篇一:40种电脑常见病毒
40种常见病毒及处理
1. Trojan.PSW.Win32.Mapdimp.a
病毒运行后有以下行为:
1.病毒释放midimap??.dll和midimap??.dat的文件到系统目录(??代表两个随机字母)。
我们可以首先利用Windows的搜索功能在系统目录下搜索名为midimap??.dll的文件(注意:midimap.dll不是病毒,后面必须有两个随机字母且midimap??.dll和midimap??.dat是成对出现的才是病毒)
2.病毒还会修改注册表信息达到开机被自动加载的目的。
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4F4F0064-71E0-4f0d-0018-708476C7815F} 指向midimap??.dll文件 开始-运行-输入regedit 打开注册表编辑器展开: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID 然后在下面查找有无
{4F4F0064-71E0-4f0d-0018-708476C7815F}的子键
如果有展开该子键,此时我们会看到该子键指向了病毒文件%systemroot%\system32\midimap??.dll
如果这时看到的midimap??.dll文件名和刚才搜索到的文件相同,则证明中毒了。图3
3.另外,熟知Process Explorer的朋友亦可用Process Explorer查找explorer.exe的线程里面是否有midimap??.dll
4.病毒运行后会访问黑客指定的网址下载其他木马病毒,盗取网游账号,并将盗取的信息在后台发送给黑客,使网游玩家的利益受损。
手动处理方法:
第一步,删除病毒文件:
使用wsyscheck工具,文件管理,进入系统目录(默认为c:\windows\system32)找到midimap??.dll和midimap??.dat文件,在文件上面点击右键,选择“发送到重启删除列表中”。 第二步,删除被病毒修改的注册表键值:
1、使用wsyscheck工具或使用注册表编辑器,删除以下键值内容:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4F4F0064-71E0-4f0d-0018-708476C7815F}的值
“c:\windows\system32\midimap??.dll”
2、重启计算机。
2.Trojan.PSW.Win32.GameOL.qku. 盗号木马病毒
这是一个偷游戏密码的病毒。病毒采用Delphi语言编写,Upack加壳。病毒运行后会释放一个名称为随机8位字母组合的exe和名称为随机八位字母组合的dll文件,设置自身属性为系统,隐藏,改写注册表项实现自启动。病毒会把动态库注入到Explorer.exe进程中并查找进程中是否存在游戏进程,当找到游戏进程时,把自己注到游戏进程中,获取用户输入的账号密码并发送到指定的网址。运行完毕之后,该病毒还会删除自身,逃避杀毒软件的查杀。(依赖系统:Windows NT/2000/XP/2003)
3. Trojan.DL.Win32.Mnless. bdz 木马病毒
这是一个木马下载器病毒。病毒运行后会把自身复制到系统目录下,加载后会从黑客指定网站下载各种盗号木马、病毒等恶意程序,在系统目录下保存病毒文件名为6位或8位的EXE文件,并在用户计算机上运行。同时,这些病毒都会修改注册表启动项,实现随系统自启动,给用户的查杀和正常使用计算机带来极大的不便。(依赖系统:Windows NT/2000/XP/2003) 4. Trojan.PSW.Win32.GameOL.qli 盗号木马病毒
这是一个偷游戏密码的病毒。病毒采用Delphi语言编写,Upack加壳。病毒运行后会释放一个名称为随机8位字母组合的exe和名称为随机八位字母组合的dll文件,设置自身属性为系统,隐藏,改写注册表项实现自启动。病毒会把动态库注入到Explorer.exe进程中并查找进程中是否存在游戏进程,当找到游戏进程时,把自己注到游戏进程中,获取用户输入的账号密码并发送到指定的网址。运行完毕之后,该病毒还会删除自身,逃避杀毒软件的查杀。 5. Worm.Win32.DownLoader.iz蠕虫病毒
病毒运行后,会释放一个名字为beep.sys的驱动,替换掉系统的同名文件,恢复SSDT列表。关闭一些安全软件的服务,结束一些安全软件的进程,以躲避对其的查杀。随后会替换dllcache和system32目录中的wuauclt.exe,然后把自己复制到该目录下并且改名为wuauclt.exe,在每一个盘符下面生成AUTORUN.INF和YS.PIF,达到再次运行和传播病毒的目的,写入注册表启动项,以实现开机自动启动。最终病毒会访问指定网页下载大量病毒到本地运行,容易反复感染,彻底清除困难。依赖系统:Windows NT/2000/XP/2003
6. Backdoor.Win32.Gpigeon2007.cel 灰鸽子病毒
该病毒运行时会首先将自身拷贝到系统目录下,并设置成隐藏、系统、只读属性。然后病毒会创建系统服务,实现随系统自启动。它还会新建IE进程并设置该进程为隐藏,然后将病毒自身插入该进程中。通过在后台记录用户键盘操作,病毒会偷取用户信息和本地系统信息等,并将该信息发送给黑客。如此用户计算机将被远程控制,不自主地删除文件,远程下载上传文件,修改注册表等等,给用户的计算机和隐私安全带来很大隐患。
7. Worm.Win32.DownLoad.iy 蠕虫病毒
病毒把自己伪装成一个图片的样子,名字叫“照片”并且有很长的空格,如果不易发现扩展名是EXE,诱惑用户打开。病毒运行后会关闭大量的安全软件,以躲避对其的查杀,随后会删除dllcache中的wuauclt.exe,然后把自己复制到该目录下并且改名为wuauclt.exe,再删除system32下的wuauclt.exe,复制自己到该目录下命名为wuauclt.exe,在每一个盘符下面生成AUTORUN.INF和WINDOWS.PIF,达到再次运行和传播病毒的目的,写入注册表启动项,以实现开机自动启动。最终病毒会访问指定网页下载大量病毒到本地运行,容易反复感染,彻底清除困难。
8. Worm.Win32.Agent. znu 蠕虫病毒
这是一个蠕虫病毒。病毒运行后会把自己复制到系统目录下,并修改注册表启动项实现开机自启动。同时病毒修改注册表信息,来禁用系统任务管理器,禁止WINDOWS自动升级,将系统文件和隐藏文件设置为不可见,以及锁定用户默认浏览器主页,并且试图关闭杀毒软件和安全工具。当病毒发现有标题为“瑞星主动防御”或者“恶意行为检测”的对话框时,就发消息模拟鼠标点击不处理,以此躲避杀毒软件查杀。它还会从网上下载新的木马病毒,并在
可移动存储设备写入病毒,以此传播
9. Worm.Win32.DownLoader.cm 蠕虫病毒
病毒把自己伪装成一个图片的样子,名字叫“照片”并且有很长的空格,如果不易发现扩展名是EXE,诱惑用户打开。病毒运行后会关闭大量的安全软件,以躲避对其的查杀,随后会删除dllcache中的wuauclt.exe,然后把自己复制到该目录下并且改名为wuauclt.exe,再删除system32下的wuauclt.exe,复制自己到该目录下命名为wuauclt.exe,在每一个盘符下面生成AUTORUN.INF和WINDOWS.PIF,达到再次运行和传播病毒的目的,写入注册表启动项,以实现开机自动启动。最终病毒会访问指定网页下载大量病毒到本地运行,容易反复感染,彻底清除困难。
10. Trojan.Win32.Undef.qls
这是一个木马病毒。病毒运行后会将自身文件复制到系统目录下,并修改注册表启动项,实现随系统自启动。病毒会将自身注入到系统正常进程,给用户查杀病毒带来困难。此外,病毒会试图关闭多种杀毒软件和安全工具,并会纪录用户键盘和鼠标操作,窃取用户的网游的帐号、密码等隐私信息。
11. Trojan.DL.Win32.Mnless. bci
这是一个木马下载器病毒。病毒运行后会把自身复制到系统目录下,加载后会从黑客指定网站下载各种盗号木马、病毒等恶意程序,在系统目录下保存病毒文件名为6位或8位的EXE文件,并在用户计算机上运行。同时,这些病毒都会修改注册表启动项,实现随系统自启动。
12. Trojan.DL.Win32.Mnless. bch
这是一个木马下载器病毒。病毒运行后会把自身复制到系统目录下,加载后会从黑客指定网站下载各种盗号木马、病毒等恶意程序,在系统目录下保存病毒文件名为6位或8位的EXE文件,并在用户计算机上运行。同时,这些病毒都会修改注册表启动项,实现随系统自启动。
13. Backdoor.Win32.Gpigeon2008.ee
这是一种灰鸽子后门变种,该病毒运行时会首先将自身拷贝到系统目录下,并设置成隐藏、系统、只读属性。然后病毒会创建系统服务,实现随系统自启动。它还会新建IE进程并设置该进程为隐藏,然后将病毒自身插入该进程中。通过在后台记录用户键盘操作,病毒会偷取用户信息和本地系统信息等,并将该信息发送给黑客。如此用户计算机将被远程控制,不自主地删除文件,远程下载上传文件,修改注册表等等。
14. Trojan.DL.Win32.Undef.aon
这是一个木马下载器病毒。该病毒运行后会释放一个动态库文件,该文件会从黑客指定网站下载一个config.ini文件,并且从下载的config.ini文件中获取具体要下载的木马、病毒的地址,然后下载到用户计算机上并执行。
篇二:木马病毒怎样运行侵害电脑
电脑上网安全指南
欢迎网友转载 分享 广为传播 功德无量
非本人同意,纸媒不可转载
声明:
本文章不属于专业技术文章,仅在此分享我个人目前对个人计算机安全方面的一些认识,纯属个人观点。如您按照本文介绍的方法设置您的计算机后仍然有不安全的的事故发生,本人不承担任何责任。
如有发生木马入侵,本人能做的就是有且仅有:表示遗憾,表示愤慨,强烈谴责
最后我在这感谢国家、感谢党、感谢父母,是他们让我这辈子有机会能上学,能上网。 简述:
最近听到很多人在说他们在使用电脑时,因为病毒导致“虚拟有价物品被盗”,造成各种损失,而且很多人提到网上购物,都表示不敢在网上使用网银,主要是觉得网上买东西不安全。
互联网发展到今天,早已经不是做新闻网站发布新闻,搞搞论坛交流信息,聊天室聊天,打电脑游戏这一类。非常多的网民开始使用网上银行,同时网上购物也变的非常的普及。
很多的网络帐号,虽然他不是商品,但是他已经变得非常有价值,例如一个游戏帐号的价值可能是好几千元,一个qq号码里面的qq币,游戏道具等可转让价值可能都是好几百上千元,无形的价值,例如联系人信息,重要邮件等无法估量,多少钱都换不回来。
因此,如何安全的使用电脑,是很多人迫切需要了解的。
小结:几乎所有的网上被盗(小到诸如qq号码被盗,大到网银失窃),都和木马程序有关,电脑安全实际上就是防木马,防病毒
网络黑客其实并不可怕,真正可怕的是我们不知道怎么防范他们
和防小偷一样,生活中,如我们能在公交车站台或公交车上分辨出谁是小偷,我们基本就不会被小偷偷到。如何在公共场合分辨和发现小偷也当然是是有技巧的,这个技巧是需要学习和练习的。
换句话说:你比黑客还黑客,你还怕黑客么?当然这个要求有点高,非普通老百姓可了解,但是你只要搞清楚黑客是怎么黑人家电脑的,这个过程你大致了解,你就可以有效防范。当然,这并不需要你有多高深的计算机基础,也不需要学会编程,只要你会一些软件安装就可以了。
不过,你也可以更简单一点,啥也不需要懂,但是你必须找个很会电脑的人做你的好朋友,当然一定是确实电脑方面比较牛叉,你可以问他什么杀毒软件比较好,要他帮你安装一个牛叉的杀毒软件。
总之,你知道的比别人多,你的危险就越小。
如您希望了解更为详细的信息,请参考:计算机病毒 木马 (引申阅读维基百科,百度百科,推荐您阅读,所谓知识力量无限啊) 我对木马和病毒的理解,用如下几句话概括一下:
1.木马属于计算机病毒的一种
2.木马一般用于盗号
3.对电脑系统系统具有破坏性,或不良影响的程序都是病毒 病毒有几个特点:
1.他是人为编写的电脑程序
2.一般是非常懂“计算机编程”的人为了某种恶意的目的而编写的程
序
3.病毒程序对电脑系统具危害性
4.可以通过一些途径自动复制传播(例如光盘,u盘,网上下载文件) 先给大家举2个病毒的例子:
大约是在2002年,有次在一个网吧里面上网之后,我的qq号就被盗了,盗个号没啥,郁闷的是刚认识的一个聊的热火朝天的网友失去了联络,为了找回我自己的qq,一不小心搞明白了人家是怎么盗窃我qq的。
黑客在网吧的电脑上安装了一个程序,外观做的和qq程序的登录界面几乎一模一样,但是他不是qq程序,而是一个盗号的程序,当你输入qq号码和密码之后却怎么也登录不上去,然后你会不断尝试,最后不得不放弃。。。
待你下次再去别的电脑上登录qq的时候,你的qq已经被盗了。 因为前面这个程序已经将你的qq号码和密码发给了设臵在程序里面的黑客的电子邮箱。
这和假网站盗取网站用户名密码的过程是一样的。
但是这是一种非常简单的病毒程序,现在几乎不可能有这种盗取qq的形式。
另外一种病毒“qq尾巴”以前曾经很泛滥,现在可能还会有,很多人烦不胜烦。
好友发个qq信息给你带有网址,打开网址之后导致电脑自己中毒,然后你的qq信息后面会多一个尾巴,更可恶的是,他会自己给你所有的
qq好友发送一条qq信息,都带一个qq尾巴,而这个尾巴里面的网址的网页含有病毒,自动下载病毒到你的电脑,然后如此传播,你说这种病毒传播是不是非常快???几个小时可以传遍全部的qq用户,做起广告来,效果惊人。。。。。。
后面我想把木马说的更详细一点:
因为通过互联网失窃的虚拟有价物品,多半是通过木马被盗的 木马这个名称来自于古希腊“特洛伊木马”的传说:
计算机上的木马程序就是通过伪装后的程序文件,混进被害人的电脑系统,然后里应外合,让被害人损失惨重。他有2个部分组成:一是木马程序 二是位于黑客电脑的“木马控制端”
黑客通过木马远程操控被害人的电脑的过程跟“qq远程协助”中的远程控制过程差不多。
如果你用过qq上的一个“远程协助”功能,你就可以更好的理解木马的运作。
区别在于:木马是偷偷的未经允许的,qq远程协助是光明正大的 举个例子,我们了解一下“陈冠东”是如何被黑的:
(陈冠东纯属巧合,如有虚构,纯属雷同)
黑客“刘叉叉”通过邮件群发很多封具有诱惑性的电子邮件给别人,号称邮件的附件是张柏芝的艳照,然后其中有一个不太懂电脑的好色之徒叫“陈冠东”,结果他点击打开了附件里的文件,然后可怜的“冠东”童鞋发现自己被骗了,因为根本没有照片,可是更危险的在后头,因为那个附件是一个木马程序,这时候木马程序开始在“冠东”的电脑内“工作”。
当然现实中的木马程序可能不光光是附件中的那个程序,那个程序只是一个“引信”,点击那个文件之后,这个“引信”开始让你的电脑自动下载一些其他的文件到你的电脑,那才是木马的主体,而且这个过程是自动的,神不知鬼不觉的,“陈冠东”傻拉吧唧的就更不知道了。结果黑客在很多像“陈冠东”这样的人的电脑中植入了木马。
木马不是单独工作的,黑客“刘叉叉”家里的电脑上的“木马控制端”不一会就开始接到“冠东童鞋”电脑上木马程序的“接头暗号”,而且主动的提醒了“刘叉叉”。
刘叉叉一看,好样的!!又一个人中了我散播的木马。
刘叉叉的木马控制端上有好多功能,这里先列举123:
1.可以远程监控陈冠东的桌面,陈冠东在做啥,刘叉叉一清二楚。
2.陈冠东通过键盘输入任何东西,都可以被记录下来,而且及时的保存并显示在刘叉叉的控制端上。
3.更可怕的事情,刘叉叉可以对陈冠东的电脑进行各种操作,例如点击他屏幕上的任何按钮,甚至开关机等,删除几个文件就是小 case了!
篇三:电脑常见进程及相关木马病毒
【 电脑常见进程及相关木马病毒】
1、【wscntfy.exe】:Microsoft Windows Security Center---Windows 安全警报
2、【Taskmgr.exe】:Windows增强型任务管理器(若超过一个,则是病毒)
3、【alg.exe】:Application Layer Gateway Service----alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。这个程序对你系统的正常运行是非常重要的。(也可能是病毒)
4、【notepad.exe】:记事本(也可能是病毒,notepad.exe可能是一种变种木马,与qq有关)
5、【SogouCloud.exe】:搜狗云计算;可能会影响网速。关闭方式:搜狗拼音新添加的“云计算”进程,负责输出每次打字时的云计算候选项(在候选栏的第二位)。不喜欢搜狗输入法打字时的云计算欢的话可以自己关掉。选项在“设置属性”对话框的“高级”选项卡中(智能输入 栏--开启云计算候选),勾掉云计算即可了。 sogoucloud.exe的真伪辨别:(1). 搜狗拼音输入法确实有SogouCloud.exe文件,是搜狗输入法云计算代理程序。不过应该是在搜狗输入法的安装目录下。不是该路径时应该是伪装的文件。(2). 正版的SogouCloud.exe有搜狗公司的数字签名,可以看看你的文件并没有签名。()
6、【popwndexe.exe】:瑞星广告弹框程序。没啥用。建议禁止。
7、【scardsvr.exe】: Microsoft Smartcard-Ressource server---微软Windows操作系统的一部分,用于认证你本地系统的简单安全卡,建议保留。
8、【SGImeGuard.exe】:搜狗输入法的一个进程,作用不大,删除也不影响你正常使用搜狗输入法。
9、【svchost.exe】:Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要,而且是不能被结束的。svchost.exe是nt核心系统的非常重要的进程。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003server中则更多。这些svchost进程提供很多系统服务,如:rpcss服务(remoteprocedurecall)、dmserver服务(logicaldiskmanager)、dhcp服务(dhcpclient)等。到了Windows Vista 系统时svchost 进程多达12个,Win7则更多.
10、【RsMgrSvc.exe】:瑞星软件部署系统。卸载瑞星(rising)时留下的。
11、【ibmpmsvc.exe】:联想电脑电池管理器。
12、【lsass.exe】:lsass.exe是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意:lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的,病毒通过软盘、群发邮件和P2P文件共享进行传播。(也可能是盗号木马病毒。)
13、【services.exe】:services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。终止进程后会重启。(也能是病毒,services.exe是MSN蠕虫变种,向MSN联系人发送不同语言的诱惑文字消息和带毒压缩包,当联系人接收并打开带毒压缩包中的病毒文件时系统受到感染。)
14、【winlogon.exe】:Windows Logon Process,Windows NT 用户登陆程序,管理用户登录和退出。该进程的正常路径应是 C:\Windows\System32 且是以 SYSTEM 用户运行,若不是以上路径且不以 SYSTEM 用户运行,则可能是 W32.Netsky.D@mm 蠕虫病毒,该病毒通过 EMail 邮件传播,当你打开病毒发送的附件时,即会被感染。
15、【smss.exe】:Session Manager Subsystem:该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。smss.exe是微软windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意:smss.exe也可能是win32.ladex.a木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。请注意此进程所在的文件夹,正常的进程应该是在windows的system32和servicepackfiles\i386下面 .由于Smss.exe[1]所有基于Win NT的系统都存在此进程,所以有众多病毒都盯上了这个进程,这些木马病毒有些采用完全相同的名称来迷惑用户。QQ尾巴,Trojan/PSW.MiFeng蜜蜂大盗等木马病毒。主要通过浏览恶意网页传播。该病毒修改注册表创建Run/Tok-Cirrhatus项实现自启动。新变种也通过修改注册表Winlogon项下的Userinit实现自启动,并将病毒模块regsvr.dll,cn_spi.dll注入进程运行。
16、【csrss.exe】:csrss.exe,系统进程,是微软客户端、服务端运行时子系统,管理Windows图形相关任务,对系统的正常运行非常重要,但也有可能是W32.Netsky.AB@mm等病毒创建的。
17、【FLService.exe】:加速人生程序组件。
18、【spoolsv.exe】:spoolsv.exe 是Print Spooler的进程,管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,本地计算机上的打印将不可用。该进程属 Windows 系统服务。(若其CPU占用率很高的话,很可能是中了木马病毒。)
19、【kxescore.exe】:这个是金山毒霸的密保用户的进程。
20、【ctfmon.exe】:ctfmon.exe是Microsoft Office产品套装的一部分,是有关输入法的一个可执行程序。它可以选择用户文字输入程序,和微软Office XP语言条。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。另外,ctfmon.exe可能被感染上木马而成为病毒程序。(也可能是蠕虫病毒。)
21、【conime.exe】:conime.exe是输入法编辑器相关程序。允许用户使用标准键盘就能输入复杂的字符与符号,需要注意它同时可能是一个bfghost1.0远程控制后门程序。此程序允许攻击者访问你的计算机,窃取密码和个人数据。建议立即删除此进程。若程序不在:system32
里面,可以删除。
免费论文网友情提示:本网站所有内容为共享上传提供,不涉及任何商业利益,本站对此不承担任何保证责任!
Copyright © www.csmayi.cn Corporation, All Rights Reserved 共享时代 共享你我他 版权所有