本文目录一览:
- 1、木马型程序和灰色软件病毒是目前排名最新前两位的计算机病毒吗
- 2、在辽视通绿码页面右边有个蓝色的X,还能移动,这次被木马植入的病毒吗?
- 3、苹果手机会因为扫二维码中木马病毒吗?
- 4、我的电脑中病毒了,怎么办啊?
- 5、奇怪的病毒
- 6、怎么辨别木马病毒进程和常见病毒进程
木马型程序和灰色软件病毒是目前排名最新前两位的计算机病毒吗
是的。
木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。
而灰色病毒,灰色软件是一个概括性词汇,它是指安装在计算机上跟踪或向某目标汇报特定信息的一类软件。这些软件通常是在没有得到允许的情况下安装和执行的。很多灰色软件是在需要下载和运行应用时,就能悄然地完成工作,比如跟踪计算机使用,窃取隐私等。在大量的邮件病毒成为每月新闻头条的时候,用户可能会意识到如果打开不确定的邮件会带来什么风险。但是对于灰色软件,用户根本就不需要打开附件或执行被感染的程序,仅仅访问使用该技术的网站,就会变成灰色软件的牺牲品。
在辽视通绿码页面右边有个蓝色的X,还能移动,这次被木马植入的病毒吗?
不是木马病毒。在辽事通绿码页面右边蓝色的×是没有接种第三针疫苗,需要及时接种第三针疫苗,不是木马病毒。
苹果手机会因为扫二维码中木马病毒吗?
不会,苹果系统封闭非常安全,但是不明的尽量不扫。
手机扫不了二维码的原因及解决办法:
1.光线太暗。这时可以通过开启闪光灯、增加其它光源等办法来解决。
2.光线强,甚至有反光的现象,同样会导致二维码无法识别。与拍照一样,二维码在取景框中不能过亮。
3.二维码不清晰或被弄脏,二维码一般只有两种颜色,有其它杂色或者污垢,都会导致二维码识别率降低。
4.因为空气环境,摄像头很容易沾上厚厚的灰尘,这种情况也会导致摄像头无法捕捉清晰的图像。
我的电脑中病毒了,怎么办啊?
以下是我总结查杀病毒的办法,希望对你有用:适合大多数的病毒木马、盗号木马,恶意软件及插件的清理。如果你用第三方浏览器可能就不会轻易中毒,毕竟比IE安全些,呵呵!~每天上完网,用这些工具软件清理一次。
0.如果你用IE上网,最好装畅游巡警,安装好畅游巡警后,打开IE浏览器会有畅游巡警工具条,这个软件有检测挂马网站,检测钓鱼诈骗网站,检测恶意下载链接和广告链接,而且还有防溢出设置,把这个选项打勾。
1.查杀病毒木马通常要到安全模式中查杀,开机不停按F8进入,然后通光标键选择安全模式,回车。
2.如果用单一用360肯定不行的。360也有检测不到,清理不掉的病毒和木马。但是我喜欢综合查杀,用360+金山清理专家+恶意软件清理助手+windows
清理助手+卡卡助手+超级兔子和优化大师,很多都是绿色软件,没有冲突,不占用很多内存,查杀效果很好.升级到最新版本,最新查杀引擎,最新病毒库,然后到安全模式中查杀。
3.首先把能下载的工具和软件都下载到计算机中,然后升级,都升级到最新版本后,马上断网,用AV,机器狗专杀,顽固木马专杀大全,金山清理专家,windows
清理助手,恶意软件清理助手,超级兔子和优化大师,但是你要记住,要进入安全模式中清理。先用专杀工具清理,每清理完一次,就要用兔子和大师,进行注册表残余键值清理和临时文件清理,然后再用金山清理专家等几个辅助软件清理,清理后,在用兔子和大师进行扫尾工作。每清理一次,要重新启动计算机。大概要清理4-5次或更多次。病毒很顽固,不要害怕麻烦.
奇怪的病毒
有点多,你慢慢看吧~~肯定会有帮助的。
越来越多的网民认为,病毒是危害互联网安全的重要因素。有的时候当杀毒软件处理完病毒程序后,会造成双击硬盘盘符打不开、右击出现等AUTO字样等,殊不知此类情况的发生跟系统主录下的配置文件autorun.inf有关。
解读autorun.inf
由于计算机在系统运行时会自动搜索盘符目录下的Autorun.inf配置文件,并根据其内的文件自动运行加载其内设置好的命令。其实Autorun.inf就是一个文本形式的系统配置文件,用户可以用文本编辑软件进行编辑(注:该文件只能位于驱动器的根目录下时,才能实现启动加载),该文件包含了需要自动运行的命令,如需要运行的程序文件、改变的驱动器图标、可选快捷菜单内容等等。
病情描述
当用户在选择:工具-文件夹选项-查看-显示所有文件和文件夹时,计算机无法显视出autorun.inf文件,任意点击C、D、E盘符时会另外打开窗口,而U盘、MP3等第三方存储盘更是如此,插入计算机后,画面文件一闪即过,想查看主目录下的autorun.inf文件,却发现文件以悄然不知所踪。当用用winrar查看时发现C、D等根目录下有autorun.inf和tel.xls.exe两个文件,盘符右击,目录中出现AUTO或两个打开字样(粗字体,细字体)信息等情况,利用命令msconfig查看开机启动项中发现有莫明其妙的SocksA.exe。种种这一切给用户带来了很大程度上的困绕。
解决方法
面对以上的情况,有些用户只能重新GHOST计算机了,这里提供一种方法让用户尝试。
您的U盘、移动硬盘是否曾经中毒?是否曾经双击打不开、右键有Auto字样?是否不得不格式化磁盘而造成资料丢失?USBKiller为以上问题提供专业解决方案!
1.独创SuperClean高效强力杀毒引擎,查杀auto.exe、AV终结者、rising等上百种顽固U盘病毒,保证95%以上查杀率
2.国内首创对电脑实行主动防御,自动检测清除插入U盘内的病毒,杜绝病毒通过U盘感染电脑
3.免疫功能可以让你制作自己的防毒U盘
4.解除U盘锁定状态,解决拔出时无法停止设备的问题
5.进程管理让你迅速辨别并终止系统中的可疑程序
6.完美解决双击无法打开磁盘的问题
7.兼容其它杀毒软件,可配合使用
第一种:
."落雪"是一个专门盗游戏的病毒.但是我要说的是现在的杀毒软件其实都是比较好用的,但是有的是因为自身的系统不支持或者是没有彻底完全杀毒,漏掉了一些病毒程序,或者忽略了一些病毒进程,比如潜在在注册表,系统程序里的,(对于系统程序里有个病毒,就网吧来说,完全可以从好的机器上拷贝一个相同的文件覆盖他.注册表的话就打开相关的注册表文件,一般的病毒会隐藏他的相关文件和进程,那么我们就要找到 他:看到一个显示隐藏文件的方法:
开始运行REGEDIT找到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如果不是则删掉CheckedValue,然后单击右键“新建”--〉“Dword值”,并命名为CheckedValue,然后修改它的键值为1。
我电脑中了病毒后一般先看这里,一般病毒修改注册表,导致不能看到隐藏文件,并且使杀毒软件不能启动!
注:Dword值是双字符值。键值是十六进制的。)
另外我把我在网络上看到的一篇关于落雪杀毒的文章发出来,里面我稍微做了一点修改:
如果大家有谁中了“落雪”病毒,不要着急,在做下面这些步骤以前我们要先下载木马杀客和升级包我们可以在网盟里搜索相关软件来下载.还有下载一个Regfix.rar将里边的 Regfix.exe改名为Regfix.com.这个时候我们的EXE文件怎么改成COM呢!我们要先打开工具----文件夹选象------隐藏以知文件的扩展名,把前面的对勾去掉,然后点Regfix.exe的属性,我们将EXE改成COM这样就可以了.
正常的winlogon系统进程,其用户名为“SYSTEM” 程序名为小写winlogon.exe。 而伪装成该进程的木马程序其用户名为当前系统用户名,且程序名为大写的WINLOGON.exe。 进程查看方式 ctrl+alt+del ,然后选择进程。正常情况下有且只有一个winlogon.exe进程,其用户名为“SYSTEM”。如果出现了两个winlogon.exe,且其中一个为大写,用户名为当前系统用户的话,表明可能存在木马。
需要声明的是这个木马很厉害,能破坏掉一般的木马专杀和常用的杀毒软件,使其不能正常运行。目前我使用江民杀毒软件未能查出,连瑞星在线杀毒对它都没有查出来,(建议使用NOD32或者是麦咖啡)并且使防火墙处于无法启动状态,在清除病毒之后也不能启动,我不得不重新再安装一次防火墙。
在WINDOWS下的WINLOGON.EXE确实是病毒。但是,它不过是这个病毒中的小角色而已,大家打开D盘看看是否有一个pagefile的DOS指向文件(有的版本病毒还有autorun.inf文件),我机器里的pagefile不是隐藏的,而是光明正大的存在D盘里,删这个文件是没用的,因为它关联了很多东西,甚至在安全模式都存在,只要运行任何程序,或者双击打开D盘,它会重新出现在D盘。这个病毒为 ”落雪“ 是专门盗传奇、传奇世界的木马,同时它还将将杀毒软件里的设置进行了改变,不能启动防火墙,强制手工启动时,会出现一个窗口说防火墙某个文件失效,被windows 关闭。真的好可恨!!(所以我这里要推荐下麦咖啡,他本身是杀毒软件,但是强过防火墙)
解决“落雪”病毒的方法 :
症状:在电脑的相关分区硬盘D里打开,里面有pagefile.com文件 ,它所关联的文件如下,绝大多数文件都是显示为系统文件和隐藏的。 所以要在文件夹选项里打开显示所有隐藏文件。相关的分区硬盘D里就一个,C盘里的就多了!
D:\pagefile.com
C:\Program Files\Common Files\iexplore.com
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe
C:\WINDOWS\Debug\DebugProgramme.exe
C:\Windows\system32\command.com
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\WINLOGON.EXE
winlogon这个在进程里可以看得到,有两个,一个是真的,一个是假的。 真的是小写winlogon.exe,用户名是SYSTEM,
而假的是大写的WINLOGON.EXE,用户名是你自己的用户名。这个文件在进程里是中止不了的,说是关键进程无法中止,搞得跟真的一样!就连在安全模式下它都会呆在你的进程里!
然后打开开始菜单的运行,输入命令 regedit,进注册表,
到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 里面,有一个Torjan programme,这个明摆着“我是木马”,证明你的电脑里已经有WINLOGON.EXE病毒。
知道了这些文件,首先关闭可以关闭的所有程序,打开程序附件里头的WINDOWS资源管理器,
并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件夹,取消隐藏受保护操作系统文件。
随后使用了木马杀客软件,进行硬盘扫描,这么作的好处是知道木马病毒所在的位置,同时木马杀客软件将这些木马病毒进行删除操作,如果不能删除就将那些病毒进行隔离。
这样我感觉是基本能控制这个病毒的,当然大家要根据自己的实际情况来考虑!
第二种:
Pagefile.pif病毒:
症状:双击D盘无法打开,只能通过右键打开(病毒在驱动器下面写入了一个 pagefile.pif等文件);不能运行msconfig命令;自动关闭瑞星防火墙.。
最近此病毒在网络上比较猖狂,经过香锅里辣亲自测试,采用以下方法能完美清除病毒
1、将下面的文件复制到记事本里,保存为kill.bat文件,然后运行
@echo ===============================================
@echo Delete Trojan.PSW.Lmir.iux By o__4pollo
@echo ===============================================
@echo Start...
@echo ===============================================
@echo Execute ATTRIB...
@echo off
attrib -s -r -a -h c:\windows\1.com
attrib -s -r -a -h c:\windows\services.exe
attrib -s -r -a -h c:\windows\explorer.com
attrib -s -r -a -h c:\windows\finder.com
attrib -s -r -a -h c:\windows\exeroute.exe
attrib -s -r -a -h c:\windows\debug\debugprogram.exe
attrib -s -r -a -h c:\windows\system32\regedit.com
attrib -s -r -a -h c:\windows\system32\dxdiag.com
attrib -s -r -a -h c:\windows\system32\msconfig.com
attrib -s -r -a -h c:\windows\system32\command.pif
attrib -s -r -a -h c:\windows\system32\finder.com
attrib -s -r -a -h c:\windows\system32\rundll32.com
attrib -s -r -a -h c:\windows\system32\i.com
attrib -s -r -a -h c:\progra~1\common~1\iexplore.pif
attrib -s -r -a -h c:\progra~1\intern~1\iexplore.com
attrib -s -r -a -h d:\pagefile.pif
rem ===============================================
@echo Execute DELETE...
@echo off
del c:\windows\1.com
del c:\windows\services.exe
del c:\windows\explorer.com
del c:\windows\finder.com
del c:\windows\exeroute.exe
del c:\windows\debug\debugprogram.exe
del c:\windows\system32\regedit.com
del c:\windows\system32\dxdiag.com
del c:\windows\system32\msconfig.com
del c:\windows\system32\command.pif
del c:\windows\system32\finder.com
del c:\windows\system32\rundll32.com
del c:\windows\system32\i.com
del c:\progra~1\common~1\iexplore.pif
del c:\progra~1\intern~1\iexplore.com
del d:\pagefile.pif
@echo ===============================================
@echo End...
@echo ===============================================
2、进入注册表(开始-运行-输入regedit),然后删除相关注册表键值:展开HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{......}\shell,删除shell下的autorun键值(如果找不到,也可以在编辑-查找-输入pagefile.pif,找到后删除所对应的shell键值)。
3、执行第1步后,要恢复exe文件关联,所以重新启动电脑,按F8进入命令行安全模式(切记,选第3项命令行安全模式)输入assoc .exe=exefile,再重新启动。
OK,病毒完美清除!
下面两个杀木马比较好
AVGAnti-Spyware--极致安全完美防护.针对因特网上传播的新一代安全威胁的有效解决方案.确保您的数据安全,保护您的隐私,抵御间谍软件,广告软件,木马,拨号程序,键盘记录程序和蠕虫的威胁.在易于使用的界面之下,我们为您提供了高级的扫描和探测方式以及时下最尖端的技术.反病毒程序只能提供针对危急爆发的威胁如木马,蠕虫,拨号程序,劫持程序,间谍软件和键盘记录程序的有限的保护.而这正是AVGAnti-Spyware保护的出发点,它能补充现有的安全应用程序从而创建一个完整的安全系统 -- 因为只有完整的安全系统才能有效地工作.
许多的反木马程序中,Ewido 是最好的。最近在上的测试里表明,它可以有效地检测出多形态和进程注入式木马,这些甚至完全不能被像诺顿和AVG等杀毒软件所查杀。但对于个人而言Ewido足够强大了,和kaspersky结合使用加上ZoneAlarm防火墙,可以使得系统坚若磐石,推荐所有没有安装反木马扫描器的个人计算机用户下载这个软件,并每周定期扫描。Ewido v4.0.172附含安装录像,让您轻松自在安装升级。
怎么辨别木马病毒进程和常见病毒进程
任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文。
病毒进程隐藏三法
当我们确认系统中存在病毒,但是通过“任务管理器”查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法:
1.以假乱真
系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe就更加混乱了。如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。
2.偷梁换柱
如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe,和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:WINDOWSsystem32”目录下(Windows2000则是C:WINNTsystem32目录),如果病毒将自身复制到“C:WINDOWS”中,并改名为svchost.exe,运行后,我们在“任务管理器”中看到的也是svchost.exe,和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗?
3.借尸还魂
除了上文中的两种方法外,病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进程检测工具,否则要想发现隐藏在其中的病毒是很困难的。
系统进程解惑
上文中提到了很多系统进程,这些系统进程到底有何作用,其运行原理又是什么?下面我们将对这些系统进程进行逐一讲解,相信在熟知这些系统进程后,就能成功破解病毒的“以假乱真”和“偷梁换柱”了。
svchost.exe
常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:WINDOWSsystem32clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:WINDOWSsystem32svchost.exe -k LocalService”,而“Server”服务的可执行文件路径为“C:WINDOWSsystem32svchost.exe -k netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。
在Windows2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如Windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“C:WINDOWSsystem32”目录外,那么就可以判定是病毒了。
explorer.exe
常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。
explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:Windows”目录,除此之外则为病毒。
iexplore.exe
常被病毒冒充的进程名有:iexplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像,因此比较容易搞混,其实iexplorer.exe是Microsoft Internet Explorer所产生的进程,也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了,iexplorer.exe进程名的开头为“ie”,就是IE浏览器的意思。
iexplore.exe进程对应的可执行程序位于C:ProgramFilesInternetExplorer目录中,存在于其他目录则为病毒,除非你将该文件夹进行了转移。此外,有时我们会发现没有打开IE浏览器的情况下,系统中仍然存在iexplore.exe进程,这要分两种情况:1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。
rundll32.exe
常被病毒冒充的进程名有:rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数,系统中存在多少个Rundll32.exe进程,就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的,他可以控制系统中的一些dll文件,举个例子,在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation”,回车后,系统就会快速切换到登录界面了。rundll32.exe的路径为“C:Windowssystem32”,在别的目录则可以判定是病毒。
spoolsv.exe
常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,计算机上的打印将不可用,同时spoolsv.exe进程也会从计算机上消失。如果你不存在打印机设备,那么就把这项服务关闭吧,可以节省系统资源。停止并关闭服务后,如果系统中还存在spoolsv.exe进程,这就一定是病毒伪装的了。
限于篇幅,关于常见进程的介绍就到这里,我们平时在检查进程的时候如果发现有可疑,只要根据两点来判断:
1.仔细检查进程的文件名;
2.检查其路径。
通过这两点,一般的病毒进程肯定会露出马脚。
找个管理进程的好帮手
系统内置的“任务管理器”功能太弱,肯定不适合查杀病毒。因此我们可以使用专业的进程管理工具,例如Procexp。Procexp可以区分系统进程和一般进程,并且以不同的颜色进行区分,让假冒系统进程的病毒进程无处可藏。
运行Procexp后,进程会被分为两大块,“System Idle Process”下属的进程属于系统进程,
explorer.exe”下属的进程属于一般进程。我们介绍过的系统进程svchost.exe、winlogon.exe等都隶属于“System Idle Process”,如果你在“explorer.exe”中发现了svchost.exe,那么不用说,肯定是病毒冒充的。