- 论坛徽章:
- 0
|
|
病毒剖析
本期最新病毒百科,病毒类:“u盘杀手变种”
简介:该病毒是一个利用U盘等移动设备进行传播的蠕虫。autorun.inf文件一般存在于U盘、MP3、移动硬盘和硬盘各个分区的根目录下,当用户双击U盘等设备的时候,该文件就会利用Windows系统的自动播放功能优先运行autorun.inf文件,而该文件就会立即执行所要加载的病毒程序,从而破坏用户计算机,使用户计算机遭受损失。
病毒特点:该变种继承先前蠕虫通过U盘等可移动存储设备传播等特点之外,还具备利用互联网络中挂马网站进行传播等新特点。变种运行后,会将其自身植入到受入侵感染的操作系统中,并且伪装成与系统文件具有类似名称的病毒文件,以此来蒙骗计算机用户。变种会将这些与系统文件类似名称的病毒文件注册为受感染操作系统的系统服务和硬件设备。一旦计算机用户双击U盘或单击系统中所有磁盘分区,该变种就会自动被运行或传播入侵到其他的操作系统中。变种还会利用自身携带释放的一些驱动文件终止操作系统中防毒软件的进程,使其无法正常工作,躲避被查杀,达到自我保护的目的。除此之外,变种会迫使受感染的操作系统主动连接访问互联网络中指定的Web服务器,下载其他木马、病毒等恶意程序。
预防:未感染该病毒的用户需打开系统中防病毒软件的“系统监控”功能,从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御,第一时间监控未知病毒的入侵活动,全方位保护计算机系统安全。
查杀方法:360安全卫士和360杀毒能查杀此类的木马病毒。如果,无法查杀,请尝试以下查杀办法。
清除autorun病毒的批处理文件代码 (保持u盘插上的情况)
首先新建个文本文档,在里面添加以下内容:
@echo on
taskkill /im explorer.exe /f
rem 结束病毒进程(以u.vbe病毒的进程w.exe为例)
taskkill /im w.exe
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f
start reg import kill.reg
del c:\autorun.* /f /q /as
del %SYSTEMROOT%\system32\autorun.* /f /q /as
del d:\autorun.* /f /q /as
del e:\autorun.* /f /q /as
del f:\autorun.* /f /q /as
del g:\autorun.* /f /q /as
del h:\autorun.* /f /q /as
del i:\autorun.* /f /q /as
del j:\autorun.* /f /q /as
del k:\autorun.* /f /q /as
del l:\autorun.* /f /q /as
start explorer.exe
其次打开我的电脑,在菜单栏里选择“工具-文件夹选项-查看”,将“隐藏已知文件类型的扩展名”前面的勾去掉-确定-退出窗口。
再次将刚才新建的那个文件文档的文件名,由“新建文本文档.txt”改为“u.vbe病毒消除.bat”。
最后直接双击它就能清除此病毒了。
如想反馈系统安全疑惑的问题请点击此处
电脑教程(原名:知识点)
本期为大家带来的教程内容:系统进程
系统进程概述:
简介:系统进程就是你在使用操作系统时同时按住“Ctrl、Alt和Delete”键所看到弹出框中所显示的目前正在系统下运行的程序或者模块。Win95/98下的窗口只是“关闭窗口”,而Win2000/XP下则分成了“应用程序”和“进程”。系统进程一般包括:基本的系统进程和附加的系统进程。基本的系统进程是系统运行的基本条件,有了这些进程,系统才能正常运行;附加的系统进程一般不是必要的,你可以根据需要来增加或减少。
本的系统进程中我们常见的有Explorer.exe,这是Windows的资源管理器,如果你把这个关了,那么系统栏里面的系统图标就不见了。另外一个是Internat.exe,这是显示输入法的系统图标,附加的系统进程我们需要知道只有Mstask.exe了,这是Windows的计划任务,我们不需要时可以将它关闭掉。
csrss.exe是子系统服务器进程;winlogon.exe是管理用户登录;services.exe包含了很多系统服务;lsass.exe是管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序。上面这些属于基本的系统进程,winmgmt.exe可以提供系统管理信息,tlntsvr.exe是设置允许远程用户登录到系统并且使用命令行运行控制台程序;dns.exe可以应答对域名系统(DNS)名称的查询和更新请求,这些则属于附加的系统进程的范畴。
关了这些Windows的进程,恶意软件就不能运行了呢?
有的可关闭以,但有的一旦你关了它,那么系统也就崩溃了。在Win95/98下最好的办法是通过Windows系统信息来查看,即从“开始”菜单运行Msinfo32.exe,然后依次点击“软件环境”和“正在运行任务”就可以看到当前你的系统运行的进程了,但是这个程序并不能按照你的意愿关闭某个进程,于是就要依靠第三方软件,比如Windows优化大师附带的“进程管理”就可以随意关掉任意的进程。如果你看到某个进程比较陌生,或者看到“说明”不熟悉,那么你就得考虑一下它是不是恶意的软件了。Win2000/XP则不需要依靠第三方软件来查看,只要同时按“Ctrl、Alt和Delete”键,然后点击“进程”选项就可以看到当前的任务列表了,如果你发现某个应用程序独占系统内存或CPU时间,那么可以将它结束,将资源释放给其他进程。进程是程序在计算机上的一次执行活动。当你运行一个程序,你就启动了一个进程。显然,程序是死的(静态的),进程是活的(动态的)。进程可以分为系统进程和用户进程。凡是用于完成操作系统的各种功能的进程就是系统进程,它们就是处于运行状态下的操作系统本身;用户进程就是所有由你启动的进程。进程是操作系统进行资源分配的单位。
在Windows下,进程又被细化为线程,也就是一个进程下有多个能独立运行的更小的单位。
Windows 2000 系统下的缺省进程
Csrss.exe
Explorer.exe
Internat.exe
Lsass.exe
Mstask.exe
Smss.exe
Spoolsv.exe
Svchost.exe
Services.exe
System
System Idle Process
Taskmgr.exe
Winlogon.exe
Winmgmt.exe
Windows XP 常见的进程列表
最基本的系统进程(也就是说,这些进程是系统运行的基本条件,有了这些进程,系统就能正常运行)
smss.exe 系统进程管理
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) 产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务) ->netlogon
svchost.exe 包含很多系统服务->eventsystem,
(SPOOLSV.EXE 将文件加载到内存中以便迟后打印。)
explorer.exe 资源管理器
(internat.exe 托盘区的拼音图标)
附加的系统进程(这些进程不是必要的,你可以根据需要通过服务管理器来增加或减少)
mstask.exe 允许程序在指定时间运行。(系统服务)->schedule
regsvc.exe 允许远程注册表操作。(系统服务)->remoteregister
winmgmt.exe 提供系统管理信息(系统服务)。
inetinfo.exe->msftpsvc,w3svc,iisadmn
tlntsvr.exe->tlnrsvr
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务)
termsrv.exe ->termservice
dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)
以下全是系统服务,并且很少会用到,如果你暂时用不着,应该关掉(对安全有害)
tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务)->simptcp
支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系统服务)
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务)
ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务)
wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务)
llssrv.exe License Logging Service(system service)
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)
RsSub.exe 控制用来远程储存数据的媒体。(系统服务)
locator.exe 管理 RPC 名称服务数据库.->rpclocator(区 RpcSs)
lserver.exe 注册客户端许可证。(系统服务)
dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)
clipsrv.exe 支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。(系统服务)
msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器。(系统服务)
faxsvc.exe 帮助您发送和接收传真。(系统服务)
cisvc.exe Indexing服务 (系统服务)
dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务)
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务)
netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务)
smlogsvc.exe 配置性能日志和警报。(系统服务)
rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)
RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务)
RsFsa.exe 管理远程储存的文件的操作。(系统服务)
grovel.exe 扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间(系统服务)
SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)
snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息,然后将消息传递到运行在这台计算机上 SNMP 管理程序。(系统服务)
UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务)
msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)
附:Windows 系统常见进程 |
|
免费注册
发表于 2011-08-30 20:07
