❶ 制作电脑恶作剧程序(只是捉弄一下我朋友不要伤害他的电脑,我没恶意)
一、norun norun是个恶作剧软件,它只有一个可执行文件,12288字节大小,运行于Win98/ME下.运行后要求回答三道算数题.虽然题目很简单,但是一旦答错,机器将连续重启动12次(每次都有提示)后恢复正常.除此之外,没有其他影响.因此,norun是个真正的恶作剧软件,对大家的威胁并不大.不过,如果机器真的重新启动12次的话,也够恐怖的!所以也要掌握应对它的方法. 最直接的方法是你回答对那三道题就可以了.不要担心,是小学二年级的都会做的算数题. 如果你回答对了,就会出现对话框,点击"确定"软件运行结束.由于你回答对了,所以不会出现连续重启动12次这样的现象. 如果你担心自己马虎回答错误(如果这个也回答不正确,那也太……),可以用进程管理软件终止该进程,这样就可以了.我们以Windows优化大师为例.运行Windows优化大师,点击"系统安全优化"→"进程管理",在弹出的窗口中选中norun,点击"终止"按钮即可终止运行它,从而避免了norun造成的12次重启. 点评:纯粹的恶作剧软件,可以用来跟朋友开玩笑用. 恶毒程度:★ 二、ilr ilr也是个恶作剧程序,文件大小15KB.这么小的程序能干些什么破坏呢?它是个捉弄人的程序,运行后会把硬盘上所有分区里的文件夹通通变成回收站!使得你无法通过点击进入该文件夹!天啊,我要是想进入文件夹该怎么办呢?别着急,恢复方法是用以下格式运行该软件即可:xxxx.exe -recover,要记牢格式哦! 点评:一个很另类的恶作剧软件,不破坏数据,不会让你无法进入系统中,但是它会让你无法进入文件夹,使你干着急,可以用来跟朋友开玩笑用. 恶毒程度:★★ 三、FUHD 这是一个垃圾文件生成器,程序运行后会在各磁盘(C:-H:)的每一个根目录、第一级子目录和第二级子目录生成随机文件名的垃圾文件.很久以前有个软件hdfill.exe有相似的功能,但是该hdfill需要VB4的运行库才能运行,在没有VB4运行库的机器中不能运行该程序.而该程序是用VB5编写的,虽然存在运行库的问题,但Win98中已经带有VB5的运行库,所以该程序可以在许多电脑中运行成功.也就是说许多朋友都有中招的可能和危险! FUHD压缩包由四个文件组成: FUHD.exe:大小10752字节,所用图标为VB5的安装程序所用图标.直接在磁盘上生成垃圾文件,程序在后台运行,全过程没有任何提示. setup.exe:大小10752字节,所用图标为VB5的安装程序所用图标.运行后在后台生成垃圾文件. Undo.exe:大小6656字节.这是作者提供的删除上面两个EXE生成的垃圾文件的文件,如果你中招了,可以找来该文件,运行后就可以清除那些垃圾文件. readme.txt:说明文件. 点评:虽然说现在很多人都有大硬盘,但是大量的垃圾文件分布在各个目录中,也是一件很麻烦的事.而且目录中含有过多的文件,会大大减慢系统的速度.作为恶作剧软件,它的危害不大.但如果不知道解除方法,也很讨厌. 恶毒程度:★★☆ 四、Carem3 Carem3是网络休闲庄(一个黑客网站)技术顾问Carem的作品,这是一个非常狠毒的恶意攻击软件,运行后如果不知道正确的破解方法,那肯定是要重装系统的.解压后的Carem3只有一个文件Carem3.exe,这是它所用的图标(左图),大家记住了,轻易不要运行使用这个图标的软件,因为给你下套的人会给它改名的,所以记住它的文件大小也是个不错的识别方法,Carem3.exe文件大小321536字节. 此时鼠标被控制在一定范围内,无法点击屏幕上的按钮,按动回车键就会弹出个窗口警告你不要随意运行可执行程序,说这只是个教训之类的话,然后会自动重新启动电脑,但你再也无法进入心爱的Windows桌面了!如果你没有按动任何键,Carem3也不会放过你,它会自动倒记时,从20秒到0就重新启动电脑,使你的系统崩溃! 程序的基本原理是破坏C:\windows\system\下的vmm32.vxd文件.vmm32.vxd是虚拟设备驱动程序,正常文件大小913413字节,文件修改时间为1999-01-13,就是由于它被破坏了(文件被替换为同名文件,大小变为81531字节,文件修改时间变为1998-06-19),导致你的计算机不能进入Windows系统. 作者提供的破解方法是:在开机的时候按F8选择Command prompt only方式进入DOS下,之后在提示符后执行repair,就可以解决了.另外你事先备份了vmm32.vxd文件,就可以使用另外一个破解方法:用启动盘从A盘启动计算机,将备份的vmm32.vxd复制到c:\windows\system\里,重新启动计算机就可以了.如果没有备份,到其他计算机上复制一个来吧. 除了上面说的那两个方法,还有一个更简便的破解方法.我们在Carem3.exe刚运行后,倒记时尚未结束前,按住ALT+F4键关闭软件窗口(不要指望能通过按Ctrl+Alt+Del来终止它,作者早就将这些按键屏蔽了),此时你的鼠标将被锁定在桌面的某个小范围内(屏幕中央偏右一点),鼠标是无法使用了.但是如果你自己不重新启动电脑的话,Carem3.exe也不会自动重新启动你的电脑——因为它已经被关闭了.此时的你可以使用键盘来操作,如果嫌麻烦,直接重新启动电脑即可.不要害怕,我们按ALT+F4时已经将软件关闭了,在破坏开始前就将它给消灭了,所以这次重新启动电脑和我们平常重新启动电脑一样,是安全的!顺便说一句如果你的系统是Win2000以下就要小心它了! 点评:比较恶毒,因为一般人想不到它会破坏vmm32.vxd,不过还好,作者提供了破解的方法,所以还在可控范围内. 恶毒程度:★★★ 五、妖之吻 妖之吻是千年老妖的作品.下载解压后大小252KB,只有一个文件名为yzw.exe的可执行文件,它的外表看起来很友善——图标是两只握在一起的手!如果你被这表面上的友善所打动,双击运行了这个程序,哈哈,你的恶梦就此开始了! 首先,屏幕上会出现一个不大好看的窗口,上面写着"亲爱的,给你一个关机之吻",同时在窗口中显示60、59、58……这样的倒计时数,记时到"0"系统就自动重新启动.当你再次听到Windows的启动声音,以为没什么事的时候,那个可恶的"亲爱的,给你一个关机之吻"又出现了,然后再次重启,如此反复,陷入一个死循环中,使你根本无法进入你的系统.你若想在那个窗口出现时按"Ctrl+Alt+Del"来终止它,根本就不管用,因为作者将
❷ 任务管理器老是有一些叫做server的东西.360任务进程管理器看有叫hrl.tmp的文件在运行 貌似中毒、求解
hrl1.tmp会注册系统服务,名称为“Distribufcp Transaction Coordinator Service”,指向system32目录下的随机文件名。之后,恶意程序会将用户信息发送至黑客、接收黑客命令、下载文件等。
❸ 为什么我一启动网络游戏就一大堆病毒
机器狗/磁碟机/AV终结者专杀工具http://www.ba.net/zhuansha/259.shtmlAUTO木马群专杀工具http://www.ba.net/zhuansha/260.shtml3.16-3.31感染量上升最快的10大病毒分析及解决方案爱毒霸社区提醒您注意,近期肆虐的病毒木马中,排名靠前,对用户产生重大影响的,多数是木马或木马下载器。对付这类病毒,通常需要综合运用毒霸和金山清理专家,因为病毒自身变化多端,杀毒软件不能保证检测到所有变种。某些情况下,您可能需要充分使用金山清理专家来处理。具体请查看:关于清理专家反复报告发现某恶意软件的处理办法论坛的新手杀毒专区提供了对新会员最有价值的帮助信息,建议您阅读这里的帮助文档尝试自助解决。在两周左右的时间里,磁碟机作者停止了更新。遗憾的是,这并非安全软件的功劳,某种程度上讲,是这个制造、传播这个病毒的集团过于疯狂,以致引起各安全厂商的强烈反弹,黑客产业链的某些人不得不暂时低调,以避风头,磁碟机病毒卷土重来的可能性非常大。目前,上周末出现Auto病毒入侵相当严重,毒霸客服中心日接到与Auto病毒相关的案例多达200左右,虽尚不能和磁碟机高峰时相比,同一种病毒引发上百咨询需要引起我们和用户的足够警惕。以下是本周10大病毒列表:1.Auto病毒群(auto.exe)详细信息,参阅http://bbs.ba.net/thread-21902724-1-1.html2.磁碟机病毒家族(Worm.Vcting)详细信息,参阅http://bbs.ba.net/thread-21896365-1-1.html3.机器狗病毒(机器狗变种Win32.Troj.Agent.dz.11636)详细信息,请参考机器狗病毒的详细技术分析http://bbs.ba.net/thread-21891440-1-1.html4.JS.fullexploit.ca.4678(乌鸦喝水4678)感染日志类似于:引用:病毒名称JS.fullexploit.ca.4678,文件名称count2[1].htm 原始路径C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\O18HEZOP\病毒名称(中文):乌鸦喝水4678威胁级别:★★☆☆☆病毒类型:网页病毒病毒长度:4678影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003病毒行为:引用:这是一个溢出漏洞利用脚本病毒,主要针对bar,超星阅读器,联众,暴风影音,realplayer,迅雷,一旦溢出,会从指定网址下载恶意程序执行.访问网络的时候访问网络的时候挂马传播.1.一旦病毒脚本溢出成功后,会从http://99.vc/s.exe上下载木马程序运行2.该溢出脚本对应的漏洞溢出模块的CSLID如下:bar: A7F05EE4-0426ID:-454F-8013-C41E3596E9E9BAOFEN: 6BE52E1D-E586-474F-A6E2-1A85A9B4D9FBLINK(联众): AE93C5DF-A990-11D1-AEBD-5254ABDD2B69超星: 7F5E27CE-4A5C-11D3-9232-0000B48A05B2迅雷: F3E70CEA-956E-49CC-B444-73AFE593AD7F受影响的realplayer版本号:“Windows RealPlayer 10.5 (6.0.12.1040-1056)”、“Windows RealPlayer 10”、“Windows RealOne Player v2 (6.0.11.853 – 872)”、“Windows RealOne Player v2 (6.0.11.818 – 840)”解决方案:这类病毒是攻击第三方软件漏洞传播,应该在杀毒完成之后,下载相应软件的最新版本,以修复相关漏洞。5.Win32.Troj.PcClient.a.688128毒霸07.11.28.18版本即可查杀。病毒名称(中文):黑客遥控器威胁级别:★☆☆☆☆病毒类型:黑客程序病毒长度:688128影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003病毒行为:引用:这是一个黑客程序变种。病毒运行后释放随机文件名病毒文件至系统文件夹,并通过修改注册表添加系统服务rtltvb以开机自启动。病毒尝试读取以下两个注册表ProxyEnable和ProxyServer键值来获取用户代理服务器地址,并记录至{随机文件名}.pro。病毒还尝试在后台创建多个线程与远程服务器通讯,接受黑客的指令,使得用户的计算机完全处于黑客的控制之下。(1)病毒释放文件,然后使用DeleteFileA删除自身%sys32dir%\0004bb58.inf%sys32dir%\{随机文件名}.dll(如byhfjm.dll)%sys32dir%\{随机文件名}.KEY(如byhfjm.KEY)%sys32dir%\{随机文件名}.sco(如byhfjm.sco)%sys32dir%\drivers\{随机文件名}.sys(如byhfjm.sys)(2)病毒增加注册项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost rtltvb rtltvbHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RTLTVBHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rtltvb(3)病毒尝试添加一个系统服务rtltvb服务名:rtltvb描述:Microsoft .NET Framework TPM显示名称:rtltvb映像路径:%sys32dir%\svchost.exe -k rtltvb启动类型:自动(4)病毒尝试读取以下两个注册表ProxyEnable和ProxyServer键值来获取用户代理服务器地址,并记录至{随机文件名}.pro(如byhfjm.pro)"Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings ProxyEnable 1""Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings ProxyServer {代理地址}"(5)病毒尝试在后台创建多个线程与远程服务器通讯,接受黑客的指令,使得用户的计算机完全处于黑客的控制之下0**205.k**p.net(2**.2*7.17.2*6)6.Win32.Troj.InjectT.gh.180736升级毒霸到07.10.25.10版本即可查杀,病毒可通过网页挂马,或ARP攻击传播。很老的病毒现在造成大面积入侵,可能与下载器的行为有关。查毒日志类似于引用:病毒 2008-03-11 22:43:46 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\XFTMV4S6\29[1] Win32.Troj.InjectT.gh.180736 清除成功7.Win32.Troj.OnLineGamesT.gr.2637查毒日志类似于引用:Win32.Troj.OnLineGamesT.gr.2637Win32.Troj.OnlineGamesT.zy.123185Win32.Troj.Agent.ol.61440Win32.Troj.OnlineGamesT.xy.44337Win32.Troj.OnlineGamesT.gr.2637问题补充:而且像中了Auto木马一样,双击打不开分区(昨天打开新浪网,突然就弹出一大堆网页,之后我就恢复了系统,IE没事了,但木马还在,分区也双击打不开,重要的是清除了之后还有)病毒分析:引用:病毒类型:木马文件大小:17836 byte二、 病毒描述:该病毒为盗号木马类,病毒运行后衍生病毒文件至系统文件夹,并删除自身。通过修改注册表增加启动项目进行开机启动。三、 行为分析生成文件:c:\WINDOWS\system32\upxdnd.dllc:\WINDOWS\upxdnd.exe写注册表启动项目HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "upxdnd"Type: REG_SZData: C:\WINDOWS\upxdnd.exe将upxdnd.dll插入到EXPLORER.EXE进程和其它应用程序进程中进行监视盗号。解决方案:引用:使用金山清理专家粉碎以下文件或升级到最新后查杀。c:\WINDOWS\system32\upxdnd.dllc:\WINDOWS\upxdnd.exe然后使用清理专家删除以下残留的注册表启动项目:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\upxdnd8.Win32.Troj.RootkitT.k.16800染毒日志类似于引用:win32.troj.RootkitT.k.16800 在c:\windows\dirvers\vga\vmware\lgtosync.sys病毒名称(中文):病毒保护伞16800威胁级别:★★☆☆☆病毒类型:黑客工具病毒长度:16800影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003病毒行为:引用:这是一个Rootkit,它的主要功能是保护其他的病毒文件一、病毒简介这个Rootkit主要有两个功能:1、绕过SSDT挂钩反复写注册表2、直接调用ntoskrnl.exe或者ntkrnlpa.exe导出的NtCreateFile打开病毒文件,使得这些文件被占用而无法被删除二、功能分析 – 绕过SSDT挂钩反复写注册表Rootkit运行后会再次将ntoskrnl.exe或者ntkrnlpa.exe加载到内存,并通过这个新的内存映象计算出ZwOpenKey,ZwClose,ZwSetValueKey,ZwEnumerateKey,ZwCreateFile这5个函数在SSDT表中对应服务函数(Zw*对应的Nt*函数)的真实地址。随后Rookit创建一个线程不断的写注册表(Rootkit的服务项)。三、功能分析 – 占用文件Rootkit调用刚才得到的NtCreateFile打开%systemroot%\system32\drivers\gxni6qsaoe.sys和%systemroot%\system32\mlxw81h.dll这两个文件,使这两个文件被占用,从而无法被删除。(这两个文件的名字都是随机的)。Rootkit调用函数监视进程的创建。如果userinit.exe被创建,Rootkit通过写注册表启动项运行%systemroot%\system32\mlxw81h.dll。如果explorer.exe被创建,Rootkit调用NtCreateFile占用前面提到的两个病毒文件。9.Win32.Troj.AgentT.fm.14452病毒分析:病毒名称(中文):网游盗贼14452威胁级别:★★☆☆☆病毒类型:偷密码的木马病毒长度:14452影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003病毒行为:引用:这是一个网游盗号木马的变种,它盗取的游戏众多。它会强行关闭正在运行中的网络游戏,使得玩家不得不重新登录。这样,病毒便可趁机盗窃用户帐号。1.病毒运行后,产生以下病毒文件(文件名不定)C:\WINDOWS\system32\avzxest.exeC:\WINDOWS\system32\avzxemn.dllC:\WINDOWS\system32\avzxein.dllc:\WINDOWS\Fonts\mszhasd.fon2.将C:\WINDOWS\system32\avzxemn.dll添加到执行挂钩HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks,以便随系统启动。3.将C:\WINDOWS\system32\avzxemn.dll添加到HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls,以便随系统启动。4.病毒运行后,会删除自身,用户发现文件点击后消失。5.修改注册表,禁用系统防火墙和自动更新功能。6.不断地写2、3提到的注册表项,防止被删除。7.关闭名为ElementClient.exe和TQAT.exe的游戏进程,以便让用户重新运行,趁机盗取用户帐号.清除方案:使用金山毒霸查杀或者用金山清理专家百宝箱中的文件粉碎器,将以下几个文件彻底删除。c:\windows\system32\avzxest.exec:\windows\system32\avzxemn.dllc:\windows\system32\avzxein.dllc:\windows\Fonts\mszhasd.fon重启后,再用清理专家修复注册表中的残留信息。10.Win32.TrojDownloader.Agent.49152这是一个木马下载器,升级到07年12月29日的版本即可查杀,该木马下载器可能是其它类似于磁碟机、AV终结者病毒的下载器download的产物。查毒日志类似于引用:C:\WINDOWS\system32\jxz40cmy.dll中了Win32.Troj.DownLoaderT.np.139264病毒C:\WINDOWS\system32\drivers\820p.sys中了win32.TrojDownloader.HmirT.a.25920中木马下载器之后,往往会发现更多木马,建议使用金山清理专家和金山毒霸协同清除,如果你的杀毒软件被破坏,建议先下载金山毒霸提供的磁碟机/机器狗/AV终结者专杀来修复杀毒软件。针对流行病毒的解决方案:本周严重流行的病毒以Auto病毒群、磁碟机为主,这些病毒下载器入侵后,会带来严重威胁,表现为很老的木马病毒,也会完成盗号。木马下载器入侵之后,需要采取综合措施,推荐先到毒霸论坛或官网下载“磁碟机”病毒专杀,将磁碟机清除干净后,还需要使用毒霸和清理专家全面杀毒,将系统中更多的木马完全清除干净。详情,请参阅:http://bbs.ba.net/thread-21902724-1-1.htmlhttp://bbs.ba.net/thread-21896365-1-1.html有关此类病毒的预防参考“狗犬不惊”之防狗秘笈(http://bbs.ba.net/thread-21893089-1-1.html)参考资料:http://bbs.ba.net/thread-21904481-1-1.html
❹ 『救命啊』中毒啦!快来救救我!
AV终结者“AV终结者”即”帕虫”是一系列反击杀毒软件,破坏系统安全模式、植入木马下载器的病毒,它指的是一批具备如下破坏性的病毒、木马和蠕虫。“AV终结者”名称中的“AV”即为英文“反病毒”(An-ti-virus)的缩写。它能破坏大量的杀毒软件和个人防火墙的正常监控和保护功能,导致用户电脑的安全性能下降,容易受到病毒的侵袭。同时它会下载并运行其他盗号病毒和恶意程序,严重威胁到用户的网络个人财产。此外,它还会造成电脑无法进入安全模式,并可通过可移动磁盘传播。目前该病毒已经衍生多个新变种,有可能在互联网上大范围传播。“AV终结者”设计中最恶毒的一点是,用户即使重装操作系统也无法解决问题:格式化系统盘重装后很容易被再次感染。用户格式化后,只要双击其他盘符,病毒将再次运行。“AV终结者”会使用户电脑的安全防御体系被彻底摧毁,安全性几乎为零。它还自动连接到某网站,下载数百种木马病毒及各类盗号木马、广告木马、风险程序,在用户电脑毫无抵抗力的情况下,鱼贯而来,用户的网银、网游、qq账号密码以及机密文件都处于极度危险之中。传播途径“AV终结者”的重要传播途径是U盘等移动存储介质。它通过U盘、移动硬盘的自动播放功能传播,建议用户暂时关闭电脑的这一功能。用户近期一定要注意U盘使用安全,不要在可疑电脑上使用U盘,以免自己的电脑受到传染。 病毒特征这种病毒主要特征有:禁用所有杀毒软件以及相关安全工具,让用户电脑失去安全保障;致使用户根本无法进入安全模式清除病毒;强行关闭带有病毒字样的网页,只要在网页中输入‘病毒’相关字样,网页遂被强行关闭,即使是一些安全论坛也无法登陆,用户无法通过网络寻求解决办法。病毒现象·1. 生成很多8位数字或字母随机命名的病毒程序文件,并在电脑开机时自动运行。·2. 绑架安全软件,中毒后会发现几乎所有杀毒软件,系统管理工具,反间谍软件不能正常启动。即使手动删除了病毒程序,下次启动这些软件时,还会报错。 ·3. 不能正常显示隐藏文件,其目的是更好的隐藏自身不被发现。·4. 禁用windows自动更新和Windows防火墙,这样木马下载器工作时,就不会有任何提示窗口弹出来。为该病毒的下一步破坏打开方便之门。·5. 破坏系统安全模式,使得用户不能启动系统到安全模式来维护和修复。·6. 当前活动窗口中有杀毒、安全、社区相关的关键字时,病毒会关闭这些窗口。假如你想通过浏览器搜索有关病毒的关键字,浏览器窗口会自动关闭。·7. 在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病毒程序文件,通过自动播放功能进行传播。这里要注意的是,很多用户格式化系统分区后重装,访问其它磁盘,立即再次中毒,用户会感觉这病毒格式化也不管用。·8. 病毒程序的最终目的是下载更多木马、后门程序。用户最后受损失的情况取决于这些木马和后门程序。防范措施对于病毒而言,良好的防范措施,好过中毒之后再绞尽脑汁去寻找查杀方法,而且一旦感染该病毒,清除过程相当复杂,因此,在采访中,金山、江民、瑞星等几家公司的反病毒专家们向记者提供了针对该病毒防范措施:1.保管好自己的U盘,MP3、移动硬盘等移动储存的使用,当外来U盘接入电脑时,请先不要急于双击打开,一定要先经过杀毒处理,建议采用具有U盘病毒免疫功能的杀毒软件,如KV2007 独有的U盘盾技术,可以免疫所有U盘病毒通过双击U盘时运行。2. 给系统打好补丁程序,尤其是MS06-014和MS07-17这两个补丁,目前绝大部分的网页木马都是通过这两个漏洞入侵到计算机里面的。3. 即时更新杀毒软件病毒库,做到定时升级,定时杀毒。4.安装软件要到正规网站下载,避免软件安装包被捆绑进木马病毒。5.关闭windows的自动播放功能。病毒解决方案因为这个病毒会攻击杀毒软件,已经中毒的电脑杀毒软件没法正常启动,双击没反应,因而这时无法用杀毒软件来清除;利用手动解决也相当困难,并且,AV终结者是一批病毒,不能简单的通过分析报告来人工删除。推荐的清除步骤如下:1. 在能正常上网的电脑上到http://zhuansha.ba.net/259.shtml下载AV终结者病毒专杀工具。2. 在正常的电脑上禁止自动播放功能,以避免通过插入U盘或移动硬盘而被病毒感染。禁止方法参考方案附件:把AV终结者专杀工具从正常的电脑复制到U盘或移动硬盘上,然后再复制到中毒的电脑上。3. 执行AV终结者专杀工具,清除已知的病毒,修复被系统配置。(注:AV终结者专杀工具的重要功能是修复被破坏的系统,包括修复映像劫持;修复被破坏的安全模式;修复隐藏文件夹的正常显示和删除各磁盘分区的自动播放配置。) 4. 不要立即重启电脑,然后启动杀毒软件,升级病毒库,进行全盘扫描。以清除木马下载器下载的其它病毒。手动清除办法1.到网上下载IceSword工具,并将该工具改名,如改成abc.exe 名称,这样就可以突破病毒进程对该工具的屏蔽。然后双击打开IceSword工具,结束一个8位数字的EXE文件的进程,有时可能无该进程。2.利用IceSword的文件管理功能,展开到C:\Program Files\Common Files\Microsoft Shared\MSINFO\下,删除2个8位随机数字的文件,其扩展名分别为:dat 和dll 。再到%windir%\help\目录下,删除同名的.hlp或者同名的.chm文件,该文件为系统帮助文件图标。3. 然后到各个硬盘根目录下面删除Autorun.inf 文件和可疑的8位数字文件,注意,不要直接双击打开各个硬盘分区,而应该利用Windows资源管理器左边的树状目录来浏览。有时电脑中毒后可能无法查看隐藏文件,这时可以利用WinRar软件的文件管理功能来浏览文件和进行删除操作。4.利用IceSword的注册表管理功能,展开注册表项到:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options],删除里面的IFEO劫持项。当完成以上操作之后,就可以安装或打开杀毒软件了,然后升级杀毒软件到最新的病毒库,对电脑进行全盘杀毒。(手动清除办法由江民反病毒专家提供 病毒分析1.生成文件 %programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dat %programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dll %windir%\{随机8位字母+数字名字}.hlp %windir%\Help\{随机8位字母+数字名字}.chm 也有可能生成如下文件 %sys32dir%\{随机字母}.exe 替换%sys32dir%\verclsid.exe文件2.生成以下注册表项来达到使病毒随系统启动而启动的目的 HKEY_CLASSES_ROOT\CLSID\"随机CLSID"\\InprocServer32 "病毒文件全路径" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"随机CLSID" "病毒文件全路径" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks "生成的随机CLSID" "" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "随机字符串" "病毒文件全路径" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start dword:000000043.映像劫持 通过在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下添加注册表项来进行文件映像劫持,可阻止大量安全软件及系统管理软件运行,并执行病毒体。 被劫持的软件包括: 360rpt.exe; 360Safe.exe; 360tray.exe; adam.exe; AgentSvr.exe; AppSvc32.exe; autoruns.exe; avgrssvc.exe; AvMonitor.exe; avp.com; avp.exe; CCenter.exe; ccSvcHst.exe; FileDsty.exe; FTCleanerShell.exe; HijackThis.exe; IceSword.exe; iparmo.exe; Iparmor.exe; isPwdSvc.exe; kabaload.exe; KaScrScn.SCR; KASMain.exe; KASTask.exe; KAV32.exe; KAVDX.exe; KAVPFW.exe; KAVSetup.exe; KAVStart.exe; KISLnchr.exe; KMailMon.exe; KMFilter.exe; KPFW32.exe; KPFW32X.exe; KPFWSvc.exe; KRegEx.exe; KRepair.COM; KsLoader.exe; KVCenter.kxp; KvDetect.exe; KvfwMcl.exe; KVMonXP.kxp; KVMonXP_1.kxp; kvol.exe; kvolself.exe; KvReport.kxp; KVScan.kxp; KVSrvXP.exe; …………4.修改以下注册表,导致无法显示隐藏文件 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Hidden dword:00000002 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue dword:00000000 5、修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess Start dword:00000004 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv Start dword:00000004 6.删除以下注册表项,使用户无法进入安全模式 HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ HKEY_CURRENT_USER\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\7.连接网络下载病毒 hxxp://www.webxxx.com/xxx.exe 8.关闭杀毒软件实时监控窗口,如瑞星、卡巴,通过自动点击"跳过"按钮来逃过查杀 9.尝试关闭包含以下关键字窗口 Anti AgentSvr CCenter Rsaupd SmartUp FileDsty RegClean 360tray ………… ikaka ba kingsoft 木马 社区 aswBoot ………… 10.注入Explorer.exe和TIMPlatform.exe反弹连接,以逃过防火墙的内墙的审核。 11.隐藏病毒进程,但是可以通过结束桌面进程显示出来。 12.在硬盘分区生成文件:autorun.inf 和 随机字母+数字组成的病毒复制体,并修改“NoDriveTypeAutoRun”使病毒可以随可移动存储介质传播。
❺ 别人把我的电脑给炸了,我不能报复很郁闷 因为我不会弄炸弹。那个大哥会弄啊给兄弟我说下好吗谢谢了
告诉你几个比较经典的:一、norun norun是个恶作剧软件,它只有一个可执行文件,12288字节大小,运行于Win98/ME下.运行后要求回答三道算数题.虽然题目很简单,但是一旦答错,机器将连续重启动12次(每次都有提示)后恢复正常.除此之外,没有其他影响.因此,norun是个真正的恶作剧软件,对大家的威胁并不大.不过,如果机器真的重新启动12次的话,也够恐怖的!所以也要掌握应对它的方法. 最直接的方法是你回答对那三道题就可以了.不要担心,是小学二年级的都会做的算数题. 如果你回答对了,就会出现对话框,点击"确定"软件运行结束.由于你回答对了,所以不会出现连续重启动12次这样的现象. 如果你担心自己马虎回答错误(如果这个也回答不正确,那也太……),可以用进程管理软件终止该进程,这样就可以了.我们以Windows优化大师为例.运行Windows优化大师,点击"系统安全优化"→"进程管理",在弹出的窗口中选中norun,点击"终止"按钮即可终止运行它,从而避免了norun造成的12次重启. 点评:纯粹的恶作剧软件,可以用来跟朋友开玩笑用. 恶毒程度:★ 二、ilr ilr也是个恶作剧程序,文件大小15KB.这么小的程序能干些什么破坏呢?它是个捉弄人的程序,运行后会把硬盘上所有分区里的文件夹通通变成回收站!使得你无法通过点击进入该文件夹!天啊,我要是想进入文件夹该怎么办呢?别着急,恢复方法是用以下格式运行该软件即可:xxxx.exe -recover,要记牢格式哦! 点评:一个很另类的恶作剧软件,不破坏数据,不会让你无法进入系统中,但是它会让你无法进入文件夹,使你干着急,可以用来跟朋友开玩笑用. 恶毒程度:★★ 三、FUHD 这是一个垃圾文件生成器,程序运行后会在各磁盘(C:-H:)的每一个根目录、第一级子目录和第二级子目录生成随机文件名的垃圾文件.很久以前有个软件hdfill.exe有相似的功能,但是该hdfill需要VB4的运行库才能运行,在没有VB4运行库的机器中不能运行该程序.而该程序是用VB5编写的,虽然存在运行库的问题,但Win98中已经带有VB5的运行库,所以该程序可以在许多电脑中运行成功.也就是说许多朋友都有中招的可能和危险! FUHD压缩包由四个文件组成: FUHD.exe:大小10752字节,所用图标为VB5的安装程序所用图标.直接在磁盘上生成垃圾文件,程序在后台运行,全过程没有任何提示. setup.exe:大小10752字节,所用图标为VB5的安装程序所用图标.运行后在后台生成垃圾文件. Undo.exe:大小6656字节.这是作者提供的删除上面两个EXE生成的垃圾文件的文件,如果你中招了,可以找来该文件,运行后就可以清除那些垃圾文件. readme.txt:说明文件. 点评:虽然说现在很多人都有大硬盘,但是大量的垃圾文件分布在各个目录中,也是一件很麻烦的事.而且目录中含有过多的文件,会大大减慢系统的速度.作为恶作剧软件,它的危害不大.但如果不知道解除方法,也很讨厌. 恶毒程度:★★☆ 四、Carem3 Carem3是网络休闲庄(一个黑客网站)技术顾问Carem的作品,这是一个非常狠毒的恶意攻击软件,运行后如果不知道正确的破解方法,那肯定是要重装系统的.解压后的Carem3只有一个文件Carem3.exe,这是它所用的图标(左图),大家记住了,轻易不要运行使用这个图标的软件,因为给你下套的人会给它改名的,所以记住它的文件大小也是个不错的识别方法,Carem3.exe文件大小321536字节. 此时鼠标被控制在一定范围内,无法点击屏幕上的按钮,按动回车键就会弹出个窗口警告你不要随意运行可执行程序,说这只是个教训之类的话,然后会自动重新启动电脑,但你再也无法进入心爱的Windows桌面了!如果你没有按动任何键,Carem3也不会放过你,它会自动倒记时,从20秒到0就重新启动电脑,使你的系统崩溃! 程序的基本原理是破坏C:\windows\system\下的vmm32.vxd文件.vmm32.vxd是虚拟设备驱动程序,正常文件大小913413字节,文件修改时间为1999-01-13,就是由于它被破坏了(文件被替换为同名文件,大小变为81531字节,文件修改时间变为1998-06-19),导致你的计算机不能进入Windows系统. 作者提供的破解方法是:在开机的时候按F8选择Command prompt only方式进入DOS下,之后在提示符后执行repair,就可以解决了.另外你事先备份了vmm32.vxd文件,就可以使用另外一个破解方法:用启动盘从A盘启动计算机,将备份的vmm32.vxd复制到c:\windows\system\里,重新启动计算机就可以了.如果没有备份,到其他计算机上复制一个来吧. 除了上面说的那两个方法,还有一个更简便的破解方法.我们在Carem3.exe刚运行后,倒记时尚未结束前,按住ALT+F4键关闭软件窗口(不要指望能通过按Ctrl+Alt+Del来终止它,作者早就将这些按键屏蔽了),此时你的鼠标将被锁定在桌面的某个小范围内(屏幕中央偏右一点),鼠标是无法使用了.但是如果你自己不重新启动电脑的话,Carem3.exe也不会自动重新启动你的电脑——因为它已经被关闭了.此时的你可以使用键盘来操作,如果嫌麻烦,直接重新启动电脑即可.不要害怕,我们按ALT+F4时已经将软件关闭了,在破坏开始前就将它给消灭了,所以这次重新启动电脑和我们平常重新启动电脑一样,是安全的!顺便说一句如果你的系统是Win2000以下就要小心它了! 点评:比较恶毒,因为一般人想不到它会破坏vmm32.vxd,不过还好,作者提供了破解的方法,所以还在可控范围内. 恶毒程度:★★★ 五、妖之吻 妖之吻是千年老妖的作品.下载解压后大小252KB,只有一个文件名为yzw.exe的可执行文件,它的外表看起来很友善——图标是两只握在一起的手!如果你被这表面上的友善所打动,双击运行了这个程序,哈哈,你的恶梦就此开始了! 首先,屏幕上会出现一个不大好看的窗口,上面写着"亲爱的,给你一个关机之吻",同时在窗口中显示60、59、58……这样的倒计时数,记时到"0"系统就自动重新启动.当你再次听到Windows的启动声音,以为没什么事的时候,那个可恶的"亲爱的,给你一个关机之吻"又出现了,然后再次重启,如此反复,陷入一个死循环中,使你根本无法进入你的系统.你若想在那个窗口出现时按"Ctrl+Alt+Del"来终止它,根本就不管用,因为作者将热键屏蔽掉了.呵呵,这深情一"吻"不好受吧? 怎么办?你要删除它的主文件?好吧,假设你是在c盘根目录下运行的yzw.exe,删除它以后你再进入系统时,会出现对一个话框提示你"装载c:\yzw.exe失败,必须重新安装Windows",这时你只能点击对话框上的"确定"按钮,点击后这个世界果然清净了许多——系统自动关机了.你若想通过安全模式进入Windows也是行不通的,它还会出现上面所说的提示,然后直接关机.那它到底是怎样控制我的系统的呢?我给你一个提示,看看这句话:"装载c:\yzw.exe失败",对!它要装载yzw.exe文件,要装载它就可能从注册表,win.ini,system.ini等入手,那么这个"吻"到底从何处加载的呢? 实际上,妖之吻运行后会修改c:\windows\system.ini文件,将其中的shell=explorer.exe改为了shell=c:\yzw.exe.当你再次开机时,所中的妖之吻会被自动加载运行.从这里可以看出,妖之吻用自己的主文件代替了Windows的explorer.exe文件,explorer.exe是Windows的外壳程序,在Windows启动的时候要加载它,由于yzw.exe和explorer.exe的启动运行不一样,因此中了妖之吻之后,改注册表和win.ini没有用.而且你不能删除yzw.exe,一旦删除它,Windows就会提示报错,要你重新安装Windows.注:这里c:\代表绝对路径,如你是在d:\aaa下运行的yzw.exe,相应的shell就为d:\aaa\yzw.exe. 解决办法:这里共有五种方法提供给大家,用哪种方法都可以的. 方法1:由于妖之吻是在system.ini中作怪,我们到那里把它消灭就可以破解它了.具体方法是:机子重启后按Shift+F5进入Command prompt only方式,键入命令edit system.ini编辑system.ini文件,把其中的shell:=绝对路径\yzw.exe改为shell=Explorer.exe,存盘退出,再重启机子就可以进入那熟悉的Windows桌面了. 方法2:同理用edit命令编辑system.ini文件,不过这次是将shell这条语句删除,存盘退出,重启即可破解妖之吻的控制. 方法3:由A盘启动,将其它机子上的explorer.exe文件改名为yzw.exe,并将改名后的explorer.exe文件拷贝到yzw.exe所在的目录覆盖原来的yzw.exe文件,系统重启后就可以了.如果你觉得每次加载在Shell后的文件名为yzw.exe不大好,可以再用msconfig.exe将它该回为explorer.exe这个文件名. 方法4:大家都知道Windows的窗口可以用组合键Alt+F4来关闭,在这里这个组合键依然有效.在你第一次运行yzw.exe文件,出现倒记时窗口的时候,按Alt+F4键可以关闭这个窗口,然后点击"开始"→"运行"调出"运行"对话框,键入msconfig.exe回车,这样就打开了系统配置实用程序,点击system.ini标签,找到[boot]小节,把shell=yzw.exe(当然前面还有yzw的路径)改成shell=Explorer.exe,这样就彻底解决了妖之吻. 方法5:系统中如果有事先备份的System.ini文件,就可以在机子重启后按Shift+F5进入Command prompt only方式,然后把事先备份的System.ini文件拷贝到C:\Windows下,覆盖原文件即可. 点评:"老妖出品,必属精品!""妖之吻"是恶作剧软件中的精品!一个可以促使菜鸟进步的小软件.并且它在"江湖"中出现的很早,所以对大家的威胁没有它刚出现时那么大了. 六、布莱尔之夜 布莱尔之夜也是个恶意程序,如果你不知道解除方法,后果比上面介绍过的两个恶意程序还要可怕!下载后只有一个文件blair.exe,大小252,416字节,所用图标有闪电一道(左图).不小心运行了blair.exe后会出现一个阴暗的画面,画面中间仿佛是中世纪的一个阴暗城堡,很恐怖哦!如果你想通过按CTRL+ALT+DEL组合键来终止它的运行,那是不可能成功的!作者早就考虑到了这一招,把热键都给屏蔽掉了!正当你对着这个讨厌的画面一筹莫展时,电脑自动重新启动了!当可爱的Windows桌面出现时,那个讨厌的阴暗画面也随之出现了!等5秒种左右,电脑又被重新启动,于是一个循环又开始了!最可恶的是,作者把ALT+F4也给屏蔽了!这样我们就不能通过关闭窗口,然后再检查注册表或Win.ini、System.ini等文件,来对付这个恶意程序. 原来,blair.exe被运行后,除了屏蔽了所有热键外,还在C:\Windows下生成syswf.exe文件,大小仍为252,416字节,并且在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立串值syswf,其键值为C:\Windows\syswf.exe,这使得syswf.exe在系统启动时被加载,因此造成重启不断,循环不止. 解决办法:有五种方法提供给你,自己选择吧! 方法1:当blair.exe被运行,出现那个阴暗的画面后,赶快按F11键2秒以上,就会弹出个对话框,上面写着"布莱尔之夜已成功卸载,请重新启动计算机",按对话框上的"确定"键机器就会重新启动,这样就成功结锁了!但是C:\Windows下的syswf.exe文件并没有被删除,还得把它删除才算真正的清除了布莱尔之夜. 方法2:当系统重新启动,桌面出现时,赶紧(动作一定要快)按"开始"→"运行"菜单,在弹出的"运行"对话框中输入msconfig,回车,然后点击"启动"标签,将复选框syswf C:\Windows\syswf.exe前面的"√"去掉.如此操作后,机子还会重启(还在syswf.exe控制下),但这是最后一次了.重新进入系统后,将注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的的串值syswf删除就可以了!慢!那个C:\Windows下的syswf.exe文件还没删除,不能算干净的清除了,赶快删除它吧! 方法3:机子重启后按Shift+F5进入Command prompt only方式进入DOS下,进入C:\Windows下,找到syswf.exe文件删除,然后重新启动电脑,到注册表中将相应的键值删除即可. 方法4:用A盘启动,拷贝其它电脑上的可执行文件,比方说msconfig.exe,并改名为syswf.exe,拷贝到C:\Windows下,覆盖原文件.这样就使启动时的文件变为msconfig.exe,可以解锁了.然后再到注册表中将布莱尔之夜所创键值删除,就成功的摆脱了讨厌的"布莱尔之夜"了! 方法5:布莱尔之夜由于没有替代windows的外壳,因此可以重启电脑到"安全模式"下,然后将C:\Windows下的syswf.exe文件和注册表中的串值syswf删除,到此就可以了. 点评:布莱尔之夜不破坏硬盘数据,只是让你的电脑不断重启,对付它还算容易.但对于新手它的威胁可一点也不小. 恶毒程度:★★★☆ 七、limit 这也是网络休闲庄的作品.解压缩后有三个文件:limit.exe、limitkill.exe和help.txt.help.txt是说明文件,里面有软件的说明;limit.exe就是为系统攻击程序(WIN98下),文件大小406528字节,还是让我们来看看它的"面目"认识一下它吧(左图).被攻击后的Win98系统不能执行任何应用程序,但不会对系统文件做任何破坏.用来恶作剧很安全(因为它不破坏数据嘛);limitkill.exe为清除文件,运行此文件后重新启动计算机或注销当前用户来重新登录,会使系统恢复到正常! 此程序不属于纯恶作剧的东东,它可以做为一个系统限制工具,用来在自己长时间不用计算机又怕别人使用时对计算机的限制. 可能有朋友要问了:"该软件运行后能锁住计算机里的所有程序,你将不能运行包含limitkill.exe文件在内任何应用程序.但要运行limitkill.exe文件该怎么办呢?"是的,这的确是个问题!不过,我们可以利用一个小窍门嘛.窍门就在这里:打开"我的电脑",点击"计划任务",再点击"添加已计划的任务",将破解程序limitkill加入到计划任务里,选择"当启动计算机时"即可,重新启动计算机后就解除封锁了. 点评:如果不知道解法,也很恶毒.如果知道解法则另有它用. 八、网恋绝招 网恋绝招下载解压后大小323,584字节.只有一个可执行文件lovetty.exe,和大家常用的软件"追捕"的图标一样,莫非恶意程序都如此^_^?因此如果改名为wry.exe(追捕的主文件名),那么就很容易使人上当!如果你不小心执行了lovetty.exe,就会出现如图所示画面. 并从30开始倒记数,到了0系统就自动重新启动了!系统启动后并不直接进入Windows,而是又进入网恋绝招的倒计时界面,如此循环下去……程序屏蔽了绝大多数的热键,你不能通过CTRL+ALT+DEL等热键终止程序运行.想到"安全模式"下?还是不行!会提示你"装载c:\lovetty.exe失败,必须重新安装Windows",是不是和"妖之吻"很相像?其实这个软件本来就是模仿"妖之吻"编制的. 当lovetty.exe被运行后,第一个动作就是将System.ini文件里[boot]下面的第三行变为shell=绝对路径\lovetty.exe,目的是将自身写进System.ini文件里,替代Windows系统的外壳程序explorer.exe,然后开始以下循环:进入到计时→关闭WINDOWS系统→重新启动系统.只要系统运行到shell=绝对路径\lovetty.exe这一项时,就会重新执行网恋绝招,从而使系统进入上述恶性循环."网恋"看来很"苦"哦! 解决办法:由于网恋绝招与妖之吻的实现原理一样,因此清除方法也大致相同. 方法1:作者其实留了个"后门".仔细看上图中所示画面,找到屏幕下端最后一行字:"解法就一种,本界面上就有出口,你慢慢找吧!"哈哈,"后门"就在这行文字中,确切的说就在那个"解"字上.用鼠标点击那个"解"字,就解除了恶性循环,也就安全的解除了网恋绝招的控制! 方法2:其它解除控制的方法可参照妖之吻解决办法! 点评:与"妖之吻"太相像了,又出现在"妖之吻"之后,"既生渝,何生亮"恐怕是其真实处境的写照,但对广大网友而言它的威胁还是瞒大的. 恶毒程度:★ ★ ★ ☆ 九、恶作剧之王 "不要摸我的左眼,否则你会后悔的!",当你看到右眼被黑眼罩蒙住的克林顿在屏幕上说这句话时,你就要小心了,鼠标千万不能碰到他的眼睛!如果你不小心碰到了头像的左眼,机器会立刻重启,你的所有硬盘都将被格式化!怎么回事?哈哈,你碰到了大名鼎鼎的"恶作剧之王"了! 恶作剧之王是个恶意程序,前面提到的几个恶意程序和它相比,简直是小巫见大巫!前面介绍的那几个程序有一点好处,它们都不破坏硬盘数据.但恶作剧之王就不同了,如果你处理不当,它就会格式化你的硬盘,使你所有的资料都被删除!恐怖吧? 下载解压后只有一个文件Sex.exe,图标是一个MM的头像,如果你想入非非,用鼠标双击运行了这个程序,它会让你大失所望——屏幕上出现了克林顿的头像!此时你一定得加倍小心,千万不要去碰他的左睛,只要一碰他的左眼,就会弹出来一个窗口,上面写着"你一定想按回车键吧."如果你按了回车键,系统将会重新启动,并格式化所有的硬盘.如果没碰到头像的左眼就不会有事. 这到底是怎么回事呢?原来,当你的鼠标指向那个左眼后,程序就向C:\Windows\temp\Vbe下复制一个副本文件Sex.exe,然后向Autoexec.bat中写入快速格式化命令,从最后一个盘格起,然后锁定你的鼠标,只要你按回车,便立刻重启并切换到DOS格式(主要是因为在Windows下无法格式化C盘).在程序退出之前,自动执行一次Autoexec.bat,此时已经开始格盘了!当到了系统所在分区,就重新启动机器.重新启动后,开始在纯DOS下再一次格盘,由于使用了快速格式化命令,很快你的硬盘就开始洗澡了,呵呵.即便你的系统中的Format.com早已被你删除也没有用,作者在程序中采用了文件流的方法,检测是否存在Format.com,如果不存在就生成一个(恶毒呀).程序在运行后就锁定了系统功能键和鼠标,同时修改了msdos.sys文件,加入了BootKeys=0这一行,目的是使启动功能键无效,也就是使 F4,F5,F8这些功能键无效.如果没碰到头像的眼睛,就不会激活格式化功能,因此就不会有什么事了. 解决办法:给你提供了四个方法,你自己选择其中的某一个吧! 方法1:如果你的鼠标没有点在头像的左眼上,此时千万不要乱动,赶快运行进程管理软件,终止进程sex.exe即可.大家常用的软件如windwos优化大师中就有进程管理功能,点"系统安全优化"->"进程管理",就可以看到sex.exe这个进程,选中它,点击"终止"即可终止sex.exe的运行.好了,那个讨厌的家伙从屏幕上消失了,可以松一口气了. 方法2:如果你的鼠标已经点在它的左眼上了,那就立即关机(1秒钟都不要犹豫),由A盘启动,并检查C盘是否被格掉了,如果没有被格掉,可以删除Autoexec.bat和C:\Windows\Temp\Vbe下的SEX.EXE,然后进入Win98,使用RecoverNT恢复后面的分区.如果你的动作像蜗牛,那你的硬盘肯定全被格掉了!此时可以试一下UNFORMAT,不过,只能恢复FAT16的硬盘哦. 方法3:如果不幸中弹,赶快到软件作者的主页(http://lovejingtao.126.com)下载恢复工具,用恢复工具可以恢复硬盘中的数据. 方法4:再不然,重装系统,然后使用RecoverNT恢复后面的分区. 点评:非常恶毒!是个可怕的家伙,大家要小心它. 十、江 民炸弹 江民炸弹是个更厉害更恐怖的恶意程序,是我见过的最狠毒的硬盘炸弹之一.为什么叫"江民"炸弹,我想大家也都知道吧?毕竟用过KV系列软件的人有很多,如果当年你曾中过KV杀毒软件的逻辑炸弹,那么对这个"江 民"炸弹你也不会陌生——会有熟悉的感觉哦^_^! 软件解压缩后有4个文件,一个是说明文件readme.exe,一个是制作解锁盘用的文件rescue.com,还有两个文件就是江 民炸弹了.它们的名字分别为Jmbs.arj、JMBOS. zip,其实它们都是一个文件压缩而成,只不过扩展名不同而已.如果你把它们解压会看到jmbs.exe文件,大小为1809字节.这个jmbs.exe就是江 民炸弹了.如果你不小心运行了它,机器的硬盘将会被死锁住,无论你用软驱还是光驱,都不能启动计算机,硬盘和报废了没什么区别!如果不懂得解法,基本上就只有买硬盘了!哈哈,恭喜恭喜,可以升级了(谁拿臭鸡蛋丢我)! 软件原理:计算机在引导DOS系统时将会搜索所有逻辑盘的顺序,当DOS被引导时,首先要去找主引导扇区的分区表信息,位于硬盘的零头零柱面的第一个扇区的OBEH地址开始的地方,当分区信息开始的地方为80H时表示是主引导分区,其他的为扩展分区,主引导分区被定义为逻辑盘C盘,然后查找扩展分区的逻辑盘,被定义为D盘,以此类推找到E,F,G….."逻辑锁"就是在此下手,修改了正常的主引导分区记录将扩展分区的第一个逻辑盘指向自己,DOS在启动时查找到第一个逻辑盘后,查找下个逻辑盘总是找到是自己,这样一来就形成了死循环,这就是使用软驱,光驱,双硬盘都不能正常启动的原因.实际上这"逻辑锁"只是利用了DOS在启动时的一个小小缺陷,便令不少高手都束手无策.知道了"逻辑锁"的"上锁"原理,要解锁也就比较容易了. 解决办法: 方法一:把rescue.exe拷贝到一张空白的1.44MB软盘上,插入软驱,然后运行.显示"OK"之类的提示信息后,你就有了一张江 民炸弹的解锁盘,如果你发现里面一个文件也没有,不要惊讶,你没有做错什么,就是这个样子的.快试试吧,用这张恢复盘启动机子,如果出现unlock的字样,那就恭喜你,成功地解锁了!想当年,我用这张解锁盘给朋友解锁,可没少美餐啊!她们是怎么中的就不用我说了吧,嘻嘻^_^! 方法二:修改DOS启动文件 首先准备一张DOS6.22的系统盘,带上debug、pctools5.0、fdisk等工具.然后在一台正常的机器上,使用你熟悉的二进制编辑工具(debug、pctools5.0,或者是运行在Windows下的Ultraedit都行)修改软盘上的IO.SYS文件(修改前记住改该文件的属性为正常),具体是在这个文件里面搜索第一个"55aa"字符串,找到以后修改为任意其他数值即可.用这张修改过的系统软盘你就可以顺利地带着被锁的硬盘启动了.不过这时由于该硬盘正常的分区表已经被逻辑炸弹给恶意修改了,你无法用FDISK来删除和修改分区,而且仍无法用正常的启动盘启动系统,这时你可以用DEBUG来手工恢复.使用DEBUG手工修复硬盘步骤如下: a:\>debug -a -xxxx:100 mov ax,0201 读一个扇区的内容 -xxxx:103 mov bx,500设置一个缓存地址 -xxxx:106 mov cx,0001 设置第一个硬盘的硬盘指针 -xxxx:109 mov dx,0080 读零磁头 -xxxx:10c int 13硬盘中断 -xxxx:10e int 20 -xxxx:0110退出程序返回到指示符 -g运行 -d500查看运行后500地址的内容 这时候会发现地址6be开始的内容是硬盘分区的信息,发现此硬盘的扩展分区指向自己,这就使DOS或Windows启动时查找硬盘逻辑盘进去死循环,在DEBUG指示符下用E命令修改内存数据 具体如下: E6BE xx.0 xx.0 xx.0…………… ……………………….. …………………..55 AA 55 AA表示硬盘有效的标记,不要修改,xx0表示把以前的数据"xx"改成0,再用硬盘中断13把修改好的数据写入硬盘就可以了,具体如下: A:\>debug a 100 表示修改100地址的汇编指令 -xxxx:100 mov ax,0301 写硬盘一个扇区 -xxxx: 这里直接按回车 -g 运行 -q 退出 然后运行FDISK/MBR(重置硬盘引导扇区的引导程序),再重新启动电脑就行了. 怎么样?用这种方法处理够简单的吧?而且这种方法还有一个好处就是可以保住盘上的数据!如果你不需要保数据的话,还有更加简单的处理方法: 方法三:巧设BIOS,用DM解锁 大家知道DM软件是不依赖于主板BIOS的硬盘识别安装软件(所以在不能识别大硬盘的老主板上也可用DM来安装使用大容量硬盘).就算在BIOS中将硬盘设为"NONE",DM也可识别并处理硬盘. 首先你要找到和硬盘配套的DM软件(找JS要或去网上荡),然后把DM拷到一张系统盘上.接上被锁硬盘,开机,按住DEL键,进CMOS设置,将所有IDE硬盘设为"NONE"(这是关键所在!),保存设置,重启动,这时系统即可 "带锁"启动.启动后运行DM,你会发现DM可以绕过BIOS,识别出硬盘,选中该硬盘,分区格式化,就OK了.这么简单?不过这种方法的弱点是硬盘上的数据将全部丢失.
❻ 木马程序 Trojan.Win32.StartPage.amg和Trojan-Downloader.Win32.Agent.bbc
1.打开windows任务管理器,察看是否有可疑的进程(可以根据杀毒软件的报告或者在网上搜索相关信息来判定)在运行,如果有把它结束。注意在system32目录下的Rundll32.exe本身不是病毒,有可能一个dll文件在运行,他才可能是病毒或恶意程序之类的东西。由于windows任务管理器不能显示进程的路径,因此建议使用杀毒软件自带的进程察看和管理工具来查找并中止可疑进程。然后设法找到病毒程序文件(主要是你所中止的病毒进程文件,另外先在资源管理器的文件夹选项中,设置显示所有文件和文件夹、显示受保护的文件,再察看如system32文件夹中是否有不明dll或exe文件,C:\Program Files C:\Documents and Settings\user\Local Settings\Temporary Internet Files C:\Documents and Settings\user\Local Settings\Temp 等处是否有不明文件或病毒程序文件),然后删去,搞清楚是否是系统文件再动手。 2.有些病毒进程终止不了,提示“拒绝访问”,或者出现“屡禁不止”的情况。根据我的经验,有三种办法供尝试: A.可能是某些木马病毒、流氓软件等注册为系统服务了。办法是:察看控制面板〉管理工具〉服务,看有没有与之相关的服务(特别是“描述”为空的)在运行,把它停止。再试著中止病毒进程并删除。 B.你可以尝试安全模式下(开机后按F8选安全模式)用杀毒软件处理,不行则再按步骤1和2A试一试。 C.(慎用)使用冰刃等工具,察看病毒进程的线程信息和模块信息,尝试结束线程和解除模块,再试著删除病毒进程文件和相应的模块。(慎用) 3.如果稍微懂得注册表使用的,可以再把相关的注册表键值删除。一般方法:开始〉运行,输入regedit,确定,打开注册表编辑器。编辑〉查找,查找目标为病毒进程名,在搜索结果中将与之有关的键值删除。有时这样做不能遏止病毒,还应尝试使用步骤2中方法。 4.某些病毒会劫持IE浏览器,导致乱弹网页的状况。建议用金山毒霸的金山反间谍 2006等修复工具。看浏览器辅助对象BHO是否有可疑项目。有就修复它。修复失败时参照1、2来做。 5.其他提示:为了更好的操作,请先用优化大师或超级兔子清理所有临时文件和上网时的缓存文件。一般病毒往往在临时文件夹Temp中,这样做可以帮你更快找到病毒文件。 开始〉运行,输入msconfig,确定,可以打开“系统配置实用程序”。选择“启动”,察看开机时加载的程序,如果在其中发现病毒程序,可以禁止它在开机时加载。不过此法治标不治本,甚至对某些程序来说无效。还是要按步骤1、2办。 6.说了这么多,不过有时还是不能解决。只好请教高人或格式化重做系统了,当然不推荐后者
❼ 电脑中病毒,中木马,有恶意软件。都有些什么特征怎么知道呀
我们在使用杀毒软件杀毒的时候,常常会检测出很多“病毒”,许多朋友抱着“宁可错杀一堆,绝不放过一个”的态度,将检测出的“病毒”全部删掉。其实全删是不可取的,有的是被感染的系统文件,是不能删的。在这里介绍几个识别病毒文件的方法,希望对大家有所帮助。 一、文件时间 如果你觉得电脑不对劲,用杀毒软件检查后,没什么反映或清除一部分病毒后还是觉得不对劲,可以根据文件时间检查可疑对象。 文件时间分为创建时间、修改时间(还有一个访问时间,不用管),可以从文件的属性中看到,点选文件,右击,选择菜单中的属性就可以在“常规”那页看到这些时间了。 通常病毒、木马文件的创建时间和修改时间都比较新,如果你发现的早,基本就是近几日或当天。c:/windows和c:/windows/system32,有时还有c:/windows/system32/drivers,如果是2000系统,就把上面的windows改成winnt,这些地方都是病毒木马常呆的地方,按时间排下序(查看-详细资料,再点下标题栏上的“修改时间”),查看下最新几日的文件,特别注意exe和dll文件,有时还有dat、ini、cfg文件,不过后面这些正常的文件也有比较新的修改时间,不能确认就先放一边,重点找exe和dll,反正后三个也不是执行文件。一般来说系统文件特别是exe和dll)不会有如此新的修改时间。 当然更新或安装的其它应用软件可能会有新的修改时间,可以再对照下创建时间,另外自己什么时间有没装过什么软件应该知道,实在不知道用搜索功能,在全硬盘上找找相关时间有没建立什么文件夹,看看是不是安装的应用软件,只要时间对得上就是正常的。如果都不符合,就是病毒了,删除。 说明一点,正如不是所有最新的文件都是病毒一样,也不是说所有病毒的时间都是最新的,有的病毒文件的日期时间甚至会显示是几年前。 当然我们还有其他的分辨方法。 二、文件名 文件名是第一眼印象,通过文件名来初步判断是否可疑是最直接的方法,之所以放在时间判断后面,实在是从一大堆文件中分拣可疑分子太难了,还是用时间排下序方便些。 我们常说的随机字母(有时还有数字,较少)组合的文件名,病毒最爱用它(曾经发现某些正常软件也有使用这种奇怪组合的习惯,每次文件名都不一样,动机可疑,还有某猫的驱动程序也看似随机组合,不过幸好有厂商信息可以协助分辨,这个下一点再说)。 还有文件名的长度,有的严重超出8位文件名的标准,有10几位之多,这都应列为可疑对象,尤其是IE插件中有这些的文件名出现。 当然光说文件名古怪、随机组合,似乎没有一个标准,不熟悉电脑的人看所有的英文文件名都可能认为是奇怪的、无意义的排列组合,所以真要依靠文件名判断,还是要对系统文件夹下的文件、常规文件有一定了解后才能比较好的掌握。初步来说,结合上面的时间还有其它手段共同判断,还是可以发现点东西的。 还有一种就是假冒正常文件、系统文件的文件名,这倒比较好识别,比如 svchost.exe和svch0st.exe,很明显后者在假冒前者,这种欲盖弥彰倒更容易暴露,前提是你对系统文件名比较熟悉,有事没事打开任务管理器学习一下吧。 对应于文件名,还有服务名、驱动名、注册表启动项名,相对而言,这些项目的名字如果没有表示出一定含义,倒真是病毒了,还没几个厂商会不负责任地给自己的软件要用到的服务、驱动、启动项起个无意义、随便组合的名字,如果服务、驱动、启动项名是有问题的,那么下面使用的文件一定是有问题的。 实在没把握,把文件名(有时要包括完整文件路径,不同路径下的同名文件可不一样,这个以后说)、服务名、驱动名、启动项名放到网上搜索一下,看看别人怎么说的,特别是对查不到的、还有服务、驱动、启动项与文件名对不上的(如同一服务名在网上查出有不同文件与之对应,或相反情况),都可以列为可疑对象。 三、版本信息 检查文件时间有不确定性,再加一个检查项目文件版本,也是在文件的属性中查看,有文件版本、厂商信息等。首先明确一下,不是所有文件都有版本信息,也不是所有无版本信息的文件都是病毒文件,更不是所有显示微软信息的文件都真是微软的。 文件名、文件时间,再对上文件版本,基本可以得出一个结果,比如一个奇怪的文件名,显示微软的厂商信息,明显可疑;或者本来应该是正常的系统文件(如explorer.exe或userinit.exe)却没有版本信息,可能是被病毒替换或破坏了;还有soundman.exe厂商信息竟然是1,可以考虑删除了,应该不是声卡的程序了。 版本信息中除了厂商以外,还有原文件名,有时你会在这里发现一个与检查文件不同的名字,真是别有天地。 四、位置 病毒木马喜欢呆的地方是系统文件夹,windows、windows/system32、windows/system32/drivers,还有c:/program files/internet explorer/c:/program files/internet explorer/plugin、c:/program files/common files/miscrosoft shared,还有就是临时文件夹、IE缓存 首先临时文件夹c:/documents and settings/你的用户名/local settings/temp和c:/windows/temp是一定要清的,而且可以大胆地删除,不管好坏,删了没事,IE缓存也要清的,不是直接进文件夹删除,而从IE的菜单工具-internet选项进入,删除文件-删除所有脱机文件,最好在高级那设成关闭浏览器时自动清空临时文件,就省事了。 其它文件夹,主要看是否有不该存在的文件存在,比如windows文件夹中多了什么瑞星的文件(卡卡的倒是有在那)、realplayer的文件,绝对可疑,还有比如svchost.exe、ctfmon.exe突然出现在windows或其它文件夹中,而不是在它们应该在的system32中,也可以确定是病毒。当然可以结合上面的几个方法一起判断。有的时候是得靠经验,相对而言文件比较少的文件夹比较好判断,多出什么很容易发觉,比如windows、ie文件夹,多看看,就知道基本就是那些,多一两个exe或dll,马上可以发现(很多流氓软件是会在这里安身)。 还有就是结合注册表启动项,一般启动项引用到windws中的不多,基本是输入法、声卡管理,更多的就可疑了,指到system32下的了多看两眼,实在拿不准,老办法,到网上查文件名。如果发现启动项指向font字体文件夹的,那不用想了,一定有问题。 服务驱动也是如此,不是在system32或driver中的就要多检查下(自然在它们下面的也要检查,何况不在)。 除了文件夹位置,还有注册表位置,除了几个RUN的启动项,还有映像劫持(IFEO)要检查,值有debugger的都要注意一下,除了最后一个your image file name here without a path有个debugger=ntsd -d,其它的是都没有的,只要有发现就是被劫持(免疫的除外,免疫是把已知病毒程序名劫持到不存在的文件上,使其不能运行),然后就找劫持文件,就是debugger后面的文件,找到后连同注册表项一起删除。但注意,现在的劫持有的用的不是病毒文件,是系统文件或命令,比如svchost.exe或ntsd -d,这就不要删除文件了,只要把注册表项删除。 还有要注意的注册表项有appinit_dlls,一般为空值(例外,卡卡的一个文件会放这),如果多出值就是病毒,按名字找到删除。还有一个就是userinit,一般也是空的,多东西修改就要查查是否正常。 — — 中毒特征: 应用程序错误 , 电脑慢 , 弹出网站 , 可疑进程 , 安全软件运行不了 — 简单的说,病毒要开机运行,就必须加载启动,写入注册表.
❽ nima258369.exe是什么程序
nima258369.exe
这个扩展名为.exe的文件,文件名上来看,它并不是一个系统必须的文件。不排除它被改过名字,如果是这样的话,那从文件名上就判断不出它是个什么文件,理论上说,它可以是任意文件改名而来。
附微软中国及linux 社区的搜索截图,基本可以证明些文件名并非系统文件。
另一方面,看它的名字,更像是被某些恶意程序或者玩笑程序随机生成的 (可以用汉语拼音自行拼读前面的字母部分,后面的数字也没什么实际意义)
很多病毒及木马都会自动生成随机名称,使用户不能根据文件名判断其本身。
关于生成随机名称的病毒和木马介绍的参考文章截取如下:
“一、启动项、文件名完全随机1. 随机文件名的 AV 终结者。这一类都是情中玉小辉写的 downloader。文件名根据计算机的不同而不同。我遇到过三种文件名生成算法。一种就是取得磁盘序列号并做处理,取得一个8位的16进制数,然后将这个8位16进数里的某些位置上的数字交换位置,用作文件名,并用这个8位16进制数构造CLSID,来用作启动项。第二种就是它有一个用密钥和磁盘卷序列号生成8位16进制数的函数。它会预先指定一个字符串(如“PopwinIe”,“kowinIe”等)做文件名生成程序的密钥,用8位数生成函数生成一个8位16进制数,用作服务名,然后用这个服务名作密钥,用生成函数生成exe文件名,再用exe文件名算出dll文件名。如果能逆向出那个关键的生成8位16进制数的函数,就能准确找到木马所生成的所有东西,并将它们删除。这个木马变种非常容易,因为只需要修改一下密钥字符串(如“UokwinIe”,“PopwinIe”,“kowinIe”等)就可以生成一个新变种(很有可能由木马生成器生成)。还有一个很有意思的事情就是我曾发现新变种木马在某台机器上生成的dll文件名和旧变种木马生成的dll文件名相同(不同的密钥最终生成了同一个串)!这是个很巧的事情。其间这种木马还出过一个变种,即第三种,依然使用一个字符串和磁盘卷序列号来算服务和文件名,只是更改了8位16进制数的生成算法。其中用到了MD5Init、MD5Update、和MD5Final函数,最终的字符串是通过MD5Final函数中的digest参数生成的。逆向出这个算法就能完美地干掉它。但与第二种不同的是这个变种好像没有更换过密钥字符串,我只遇到过密钥为“v3djwinIe”一种。2. 飘雪飘雪用时间做随机种子生成的服务名、两个驱动程序名、dll文件名完全随机,而且有驱动死循环写启动项,处理起来难度很高。二、启动项、文件名部分随机1. 启动项、exe文件名固定,用于加载dll,而dll文件名由机器信息生成。我遇到过的这一类恶意程序是IGx盗号木马。这类木马在windows目录下生成IG.exe、IGM.exe、IGW.exe和一个随机名的dll。这个dll的文件名的形式为“一串数字MM.dll”或“一串数字WO.dll”,其中 xxxMM.dll 对应 IGM.exe,xxxWO.dll 对应 IGW.exe。它们的exe文件名固定,很好定位。但dll的文件名是用CPUID指令取得的cpu版本信息生成的,这就依机器的不同而不同了。2. 另一种部分随机的情况多见于广告程序,这类程序一般都有多个程序,如果完全随机的话,自己找自己的程序、启动项也会比较困难,因此做成半随机。比如有个广告木马,它所生成的主要启动项和文件是一个固定的CLSID,一个服务项,两个dll,一个sys,一个bin。其中一个dll和bin的文件名相同,这个dll是CLSID所指向的。另一个dll则和sys的文件名相同,且和服务项名相同。而且CLSID指向的dll名以win开头,而后4个或5个字符与另一个dll和sys的后4个或5个字符相同。三、文件名随机而启动项固定这类程序的文件名是根据某些机器信息(如磁盘信息)生成的或是木马作者在木马生成器里(比如一些qq盗号木马生成器,远程控制木马服务端生成器)指定的,但启动项是固定的,比如CLSID固定、服务名固定、run项固定。多样本的情况。另外还有一类是木马的样本不同,但作用大致相同;样本本身生成的启动项和文件名固定,不同样本生成的启动项和文件名不同,但生成的文件有很多共同特征。属于这一类的有ravxxxmon系列、xxxdoorx系列、xxxpri系列、以及“杀软名+游戏名+xxx”系列等。这都是成系列的网络游戏盗号木马,其中文件名中的xxx部分就是表示游戏名的。比如RAVZXMON中的ZX表示“诛仙”,ravdthxmon中的dthx表示“大唐豪侠”,rsmydsp中的my表示“魔域”等等。我遇到过“杀软名+游戏名+xxx”系列中的某些样本,就我发现的某些表面特征来谈一下这个系列的木马。从大的方面看,这个系列的木马生成的文件的文件名都是由代表杀软的前缀+代表所盗号游戏的字串+后缀构成的,如“avzxast.exe”、“rsztbsp.exe”、“kaqhacs.dll”等,其中的zx表示“诛仙”,zt表示“征途”,qh 表示“qq华夏”,这三个文件分别是诛仙、征途、qq华夏的盗号木马的文件。下面看一下他们表面上的共同特征。这类木马一般都会生成文件:xxxxain.dll、xxxxbmn.dll、xxxxbst.exe,有的还会在font目录下生成一个伪字体文件,内容是一个url(更新用url?)或者是加了密的文字,猜想是加了密的url,没有深入分析。除xxxxain.dll和字体文件外,其它文件会在中间的b字母处有变化,目前遇到过a、b、c、d、e五个版本,如某个变种是:xxxxamn.dll、xxxxast.exe,或 xxxxcmn.dll、xxxxcst.exe 或 xxxxdmn.dll、xxxxdst.exe 等等,当然不同的盗号木马文件名中的后缀也会不同,但都有a、b、c、d、e版本,我们且以a、b、c、d、e变种称之。这些盗号木马都会通过ShellExecuteHooks方式启动,所以需要CLSID。而同种盗号木马的CLSID的第二位和倒数第二位都相同,只有第一位和最后一位不同,会因变种是a、b、c、d、e而取值1、2、3、4、5。以avzx木马为例:a变种会生成文件avzxamn.dll,其CLSID为{1859245F-345D-BC13-AC4F-145D47DA34F1}。b变种会生成文件avzxbmn.dll,其CLSID为{2859245F-345D-BC13-AC4F-45D47DA34F2}。c变种会生成文件avzxcmn.dll,其CLSID为{3859245F-345D-BC13-AC4F-45D47DA34F3}。”
所以综合以上两点,针对些文件提出两点建议:
在不确定其安全性的情况下,不建议运行该程序。
可以尝试用安全软件扫描,也可以提交至在线病毒扫描类的网站进行扫描。确认其安全后再使用。
❾ 下载恶意软件导致电脑无法启动怎么了解决
是怎么样不能启动 是到登陆界面就停了是吗? 如果是到系统 文件自检的时候就停了 可以 进入windows 安全模式下 把病毒文件删除了 再用杀毒软件全盘杀毒 如果是电脑瘫痪了~? 那还是病毒的原因么 要是你能开机通过主板的自检的话 就不是电脑硬件的问题了 、如杀毒也解决不了可考虑装系统如果因病毒破坏导致电脑无法开你,这个问题确实比较棘手,因不同的病毒破坏情况可能不一样,尝试以下几种方案看是否有问题: 1、重启系统,开机的时候按F8进入安全模式,看看这里面能不能打开瑞星并进行全盘杀毒,如果可行,杀毒完毕后再重启进入正常模式看看是否正常。 2、看看瑞星安全助手可不可以安装和打开,如果可以,一键体检后再一键修一句简单的重装系统或还原一下就可以解决问题.真是…我不得不说这是一种悲哀啊.难道就不能去考虑一下该如何清除病毒?这样下去人类会越来越懒惰的.更甚至像我这种做网络安全的会越来越少,哦.天那.想想看,这么一个神圣的职业在以后也许会变成一种超冷门职业.这可真是一个悲哀啊.难道您不觉的亲手干掉那可爱的病毒是一件多么让人愉快的事
未经允许不得转载:山九号 » 随机文件名类恶意程序|nima258369exe是什么程序
