加信息,而一些恶意的网站正是利用了这一点来得逞的:它们将串值Window Title下的键值改为其网站名或更多的广告信息,从而达到改变浏览者IE标题栏的目的。
具体说来受到更改的注册表项目为:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMainWindow Title
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainWindow Title
解决办法:
①在Windows启动后,点击“开始”→“运行”菜单项,在“打开”栏中键入regedit,然后按“确定”键;
②展开注册表到
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain下,在右半部分窗口中找到串值“Window Title” ,将该串值删除即可,或将Window Title的键值改为“IE浏览器”等你喜欢的名字;
③同理,展开注册表到
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain然后按②中所述方法处理。
④退出注册表编辑器,重新启动计算机,运行IE,你会发现困扰你的问题解决了!
6、IE右键菜单被修改
受到修改的注册表项目为:
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt下被新建了网页的广告信息,并由此在IE右键菜单中出现!
解决办法:
打开注册标编辑器,找到
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt
删除相关的广告条文即可,注意不要把下载软件FlashGet和Netants也删除掉啊,这两个可是“正常”的呀,除非你不想在IE的右键菜单中见到它们。
7、IE默认搜索引擎被修改
在IE浏览器的工具栏中有一个搜索引擎的工具按钮,可以实现网络搜索,被篡改后只要点击那个搜索工具按钮就会链接到那个篡改网站。出现这种现象的原因是以下注册表被修改:
HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearchCustomizeSearch
HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearchSearchAssistant
解决办法:
运行注册表编辑器,依次展开上述子键,将“CustomizeSearch”和“SearchAssis
tant”的键值改为某个搜索引擎的网址即可。
8、系统启动时弹出对话框
受到更改的注册表项目为:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon
在其下被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”,其中“L
egalNoticeCaption”是提示框的标题,“LegalNoticeText”是提示框的文本内容。由
于它们的存在,就使得我们每次登陆到Windwos桌面前都出现一个提示窗口,显示那些网
页的广告信息!你瞧,多讨厌啊!
解决办法:
打开注册表编辑器,找到
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon
这一个主键,然后在右边窗口中找到“LegalNoticeCaption”和“LegalNoticeTex
t”这两个字符串,删除这两个字符串就可以解决在登陆时出现提示框的现象了。
9、浏览网页注册表被禁用
这是由于注册表
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
下的DWORD值“DisableRegistryTools”被修改为“1”的缘故,将其键值恢复为“
0”即可恢复注册表的使用。
解决办法
用记事本程序建立以REG为后缀名的文件,将下面这些内容复制在其中就可以了:
REGEDIT4
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
]“DisableRegistryTools”=dword:00000000
10、浏览网页开始菜单被修改
这是最“狠”的一种,让浏览者有生不如死的感觉。浏览后不仅有类似上面所说的
那些症状,还会有以下更悲惨的遭遇:
1)禁止“关闭系统”
2)禁止“运行”
3)禁止“注销”
4)隐藏C盘——你的C盘找不到了!
5)禁止使用注册表编辑器regedit
6)禁止使用DOS程序
7)使系统无法进入“实模式”
8)禁止运行任何程序
具体的原因和解决办法请看天极网e企业之安全之路栏目的这篇文章:《浏览网页注册表被修改之迷及解决办法》。
以上是比较常见的修改浏览者注册表的现象,今天在浏览网页时,无意中来到某个
个人网站,又遇到了以前没有碰到过的问题:
11、IE中鼠标右键失效
浏览网页后在IE中鼠标右键失效,点击右键没有任何反应!
12、查看““源文件”菜单被禁用
在IE窗口中点击“查看”→“源文件”,发现“源文件”菜单已经被禁用。
我在浏览网页时并没有注意到上面这两个问题,因为当时正好朋友叫我有事,于是
我就退出电脑了,晚上吃完饭开启电脑连线上网,就发现IE中鼠标右键失效,“查看”
菜单中的“源文件”被禁用。不能查看源文件也就罢了,但是无法使用鼠标右键真是太
不方便了。得想个办法!
找出最新版的超级兔子魔法设置试试吧,呀!不能解决!看来是个新问题,不过自
己好歹也是“老革命”了,这点问题应该难不住我。于是到注册表中一番搜寻,经过一
番查找终于弄明白了问题的所在。
原来,恶意网页修改了我的注册表,具体的位置为:
在注册表HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet Explorer
下建立子键“Restrictions”,然后在“Restrictions”下面建立两个DWORD值:“
NoViewSource”和“NoBrowserContextMenu”,并为这两个DWORD值赋值为“1”。
在注册表
HKEY_USERS.DEFAULTSoftwarePoliciesMicrosoftInternet ExplorerRestric
tions下,将两个DWORD值:“NoViewSource”和“NoBrowserContextMenu”的键值都改为
了“1”。
通过上面这些键值的修改就达到了在IE中使鼠标右键失效,使“查看”菜单中的“
源文件”被禁用的目的。要向你说明的是第2点中提到的注册表其实相当于第1点中提到
的注册表的分支,修改第1点中所说的注册表键值,第2点中注册表键值随之改变。
解决办法:
明白了道理,问题解决起来就容易多了,具体解决办法为:将以下内容另存为后缀
名为reg的注册表文件,比方说unlock.reg,双击unlock.reg导入注册表,不用重启电脑
,重新运行IE就会发现IE的功能恢复正常了。
REGEDIT4
[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet Explorer
Restrictions]
“NoViewSource”=dword:00000000
"NoBrowserContextMenu"=dword:00000000
[HKEY_USERS.DEFAULTSoftwarePoliciesMicrosoftInternet Explorer
Restrictions]
“NoViewSource”=dword:00000000
“NoBrowserContextMenu”=dword:00000000
要特别注意的是,在你编制的注册表文件unlock.reg中,“REGEDIT4”一定要大写
,并且它的后面一定要空一行,还有,“REGEDIT4”中的“4”和“T”之间一定不能有
空格,否则将前功尽弃!许多朋友写注册表文件之所以不成功,就是因为没有注意到上
面所说的内容,这回该注意点喽。请注意如果你是Win2000或WinXP用户,请将“REGEDIT4”改为Windows Registry Editor Version 5.00。
二、预防办法
1、要避免中招,关键是不要轻易去一些自己并不了解的站点,特别是那些看上去美
丽诱人的网址更不要贸然前往,否则吃亏的往往是你。
2、由于该类网页是含有有害代码的ActiveX网页文件,因此在IE设置中将ActiveX插
件和控件、Java脚本等全部禁止就可以避免中招。
具体方法是:在IE窗口中点击“工具→Internet选项,在弹出的对话框中选择“安
全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有Ac
tiveX插件和控件以及Java相关全部选择“禁用”即可。不过,这样做在以后的网页浏览
过程中可能会造成一些正常使用ActiveX的网站无法浏览。唉,有利就有弊,你还是自己
看着办吧。
3、对于Windows98用户,请打开C:WINDOWSJAVAPackagesCVLV1NBB.ZIP,把其中 的“ActiveXComponent.class”删掉;对于WindowsMe用户,请打开
C:WINDOWSJAVAPackages5NZVFPF1.ZIP,把其中的“ActiveXComponent.class”删掉
。请放心,删除这个组件不会影响到你正常浏览网页的。
4、下载超级兔子魔法设置软件后安装,如果出现问题,可以用它来恢复。不过 “兔子”对于我们在上面所说的恶意网页使得IE中鼠标右键失效,“查看”菜单中的 “源文件”被禁用这两种现象无法恢复。
5、既然这类网页是通过修改注册表来破坏我们的系统,那么我们可以事先把注册表
加锁:禁止修改注册表,这样就可以达到预防的目的。不过,自己要使用注册表编辑器
regedit.exe该怎么办呢?因此我们还要在此前事先准备一把“钥匙”,以便打开这把“
锁”!
加锁方法如下:
(1)运行注册表编辑器regedit.exe;
(2)展开注册表到
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem下,新建一个名为DisableRegistryTools的DWORD值,并将其值改为“1”,即可禁止使用注册表编辑器regedit.exe。
解锁方法如下:
用记事本编辑一个任意名字的.reg文件,比如unlock.reg,内容如下:
REGEDIT4[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
]“DisableRegistryTools”=dword:00000000存盘,你就有了一把解锁的钥匙了!如果要使用注册表编辑器,则双击unlock.reg即可。请注意如果你是Win2000或WinXP用户,请将“REGEDIT4”写为Windows RegistryEditor Version 5.00。
6、对Win2000用户,还可以通过在Win2000下把服务里面的远程注册表操作服务“R
emote Registry Service”禁用,来对付该类网页。具体方法是:点击“管理工具→服
务→Remote Registry Service(允许远程注册表操作)”,将这一项禁用即可。
7、如果觉得手动修改注册表太危险,可以下载如下reg文件,双击之可恢复被修改
的注册表。
8、虽然经过一番辛苦的劳动修改回了标题和默认连接首页,但如果以后又不小心进
入该站就又得麻烦一次。其实,你可以在IE中做一些设置以便永远不进该站点:
打开IE,点击“工具”→“Internet选项”→“内容”→“分级审查”,点“启用
”按钮,会调出“分级审查”对话框,然后点击“许可站点”标签,输入不想去的网站
网址,如输入:***.****.com,按“从不”按钮,再点击“确定”即大功告成!
9、升级你的IE为6.0版本,可以有效防范上面这些症状。 虽然不是最终版本,但它可以无法再随意修改你的注册表.
10、下载微软最新的Microsoft Windows Script 5.6,可以预防上面所说的现象,
更可预防目前流行的、可恶的混客绝情炸弹
Remote Procedure Call(RPC)服务意外终止,windows必须立刻重新启动!!!
dllhost是一个系统文件,一般不会有问题,即使被木马利用,也是rundll32.exe被利用的几率更大,你可以手动尝试终止系统中的svchost.exe,也会出现这个问题
应该是你有不当操作,而并非电脑有毒,右键点我的电脑 - 管理 - 服务和应用程序 - 服务,在右侧双击Remote Procedure Call (RPC),如果这个服务未启动,则启动它,并把启动类型选择为自动,确定即可