系统安全技巧之如何对MSN密码进行修改
[ 2007-03-25 02:47:06 | 作者: sun ]
原来MSN的密码可以通过其主站直接修改,但由于某些合并的问题,所以他(MSN,LIVE)修改密码就更困难了。
下面提供了两种方法:
1.给你一个网站直接登录后,输入你的msn用户名和密码就可以修改了。
2.教你如何一步一步的进入MSN修改密码的提示框。
希望对大家有帮助。
1.直接登录:https://account.live.com/ (推荐)
2.通过MSN进入的详细办法:
登录http://www.msn.com/
在的图标下面是频道列表,再下面是MSN 服务里面有一项叫MSN 客户服务。点击后会弹出一个页面,在这个图标下面你会找到“重新设置密码”,页面会变成一个白色的问题和回答。这是一个MS解答用户的页面,在这个页面下边更改密码才是我们的需要的。
单击后会进入另一个问题就是更改密码。这样我们可以通过点击“1.登录帐户服务。”等待一会,输入你的用户名(Email)和密码就可以进入了。登录成功后点击更改密码就可以修改密码。
下面提供了两种方法:
1.给你一个网站直接登录后,输入你的msn用户名和密码就可以修改了。
2.教你如何一步一步的进入MSN修改密码的提示框。
希望对大家有帮助。
1.直接登录:https://account.live.com/ (推荐)
2.通过MSN进入的详细办法:
登录http://www.msn.com/
在的图标下面是频道列表,再下面是MSN 服务里面有一项叫MSN 客户服务。点击后会弹出一个页面,在这个图标下面你会找到“重新设置密码”,页面会变成一个白色的问题和回答。这是一个MS解答用户的页面,在这个页面下边更改密码才是我们的需要的。
单击后会进入另一个问题就是更改密码。这样我们可以通过点击“1.登录帐户服务。”等待一会,输入你的用户名(Email)和密码就可以进入了。登录成功后点击更改密码就可以修改密码。
警惕!网络交易诈骗多
[ 2007-03-25 02:46:47 | 作者: sun ]
网络诈骗已成为目前一些诈骗分子的主要作案手段。此类案件的发生很难防范,尤其网上银行和电话银行又是一种较为新生的事物,对于大多数群众来说仍然比较陌生,一些规则、手续不是很清楚,犯罪嫌疑人往往会利用这种人们认识上的盲区,实施诈骗。合肥警方在打击犯罪的同时,将我市及周边地区发生的部分案例通报给广大市民,提醒广大市民警惕,不要轻信来历不明的短信,谨慎保管与银行卡有关的一切信息,特别是卡号和密码,以免造成不必要的损失。如有上当受骗者,请及时到公安机关报案。
以“网上购物”为名实施诈骗、盗窃
网上购物是近年来兴起的一种销售方式,它的优势在于销售环节基本上不需要成本,价格比正规渠道便宜。因此,对社会上年轻人有着巨大的吸引力。由此,出现一批犯罪团伙或犯罪分子在互联网上,通过各种新的手段和伎俩选择被害目标,进而伺机实施侵害。
2006年我市公安机关受理以“网上购物”为名的诈骗、盗窃案件达20余起。
2006年4月19日至30日,合肥市民李某在包河区自己家中电脑网站上网上购物,被诈骗12040元。
“无抵押贷款”为诱饵实施诈骗
日前,上海市连续发生数十起以帮助贷款为诱饵,利用网上银行转账的方式实施贷款诈骗的案件。犯罪嫌疑人以无抵押贷款为诱饵,主要是通过网络和当地主流报纸以及发短信的手段发布放贷信息,当被害人要贷款时,则要求被害人开设银行卡,并在卡内存入一定数量的贷款额,以示其具有还贷能力,从而达至诈骗目的。
今年2月9日,郑某根据其舅舅在报纸上看到的贷款广告,向一名姓王的男子联系,要求贷款40万元,该男子要其先在某银行开卡存入10万元,并开通网上银行。12日下午3时许,郑按对方的要求至某银行,开通了网上银行,并存入10万元,15分钟后查该卡内的钱,发现卡内只有15元,后通过银行查询发现钱已被电子汇出。
以“投资海外基金”为由实施诈骗
今年2月13日,何某到浙江某公安分局报案称,通过上家俞某在域名为××××的网站上投资海外基金被骗。
经调查,域名为××××的网站物理地址为美国。投资者经由财务策划师介绍,通过该网站加入海外基金投资,最低投资金额100美元,投资24小时后开始返利,每天返利6%,共返利50次,本金不归还,但收益率高达300%;而财务策划师则可以一次性获得投资者投资总额8%—15%的回扣。1月16日,何某经人介绍将24800元现金交给上家俞某,让俞帮她在网上进行业务操作。当日,俞某将24800元现金汇入其上家伊某的账户。之后,该网页何某的账号中显示投资额3100元美金。从1月17日至27日,俞某先后从其上家伊某处为何获得了9次返还金,每次为1488元人民币,共计13392元,但1月27日以后,何某再也没有获得过返还金。据上家俞某介绍,其上家伊某有很多的下家,最近可能资金周转陷入困境,电话已经难以联系了。
目前该网站仍然能够登录,网页账户中的返还金仍有显示,极有可能是针对国内投资者设立的投资骗局,涉及网上非法集资和网上基金传销等诸多问题。
因此,省城警方再次提醒广大基金投资者保持清醒的头脑,防止上当受骗。
以“网上购物”为名实施诈骗、盗窃
网上购物是近年来兴起的一种销售方式,它的优势在于销售环节基本上不需要成本,价格比正规渠道便宜。因此,对社会上年轻人有着巨大的吸引力。由此,出现一批犯罪团伙或犯罪分子在互联网上,通过各种新的手段和伎俩选择被害目标,进而伺机实施侵害。
2006年我市公安机关受理以“网上购物”为名的诈骗、盗窃案件达20余起。
2006年4月19日至30日,合肥市民李某在包河区自己家中电脑网站上网上购物,被诈骗12040元。
“无抵押贷款”为诱饵实施诈骗
日前,上海市连续发生数十起以帮助贷款为诱饵,利用网上银行转账的方式实施贷款诈骗的案件。犯罪嫌疑人以无抵押贷款为诱饵,主要是通过网络和当地主流报纸以及发短信的手段发布放贷信息,当被害人要贷款时,则要求被害人开设银行卡,并在卡内存入一定数量的贷款额,以示其具有还贷能力,从而达至诈骗目的。
今年2月9日,郑某根据其舅舅在报纸上看到的贷款广告,向一名姓王的男子联系,要求贷款40万元,该男子要其先在某银行开卡存入10万元,并开通网上银行。12日下午3时许,郑按对方的要求至某银行,开通了网上银行,并存入10万元,15分钟后查该卡内的钱,发现卡内只有15元,后通过银行查询发现钱已被电子汇出。
以“投资海外基金”为由实施诈骗
今年2月13日,何某到浙江某公安分局报案称,通过上家俞某在域名为××××的网站上投资海外基金被骗。
经调查,域名为××××的网站物理地址为美国。投资者经由财务策划师介绍,通过该网站加入海外基金投资,最低投资金额100美元,投资24小时后开始返利,每天返利6%,共返利50次,本金不归还,但收益率高达300%;而财务策划师则可以一次性获得投资者投资总额8%—15%的回扣。1月16日,何某经人介绍将24800元现金交给上家俞某,让俞帮她在网上进行业务操作。当日,俞某将24800元现金汇入其上家伊某的账户。之后,该网页何某的账号中显示投资额3100元美金。从1月17日至27日,俞某先后从其上家伊某处为何获得了9次返还金,每次为1488元人民币,共计13392元,但1月27日以后,何某再也没有获得过返还金。据上家俞某介绍,其上家伊某有很多的下家,最近可能资金周转陷入困境,电话已经难以联系了。
目前该网站仍然能够登录,网页账户中的返还金仍有显示,极有可能是针对国内投资者设立的投资骗局,涉及网上非法集资和网上基金传销等诸多问题。
因此,省城警方再次提醒广大基金投资者保持清醒的头脑,防止上当受骗。
不惧黑客 用安全重启删除Hxdef后门
[ 2007-03-25 02:46:24 | 作者: sun ]
Hxdef 是一款隐藏进程、隐藏注册表、隐藏连接、隐藏文件的后门,运行以后,你用任务管理器无法看到相应的进程、注册表这些。
作者还推出了黄金版的Hxdef,这个版本据说可以躲过Iceword、Knlps、Rootkitreveal这些内核级后门检测工具。当然黄金版的是要付钱的。
但我相信,无论他怎么改,使用安全重启一定可以把他找出来。下面是我做的一个简单的介绍,教你如何使用安全重启的。
一、运行我电脑里面一个病毒样本Hxdef,然后安全专家会拦截掉他,为了描述安全重启的功能,我们在这里面允许这个进程运行。
作者还推出了黄金版的Hxdef,这个版本据说可以躲过Iceword、Knlps、Rootkitreveal这些内核级后门检测工具。当然黄金版的是要付钱的。
但我相信,无论他怎么改,使用安全重启一定可以把他找出来。下面是我做的一个简单的介绍,教你如何使用安全重启的。
一、运行我电脑里面一个病毒样本Hxdef,然后安全专家会拦截掉他,为了描述安全重启的功能,我们在这里面允许这个进程运行。
杀软之我见 由熊猫烧香看各款杀毒软件
[ 2007-03-25 02:45:58 | 作者: sun ]
最近熊猫烧香流行,我试了几款杀软,深有体会在这和大家分享一下,看来这个主动防御还是蛮实用的。
杀毒软件用户都会有所体会,通过病毒特征库的严格比对来判别病毒的杀毒方式总是会“慢半拍”,因此用户只得无奈的把杀软的落后杀毒方式比喻成“过期药”。近年杀毒软件厂商为解决这个问题动足了脑筋,以“主动防御”功能为主要特征的新一代防病毒体系已经成为反病毒行业技术主流。既然各主流杀软都相继推出了“主动防御”功能及相关技术,那么究竟哪一款杀软才是主动防御功能的“王中之王”呢?我们在同一测评平台下对“主动防御技术”的各项指标逐一比较。
测评软硬件环境
CPU P4 2.6GA
内存 金士顿 512MB DDR
硬盘 WD 80GB/7200转
网络 中国电信 2MB ADSL独享
操作系统 Windows XP Pro SP2+IE6.0
杀毒软件“主动防御技术”之“实时监控”
现如今各种病毒和木马程序真的可谓是无孔不入,对于从不同途径可能进入到用户系统中的病毒和木马,杀毒软件能够提供的实时监控和主动拦截有害信息的项目越多,用户可能感染病毒和被植入木马程序的机率就会大大得到减少。
参评杀软:
江民:文件、邮件、网页、即时通讯软件、注册表、恶意脚本、系统监测和用户隐私信息等。
特色:注册表、隐私信息和系统监测
金山:文件、邮件、网页、ActiveX控件、即时通讯软件和用户隐私信息等。
特色:ActiveX控件、用户隐私信息
瑞星:网页、注册表、文件、邮件收发、漏洞攻击、引导区和内存等
特色:注册表、漏洞攻击、引导区和内存
诺顿2007:文件、邮件收发、网页、即时通讯软件(不包括QQ)、间谍软件入侵和可移动介质等。
特色:间谍软件、可移动介质
卡巴斯基6.0:文件、邮件收发、网页、注册表、应用程序完整性、Office和系统监测等。
特色:注册表、系统监测
点评:
各杀软通过实时监控,可以将试图“流窜”到系统中的绝大部分电脑病毒拦截于系统之外。因为“用户隐私信息”监控可以快速彻底的防止敏感信息外流,从而达到防“盗号”的目的;而“注册表”监控可以自动捕获任何一种对注册表键值的修改或读写操作,一旦发现存在试图对注册表键值的修改或读写操作,软件会立即报警并可以由用户选择决定是否接受修改或读写。
综合比较,在该项目比拼中,江民KV2007兼有包括“用户隐私信息监控”、“注册表监控”和“系统级行为监测”等在内的多项监控目标,特别是系统监测功能更是给笔者留下了深刻印象,笔者在没有升级病毒库的情况下,在虚拟机中运行了“熊猫烧香”病毒,江民系统监测迅速报警并拦截了病毒,是名副其实的“主动防御”,所以它应该是最大的赢家。另外,笔者这里还遇到了一件有趣的事,由于知道卡巴斯基也具有与江民KV2007相类似的“系统监测功能”,所以笔者也同样在装有卡巴斯基6.0的系统中分别运行虚拟机和“熊猫烧香”病毒,结果卡巴斯基果然在第一时间报警,不过报警后系统便长时间处于死机状态,第二遍实验结果依然如故,不知道是何原因。
杀毒软件用户都会有所体会,通过病毒特征库的严格比对来判别病毒的杀毒方式总是会“慢半拍”,因此用户只得无奈的把杀软的落后杀毒方式比喻成“过期药”。近年杀毒软件厂商为解决这个问题动足了脑筋,以“主动防御”功能为主要特征的新一代防病毒体系已经成为反病毒行业技术主流。既然各主流杀软都相继推出了“主动防御”功能及相关技术,那么究竟哪一款杀软才是主动防御功能的“王中之王”呢?我们在同一测评平台下对“主动防御技术”的各项指标逐一比较。
测评软硬件环境
CPU P4 2.6GA
内存 金士顿 512MB DDR
硬盘 WD 80GB/7200转
网络 中国电信 2MB ADSL独享
操作系统 Windows XP Pro SP2+IE6.0
杀毒软件“主动防御技术”之“实时监控”
现如今各种病毒和木马程序真的可谓是无孔不入,对于从不同途径可能进入到用户系统中的病毒和木马,杀毒软件能够提供的实时监控和主动拦截有害信息的项目越多,用户可能感染病毒和被植入木马程序的机率就会大大得到减少。
参评杀软:
江民:文件、邮件、网页、即时通讯软件、注册表、恶意脚本、系统监测和用户隐私信息等。
特色:注册表、隐私信息和系统监测
金山:文件、邮件、网页、ActiveX控件、即时通讯软件和用户隐私信息等。
特色:ActiveX控件、用户隐私信息
瑞星:网页、注册表、文件、邮件收发、漏洞攻击、引导区和内存等
特色:注册表、漏洞攻击、引导区和内存
诺顿2007:文件、邮件收发、网页、即时通讯软件(不包括QQ)、间谍软件入侵和可移动介质等。
特色:间谍软件、可移动介质
卡巴斯基6.0:文件、邮件收发、网页、注册表、应用程序完整性、Office和系统监测等。
特色:注册表、系统监测
点评:
各杀软通过实时监控,可以将试图“流窜”到系统中的绝大部分电脑病毒拦截于系统之外。因为“用户隐私信息”监控可以快速彻底的防止敏感信息外流,从而达到防“盗号”的目的;而“注册表”监控可以自动捕获任何一种对注册表键值的修改或读写操作,一旦发现存在试图对注册表键值的修改或读写操作,软件会立即报警并可以由用户选择决定是否接受修改或读写。
综合比较,在该项目比拼中,江民KV2007兼有包括“用户隐私信息监控”、“注册表监控”和“系统级行为监测”等在内的多项监控目标,特别是系统监测功能更是给笔者留下了深刻印象,笔者在没有升级病毒库的情况下,在虚拟机中运行了“熊猫烧香”病毒,江民系统监测迅速报警并拦截了病毒,是名副其实的“主动防御”,所以它应该是最大的赢家。另外,笔者这里还遇到了一件有趣的事,由于知道卡巴斯基也具有与江民KV2007相类似的“系统监测功能”,所以笔者也同样在装有卡巴斯基6.0的系统中分别运行虚拟机和“熊猫烧香”病毒,结果卡巴斯基果然在第一时间报警,不过报警后系统便长时间处于死机状态,第二遍实验结果依然如故,不知道是何原因。
克均衡流量帮助互联网抵御大规模DDos攻击
[ 2007-03-25 02:45:46 | 作者: sun ]
编者按:洪水来了怎么办?我们的祖先大禹已经告诉我们,最合理的方法是“疏导”。所以,DDos来了也不要怕,通过流量均衡,我们也能阻断它的疯狂攻击。“简单”的攻击,也应该用“简单”的方法来解决!】
据上周发表的一份报告显示,2月初对互联网骨干网络关键部门的攻击几乎没有造成什么影响,主要原因是采用了新的保护技术。
在上周四发布的一份文档中,ICANN表示,这次对域名系统的分布式拒绝服务攻击证明了Anycast负荷平衡系统的有效性。
据ICANN的文档显示,互联网遭受了来自亚太地区的大规模分布式拒绝服务攻击(distributed denial-of-service),但它顶住了这次攻击。ICANN将互联网的强壮归结为Anycast的技术将流量转移到了最近的服务器上。
在为期8周的攻击中,13台根服务器中的6台受到了攻击。但是,只有2台服务器受到明显的影响。
由于仍然在测试过程中,这2台服务器没有安装Anycast的技术。ICANN表示,由于Anycast的技术已经得到了证明,其余的服务器将很快使用这些技术。
(t003)
据上周发表的一份报告显示,2月初对互联网骨干网络关键部门的攻击几乎没有造成什么影响,主要原因是采用了新的保护技术。
在上周四发布的一份文档中,ICANN表示,这次对域名系统的分布式拒绝服务攻击证明了Anycast负荷平衡系统的有效性。
据ICANN的文档显示,互联网遭受了来自亚太地区的大规模分布式拒绝服务攻击(distributed denial-of-service),但它顶住了这次攻击。ICANN将互联网的强壮归结为Anycast的技术将流量转移到了最近的服务器上。
在为期8周的攻击中,13台根服务器中的6台受到了攻击。但是,只有2台服务器受到明显的影响。
由于仍然在测试过程中,这2台服务器没有安装Anycast的技术。ICANN表示,由于Anycast的技术已经得到了证明,其余的服务器将很快使用这些技术。
(t003)
主流计算机病毒对系统有哪些破坏方式
[ 2007-03-25 02:45:33 | 作者: sun ]
电脑病毒激发后,就可能进行破坏活动,轻者干扰屏幕显示,降低电脑运行速度,重者使电脑软硬盘文件、数据被肆意篡改或全部丢失,甚至使整个电脑系统瘫痪。
常见的破坏方式有:
(1)删除磁盘上特定的可执行文件或数据文件。
(2)修改或破坏文件中的数据。
(3)在系统中产生无用的新文件。
(4)对系统中用户储存的文件进行加密或解密。
(5)毁坏文件分配表。
(6)改变磁盘上目标信息的存储状态。
(7)更改或重新写入磁盘的卷标。
(8)在磁盘上产生“坏”的扇区,减少盘空间, 达到破坏有关程序或数据文件的目的。
(9)改变磁盘分配,使数据写入错误的盘区。
(10)对整个磁盘或磁盘的特定磁道进行格式化。
(11)系统空挂,造成显示屏幕或键盘的封锁状态。
(12)影响内存常驻程序的正常运行。
(13)改变系统的正常运行过程。
(14)盗取有关用户的重要数据。
总之,病毒是程序,它能够做程序所能做的一切事情。
然而,电脑病毒的本质是程序,它也只能做程序所能做的事,并不是无所不能的,它不可能侵入未开机的RAM,也不可能传染一个贴上“写保护”的软盘(除非软盘驱动器物理故障),也不能破坏主机板、烧毁电源,病毒并不是硬件故障和软件问题的“替罪羊”。
常见的破坏方式有:
(1)删除磁盘上特定的可执行文件或数据文件。
(2)修改或破坏文件中的数据。
(3)在系统中产生无用的新文件。
(4)对系统中用户储存的文件进行加密或解密。
(5)毁坏文件分配表。
(6)改变磁盘上目标信息的存储状态。
(7)更改或重新写入磁盘的卷标。
(8)在磁盘上产生“坏”的扇区,减少盘空间, 达到破坏有关程序或数据文件的目的。
(9)改变磁盘分配,使数据写入错误的盘区。
(10)对整个磁盘或磁盘的特定磁道进行格式化。
(11)系统空挂,造成显示屏幕或键盘的封锁状态。
(12)影响内存常驻程序的正常运行。
(13)改变系统的正常运行过程。
(14)盗取有关用户的重要数据。
总之,病毒是程序,它能够做程序所能做的一切事情。
然而,电脑病毒的本质是程序,它也只能做程序所能做的事,并不是无所不能的,它不可能侵入未开机的RAM,也不可能传染一个贴上“写保护”的软盘(除非软盘驱动器物理故障),也不能破坏主机板、烧毁电源,病毒并不是硬件故障和软件问题的“替罪羊”。
专家解析宽带账号安全问题
[ 2007-03-25 02:45:19 | 作者: sun ]
宽带账号失窃问题日趋严重
随着网络化步伐的加快,网络已经成为我们生活中的一部分,近年来我国宽带用户迅猛增长,宽带给家庭用户带来了信息沟通的便利。但是宽带对应的安全问题日益突出,帐户被盗、密码丢失、系统被黑等系列问题又带来了多级代理、恶意盗号、非法充网络游戏币值等更多更严重的问题,也给我国宽带的发展带来了负面影响。
目前,涉及到的宽带安全问题主要是盗用宽带帐号及密码问题。3月12日,北京网通与西城区人民检察院、西城区人民法院、市公安局内保局联合通报了我国第一例盗取宽带账号并上网贩卖的案件,因为盗窃并出售了700多个网通ADSL宽带账号,曾是IT技术人员的罗东标将度过长达12年的铁窗岁月。其实,这个问题由来已久,由于网通ADSL账号不仅能够用于上网,还能够在线购买游戏点数、缴纳视频点播资费等,且开销通常随同用户的座机电话费一同缴纳。经常有人在网上发布“索求某地AD-SL账号和密码”的帖子,甚至还有人发帖宣称“长期提供全国各地低价ADSL账号”,其价格少则数十元,多则上百元。难怪有网民评论说,买卖ADSL,已经形成了网上盗号“黑市”。
除了出售被盗的ADSL账号,一些“黑客”还充当起义务教师,在网上传授“ADSL盗号教程”。在不少网络技术专业论坛中,都可以看到标题类似“如何防止ADSL被盗号”的文章,但仔细阅读后却发现,通篇都是传授利用网络漏洞和黑客软件盗取他人ADSL的手法,还根据操作手法区分出“巧取法”和“豪夺法”,更有黑客在后面跟帖彼此交流盗号经验。
失窃问题症结所在
宽带拨号用户的认证方式主要有PPPOE和WEB认证两种。PPPOE采用先认证,后分配IP的方式,需注意,如果是包月制,采用PPPOE方式不能解决对非法用户的远程停、开机,这些用户可盗用他人帐号及密码上网,采用WEB认证方式也解决不了这个问题。目前国内的宽带用户大多是基于PPPOE的DSL用户,当终端接入INTERNET时需要拨号验证,而验证的用户名及密码是在用户办理宽带业务时取得,由于电信出于管理原因,这个帐号及密码有很大规律可循:用户名很多都以电话号码为基数,加上其他一些简易字母,后边加上诸如@163等的后缀,密码几乎都是电话号码,猜解这个帐号及密码非常容易。
宽带用户对帐号密码更根本没有安全意识,甚至某些宽带安装人员也对用户说,宽带密码不存在安全问题,只有你的电话能用。久而久之,这个隐性问题非常普遍,去找到一个宽带账号非常容易。这个问题也还是根源于电信的政策,目前电信的宽带验证过程如下:第一,你的电话必须办理了宽带业务,物理上线路是可用的。第二,你在拨号时用的用户名及密码是匹配的。
用户名及密码匹配,就是说只要是一对用户名和密码,即使这个用户名密码不和你的线路匹配,你一样可以通过电信的机房设备认证,拨号分得IP连上网。目前电信作了些调整,同一帐号及密码在同一时间只能有一个用户使用。遵循先入为主原则,这样就会引起账号盗用问题。因为ADSL数据信号与普通电话语音信号走不同的频段,而且使用ADSL上网的时候并不经过电话交换机,所以没有办法根据电话号码查出来是谁在盗用你的帐号及密码,这样的后果其实很严重,也就是说使用你的帐号及密码接入网络后一切违法后果均由帐号及密码办理人承担,因为最终确立责任是查找电信的宽带业务记录。
盗窃手段以及用户防范措施
这些不怀好意的人,使用善意的手段,非法盗取用户的宽带接入账号,主要表现及盗取途径如下:
1.使用查看“*”号密码的软件
很多用户为了方便,都在拨号软件中选择保存密码,在Windows XP版本以下的系统中,保存的密码都以“*”显示,这样就不用每次上网都输入密码。保存密码在方便自己的同时,也增加了自己的危险性。如果有不怀好意的人接触你电脑,利用查看星号密码的软件,就可以很容易地知道星号背后真正的密码。
2.使用读取拨号网络密码的专用工具
比较资深的“黑客”们,可以自己编写或从相关黑客站点找到读取拨号网络密码的专用工具,来读出ADSL账户的用户名和密码,比如“Dialupass”工具等。
3. 利用系统漏洞、弱口令入侵
电脑黑客可以利用开放端口和弱口令甚至空口令漏洞侵入用户电脑。黑客可以通过QQ获取对方网段(或直接获取IP),利用扫描工具(例如: Superscan、X-scan等)扫描用户计算机端口并获取IP,再运行客户端连接工具(例如:冰河2.2)侵入用户电脑,只要你的网络是通过宽带账号已经拨通的,他们就可以利用互联星空的“互联星空一点通”功能直接进行远程消费。
宽带,带给用户的应该是便捷,可现在却出现这样的严峻问题。为了广大宽带用户的利益不受侵害,下面给大家简单介绍一些防范措施。
⑴ 注销互联星空账号或取消信用额度
宽带用户如果不打算使用互联星空,应尽快到电信营业厅申请销户或登陆互联星空网站www.chinavnet.com, 在“我的星空”---“我的帐户”---“我要销户”栏目申请注销。如发现账号被别人盗用,立刻修改自己的adsl账号密码,并在“互联星空”的“我的星空”下及时取消所有订购的服务。
⑵ 强化系统,防止黑客入侵
强化系统:及时升级操作系统或打补丁以修补系统漏洞;减少电脑管理员人数;设置安全选项---不显示上次用户名;不要打开来路不明的电子邮件及软件程序,不要回陌生人的邮件;电脑要安装使用必要的防黑软件、防火墙和杀毒软件,并保持定期更新,及时查杀电脑病毒和木马,阻止黑客侵入电脑。一般来说,采用一些功能强大的反黑软件和软件防火墙来保证我们的系统安全。
强化口令:正确设置管理员密码(系统开机密码)和adsl上网密码;数字与字母混合编排,同时包含多种类型的字符,比如大写字母、小写字母、数字、标点符号(@,#,!,$,%,& …);密码应该不少于8个字符;禁用ADSL拨号软件记住密码的功能,即不勾选“记住密码”项。
⑶ 限制开放端口,防止非法入侵
通过限制端口来防止非法入侵,关闭相应开放端口,比如3389端口。简单说来,非法入侵的主要方式可粗略分为2种。(1)扫描端口,通过已知的系统Bug攻入主机。(2)种植木马,利用木马开辟的后门进入主机。如果能限制这两种非法入侵方式,就能有效防止利用黑客工具的非法入侵。而且这两种非法入侵方式有一个共同点,就是通过端口进入主机。要想防止被黑就要关闭这些危险端口,对于个人用户来说,您可以限制所有的端口,因为您根本不必让您的机器对外提供任何服务;而对于对外提供网络服务的服务器,我们需把必须利用的端口(比如WWW端口80、FTP端口21、邮件服务端口25、110等)开放,其他的端口则全部关闭。
对于采用Windows 2000或者Windows XP的用户来说,不需要安装任何其他软件,可以利用“TCP/IP筛选”功能限制服务器的端口。具体设置(关闭的方法)如下:点击“开始→控制面板→网络连接→本地连接→右键→属性”,然后选择“Internet(tcp/ip)”→“属性”,。在“Internet(tcp/ip)属性”对话框中选择“高级”选项卡。在“高级TCP/IP设置”对话框中点选“选项”→“TCP/IP筛选”→“属性”,。在这里分为3项,分别是TCP、UDP、IP协议。假设我的系统只想开放21、80、25、110这4个端口,只要在“TCP端口”上勾选“只允许”然后点击“添加”依次把这些端口添加到里面,然后确定。注意:修改完以后系统会提示重新启动,这样设置才会生效。这样,系统重新启动以后只会开放刚才你所选的那些端口,其它端口都不会开放。
⑷ 关闭默认共享,禁止空连接
当前家用电脑所使用的操作系统多数为Win XP 和Win2000 pro,这两个系统提供的默认共享(IPC$,C$,D$,ADMIN$等)是黑客最喜欢利用的入侵途径,宽带用户可以运行CMD输入net share来查看本机的共享,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
关闭默认共享可以使用net share 默认共享名 /delete 命令(如 net share C$ /delete),但是这种方法关闭共享后下次开机的时候又出现了,所以如果宽带用户不在局域网内使用共享服务,干脆将“本地连接‘属性中的“网络的文件和打印机共享 ”卸载掉,默认共享就可以彻底被关闭了。
禁止建立空连接的方法是:首先运行regedit,在注册表中找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous(DWORD)的键值由0改为1。
⑸ 使用入侵检测手段,及时防范入侵
最为常见的木马通常都是基于TCP/UDP协议进行client端与server端之间的通讯的,既然利用到这两个协议,就不可避免要在server端(就是被种了木马的机器)打开监听端口来等待连接。我们可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它黑客程序。
可以使用 Windows本身自带的netstat命令(详细方法可使用 netstat /?命令查询)和在windows2000下的命令行工具fport,可以较为有效地看到计算机开放的端口,以及通过开放端口运行的一些可疑程序。及时关闭这些端口,删除这些可疑程序,就能较为有效地保证计算机系统的安全性。
总结
宽带用户应提高网络安全意识,并采取强化系统、限制开放端口、关闭共享等相应的技术防范措施,以防止黑客侵入计算机,减少或避免因宽带账号被盗用而产生的经济损失。
随着网络化步伐的加快,网络已经成为我们生活中的一部分,近年来我国宽带用户迅猛增长,宽带给家庭用户带来了信息沟通的便利。但是宽带对应的安全问题日益突出,帐户被盗、密码丢失、系统被黑等系列问题又带来了多级代理、恶意盗号、非法充网络游戏币值等更多更严重的问题,也给我国宽带的发展带来了负面影响。
目前,涉及到的宽带安全问题主要是盗用宽带帐号及密码问题。3月12日,北京网通与西城区人民检察院、西城区人民法院、市公安局内保局联合通报了我国第一例盗取宽带账号并上网贩卖的案件,因为盗窃并出售了700多个网通ADSL宽带账号,曾是IT技术人员的罗东标将度过长达12年的铁窗岁月。其实,这个问题由来已久,由于网通ADSL账号不仅能够用于上网,还能够在线购买游戏点数、缴纳视频点播资费等,且开销通常随同用户的座机电话费一同缴纳。经常有人在网上发布“索求某地AD-SL账号和密码”的帖子,甚至还有人发帖宣称“长期提供全国各地低价ADSL账号”,其价格少则数十元,多则上百元。难怪有网民评论说,买卖ADSL,已经形成了网上盗号“黑市”。
除了出售被盗的ADSL账号,一些“黑客”还充当起义务教师,在网上传授“ADSL盗号教程”。在不少网络技术专业论坛中,都可以看到标题类似“如何防止ADSL被盗号”的文章,但仔细阅读后却发现,通篇都是传授利用网络漏洞和黑客软件盗取他人ADSL的手法,还根据操作手法区分出“巧取法”和“豪夺法”,更有黑客在后面跟帖彼此交流盗号经验。
失窃问题症结所在
宽带拨号用户的认证方式主要有PPPOE和WEB认证两种。PPPOE采用先认证,后分配IP的方式,需注意,如果是包月制,采用PPPOE方式不能解决对非法用户的远程停、开机,这些用户可盗用他人帐号及密码上网,采用WEB认证方式也解决不了这个问题。目前国内的宽带用户大多是基于PPPOE的DSL用户,当终端接入INTERNET时需要拨号验证,而验证的用户名及密码是在用户办理宽带业务时取得,由于电信出于管理原因,这个帐号及密码有很大规律可循:用户名很多都以电话号码为基数,加上其他一些简易字母,后边加上诸如@163等的后缀,密码几乎都是电话号码,猜解这个帐号及密码非常容易。
宽带用户对帐号密码更根本没有安全意识,甚至某些宽带安装人员也对用户说,宽带密码不存在安全问题,只有你的电话能用。久而久之,这个隐性问题非常普遍,去找到一个宽带账号非常容易。这个问题也还是根源于电信的政策,目前电信的宽带验证过程如下:第一,你的电话必须办理了宽带业务,物理上线路是可用的。第二,你在拨号时用的用户名及密码是匹配的。
用户名及密码匹配,就是说只要是一对用户名和密码,即使这个用户名密码不和你的线路匹配,你一样可以通过电信的机房设备认证,拨号分得IP连上网。目前电信作了些调整,同一帐号及密码在同一时间只能有一个用户使用。遵循先入为主原则,这样就会引起账号盗用问题。因为ADSL数据信号与普通电话语音信号走不同的频段,而且使用ADSL上网的时候并不经过电话交换机,所以没有办法根据电话号码查出来是谁在盗用你的帐号及密码,这样的后果其实很严重,也就是说使用你的帐号及密码接入网络后一切违法后果均由帐号及密码办理人承担,因为最终确立责任是查找电信的宽带业务记录。
盗窃手段以及用户防范措施
这些不怀好意的人,使用善意的手段,非法盗取用户的宽带接入账号,主要表现及盗取途径如下:
1.使用查看“*”号密码的软件
很多用户为了方便,都在拨号软件中选择保存密码,在Windows XP版本以下的系统中,保存的密码都以“*”显示,这样就不用每次上网都输入密码。保存密码在方便自己的同时,也增加了自己的危险性。如果有不怀好意的人接触你电脑,利用查看星号密码的软件,就可以很容易地知道星号背后真正的密码。
2.使用读取拨号网络密码的专用工具
比较资深的“黑客”们,可以自己编写或从相关黑客站点找到读取拨号网络密码的专用工具,来读出ADSL账户的用户名和密码,比如“Dialupass”工具等。
3. 利用系统漏洞、弱口令入侵
电脑黑客可以利用开放端口和弱口令甚至空口令漏洞侵入用户电脑。黑客可以通过QQ获取对方网段(或直接获取IP),利用扫描工具(例如: Superscan、X-scan等)扫描用户计算机端口并获取IP,再运行客户端连接工具(例如:冰河2.2)侵入用户电脑,只要你的网络是通过宽带账号已经拨通的,他们就可以利用互联星空的“互联星空一点通”功能直接进行远程消费。
宽带,带给用户的应该是便捷,可现在却出现这样的严峻问题。为了广大宽带用户的利益不受侵害,下面给大家简单介绍一些防范措施。
⑴ 注销互联星空账号或取消信用额度
宽带用户如果不打算使用互联星空,应尽快到电信营业厅申请销户或登陆互联星空网站www.chinavnet.com, 在“我的星空”---“我的帐户”---“我要销户”栏目申请注销。如发现账号被别人盗用,立刻修改自己的adsl账号密码,并在“互联星空”的“我的星空”下及时取消所有订购的服务。
⑵ 强化系统,防止黑客入侵
强化系统:及时升级操作系统或打补丁以修补系统漏洞;减少电脑管理员人数;设置安全选项---不显示上次用户名;不要打开来路不明的电子邮件及软件程序,不要回陌生人的邮件;电脑要安装使用必要的防黑软件、防火墙和杀毒软件,并保持定期更新,及时查杀电脑病毒和木马,阻止黑客侵入电脑。一般来说,采用一些功能强大的反黑软件和软件防火墙来保证我们的系统安全。
强化口令:正确设置管理员密码(系统开机密码)和adsl上网密码;数字与字母混合编排,同时包含多种类型的字符,比如大写字母、小写字母、数字、标点符号(@,#,!,$,%,& …);密码应该不少于8个字符;禁用ADSL拨号软件记住密码的功能,即不勾选“记住密码”项。
⑶ 限制开放端口,防止非法入侵
通过限制端口来防止非法入侵,关闭相应开放端口,比如3389端口。简单说来,非法入侵的主要方式可粗略分为2种。(1)扫描端口,通过已知的系统Bug攻入主机。(2)种植木马,利用木马开辟的后门进入主机。如果能限制这两种非法入侵方式,就能有效防止利用黑客工具的非法入侵。而且这两种非法入侵方式有一个共同点,就是通过端口进入主机。要想防止被黑就要关闭这些危险端口,对于个人用户来说,您可以限制所有的端口,因为您根本不必让您的机器对外提供任何服务;而对于对外提供网络服务的服务器,我们需把必须利用的端口(比如WWW端口80、FTP端口21、邮件服务端口25、110等)开放,其他的端口则全部关闭。
对于采用Windows 2000或者Windows XP的用户来说,不需要安装任何其他软件,可以利用“TCP/IP筛选”功能限制服务器的端口。具体设置(关闭的方法)如下:点击“开始→控制面板→网络连接→本地连接→右键→属性”,然后选择“Internet(tcp/ip)”→“属性”,。在“Internet(tcp/ip)属性”对话框中选择“高级”选项卡。在“高级TCP/IP设置”对话框中点选“选项”→“TCP/IP筛选”→“属性”,。在这里分为3项,分别是TCP、UDP、IP协议。假设我的系统只想开放21、80、25、110这4个端口,只要在“TCP端口”上勾选“只允许”然后点击“添加”依次把这些端口添加到里面,然后确定。注意:修改完以后系统会提示重新启动,这样设置才会生效。这样,系统重新启动以后只会开放刚才你所选的那些端口,其它端口都不会开放。
⑷ 关闭默认共享,禁止空连接
当前家用电脑所使用的操作系统多数为Win XP 和Win2000 pro,这两个系统提供的默认共享(IPC$,C$,D$,ADMIN$等)是黑客最喜欢利用的入侵途径,宽带用户可以运行CMD输入net share来查看本机的共享,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
关闭默认共享可以使用net share 默认共享名 /delete 命令(如 net share C$ /delete),但是这种方法关闭共享后下次开机的时候又出现了,所以如果宽带用户不在局域网内使用共享服务,干脆将“本地连接‘属性中的“网络的文件和打印机共享 ”卸载掉,默认共享就可以彻底被关闭了。
禁止建立空连接的方法是:首先运行regedit,在注册表中找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous(DWORD)的键值由0改为1。
⑸ 使用入侵检测手段,及时防范入侵
最为常见的木马通常都是基于TCP/UDP协议进行client端与server端之间的通讯的,既然利用到这两个协议,就不可避免要在server端(就是被种了木马的机器)打开监听端口来等待连接。我们可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它黑客程序。
可以使用 Windows本身自带的netstat命令(详细方法可使用 netstat /?命令查询)和在windows2000下的命令行工具fport,可以较为有效地看到计算机开放的端口,以及通过开放端口运行的一些可疑程序。及时关闭这些端口,删除这些可疑程序,就能较为有效地保证计算机系统的安全性。
总结
宽带用户应提高网络安全意识,并采取强化系统、限制开放端口、关闭共享等相应的技术防范措施,以防止黑客侵入计算机,减少或避免因宽带账号被盗用而产生的经济损失。
教你如何应对杀除病毒时提示清除失败
[ 2007-03-25 02:45:03 | 作者: sun ]
很多网友在保卫自己的爱机时,不管使用了哪些杀毒软件,几乎都会碰到储如此类的问题,如:
★清除病毒失败怎么办?
★杀毒出现清除失败怎么办?
★清除失败或未解决病毒怎么办?
★发现病毒时提示“删除失败”,怎么办?
★发现病毒时提示“清除失败”,怎么办?
★系统中了病毒、木马、蠕虫,清除、隔离、删除失败怎么办?
产生这些问题的主要原因在于:
1、病毒正在使用中;
2、病毒防止杀毒软件清除而做的自我保护;
3、病毒中有守护进程在保护病毒。
简单解释下这其中的原因:
1、这是较早期的杀毒软件无法清除病毒时的提示,比如一个文件,如果你正在打开使用它时,你是没有办法删除这个文件的, 因为文件正在使用中,受到系统正常的保护;同样病毒进程如果没有终止掉,直接删除病毒文件的话,同样会提示该信息。
2、 原因2与原因3可以归类来说,简单地讲,就相当于病毒躲在巨人的身后,你想要抓住这个“病毒”,首先要打败这个“巨人”,否则就会受到“巨人”的干扰而让你无法顺利抓到这个“病毒”。同样地,病毒为了防止自己不被杀毒软件查杀、剿灭,而使用了如:权限提升到系统级、阻止病毒进程被终止、阻止病毒体被删除、电脑中同时存在2个以上的病毒,相互负责监控对方,如发现自己的保护对象不存在了,重新生成新的病毒体。
解决办法:
1、 重新启动电脑进入操作系统的安全模式, 使用杀毒软件清除或手工删除病毒体。
2、 使用终截者抗病毒中的“安全回归”功能,在电脑重新启动的同时迅速将病毒隔离,之后,你可以通过杀毒软件清除或手工删除。
小插曲:什么是安全回归?
安全回归看似是“重新启动”,它主要是针对目前许多恶意病毒无法彻底查杀,在每次电脑开机启动后又重新发作的问题,安全回归行为识别技术提供一个快速解决方案。用户只须轻点击“安全回归用户电脑将在一次重新启动电脑的过程中恢复到一个无病毒、无流氓软件运行的安全状态,并告知用户已经拦截了哪些危险程序,整个过程的感觉就像是上天给予了一次安全重来的机会。
安全回归基本原理
安全回归在计算机开机启动过程中,识别和判断所有将要运行的程序,包括病毒、木马等恶意程序,只允许运行合法的系统程序和用户在安全回归许的程序,其它的一律禁止。这样可以保证:
1、电脑启动完成后,没有任何病毒及流氓软件正在运行,同时也抑制了所有病毒程序对电脑破坏;
2、不用担心病毒程序先于安全回归运行,它有一夫当关,万夫莫开之功效;
3、使用安全回归不会删除用户任何数据,请用户放心使用。
安全回归可以解决什么问题?
1、解决顽固木马、病毒无法清除,或反复清除失败的问题;
2、拒绝流氓软件困扰、减少弹出窗口的干扰;
3、禁止了与安全无关的进程、服务及插件的运行,加快了系统运行速度。
★清除病毒失败怎么办?
★杀毒出现清除失败怎么办?
★清除失败或未解决病毒怎么办?
★发现病毒时提示“删除失败”,怎么办?
★发现病毒时提示“清除失败”,怎么办?
★系统中了病毒、木马、蠕虫,清除、隔离、删除失败怎么办?
产生这些问题的主要原因在于:
1、病毒正在使用中;
2、病毒防止杀毒软件清除而做的自我保护;
3、病毒中有守护进程在保护病毒。
简单解释下这其中的原因:
1、这是较早期的杀毒软件无法清除病毒时的提示,比如一个文件,如果你正在打开使用它时,你是没有办法删除这个文件的, 因为文件正在使用中,受到系统正常的保护;同样病毒进程如果没有终止掉,直接删除病毒文件的话,同样会提示该信息。
2、 原因2与原因3可以归类来说,简单地讲,就相当于病毒躲在巨人的身后,你想要抓住这个“病毒”,首先要打败这个“巨人”,否则就会受到“巨人”的干扰而让你无法顺利抓到这个“病毒”。同样地,病毒为了防止自己不被杀毒软件查杀、剿灭,而使用了如:权限提升到系统级、阻止病毒进程被终止、阻止病毒体被删除、电脑中同时存在2个以上的病毒,相互负责监控对方,如发现自己的保护对象不存在了,重新生成新的病毒体。
解决办法:
1、 重新启动电脑进入操作系统的安全模式, 使用杀毒软件清除或手工删除病毒体。
2、 使用终截者抗病毒中的“安全回归”功能,在电脑重新启动的同时迅速将病毒隔离,之后,你可以通过杀毒软件清除或手工删除。
小插曲:什么是安全回归?
安全回归看似是“重新启动”,它主要是针对目前许多恶意病毒无法彻底查杀,在每次电脑开机启动后又重新发作的问题,安全回归行为识别技术提供一个快速解决方案。用户只须轻点击“安全回归用户电脑将在一次重新启动电脑的过程中恢复到一个无病毒、无流氓软件运行的安全状态,并告知用户已经拦截了哪些危险程序,整个过程的感觉就像是上天给予了一次安全重来的机会。
安全回归基本原理
安全回归在计算机开机启动过程中,识别和判断所有将要运行的程序,包括病毒、木马等恶意程序,只允许运行合法的系统程序和用户在安全回归许的程序,其它的一律禁止。这样可以保证:
1、电脑启动完成后,没有任何病毒及流氓软件正在运行,同时也抑制了所有病毒程序对电脑破坏;
2、不用担心病毒程序先于安全回归运行,它有一夫当关,万夫莫开之功效;
3、使用安全回归不会删除用户任何数据,请用户放心使用。
安全回归可以解决什么问题?
1、解决顽固木马、病毒无法清除,或反复清除失败的问题;
2、拒绝流氓软件困扰、减少弹出窗口的干扰;
3、禁止了与安全无关的进程、服务及插件的运行,加快了系统运行速度。
教你识辨几个容易被误认为病毒的文件
[ 2007-03-25 02:44:36 | 作者: sun ]
随着计算机的普及和信息技术的发展,“计算机病毒”一词对每一个人来说都已经不再陌生了,现如今计算机病毒可谓层出不穷,甚至让广大计算机用户几乎到了“谈毒色变”的程度。江民公司技术工程师发现有许多用户对操作系统下的文件不是很了解了解,以至于产生种种的怀疑。以下是用户经常怀疑是病毒的文件:
一、Thumb.db文件
Thumb.db文件被用户误认为是病毒的原因应该有三点:
1、该文件在一些操作系统中的带有图片的文件夹中都存在;
2、即使删除此文件,下次打开该文件夹时仍会生成;
3、该文件可能会不断增大。
其实,Thumb.db文件在Windows Me或更新的Windows版本中都会有,这是Windows对图片的缓存(也可以说是缓冲文件),它可以方便用户对图片进行预览,图片越多,这个文件可能就越大,这是正常的。在Windows XP系统下可以在“文件夹选项”里面选择“不缓存缩略图”,就不会产生这种文件了。
二、Mfm1992文件 或“Mfm1992.AVB.AVB.AVB.AVB(后缀是无穷AVB)”
Mfm1992文件用户误认为是病毒的主要原因应该是:此文件可能生成在任何一个文件夹中,而且删除后可能还会重新生成。
Mfm1992文件是由于智能ABC的词库出错而产生的一个文件。由于智能ABC输入法的词库容量有限,当超出这个容量的时候,就会产生这个文件。当前程序运行在哪个目录,这个文件就在该目录下产生。这个文件的大小一般为43KB。这是智能ABC4.0的一个Bug,Win2000和me中自带的智能 ABC5.0已经修正了这个错误。
如果想让计算机中不再出现这个文件,有两种办法:
1、可以把4.0的智能ABC升级至高版本。
2、可以把Windowssystem目录下的*.rem文件删除,然后重启计算机。
三、Word的临时文件
用户在打开一个Word文档时会发现在同一个目录下出现了一个与原文档名称相同但前面加了一个“~$”符号的文件,它的图标与Word文档的图标相同,但是“灰”颜色的(即具有隐藏属性)。许多用户觉得可疑,认为是病毒造成的。
其实这是一个正常的现象,这个文件是Word生成的,可以理解为是一个缓冲文件,它的作用是最大限度的保存由于意外原因(如突然死机等)造成的用户对修改或建立的Word文档在未进行保存时的损失。其实这个文件在关闭了Word文档后即会自动消失,用户不必担心。
四、jdbgmgr.exe文件
与以上几种文件不一样,该文件即不是出错时生成的文件也不是临时文件,是一个正常的系统文件。用户本来是注意不到它的,因为它存在于系统目录下。但很多用户把它认为是病毒的原因是由于一封具有欺骗性的电子邮件在网上四处散发。这封被伪装成一份病毒防治报告的电子邮件,对收到邮件的用户发出警告,声称 “jdbgmgr.exe”文件是一种病毒,可以在感染PC两周后损害整个电脑系统。这一谎言被许多相信自己已经被感染的PC用户四处散发,希望能帮助其他受害者清除这个病毒。
实际上,“jdbgmgr.exe”文件是Java调试管理器,是所有Windows系统中所安装Java软件的一个组成部分。该文件一旦被删除之后,可能会导致一些Javaapplets和JavaScript停止工作。
一、Thumb.db文件
Thumb.db文件被用户误认为是病毒的原因应该有三点:
1、该文件在一些操作系统中的带有图片的文件夹中都存在;
2、即使删除此文件,下次打开该文件夹时仍会生成;
3、该文件可能会不断增大。
其实,Thumb.db文件在Windows Me或更新的Windows版本中都会有,这是Windows对图片的缓存(也可以说是缓冲文件),它可以方便用户对图片进行预览,图片越多,这个文件可能就越大,这是正常的。在Windows XP系统下可以在“文件夹选项”里面选择“不缓存缩略图”,就不会产生这种文件了。
二、Mfm1992文件 或“Mfm1992.AVB.AVB.AVB.AVB(后缀是无穷AVB)”
Mfm1992文件用户误认为是病毒的主要原因应该是:此文件可能生成在任何一个文件夹中,而且删除后可能还会重新生成。
Mfm1992文件是由于智能ABC的词库出错而产生的一个文件。由于智能ABC输入法的词库容量有限,当超出这个容量的时候,就会产生这个文件。当前程序运行在哪个目录,这个文件就在该目录下产生。这个文件的大小一般为43KB。这是智能ABC4.0的一个Bug,Win2000和me中自带的智能 ABC5.0已经修正了这个错误。
如果想让计算机中不再出现这个文件,有两种办法:
1、可以把4.0的智能ABC升级至高版本。
2、可以把Windowssystem目录下的*.rem文件删除,然后重启计算机。
三、Word的临时文件
用户在打开一个Word文档时会发现在同一个目录下出现了一个与原文档名称相同但前面加了一个“~$”符号的文件,它的图标与Word文档的图标相同,但是“灰”颜色的(即具有隐藏属性)。许多用户觉得可疑,认为是病毒造成的。
其实这是一个正常的现象,这个文件是Word生成的,可以理解为是一个缓冲文件,它的作用是最大限度的保存由于意外原因(如突然死机等)造成的用户对修改或建立的Word文档在未进行保存时的损失。其实这个文件在关闭了Word文档后即会自动消失,用户不必担心。
四、jdbgmgr.exe文件
与以上几种文件不一样,该文件即不是出错时生成的文件也不是临时文件,是一个正常的系统文件。用户本来是注意不到它的,因为它存在于系统目录下。但很多用户把它认为是病毒的原因是由于一封具有欺骗性的电子邮件在网上四处散发。这封被伪装成一份病毒防治报告的电子邮件,对收到邮件的用户发出警告,声称 “jdbgmgr.exe”文件是一种病毒,可以在感染PC两周后损害整个电脑系统。这一谎言被许多相信自己已经被感染的PC用户四处散发,希望能帮助其他受害者清除这个病毒。
实际上,“jdbgmgr.exe”文件是Java调试管理器,是所有Windows系统中所安装Java软件的一个组成部分。该文件一旦被删除之后,可能会导致一些Javaapplets和JavaScript停止工作。
Viking变种清除史上最完美攻略
[ 2007-03-25 02:44:20 | 作者: sun ]
经过了两天的日夜奋战,今天凌晨时终于把viking变种完全搞定。在之前在这里我也曾发过贴求助,但没有正确答案。所以在这里我把总结出的经验分享一下。
以下是我前两天的遭遇:
一次上网过后发现了一些可疑的进程。使用ecq-ps进程王来查看它们的路径,有些是病毒文件。有些则是通过正常系统进程如“svchost.exe csrss.exe“等作为勾子运行的dll和sys文件,我心里又想,这些小毛毒又来了,(我的系统装于04年,一直使用至今,中过无数次病毒,都被我统统搞定了,心想这次又来一个杀一个,来两个杀一双吧)。我用的双系统,重启进win98的dos手动删除以上路径的文件,再进winxp,删除以上文件相关的注册表键值。再进服务里边检查一下发现病毒残留的服务项目,还伪装得很好的。描述还和正常服务一个模样,什么管理系统应用程序的128位密钥传输的许可证服务。看了我都想笑。不过再看看源路径(文件名忘了)和依存关系,就露陷了。心想麻外行还可以。。二话不说machine\system\currentcontrol\sevices\下揪出来删!
重启,观察进程。一切恢复正常。喝口水。看会网络电视休息了。。可是就在这时真正的死神出现了。系统进程里突然暴出NN多病毒进程。瑞星也被关闭了,有些是刚才的有些不是。我慌了。先删除染毒的瑞星。(是昨天才升级的最新版啊)急忙用刚才的方法反复查杀多次,但每次启动后不久又会出现。。。且在98的纯dos下删除病毒文件时提示access denied(拒绝访问)时应该是内存驻留型的。于是冷启动再用windowsPE启动盘启动光盘里的PE操作系统,我想,PE内核都不一样,我看你还咱办。于是在PE里边删除病毒文件,果然这次启动进程恢复正常了。恢复完注册表。我就打开讯雷看一下我下载的工具软件,结果,又中标了。。。我开始总结:应该是把EXE文件感染了。不然怎么会无端多出些病毒进程出来。于是仔细看目录,发现被感染的exe文件下有exe.exe扩展名的文件,比如是acdsee.exe就会有acdsee.exe.exe并且文件图标丢失(不是网上说的那种在同目录下生成_desktop.ini文件,那是老版维金。我这个也有_desktop.ini,不过在c:\下,而且在D盘还会生成autorun.inf 及iexplorer.pif文件) 于是删除所有*.exe.exe文件,再次光盘启动删毒。这下进程虽然又恢复正常了。但是桌面上大多数的图标变成白的了。。心想这下完了,病毒感染了大多数exe文件。很多年没有遇到这样了。我又不敢启动这些程序,一启动包又中标,于是我安卡巴。安了6。0307,升级最新,安全模式下扫,正常模式下扫。。扫不出一点东西。又安6。04XX 还安5XXbeta最新的了,中英文都安过了,,扫不出。。。。。。。。。怒火!!!!(网上明明说卡巴扫得到的,我想都是针对旧版维金吧)于是再来卖咖啡(mcafee),在线升级mcafee,扫描。。。结果卖咖啡也卖不脱。。。暴怒!!!!再于是找到金山、瑞星的专杀工具来,也是一个扫不到。。。狂怒!!!!。。我看了一下win98se\setup.exe的文件大小,和源光盘里的文件比较足足多了近60K。而且每个受感染的文件都同样多了近60K ,证明感染的是都是vking!!。。。江民的专杀工具能杀,不过还好我点停止点得快。。。因为我看了一下,它的所谓杀大多数都是删除!!!删除了我好几个exe文件呢。就算保留,保留下来的也是不能运行的僵尸文件。什么exe修复机根本不顶用。一边凉快!!
这下完了。绝望。这么多exe文件,打死我也不愿意格盘删'除。
在网上看了一下维金的免疫方法。突然想起什么。。经过自己内心激烈的思想斗争于是作出了以下决定:
我做了个试验,先将C盘做了个ghost,然后双击一个感染文件,系统进程出现viking,然后被双击这个exe文件图标,大小恢复正常.进程里首先出来三个文件。ghost恢复恢复。。这下有点眉目了
就是在病毒原有目录下建一些0字节txt文件,改成病毒进程名,如:logon_1.exe 伪装一下,把它们改成只读,然后一个一个的点exe文件,让EXE文件中的异常代码释放入内存,再结束相应进程
说干就干。仿照先前三个文件在c:\windows\建立 logon_1.exe richdll.dll (有些维金版本不是这个dll名字,变种有不同。路径也不同。但原理相同)再在C:\windows\unistall下建立 RUNDL132.exe ,设只读
找出所有exe文件,网上说过只感染27Kb到10mb的exe文件,可我的10多20mb的文件也中标了,再次证明不是网上说的那种viking。。。开始 一 一双击释放。。。。。就这样。。。就这样。。它们快乐地流浪,就这样。它们为爱歌唱。。。狼爱上。。。。啪!!完了跑题挨臭鸡蛋了。
*.*
不是。。我只是形容一下上千个文件一 一打开的漫长。。过了几个小时后。终于完成。。舒展下酸痛的腰。。重建图标缓存。。。。冷启动。。。
。。。。。。。。大功告成。。。至此。全部viking一个不留
已经很久没有这样fighting过了
经过了这么长时间的周旋。已经对这个变种病毒的原理有初步了解。以下列出本人总结出的该病毒特征及清除方案:
viking"维金"病毒 变种
应该算一个木马。互联网高度发展的产物
首先在被种植机器的系统盘下\windows目录下生成logon_1.exe RUNDL132.exe 还有一个dll文件,我的是richdll.dll,还有网上说的dll.dll vtd.dll什么五花八门的,反正就是dll文件,并加载入系统进程。删除不掉.
这些文件相互关联,结束进程并删除后马上又会出现。
自动禁用杀毒防火墙,并且感染防火墙文件
然后调用net share 命令打开$ipc命名管道共享。以传播到局域网上其它机器上.
释放出诸如rundll32.com services.exe finder.com iexplore.pif regedit.com dxdiag.com
msconfig.com mhs.exe等文件,并修改注册表exe文件,网站链接,scr文件,未知(打开方式)文件,等常用文件的关联为iexplore.pif或以上的其它某个病毒程序.将exe文件改为自创的winfile文件类型,从而让每个exe文件运行时同时调用病毒,这招太狠了;更改文件查找检索方式关联为finder.com ;把原本用rundll32.exe文件调用的程序,如网上邻居属性,通过注册表改为带有rundll32.com的命令行。在 Hkey_local_machine或hkey_current_user\software\microsoft\windows\currentversion\run键值下添加名为load等字样的木马加载项。在currentversion\logon下也有。。。另外还改了些其它键值,这些只是较明显的。
检测可用驱动器。在其中生成_desktop.ini 或autorun.inf iexplore.pif 让双击操作变为“自动播放病毒”所以只能右击打开了。。。
最最可恨的就是感染所有驱动器上大于大约27KB的exe文件。加上约60KB的数据,文件图标丢失,目的在于被清除病毒后通过exe文件复活,当调用该句柄时自我释放为logon_1.exe rundl132.exe
并且恢复exe文件以便让它正常运行。。。
同时会自动从网上下载多达几十种其它类型的病毒,QQ盗号木马,热门网络游戏木马。至此,taskmgr任务管理器一团糟。。
因为木马众多会影响清除效率及难度,内存占用超大,危险系数也大。这点不得不佩服。。
如果你的系统有以上状况,那么请follow they step:
首先你断开internet网,删除杀毒软件。因为它已被病毒感染,它在内存里只是添麻烦而已
重新安装杀毒软件,比较可以的有卡巴斯基、mcafee、江民,推荐用卡巴,安完马上重启。不要停留不然新的杀软会又中标的。安全模式下因为不能启用msiexec所以很多软件安不了
冷启动或关机,拨电源也可,待光电鼠标灯不亮了再开机(呵呵太夸张了)
进入带网络连接的安全模式,(如果不能上网就还是进正常模式),用文件夹选项里面打开显示所有文件;取消隐藏系统文件复选框,选中显示已知文件扩展名;下载viking专杀工具,这里推荐江民的。下载"瑞星卡卡助手"用于以后修复注册表,如果为exe文件最好改下后缀名。以后运行时再改回来。升级杀毒软件为最新版。升了马上重启进入纯安全模式,只运行系统盘扫描。扫到的病毒名及路径用笔记下来。
冷启动。。光盘或U盘启动dos,查找刚才记下来那些文件,有就删。我用的是windowsPE启动盘启动。所以免去了dos命令带来的麻烦,最主要要找到并删除上文说到的那些文件,这里很关键,一定要仔细找。
进入安全模式,运行regedit.exe (记住一定要输入.exe,因为如果没删干净,exe文件会被再度被作为winfile文件类型中的病毒命令行打开。)
按ctrl+f查找以上述文件的文件名的键值删除。
进入正常模式,这时可能因为杀毒引起不能上网了,用刚才下载的“瑞星卡卡助手”修复IE和注册表吧。顺便也扫一下刚才可能viking下载有的其它木马及残留(切记不要启动宽带拨号程序,因为Enternet500这类拨号程序己被感染,如果是xp下的默认拨号,也最好不要去动)
接下来进程应该干净了,就要处理被感染的exe文件了,如果你不想要这些文件可以选择直接用专查工具把它们杀烂,或查找直接删除,还省了下边的步骤。因为以下步骤最安全但容易累死人
仿制logon_1.exe rundl132.exe richdll.dll
新建文本文档.txt,建三个,分别改为以上三个文件名。并且设为只读。放在平时它们感染的目录下。目录位置上文己提及。目的用于免疫,防止染毒exe文件释放出同名病毒文件。
也可使用gpedit.msc,组策略中用户配置\管理模板\系统\不要运行windows程序中,启用并添加logon_1.exe
rundl132.exe
也可使用mcafee杀毒软件中的文件规则,禁止在硬盘中新建*.exe *.com 文件
后两种限制方法我没试过,但理论上说是成立的
接下来按顺序分别查找每个盘上的exe文件。按大小排列结果,降序排列。旁边打开个任务管理器窗口,记下任务条目及数量。如进程数:22
双击空白图标exe文件,注意任务管理器变化。例:如果双击game.exe则, 已染毒现象:任务管理器会多出一个进程叫game.exe 这时你再双击。或反复再双击。会看到又会多出game.exe,如果是基于16位兼容模式的程序,会出现一个ntvdm的进程,不影响,可结束。稍后你可能会发现net 和 net1 进程一闪而过,持续不到1秒,而后出现一个或多个cmd进程。这时请结束所有game.exe,cmd进程也会结束。病毒从内存中得到释放。可以再次双击如果不再产生cmd进程或能恢复正常图标,或能正常运行,证明该文件不再带毒。第二种情况:game.exe一会自动消失
或每双击一次多出一个game.exe而没其它进程。说明此文件未被感染
一个一个分区,一个一个文件的测试。修复。当然,你要是烦了,可以将不重要的文件放一边。专心找自己心爱的exe文件。反正剩下的不重要的exe文件就留给江民专杀来杀烂得了。。无所谓
辛苦工作完成后,也不必要重启,打开江民专杀来清理漏网之鱼吧。
查毒软推荐使用Mcafee(卖咖啡),查毒功能较强,且最强最具特色最实用之处在于他可以像设置IP安全策略那样设置禁止任何类型文件的建立,写入,修改,甚至读取!!,这在我们访问不可信站点或发现有木马苗头的时候大有帮助。即使查不出来我也不准你建文件改文件!强吧??
缺点就是占用内存资源太高,优化版的我都发现有七个进程。。晕。。。鱼和熊掌不可兼得啊。。
写了这么多,我尽量想到的都想到了。我曾如此辛苦,故不希望大家都绕弯路。但愿对大家有所帮助。
最后发表我的一点看法,杀毒软件只是一个辅助工具。每个厂商的杀软都有优点有缺点。很多人就是把杀软看成无敌的了。认为中了毒,清一色杀毒扫描的做法。其实,很多时候甚至是心理安慰,障眼法。。我是从dos时代一路走来的,中过多种病毒。看到老师们用pctools及debug手动杀过不少毒,总结出:手动才是王道!!手动万岁。。
在E时代,我们要发扬取长补短的做法,把杀软的效率化,全面化,结合人工的仔细,灵活。这样才能尽心尽力像对待生活那样对待电脑
以下是我前两天的遭遇:
一次上网过后发现了一些可疑的进程。使用ecq-ps进程王来查看它们的路径,有些是病毒文件。有些则是通过正常系统进程如“svchost.exe csrss.exe“等作为勾子运行的dll和sys文件,我心里又想,这些小毛毒又来了,(我的系统装于04年,一直使用至今,中过无数次病毒,都被我统统搞定了,心想这次又来一个杀一个,来两个杀一双吧)。我用的双系统,重启进win98的dos手动删除以上路径的文件,再进winxp,删除以上文件相关的注册表键值。再进服务里边检查一下发现病毒残留的服务项目,还伪装得很好的。描述还和正常服务一个模样,什么管理系统应用程序的128位密钥传输的许可证服务。看了我都想笑。不过再看看源路径(文件名忘了)和依存关系,就露陷了。心想麻外行还可以。。二话不说machine\system\currentcontrol\sevices\下揪出来删!
重启,观察进程。一切恢复正常。喝口水。看会网络电视休息了。。可是就在这时真正的死神出现了。系统进程里突然暴出NN多病毒进程。瑞星也被关闭了,有些是刚才的有些不是。我慌了。先删除染毒的瑞星。(是昨天才升级的最新版啊)急忙用刚才的方法反复查杀多次,但每次启动后不久又会出现。。。且在98的纯dos下删除病毒文件时提示access denied(拒绝访问)时应该是内存驻留型的。于是冷启动再用windowsPE启动盘启动光盘里的PE操作系统,我想,PE内核都不一样,我看你还咱办。于是在PE里边删除病毒文件,果然这次启动进程恢复正常了。恢复完注册表。我就打开讯雷看一下我下载的工具软件,结果,又中标了。。。我开始总结:应该是把EXE文件感染了。不然怎么会无端多出些病毒进程出来。于是仔细看目录,发现被感染的exe文件下有exe.exe扩展名的文件,比如是acdsee.exe就会有acdsee.exe.exe并且文件图标丢失(不是网上说的那种在同目录下生成_desktop.ini文件,那是老版维金。我这个也有_desktop.ini,不过在c:\下,而且在D盘还会生成autorun.inf 及iexplorer.pif文件) 于是删除所有*.exe.exe文件,再次光盘启动删毒。这下进程虽然又恢复正常了。但是桌面上大多数的图标变成白的了。。心想这下完了,病毒感染了大多数exe文件。很多年没有遇到这样了。我又不敢启动这些程序,一启动包又中标,于是我安卡巴。安了6。0307,升级最新,安全模式下扫,正常模式下扫。。扫不出一点东西。又安6。04XX 还安5XXbeta最新的了,中英文都安过了,,扫不出。。。。。。。。。怒火!!!!(网上明明说卡巴扫得到的,我想都是针对旧版维金吧)于是再来卖咖啡(mcafee),在线升级mcafee,扫描。。。结果卖咖啡也卖不脱。。。暴怒!!!!再于是找到金山、瑞星的专杀工具来,也是一个扫不到。。。狂怒!!!!。。我看了一下win98se\setup.exe的文件大小,和源光盘里的文件比较足足多了近60K。而且每个受感染的文件都同样多了近60K ,证明感染的是都是vking!!。。。江民的专杀工具能杀,不过还好我点停止点得快。。。因为我看了一下,它的所谓杀大多数都是删除!!!删除了我好几个exe文件呢。就算保留,保留下来的也是不能运行的僵尸文件。什么exe修复机根本不顶用。一边凉快!!
这下完了。绝望。这么多exe文件,打死我也不愿意格盘删'除。
在网上看了一下维金的免疫方法。突然想起什么。。经过自己内心激烈的思想斗争于是作出了以下决定:
我做了个试验,先将C盘做了个ghost,然后双击一个感染文件,系统进程出现viking,然后被双击这个exe文件图标,大小恢复正常.进程里首先出来三个文件。ghost恢复恢复。。这下有点眉目了
就是在病毒原有目录下建一些0字节txt文件,改成病毒进程名,如:logon_1.exe 伪装一下,把它们改成只读,然后一个一个的点exe文件,让EXE文件中的异常代码释放入内存,再结束相应进程
说干就干。仿照先前三个文件在c:\windows\建立 logon_1.exe richdll.dll (有些维金版本不是这个dll名字,变种有不同。路径也不同。但原理相同)再在C:\windows\unistall下建立 RUNDL132.exe ,设只读
找出所有exe文件,网上说过只感染27Kb到10mb的exe文件,可我的10多20mb的文件也中标了,再次证明不是网上说的那种viking。。。开始 一 一双击释放。。。。。就这样。。。就这样。。它们快乐地流浪,就这样。它们为爱歌唱。。。狼爱上。。。。啪!!完了跑题挨臭鸡蛋了。
*.*
不是。。我只是形容一下上千个文件一 一打开的漫长。。过了几个小时后。终于完成。。舒展下酸痛的腰。。重建图标缓存。。。。冷启动。。。
。。。。。。。。大功告成。。。至此。全部viking一个不留
已经很久没有这样fighting过了
经过了这么长时间的周旋。已经对这个变种病毒的原理有初步了解。以下列出本人总结出的该病毒特征及清除方案:
viking"维金"病毒 变种
应该算一个木马。互联网高度发展的产物
首先在被种植机器的系统盘下\windows目录下生成logon_1.exe RUNDL132.exe 还有一个dll文件,我的是richdll.dll,还有网上说的dll.dll vtd.dll什么五花八门的,反正就是dll文件,并加载入系统进程。删除不掉.
这些文件相互关联,结束进程并删除后马上又会出现。
自动禁用杀毒防火墙,并且感染防火墙文件
然后调用net share 命令打开$ipc命名管道共享。以传播到局域网上其它机器上.
释放出诸如rundll32.com services.exe finder.com iexplore.pif regedit.com dxdiag.com
msconfig.com mhs.exe等文件,并修改注册表exe文件,网站链接,scr文件,未知(打开方式)文件,等常用文件的关联为iexplore.pif或以上的其它某个病毒程序.将exe文件改为自创的winfile文件类型,从而让每个exe文件运行时同时调用病毒,这招太狠了;更改文件查找检索方式关联为finder.com ;把原本用rundll32.exe文件调用的程序,如网上邻居属性,通过注册表改为带有rundll32.com的命令行。在 Hkey_local_machine或hkey_current_user\software\microsoft\windows\currentversion\run键值下添加名为load等字样的木马加载项。在currentversion\logon下也有。。。另外还改了些其它键值,这些只是较明显的。
检测可用驱动器。在其中生成_desktop.ini 或autorun.inf iexplore.pif 让双击操作变为“自动播放病毒”所以只能右击打开了。。。
最最可恨的就是感染所有驱动器上大于大约27KB的exe文件。加上约60KB的数据,文件图标丢失,目的在于被清除病毒后通过exe文件复活,当调用该句柄时自我释放为logon_1.exe rundl132.exe
并且恢复exe文件以便让它正常运行。。。
同时会自动从网上下载多达几十种其它类型的病毒,QQ盗号木马,热门网络游戏木马。至此,taskmgr任务管理器一团糟。。
因为木马众多会影响清除效率及难度,内存占用超大,危险系数也大。这点不得不佩服。。
如果你的系统有以上状况,那么请follow they step:
首先你断开internet网,删除杀毒软件。因为它已被病毒感染,它在内存里只是添麻烦而已
重新安装杀毒软件,比较可以的有卡巴斯基、mcafee、江民,推荐用卡巴,安完马上重启。不要停留不然新的杀软会又中标的。安全模式下因为不能启用msiexec所以很多软件安不了
冷启动或关机,拨电源也可,待光电鼠标灯不亮了再开机(呵呵太夸张了)
进入带网络连接的安全模式,(如果不能上网就还是进正常模式),用文件夹选项里面打开显示所有文件;取消隐藏系统文件复选框,选中显示已知文件扩展名;下载viking专杀工具,这里推荐江民的。下载"瑞星卡卡助手"用于以后修复注册表,如果为exe文件最好改下后缀名。以后运行时再改回来。升级杀毒软件为最新版。升了马上重启进入纯安全模式,只运行系统盘扫描。扫到的病毒名及路径用笔记下来。
冷启动。。光盘或U盘启动dos,查找刚才记下来那些文件,有就删。我用的是windowsPE启动盘启动。所以免去了dos命令带来的麻烦,最主要要找到并删除上文说到的那些文件,这里很关键,一定要仔细找。
进入安全模式,运行regedit.exe (记住一定要输入.exe,因为如果没删干净,exe文件会被再度被作为winfile文件类型中的病毒命令行打开。)
按ctrl+f查找以上述文件的文件名的键值删除。
进入正常模式,这时可能因为杀毒引起不能上网了,用刚才下载的“瑞星卡卡助手”修复IE和注册表吧。顺便也扫一下刚才可能viking下载有的其它木马及残留(切记不要启动宽带拨号程序,因为Enternet500这类拨号程序己被感染,如果是xp下的默认拨号,也最好不要去动)
接下来进程应该干净了,就要处理被感染的exe文件了,如果你不想要这些文件可以选择直接用专查工具把它们杀烂,或查找直接删除,还省了下边的步骤。因为以下步骤最安全但容易累死人
仿制logon_1.exe rundl132.exe richdll.dll
新建文本文档.txt,建三个,分别改为以上三个文件名。并且设为只读。放在平时它们感染的目录下。目录位置上文己提及。目的用于免疫,防止染毒exe文件释放出同名病毒文件。
也可使用gpedit.msc,组策略中用户配置\管理模板\系统\不要运行windows程序中,启用并添加logon_1.exe
rundl132.exe
也可使用mcafee杀毒软件中的文件规则,禁止在硬盘中新建*.exe *.com 文件
后两种限制方法我没试过,但理论上说是成立的
接下来按顺序分别查找每个盘上的exe文件。按大小排列结果,降序排列。旁边打开个任务管理器窗口,记下任务条目及数量。如进程数:22
双击空白图标exe文件,注意任务管理器变化。例:如果双击game.exe则, 已染毒现象:任务管理器会多出一个进程叫game.exe 这时你再双击。或反复再双击。会看到又会多出game.exe,如果是基于16位兼容模式的程序,会出现一个ntvdm的进程,不影响,可结束。稍后你可能会发现net 和 net1 进程一闪而过,持续不到1秒,而后出现一个或多个cmd进程。这时请结束所有game.exe,cmd进程也会结束。病毒从内存中得到释放。可以再次双击如果不再产生cmd进程或能恢复正常图标,或能正常运行,证明该文件不再带毒。第二种情况:game.exe一会自动消失
或每双击一次多出一个game.exe而没其它进程。说明此文件未被感染
一个一个分区,一个一个文件的测试。修复。当然,你要是烦了,可以将不重要的文件放一边。专心找自己心爱的exe文件。反正剩下的不重要的exe文件就留给江民专杀来杀烂得了。。无所谓
辛苦工作完成后,也不必要重启,打开江民专杀来清理漏网之鱼吧。
查毒软推荐使用Mcafee(卖咖啡),查毒功能较强,且最强最具特色最实用之处在于他可以像设置IP安全策略那样设置禁止任何类型文件的建立,写入,修改,甚至读取!!,这在我们访问不可信站点或发现有木马苗头的时候大有帮助。即使查不出来我也不准你建文件改文件!强吧??
缺点就是占用内存资源太高,优化版的我都发现有七个进程。。晕。。。鱼和熊掌不可兼得啊。。
写了这么多,我尽量想到的都想到了。我曾如此辛苦,故不希望大家都绕弯路。但愿对大家有所帮助。
最后发表我的一点看法,杀毒软件只是一个辅助工具。每个厂商的杀软都有优点有缺点。很多人就是把杀软看成无敌的了。认为中了毒,清一色杀毒扫描的做法。其实,很多时候甚至是心理安慰,障眼法。。我是从dos时代一路走来的,中过多种病毒。看到老师们用pctools及debug手动杀过不少毒,总结出:手动才是王道!!手动万岁。。
在E时代,我们要发扬取长补短的做法,把杀软的效率化,全面化,结合人工的仔细,灵活。这样才能尽心尽力像对待生活那样对待电脑
