本文目录一览:
- 1、QQ被盗号后残余的垃圾信息无法删除
- 2、怎么防止arp盗取QQ
- 3、请高手解决这个病毒
- 4、QQ空间好象被挂了木马~
- 5、我的电脑不知中了什么木马,只能上QQ了,不能上网,卡巴也杀不出来……大侠求救啊!
- 6、关于QQ强制聊天代码
QQ被盗号后残余的垃圾信息无法删除
将注册表中的腾讯删除。开机运行 输入 regedit 找到,HKEY_CURRENT_USER\software\tencent 将这个全部删除,在找到你以前安装的qq 文件目录,将其全部删除,然后利用你的优化大师,进行全面的垃圾文件清理,
复制一下内容
@echo off
echo 正在清除系统垃圾文件,请稍等......
del /f /s /q %systemdrive%\*.tmp
del /f /s /q %systemdrive%\*._mp
del /f /s /q %systemdrive%\*.log
del /f /s /q %systemdrive%\*.gid
del /f /s /q %systemdrive%\*.chk
del /f /s /q %systemdrive%\*.old
del /f /s /q %systemdrive%\recycled\*.*
del /f /s /q %windir%\*.bak
del /f /s /q %windir%\prefetch\*.*
rd /s /q %windir%\temp md %windir%\temp
del /f /q %userprofile%\COOKIES s\*.*
del /f /q %userprofile%\recent\*.*
del /f /s /q "%userprofile%\Local Settings\Temporary Internet Files\*.*"
del /f /s /q "%userprofile%\Local Settings\Temp\*.*"
del /f /s /q "%userprofile%\recent\*.*"
sfc /purgecache '清理系统盘无用文件
defrag %systemdrive% -b '优化预读信息
echo 清除系统垃圾完成!
echo. pause
然后用记事本保存为bat格式,然后运行,之后再重新安装qq程序吧。
怎么防止arp盗取QQ
遭受ARP攻击后的症状:
电脑以前可正常上网的,突然出现不能上网的现象(无法ping通网关。重启机器或在MSDOS窗口下运行命令ARP -d后,又可恢复上网一段时间。
故障原因:这是局域网内,某些电脑感染了APR病毒,被动进行欺骗攻击造成的。
解决的方法:
步骤一: 在能上网时,点“开始”-“运行”,输入“cmd”命令。打开进入MS-DOS窗口,输入命令:arp –a ,查看网关IP对应的正确MAC地址,
注:如果已经不能上网,则先运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp –a。
步骤二. 如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令: arp –s 网关IP 网关MAC。(之间是一个空格)
这时,类型变为静态(static),就不会再受攻击影响了。但是,需要说明的是,手工绑定在计算机关机重开机后就会失效,需要再绑定。
所以,要彻底根除攻击,一是找出网段内被病毒感染的计算机,令其杀毒,方可解决。二是使用软件,防止arp攻击,如Anti ARP Sniffer。三是我推荐的方法:
在桌面上建立一个txt文件,里面写:
@echo off
arp -d
arp -s 网关地址 网关MAC地址
完毕。注意:@echo和off之间有空格,下面两行的arp后面也有一个空格。-s 和-d是参数。是英文下的减号加上字母,之后仍然有一个空格。Ip地址后面也有一个空格
然后,点击文件,选择另存为,放在桌面就行了。在出现的保存对话框里面这样填写:RARP.BAT
文件名写英文就可以,但是必须写全名,后缀名必须是bat。比如rarp.bat。保存类型为所有文件。编码是ANSI。放在桌面就行。
最后一步:复制这个批处理文件:rarp.bat。然后在“开始”-“程序”-“启动”上双击左键,出现文件夹“启动”,
请高手解决这个病毒
兄弟 我来帮你
AV终结者病毒清除方法
AV终结者
“杀毒软件不能用,想用搜索引擎去查找一些解决办法,输入杀毒,浏览器窗口就被关掉。”造成这种现象的病毒“AV终结者”,它能破坏大量的杀毒软件和个人防火墙的正常监控和保护功能,导致用户电脑的安全性能下降,容易受到病毒的侵袭。同时它会下载并运行其他盗号病毒和恶意程序,严重威胁到用户的网络个人财产。此外,它还会造成电脑无法进入安全模式,并可通过可移动磁盘传播。目前该病毒已经衍生多个新变种,有可能在互联网上大范围传播。
“AV终结者”是一系列反击杀毒软件、破坏系统安全模式、植入木马下载器的病毒,它指的是一批具备如下破坏性的病毒、木马和蠕虫:
病毒现象
1. 生成很多8位数字或字母随机命名的病毒程序文件,并在电脑开机时自动运行。
2. 绑架安全软件,中毒后会发现几乎所有杀毒软件,系统管理工具,反间谍软件不能正常启动。即使手动删除了病毒程序,下次启动这些软件时,还会报错。
3. 不能正常显示隐藏文件,其目的是更好的隐藏自身不被发现。
4. 禁用windows自动更新和Windows防火墙,这样木马下载器工作时,就不会有任何提示窗口弹出来。为该病毒的下一步破坏打开方便之门。
5. 破坏系统安全模式,使得用户不能启动系统到安全模式来维护和修复
6. 当前活动窗口中有杀毒、安全、社区相关的关键字时,病毒会关闭这些窗口。假如你想通过浏览器搜索有关病毒的关键字,浏览器窗口会自动关闭。
7. 在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病毒程序文件,通过自动播放功能进行传播。这里要注意的是,很多用户格式化系统分区后重装,访问其它磁盘,立即再次中毒,用户会感觉这病毒格式化也不管用。
8. 病毒程序的最终目的是下载更多木马、后门程序。用户最后受损失的情况取决于这些木马和后门程序。
传播方式
1. 通过U盘、移动硬盘的自动播放功能传播
2. AV终结者最初的来源是通过大量劫持网络会话,利用网站漏洞下载传播。和前一段时间ARP攻击的病毒泛滥有关。
病毒解决方案
因为这个病毒会攻击杀毒软件,已经中毒的电脑杀毒软件没法正常启动,双击没反应,因而这时无法用杀毒软件来清除;利用手动解决也相当困难,并且,AV终结者是一批病毒,不能简单的通过分析报告来人工删除。我们推荐的清除步骤如下:
1. 在能正常上网的电脑上下载AV终结者病毒专杀工具。
这是金山提供的专杀工具下载地址:
2. 在正常的电脑上禁止自动播放功能,以避免通过插入U盘或移动硬盘而被病毒感染。禁止方法参考方案附件:
把AV终结者专杀工具从正常的电脑复制到U盘或移动硬盘上,然后再复制到中毒的电脑上。
3. 执行AV终结者专杀工具,清除已知的病毒,修复被系统配置。
注:AV终结者专杀工具的重要功能是修复被破坏的系统,包括修复映像劫持;修复被破坏的安全模式;修复隐藏文件夹的正常显示和删除各磁盘分区的自动播放配置。)
4. 不要立即重启电脑,然后启动杀毒软件,升级病毒库,进行全盘扫描。以清除木马下载器下载的其它病毒。
威金病毒批处理专杀
“威金”病毒主要通过网络共享传播,病毒会感染电脑中所有的.EXE可执行文件,传播速度十分迅速。“威金”病毒运行后,修改注册表自启动项,以使自己随系统一起运行,向系统文件目录下生成以下病毒文件:
Program Files\svhost32.exe
Program Files\micorsoft\svhost32.exe
windows\explorer.exe
windows\logo1_exe
windows\rundll32.exe
windows\rundl132.exe
windows\intel\rundl132.exe
windows\dll.dll
病毒新变种还会自动从网站下载“天堂杀手”以及“QQ大盗(QQpass)”等10余种木马病毒,企图盗取包括天堂、征途、梦幻西游、传奇等多种流行网游以及QQ的帐号、密码。
复制内容见下:
在桌面上单击鼠标右键,选择新建一个“记事本”,把下面部分复制进去,点“另存为”,把文件名定为“ 威金病毒批处理专杀.bat ”就完成,记住后缀名一定要是.bat,然后把它移到一个您想要保存的目录,OK了!大约一分钟不到。
@ECHO OFF
del c:\winnt\logo1_.exe
del c:\windows\logo1_.exe
del c:\winnt\0sy.exe
del c:\windows\0sy.exe
del c:\winnt\1sy.exe
del c:\windows\1sy.exe
del c:\winnt\2sy.exe
del c:\windows\2sy.exe
del c:\winnt\3sy.exe
del c:\windows\3sy.exe
del c:\winnt\4sy.exe
del c:\windows\4sy.exe
del c:\winnt\5sy.exe
del c:\windows\5sy.exe
del c:\winnt\6sy.exe
del c:\windows\6sy.exe
del c:\winnt\7sy.exe
del c:\windows\7sy.exe
del c:\winnt\8sy.exe
del c:\windows\8sy.exe
del c:\winnt\9sy.exe
del c:\windows\9sy.exe
del c:\winnt\rundl132.exe
del c:\windows\rundl132.exe
net share c$ /d
net share d$ /d
net share e$ /d
net share F$ /d
net share G$ /d
net share h$ /d
net share i$ /d
net share j$ /d
net share admin$ /d
net share ipc$ /d
del c:\winnt\logo1_.exe
del c:\windows\logo1_.exe
del c:\windows\vdll.dll
del c:\winnt\vdll.dll
del c:\windows\tdll.dll
del c:\winnt\tdll.dll
del c:\windows\dll.dll
del c:\winnt\dll.dll
del c:\winnt\kill.exe
del c:\windows\kill.exe
del c:\winnt\sws32.dll
del c:\windows\sws32.dll
del c:\winnt\rundl132.exe
del c:\windows\rundl132.exe
echo.
echo.
echo.
echo. *****************************
echo.
echo. 正在为您查毒...请不要关闭......
echo.
echo. *****************************
echo.
echo.
echo.
echo.
ping 127.0.0.1 -n 5
del c:\winnt\logo1_.exe
del c:\windows\logo1_.exe
del c:\windows\vdll.dll
del c:\winnt\vdll.dll
del c:\windows\dll.dll
del c:\winnt\dll.dll
del c:\windows\tdll.dll
del c:\winnt\tdll.dll
del c:\winnt\kill.exe
del c:\windows\kill.exe
del c:\winnt\sws32.dll
del c:\windows\sws32.dll
del c:\winnt\rundl132.exe
del c:\windows\rundl132.exe
echo.
echo.
echo.
echo. *****************************
echo.
echo. 正在为您查毒...请不要关闭......
echo.
echo. *****************************
echo.
echo.
echo.
echo.
ping 127.0.0.1 -n 5
del c:\winnt\logo1_.exe
del c:\windows\logo1_.exe
del c:\windows\vdll.dll
del c:\winnt\vdll.dll
del c:\windows\dll.dll
del c:\winnt\dll.dll
del c:\windows\tdll.dll
del c:\winnt\tdll.dll
del c:\winnt\kill.exe
del c:\windows\kill.exe
del c:\winnt\sws32.dll
del c:\windows\sws32.dll
del c:\windows\0sy.exe
del c:\winnt\1sy.exe
del c:\windows\1sy.exe
del c:\winnt\2sy.exe
del c:\windows\2sy.exe
del c:\winnt\3sy.exe
del c:\windows\3sy.exe
del c:\winnt\4sy.exe
del c:\windows\4sy.exe
del c:\winnt\5sy.exe
del c:\windows\5sy.exe
del c:\winnt\6sy.exe
del c:\windows\6sy.exe
del c:\winnt\7sy.exe
del c:\windows\7sy.exe
del c:\winnt\8sy.exe
del c:\windows\8sy.exe
del c:\winnt\9sy.exe
del c:\windows\9sy.exe
del c:\winnt\rundl132.exe
del c:\windows\rundl132.exe
del C:\winnt\Logo1_.exe
del C:\winnt\rundl132.exe
del C:\winnt\bootconf.exe
del C:\winnt\kill.exe
del C:\winnt\sws32.dll
del C:\winnt\dll.dll
del C:\winnt\vdll.dll
del c:\winnt\tdll.dll
del C:\winnt\system32\ShellExt\svchs0t.exe
del C:\Program Files\Internet Explorer\0SY.exe
del C:\Program Files\Internet Explorer\1SY.exe
del C:\Program Files\Internet Explorer\2sy.exe
del C:\Program Files\Internet Explorer\3sy.exe
del C:\Program Files\Internet Explorer\4sy.exe
del C:\Program Files\Internet Explorer\5sy.exe
del C:\Program Files\Internet Explorer\6SY.exe
del C:\Program Files\Internet Explorer\7sy.exe
del C:\Program Files\Internet Explorer\8sy.exe
del C:\Program Files\Internet Explorer\9sy.exe
del C:\winnt\system32\Logo1_.exe
del C:\winnt\system32\rundl132.exe
del C:\winnt\system32\bootconf.exe
del C:\winnt\system32\kill.exe
del C:\winnt\system32\sws32.dll
del C:\windows\Logo1_.exe
del C:\windows\rundl132.exe
del C:\windows\bootconf.exe
del C:\windows\kill.exe
del C:\windows\sws32.dll
del C:\windows\dll.dll
del C:\windows\vdll.dll
del c:\windows\tdll.dll
del C:\windows\system32\ShellExt\svchs0t.exe
del C:\windows\system32\Logo1_.exe
del C:\windows\system32\rundl132.exe
del C:\windows\system32\bootconf.exe
del C:\windows\system32\kill.exe
del C:\windows\system32\sws32.dll
del c:\_desktop.ini /f/s/q/a
del d:\_desktop.ini /f/s/q/a
del e:\_desktop.ini /f/s/q/a
del f:\_desktop.ini /f/s/q/a
del g:\_desktop.ini /f/s/q/a
del h:\_desktop.ini /f/s/q/a
del i:\_desktop.ini /f/s/q/a
del j:\_desktop.ini /f/s/q/a
del k:\_desktop.ini /f/s/q/a
QQ空间好象被挂了木马~
你用什么浏览器啊 建议用火狐哦 这个浏览器不会出现这种问题的。
这种现象只出现在你的电脑上吧 那就说明你被arp欺骗了 这是有关资料:什么是ARP
ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(也就是相当于OSI的第三层)地址解析为数据链路层(也就是相当于OSI的第二层)的物理地址(注:此处物理地址并不一定指MAC地址)。
ARP原理:某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个 ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC 地址存储在ARP缓存中。因此,当局域网中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答是B冒充C伪造来的,即IP地址为C的IP,而 MAC地址是伪造的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C!这就是一个简单的ARP欺骗。
ARP欺骗的种类
ARP欺骗是黑客常用的攻击手段之一,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。
一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。有些网管员对此不甚了解,出现故障时,认为PC没有问题,交换机没掉线的“本事”,电信也不承认宽带故障。而且如果第一种ARP欺骗发生时,只要重启路由器,网络就能全面恢复,那问题一定是在路由器了。为此,宽带路由器背了不少“黑锅”。
arp欺骗-网络执法官的原理
在网络执法官中,要想限制某台机器上网,只要点击"网卡"菜单中的"权限",选择指定的网卡号或在用户列表中点击该网卡所在行,从右键菜单中选择"权限 ",在弹出的对话框中即可限制该用户的权限。对于未登记网卡,可以这样限定其上线:只要设定好所有已知用户(登记)后,将网卡的默认权限改为禁止上线即可阻止所有未知的网卡上线。使用这两个功能就可限制用户上网。其原理是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC,使其找不到网关真正的MAC地址,这样就可以禁止其上网。
修改MAC地址突破网络执法官的封锁
根据上面的分析,我们不难得出结论:只要修改MAC地址,就可以骗过网络执法官的扫描,从而达到突破封锁的目的。下面是修改网卡MAC地址的方法:
在"开始"菜单的"运行"中输入regedit,打开注册表编辑器,展开注册表到:HKEY_LOCAL_ MACHINE/System/CurrentControl Set/Control/Class/子键,在子键下的0000,0001,0002等分支中查找DriverDesc(如果你有一块以上的网卡,就有 0001,0002......在这里保存了有关你的网卡的信息,其中的DriverDesc内容就是网卡的信息描述,比如我的网卡是Intel 21041 based Ethernet Controller),在这里假设你的网卡在0000子键。
在0000子键下添加一个字符串,命名为"NetworkAddress",键值为修改后的MAC地址,要求为连续的12个16进制数。然后在 "0000"子键下的NDI/params中新建一项名为NetworkAddress的子键,在该子键下添加名为"default"的字符串,键值为修改后的MAC地址。
在NetworkAddress的子键下继续建立名为"ParamDesc"的字符串,其作用为指定Network Address的描述,其值可为"MAC Address"。这样以后打开网络邻居的"属性",双击相应的网卡就会发现有一个"高级"设置,其下存在MAC Address的选项,它就是你在注册表中加入的新项"NetworkAddress",以后只要在此修改MAC地址就可以了。
关闭注册表,重新启动,你的网卡地址已改。打开网络邻居的属性,双击相应网卡项会发现有一个MAC Address的高级设置项,用于直接修改MAC地址。
MAC地址也叫物理地址、硬件地址或链路地址,由网络设备制造商生产时写在硬件内部。这个地址与网络无关,即无论将带有这个地址的硬件(如网卡、集线器、路由器等)接入到网络的何处,它都有相同的MAC地址,MAC地址一般不可改变,不能由用户自己设定。MAC地址通常表示为12个16进制数,每2个16 进制数之间用冒号隔开,如:08:00:20:0A:8C:6D就是一个MAC地址,其中前6位16进制数,08:00:20代表网络硬件制造商的编号,它由IEEE分配,而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品(如网卡)的系列号。每个网络制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节。这样就可保证世界上每个以太网设备都具有唯一的MAC地址。
另外,网络执法官的原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地址,使其找不到网关真正的MAC地址。因此,只要我们修改IP 到MAC的映射就可使网络执法官的ARP欺骗失效,就隔开突破它的限制。你可以事先Ping一下网关,然后再用ARP -a命令得到网关的MAC地址,最后用ARP -s IP 网卡MAC地址命令把网关的IP地址和它的MAC地址映射起来就可以了。
找到使你无法上网的对方
解除了网络执法官的封锁后,我们可以利用Arpkiller的"Sniffer杀手"扫描整个局域网IP段,然后查找处在"混杂"模式下的计算机,就可以发现对方了。具体方法是:运行Arpkiller(图2),然后点击"Sniffer监测工具",在出现的"Sniffer杀手"窗口中输入检测的起始和终止IP(图3),单击"开始检测"就可以了。
检测完成后,如果相应的IP是绿帽子图标,说明这个IP处于正常模式,如果是红帽子则说明该网卡处于混杂模式。它就是我们的目标,就是这个家伙在用网络执法官在捣乱。
局域网ARP欺骗的应对
一、故障现象及原因分析
情况一、当局域网内某台主机感染了ARP病毒时,会向本局域网内(指某一网段,比如:10.10.75.0这一段)所有主机发送ARP欺骗攻击谎称自己是这个网端的网关设备,让原本流向网关的流量改道流向病毒主机,造成受害者正常上网。
情况二、局域网内有某些用户使用了ARP欺骗程序(如:网络执法官,QQ盗号软件等)发送ARP欺骗数据包,致使被攻击的电脑出现突然不能上网,过一段时间又能上网,反复掉线的现象。
关于APR欺骗的具体原理请看我收集的资料ARP欺骗的原理
二、故障诊断
如果用户发现以上疑似情况,可以通过如下操作进行诊断:
点击“开始”按钮-选择“运行”-输入“arp–d”-点击“确定”按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。
注:arp-d命令用于清除并重建本机arp表。arp–d命令并不能抵御ARP欺骗,执行后仍有可能再次遭受ARP攻击。
三、故障处理
1、中毒者:建议使用趋势科技SysClean工具或其他杀毒软件清除病毒。
2、被害者:(1)绑定网关mac地址。具体方法如下:
1)首先,获得路由器的内网的MAC地址(例如网关地址10.10.75.254的MAC地址为0022aa0022aa)。2)编写一个批处理文件 AntiArp.bat内容如下: @echooffarp-darp-s10.10.75.25400-22-aa-00-22-aa
将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可,计算机重新启动后需要重新进行绑定,因此我们可以将该批处理文件AntiArp.bat文件拖到“windows--开始--程序--启动”中。这样开机时这个批处理就被执行了。
(2)使用ARP防火墙(例如AntiArp)软件抵御ARP攻击。
AntiArp软件会在提示框内出现病毒主机的MAC地址
四,找出ARP病毒源
第一招:使用Sniffer抓包
在网络内任意一台主机上运行抓包软件,捕获所有到达本机的数据包。如果发现有某个IP不断发送
ARP Request请求包,那么这台电脑一般就是病毒源。原理:无论何种ARP病毒变种,行为方式有两种,一是欺骗网关,二是欺骗网内的所有主机。最终的结果是,在网关的ARP缓存表中,网内所有活动主机的MAC地址均为中毒主机的MAC地址;网内所有主机的ARP缓存表中,网关的MAC地址也成为中毒主机的MAC地址。前者保证了从网关到网内主机的数据包被发到中毒主机,后者相反,使得主机发往网关的数据包均发送到中毒主机。
第二招:使用arp-a命令任意选两台不能上网的主机,在DOS命令窗口下运行arp-a命令。例如在结果中,两台电脑除了网关的IP,MAC地址对应项,都包含了192.168.0.186的这个IP,则可以断定192.168.0.186这台主机就是病毒源。原理:一般情况下,网内的主机只和网关通信。正常情况下,一台主机的ARP缓存中应该只有网关的MAC地址。如果有其他主机的MAC地址,说明本地主机和这台主机最后有过数据通信发生。如果某台主机(例如上面的192.168.0.186)既不是网关也不是服务器,但和网内的其他主机都有通信活动,且此时又是ARP病毒发作时期,那么,病毒源也就是它了。
第三招:使用tracert命令在任意一台受影响的主机上,在DOS命令窗口下运行如下命令:tracert61.135.179.148。假定设置的缺省网关为10.8.6.1,在跟踪一个外网地址时,第一跳却是10.8.6.186,那么,10.8.6.186就是病毒源。原理:中毒主机在受影响主机和网关之间,扮演了“中间人”的角色。所有本应该到达网关的数据包,由于错误的MAC地址,均被发到了中毒主机。此时,中毒主机越俎代庖,起了缺省网关的作用。
这样你访问某个网址时就会中网页木马了
我的电脑不知中了什么木马,只能上QQ了,不能上网,卡巴也杀不出来……大侠求救啊!
解决办法:首先重启进入BIOS把系统时间修改回来.然后重启电脑打开dos然后,利用unlock删除文件软件,用这个软件把查找到病毒进程的文件名.(例如:进程360Tray.exe的文件路径就在e:\360safe\safemon\360Tray.exe如果你直接去删除文件他会拒绝访问因为进程正在使用所以你要先把进程终止掉可以用unlock这个软件查看这个软件有1M多的大小)
因为你在窗口模式的他文件隐藏了无法显示像我中毒了他把我C:\Program Files\Common Files下的两个文件夹隐藏了然后在我这个文件中放了一个病毒文件.打开注册表下的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的启动项删除
所以你先用unlock找到文件所在的地方在dos下找到其目录在用dir查找命令后面加个/a这个参数就是dir /a这个命令然后病毒文件就会显示出来了.然后你在用unlock把进程终止掉用del 相对文件路径/绝对路径 /s /a /q 这个命令把文件删除.还有你每个盘下面也有病毒我编了个删除文件的希望对你们有用
@echo off
echo 你好欢迎使用清理javqhc木马文件
del e:\migqjec.exe /s /a /q
del c:\migqjec.exe /s /a /q
del d:\migqjec.exe /s /a /q
del c:\autorun.inf /s /a /q
del c:\windows\fonts\ardaase.fon /s /a /q
del c:\program files\meex.exe /s /a /q
del c:\program files\common files\system\euuoxpc.exe /s /a /q
del c:\program files\common files\microsoft shared\tdfrxxo.exe /s /a /q
del C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.chk /s /a /q
del C:\WINDOWS\SoftwareDistribution\DataStore\logs\edb.txt /s /a /q
del C:\WINDOWS\SoftwareDistribution\DataStore\datastore.edb /s /a /q
del C:\Program Files\Common Files\Microsoft Shared\MSINFO\atmQQ2.dll /s /a /q
pause rem 按键继续
echo
复制保存为文件名.bat
删除这些已经后你就可以运行杀毒软件运行了,这主要还是我们没有把系统漏洞补上所以你杀完毒补丁在打上就行了还有javqhc木马会产生不下于10木马.我在手动清理之后出现了这些木马用360安全卫士杀出的
奇虎360安全卫士木马查杀历史报告
木马名称:盗号木马
路径:C:\WINDOWS\Fonts\hookhelp.dll
查杀时间 :2007-12-23 09:50
木马名称:rsmyasp木马程序
路径:C:\WINDOWS\Fonts\gemoand.fon
查杀时间 :2007-12-23 02:04
木马名称:rat盗号木马
路径:C:\WINDOWS\Fonts\chtiaur.fon
查杀时间 :2007-12-23 02:04
木马名称:诛仙盗号木马
路径:C:\WINDOWS\Fonts\mszhasd.fon
查杀时间 :2007-12-23 02:04
木马名称:武林外传盗号木马
路径:C:\WINDOWS\Fonts\msguasd.fon
查杀时间 :2007-12-23 02:04
木马名称:atmQQ盗号木马
路径:C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO\SYSWFG~2.DLL
查杀时间 :2007-12-23 02:04
木马名称:kvmxbis
路径:C:\WINDOWS\Fonts\armease.fon
查杀时间 :2007-12-23 02:04
木马名称:盗号木马
路径:C:\WINDOWS\system32\rarjepi.dll
查杀时间 :2007-12-23 02:04
木马名称:kaqh盗号木马
路径:C:\WINDOWS\Fonts\enhuafx.fon
查杀时间 :2007-12-23 02:04
木马名称:qhbpri木马
路径:C:\WINDOWS\Fonts\ardaase.fon
查杀时间 :2007-12-23 02:04
木马名称:pkeusvq(Auto)
路径:
查杀时间 :2007-12-23 02:04
关于QQ强制聊天代码
代码 :;Uin=********Site=ioshenmueMenu=yes
使用方法:把代码中的“********”星号换成你想与其聊天的QQ号后复制到浏览器的地址栏处即可。无论他是否你的好友,你无须加他为好友就能给他发QQ消息。