当前位置: 操作系统/服务器>windows
本页文章导读:
▪[分享] 小弟我常用的手工排除木马/病毒的方法 [分享] 我常用的手工排除木马/病毒的方法这个标题又是骗人的,其实我是来求助的。 下文以亲身经历描述了我手工排除木马/病毒的方法,不过很遗憾,结果问题没有完全解决掉。 很抱歉.........
▪ Windows 安全诊所:清除间谍软件上篇,该如何处理 Windows 安全诊所:清除间谍软件上篇所有人都面临间谍软件的威胁,特别是普通的网络用户。这些网络用户总是很快地点击弹出式对话框,按提示安装软件,接受垃圾邮件的馈赠或者浏览恶意.........
▪ 天网防火墙提示C:\WINDOWS\explorer.exe要连接网络.是不是中木马了?搞了两天了,烦呀解决思路 天网防火墙提示C:\WINDOWS\explorer.exe要连接网络.是不是中木马了?搞了两天了,烦呀我装了天网,从 "开始 "-> "搜寻 ",天网就提示 "是否允许Windows Explorer访问网络?" 文件路径是"C:\WINDOWS\ex.........
[1][分享] 小弟我常用的手工排除木马/病毒的方法
来源: 互联网 发布时间: 2014-02-18
[分享] 我常用的手工排除木马/病毒的方法
这个标题又是骗人的,其实我是来求助的。
下文以亲身经历描述了我手工排除木马/病毒的方法,不过很遗憾,结果问题没有完全解决掉。
很抱歉这差不多是一片流水账,尽可能让顶者都有分可拿。
首先说明我的系统环境为:Win2003 SP1 R2 + IE 7
发现这个问题当然是因为启动的时候系统提示有至少一个服务错误请查看日志什么什么的。可是当我打开事件查看器,却发现事件查看器无法查看“应用程序”项了
点击“应用程序”项就弹出个“MMC ……”对话框,有三个选项,我后来选择了第三个选项,就不再出现这个对话框了,但是事件列表却显示空白,并没有显示“此视图中没有可显示的项目”,但是头上确有显示:应用程序 xxxx 个事件。
在“应用程序”项右击属性后再选择“筛选器”选项卡出现错误:“Microsoft Management Console”遇到问题需要关闭……”,提示发送错误报告,不发送自动关闭。
居然还可以正常操作“应用程序”项的“清除所有事件”、“另存日至文件”。
其他“安全性”、“系统”项都可以正常查看。
曾怀疑是 %SYSTEM ROOT%\system32\config\AppEvent.Evt 文件被损坏。按网上说明停止“Event Log”服务后,删除 AppEvent.Evt 文件;然后重启系统,重启“Event Log”服务,发现可以正常打开“应用程序”项了,当然新建的 AppEvent.Evt 列举的事件是空的,右边显示“此视图中没有可显示的项目”。似乎一切正常了,可是再重新启动问题依旧。
将“应用程序”项另存日志文件在其他计算机可以打开,并发现一个错误信息:
事件 ID ( 1000 )的描述(在资源( Microsoft Management Console )中)无法找到。本地计算机可能没有必要的注册信息或消息 DLL 文件来从远程计算机显示消息。……下列信息是事件的一部分: mmc.exe, 5.2.3790.2560, kernel32.dll 5.23790.2756, 0001628f.
怀疑系统文件被替换,例如eventvwr.exe/mmc.exe等,尝试 sfc /scannow 甚至手工替换后无果,问题依旧。
现在我来回忆一下问题发生始末,或许可以提供一些线索。
几天前,一、突然发现IE打开网址后自动打开其他网页;二、发现 %SYSTEM ROOT% 和 %SYSTEM ROOT%\System32 有近两天创建的 exe 文件 运行之(这可能是操作错误根源所在)无反应,遂删除。以上两步先后顺序忘记了,抱歉。
我很惊讶我的系统居然让人给盯上了,然后开始手工清除(下面有个日期是 07-01-03 事实上这个日期可能是 070-01-20或者更后):
查注册表:
没有找到与 自动打开网页 网址相关的项。禁用IE可疑加载项,无果。
删 文 件:
首先删除系统文件夹下 07-01-03 后创建的与 Microsoft 无关的 exe 文件。问题依旧,并且重启出现“至少有一个服务错误”提示。
然后又尝试运行了一个属性显示为 Microsoft 的 setup0001.exe 文件,无反应。问题更甚:系统目录多了几个 exe 文件,setup0001.exe 自行删除了,IE 首页都被撰改了,而且灰显不能更改。
再删文件:
这次把 07-01-03 后创建的所有 exe 文件删除。由于发现了 soudmax.dll 文件,网络搜索之后确定为病毒还是木马忘记了,遂把所有 07-01-03 后创建的所有 dll 文件删除。有些文件是安全模式下删除的。
这里又有一步忘记了,不知道是再删文件之前还是之后重置了 IE 7,以为 IE 任何问题都可以解决。结果 默认首页被重置为系统默认网页,默认首页依旧不能修改,并且 Internet 安全级别 只有最高级别,不可以调整。以前的 IE 7被我重置为 安全等级中了。
查注册表:
查找注册表相关选项,配合策略管理器,终于把IE恢复正常。然后发现启动系统时候那个提示信息不简单,事件查看器的“应用程序”项都查看不了了。
你在打没有准备的仗:然后又尝试运行了一个属性显示为 Microsoft 的 setup0001.exe 文件。不过,我也经常会干这样的事。
还是建议先准备两套杀毒软件各杀一遍。
再用上一些工具,检查隐藏服务之类。
使用360安全卫士检查一下相关插件.使用黄山IE修复专家来修复IE浏览器.如果不行.请使用sreng2扫描,结束可疑启动项.删除可疑服务和驱动.对于可疑文件.使用killbox删除.可结合icesword来使用.
现在的病毒/木马越来越厉害了,没有工具简直很难查杀,icesword是个好工具
基本上autoruns + process explorer + icesword可以干掉绝大部分的木马
至于感染文件的病毒,就交给mcafee sdat
icesword都无能为力的木马文件,就交给ntfs dos,绝杀!
现在的木马不比2年前了,以前讲究的是隐蔽,相互关照,一个马相关的东西不超过10个
现在的根本就不求隐蔽,求的是效果,于是,一个马进来了,同时带入一大群马,有几百几千个文件都不奇怪,手动杀会死人的
再者,一但不小心漏了一个,哗啦,又都全回来了
鼓励手工杀毒的精神,有时候这种方法可以起到意想不到的效果,不过如果对系统不熟悉的话,最好是配合工具一起检测,这样不但提高了技术又不容易损坏系统。
友情提示一下,杀毒顺序很重要,一个错误的顺序很容易让病毒再生。楼主势必应该先看看任务管理器,然后配合注册表里HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的键值来判断当前运行的进程中有没有可疑进程。有则先结束进程,然后去控制面板-管理工具-服务 下重点查看没有描述项的服务名,看看有没有名字起的特别怪异的服务,比如:23983473 这样的纯数字名,绝对是病毒,将其服务禁止,然后双击该服务名,查看该服务加载的具体文件在哪个路径,记下该文件名。然后去安全模式下删除,并且在注册表里全局搜索该文件名,清除相关所有键值。最后配合杀毒工具进行完整性检查。推荐一个工具也许对你有帮助,亮点在于杀毒引擎比较先进,能够自动解除某些病毒和木马的驱动保护,并且能干掉目前几乎所有的广告流氓软件。名字比较土:Windows清理助手。
这个标题又是骗人的,其实我是来求助的。
下文以亲身经历描述了我手工排除木马/病毒的方法,不过很遗憾,结果问题没有完全解决掉。
很抱歉这差不多是一片流水账,尽可能让顶者都有分可拿。
首先说明我的系统环境为:Win2003 SP1 R2 + IE 7
发现这个问题当然是因为启动的时候系统提示有至少一个服务错误请查看日志什么什么的。可是当我打开事件查看器,却发现事件查看器无法查看“应用程序”项了
点击“应用程序”项就弹出个“MMC ……”对话框,有三个选项,我后来选择了第三个选项,就不再出现这个对话框了,但是事件列表却显示空白,并没有显示“此视图中没有可显示的项目”,但是头上确有显示:应用程序 xxxx 个事件。
在“应用程序”项右击属性后再选择“筛选器”选项卡出现错误:“Microsoft Management Console”遇到问题需要关闭……”,提示发送错误报告,不发送自动关闭。
居然还可以正常操作“应用程序”项的“清除所有事件”、“另存日至文件”。
其他“安全性”、“系统”项都可以正常查看。
曾怀疑是 %SYSTEM ROOT%\system32\config\AppEvent.Evt 文件被损坏。按网上说明停止“Event Log”服务后,删除 AppEvent.Evt 文件;然后重启系统,重启“Event Log”服务,发现可以正常打开“应用程序”项了,当然新建的 AppEvent.Evt 列举的事件是空的,右边显示“此视图中没有可显示的项目”。似乎一切正常了,可是再重新启动问题依旧。
将“应用程序”项另存日志文件在其他计算机可以打开,并发现一个错误信息:
事件 ID ( 1000 )的描述(在资源( Microsoft Management Console )中)无法找到。本地计算机可能没有必要的注册信息或消息 DLL 文件来从远程计算机显示消息。……下列信息是事件的一部分: mmc.exe, 5.2.3790.2560, kernel32.dll 5.23790.2756, 0001628f.
怀疑系统文件被替换,例如eventvwr.exe/mmc.exe等,尝试 sfc /scannow 甚至手工替换后无果,问题依旧。
现在我来回忆一下问题发生始末,或许可以提供一些线索。
几天前,一、突然发现IE打开网址后自动打开其他网页;二、发现 %SYSTEM ROOT% 和 %SYSTEM ROOT%\System32 有近两天创建的 exe 文件 运行之(这可能是操作错误根源所在)无反应,遂删除。以上两步先后顺序忘记了,抱歉。
我很惊讶我的系统居然让人给盯上了,然后开始手工清除(下面有个日期是 07-01-03 事实上这个日期可能是 070-01-20或者更后):
查注册表:
没有找到与 自动打开网页 网址相关的项。禁用IE可疑加载项,无果。
删 文 件:
首先删除系统文件夹下 07-01-03 后创建的与 Microsoft 无关的 exe 文件。问题依旧,并且重启出现“至少有一个服务错误”提示。
然后又尝试运行了一个属性显示为 Microsoft 的 setup0001.exe 文件,无反应。问题更甚:系统目录多了几个 exe 文件,setup0001.exe 自行删除了,IE 首页都被撰改了,而且灰显不能更改。
再删文件:
这次把 07-01-03 后创建的所有 exe 文件删除。由于发现了 soudmax.dll 文件,网络搜索之后确定为病毒还是木马忘记了,遂把所有 07-01-03 后创建的所有 dll 文件删除。有些文件是安全模式下删除的。
这里又有一步忘记了,不知道是再删文件之前还是之后重置了 IE 7,以为 IE 任何问题都可以解决。结果 默认首页被重置为系统默认网页,默认首页依旧不能修改,并且 Internet 安全级别 只有最高级别,不可以调整。以前的 IE 7被我重置为 安全等级中了。
查注册表:
查找注册表相关选项,配合策略管理器,终于把IE恢复正常。然后发现启动系统时候那个提示信息不简单,事件查看器的“应用程序”项都查看不了了。
你在打没有准备的仗:然后又尝试运行了一个属性显示为 Microsoft 的 setup0001.exe 文件。不过,我也经常会干这样的事。
还是建议先准备两套杀毒软件各杀一遍。
再用上一些工具,检查隐藏服务之类。
使用360安全卫士检查一下相关插件.使用黄山IE修复专家来修复IE浏览器.如果不行.请使用sreng2扫描,结束可疑启动项.删除可疑服务和驱动.对于可疑文件.使用killbox删除.可结合icesword来使用.
现在的病毒/木马越来越厉害了,没有工具简直很难查杀,icesword是个好工具
基本上autoruns + process explorer + icesword可以干掉绝大部分的木马
至于感染文件的病毒,就交给mcafee sdat
icesword都无能为力的木马文件,就交给ntfs dos,绝杀!
现在的木马不比2年前了,以前讲究的是隐蔽,相互关照,一个马相关的东西不超过10个
现在的根本就不求隐蔽,求的是效果,于是,一个马进来了,同时带入一大群马,有几百几千个文件都不奇怪,手动杀会死人的
再者,一但不小心漏了一个,哗啦,又都全回来了
鼓励手工杀毒的精神,有时候这种方法可以起到意想不到的效果,不过如果对系统不熟悉的话,最好是配合工具一起检测,这样不但提高了技术又不容易损坏系统。
友情提示一下,杀毒顺序很重要,一个错误的顺序很容易让病毒再生。楼主势必应该先看看任务管理器,然后配合注册表里HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的键值来判断当前运行的进程中有没有可疑进程。有则先结束进程,然后去控制面板-管理工具-服务 下重点查看没有描述项的服务名,看看有没有名字起的特别怪异的服务,比如:23983473 这样的纯数字名,绝对是病毒,将其服务禁止,然后双击该服务名,查看该服务加载的具体文件在哪个路径,记下该文件名。然后去安全模式下删除,并且在注册表里全局搜索该文件名,清除相关所有键值。最后配合杀毒工具进行完整性检查。推荐一个工具也许对你有帮助,亮点在于杀毒引擎比较先进,能够自动解除某些病毒和木马的驱动保护,并且能干掉目前几乎所有的广告流氓软件。名字比较土:Windows清理助手。
[2] Windows 安全诊所:清除间谍软件上篇,该如何处理
来源: 互联网 发布时间: 2014-02-18
Windows 安全诊所:清除间谍软件上篇
所有人都面临间谍软件的威胁,特别是普通的网络用户。这些网络用户总是很快地点击弹出式对话框,按提示安装软件,接受垃圾邮件的馈赠或者浏览恶意的网站。
最佳的预防措施就是对最终用户进行教育。但是,对于大多数人来说,这个事情已经太晚了,间谍软件已经在Windows工作站中疯狂地蔓延开了。为了帮助你识别和修复各种类型的间谍软件的感染,你可以查看一下如下的情况。在做出诊断和介绍三个Windows安全专家讲的课程之后,我们还将介绍一些用户的投诉。你将发现,每一个专家对一个问题都有一个独特的。因此,在解决你自己的间谍软件的问题时,你一定要考虑一下所有这些。
用户的问题:
我为300多个用户提供技术支持。这些用户拥有家庭或者办公室的电脑,采用Windows XP或者Windows 2000操作系统。一些用户报告了下列问题。
当浏览器关闭时(有时候甚至都没有连接到互联网),会出现弹出广告。当打开浏览器时,一个像HotOffers.com的网站出现了,而不是我们内部网的主页。
一个名为“Viewpoint”的搜索工具条出现在浏览器上,无论我们在地址栏内输入什么,这个工具条都一直在搜索。
我有最新的杀毒软件,并且没有发现病毒。使用查杀间谍软件的工具“SpyBot Search & Destroy ”进行扫描之后,发现一些不熟悉的文件,我将删除这些文件。但是,这样并没有解决这些问题。那是什么文件?我如何删除这些文件?请帮忙。
专家提供的补救措施:
清除间谍软件第一步:诊断
安全专家Kevin Beaver:你在这里遇到的问题是人的问题和技术的局限性结合在一起产生的问题。间谍软件和广告软件的启动是用户盲目点击鼠标造成的。当IE浏览器弹出一个对话框,要求在IE中安装一个ActiveX控件或者向用户计算机下载其它貌似安全的游戏、屏幕保护程序等软件时,用户往往随意点击“确认”。
这就是我说的人的问题。这个问题经常发生,因为用户只是想安装软件,弹出式广告就借此机会避开检查想做什么就做什么了。一旦你的用户允许在他们的系统中安装这种软件,根据这种软件的性质,无论用户是否启动IE或者系统是否连接到互联网,这种软件都能够控制Windows计算机的某些方面。这包括启动弹出式广告、修改缺省的主页等。
技术的局限性与查杀间谍软件的工具有关。“Spybot Search & Destroy”对于保护台式电脑并不是万能的,尽管这是我使用的最好的软件工具。
安全专家Tony Bradley:从给出的情况看,这里可能存在两个不同的问题。当计算机甚至还没有连接到互联网的时候也出现弹出式广告,这类程序可能是通过Windows Messenger服务进入用户计算机的。修改浏览器主页和搜索工具条最有可能是浏览器辅助对象(BHO)出现的问题造成的。间谍软件是一种随看随下(drive-by downloads)的软件。当用户访问恶意网站时,间谍软件利用浏览器中的漏洞不需要用户同意就安装在用户的计算机中。
安全专家Lawrence Abrams:当浏览器中的搜索功能和主页被修改之后,通常会出现劫持浏览器的情况,就像“Viewpoint Manager”软件劫持浏览器一样。浏览器劫持一般分为两大类,主动劫持和被动劫持。
主动劫持者是一种在计算机启动时就调入的程序。这种程序持续监视计算机的具体设置,确保这些设置符合劫持者的愿望。被动劫持是在计算机启动时开始运行的程序。这种程序修改某些设置并且上传。一旦你确定这种劫持程序,这些问题是很容易修复的。
首先,你必须确定你处理的是哪一类劫持程序。我使用HijackThis软件进行查找。如果你熟悉程序入口(entry)的位置或者把软件程序与启动数据库进行比较,你就可以找到劫持软件。
在运行HijackThis工具软件时,我们注意到了Viewpoint工具条和Viewpoint管理器的入口。这就是Viewpoint间谍软件的罪证。我们还看到起始页的入口已经被修改了。
至于热力推荐(HotOffers)的问题,修复这个入口似乎并不起作用。他们还是不断地出现,上面提到的事情似乎都不是这个问题的原因。起始页改回到HotOffers的事实说明我们正在处理的问题是主动的劫持。
在这种情况下,我们需要使用另外一种名为“SilentRunners”的工具软件。这个工具能过让我们深入到正在这种自动运行的程序中。
SilentRunners将生成一个关于注册表设置的登记列表,找出哪些不是Windows缺省设置的程序。
运行这个程序,我将看到如下结果:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
INFECTION WARNING! "{D56A1203-1452-EBA1-7294-EE3377770000} " = "Interlinking Memory Support "
-> {CLSID}InProcServer32(Default) = "C:\WINDOWS\System32\param32.dll " [null data]
这就告诉我一个名为c:\windows\system32\param32.dll的文件在计算机中启动了。param32.dll文件不是缺省的Windows配置。要确定这个文件是不是罪魁祸首,我使用Sysinternal软件中的strings.exe程序查看这个文件内部的ASCII字符串。
当在可执行文件中看到列出的字符串时,我们看到了一个HotOffers,我们现在知道我们已经找出了这个问题了。
清除间谍软件第二步:立即行动
安全专家Kevin Beaver:在这种情况下,你应该运行一两种其他反间谍软件扫描工具,看看能否清除间谍软件的感染。遗憾的是,防御间谍软件和广告软件需要多层次的防护措施才能有效。
安全专家Tony Bradley:要防止任何Windows Messenger服务向系统滥发弹出式信息,你需要关闭Windows Messenger服务(不要与MSN Messenger即时消息工具软件相混淆)或者封锁进入UDP端口135、137和138以及TCP端口135、139和445的通信。
用户已经验证,杀毒软件是最新的,并且使用了目前最好的反间谍软件工具之一的“Spybot - Search & Destroy”。 然而,这些反间谍软件工具都不是100%的有效。不要简单地依赖S&D软件的检查结果。用户还应该试一下使用其它的反间谍软件工具,例如Lavasoft公司的Ad-Aware、微软测试版的Windows AntiSpyware和Webroot软件公司的Spy Sweeper。
安全专家Lawrence Abrams:虽然劫持软件不会传播到其它计算机中,但是,这种软件在许多情况下会严重降低IE浏览器的安全设置。因此,在清除这种感染防止进一步感染之前,阻止用户使用被感染的计算机是非常重要的。
转http://security.ccidnet.com/art/1099/20070201/1015489_1.html
所有人都面临间谍软件的威胁,特别是普通的网络用户。这些网络用户总是很快地点击弹出式对话框,按提示安装软件,接受垃圾邮件的馈赠或者浏览恶意的网站。
最佳的预防措施就是对最终用户进行教育。但是,对于大多数人来说,这个事情已经太晚了,间谍软件已经在Windows工作站中疯狂地蔓延开了。为了帮助你识别和修复各种类型的间谍软件的感染,你可以查看一下如下的情况。在做出诊断和介绍三个Windows安全专家讲的课程之后,我们还将介绍一些用户的投诉。你将发现,每一个专家对一个问题都有一个独特的。因此,在解决你自己的间谍软件的问题时,你一定要考虑一下所有这些。
用户的问题:
我为300多个用户提供技术支持。这些用户拥有家庭或者办公室的电脑,采用Windows XP或者Windows 2000操作系统。一些用户报告了下列问题。
当浏览器关闭时(有时候甚至都没有连接到互联网),会出现弹出广告。当打开浏览器时,一个像HotOffers.com的网站出现了,而不是我们内部网的主页。
一个名为“Viewpoint”的搜索工具条出现在浏览器上,无论我们在地址栏内输入什么,这个工具条都一直在搜索。
我有最新的杀毒软件,并且没有发现病毒。使用查杀间谍软件的工具“SpyBot Search & Destroy ”进行扫描之后,发现一些不熟悉的文件,我将删除这些文件。但是,这样并没有解决这些问题。那是什么文件?我如何删除这些文件?请帮忙。
专家提供的补救措施:
清除间谍软件第一步:诊断
安全专家Kevin Beaver:你在这里遇到的问题是人的问题和技术的局限性结合在一起产生的问题。间谍软件和广告软件的启动是用户盲目点击鼠标造成的。当IE浏览器弹出一个对话框,要求在IE中安装一个ActiveX控件或者向用户计算机下载其它貌似安全的游戏、屏幕保护程序等软件时,用户往往随意点击“确认”。
这就是我说的人的问题。这个问题经常发生,因为用户只是想安装软件,弹出式广告就借此机会避开检查想做什么就做什么了。一旦你的用户允许在他们的系统中安装这种软件,根据这种软件的性质,无论用户是否启动IE或者系统是否连接到互联网,这种软件都能够控制Windows计算机的某些方面。这包括启动弹出式广告、修改缺省的主页等。
技术的局限性与查杀间谍软件的工具有关。“Spybot Search & Destroy”对于保护台式电脑并不是万能的,尽管这是我使用的最好的软件工具。
安全专家Tony Bradley:从给出的情况看,这里可能存在两个不同的问题。当计算机甚至还没有连接到互联网的时候也出现弹出式广告,这类程序可能是通过Windows Messenger服务进入用户计算机的。修改浏览器主页和搜索工具条最有可能是浏览器辅助对象(BHO)出现的问题造成的。间谍软件是一种随看随下(drive-by downloads)的软件。当用户访问恶意网站时,间谍软件利用浏览器中的漏洞不需要用户同意就安装在用户的计算机中。
安全专家Lawrence Abrams:当浏览器中的搜索功能和主页被修改之后,通常会出现劫持浏览器的情况,就像“Viewpoint Manager”软件劫持浏览器一样。浏览器劫持一般分为两大类,主动劫持和被动劫持。
主动劫持者是一种在计算机启动时就调入的程序。这种程序持续监视计算机的具体设置,确保这些设置符合劫持者的愿望。被动劫持是在计算机启动时开始运行的程序。这种程序修改某些设置并且上传。一旦你确定这种劫持程序,这些问题是很容易修复的。
首先,你必须确定你处理的是哪一类劫持程序。我使用HijackThis软件进行查找。如果你熟悉程序入口(entry)的位置或者把软件程序与启动数据库进行比较,你就可以找到劫持软件。
在运行HijackThis工具软件时,我们注意到了Viewpoint工具条和Viewpoint管理器的入口。这就是Viewpoint间谍软件的罪证。我们还看到起始页的入口已经被修改了。
至于热力推荐(HotOffers)的问题,修复这个入口似乎并不起作用。他们还是不断地出现,上面提到的事情似乎都不是这个问题的原因。起始页改回到HotOffers的事实说明我们正在处理的问题是主动的劫持。
在这种情况下,我们需要使用另外一种名为“SilentRunners”的工具软件。这个工具能过让我们深入到正在这种自动运行的程序中。
SilentRunners将生成一个关于注册表设置的登记列表,找出哪些不是Windows缺省设置的程序。
运行这个程序,我将看到如下结果:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
INFECTION WARNING! "{D56A1203-1452-EBA1-7294-EE3377770000} " = "Interlinking Memory Support "
-> {CLSID}InProcServer32(Default) = "C:\WINDOWS\System32\param32.dll " [null data]
这就告诉我一个名为c:\windows\system32\param32.dll的文件在计算机中启动了。param32.dll文件不是缺省的Windows配置。要确定这个文件是不是罪魁祸首,我使用Sysinternal软件中的strings.exe程序查看这个文件内部的ASCII字符串。
当在可执行文件中看到列出的字符串时,我们看到了一个HotOffers,我们现在知道我们已经找出了这个问题了。
清除间谍软件第二步:立即行动
安全专家Kevin Beaver:在这种情况下,你应该运行一两种其他反间谍软件扫描工具,看看能否清除间谍软件的感染。遗憾的是,防御间谍软件和广告软件需要多层次的防护措施才能有效。
安全专家Tony Bradley:要防止任何Windows Messenger服务向系统滥发弹出式信息,你需要关闭Windows Messenger服务(不要与MSN Messenger即时消息工具软件相混淆)或者封锁进入UDP端口135、137和138以及TCP端口135、139和445的通信。
用户已经验证,杀毒软件是最新的,并且使用了目前最好的反间谍软件工具之一的“Spybot - Search & Destroy”。 然而,这些反间谍软件工具都不是100%的有效。不要简单地依赖S&D软件的检查结果。用户还应该试一下使用其它的反间谍软件工具,例如Lavasoft公司的Ad-Aware、微软测试版的Windows AntiSpyware和Webroot软件公司的Spy Sweeper。
安全专家Lawrence Abrams:虽然劫持软件不会传播到其它计算机中,但是,这种软件在许多情况下会严重降低IE浏览器的安全设置。因此,在清除这种感染防止进一步感染之前,阻止用户使用被感染的计算机是非常重要的。
转http://security.ccidnet.com/art/1099/20070201/1015489_1.html
[3] 天网防火墙提示C:\WINDOWS\explorer.exe要连接网络.是不是中木马了?搞了两天了,烦呀解决思路
来源: 互联网 发布时间: 2014-02-18
天网防火墙提示C:\WINDOWS\explorer.exe要连接网络.是不是中木马了?搞了两天了,烦呀
我装了天网,从 "开始 "-> "搜寻 ",天网就提示 "是否允许Windows Explorer访问网络?"
文件路径是"C:\WINDOWS\explorer.exe".但这个程序是本地程序,为什么会有这种提示.而且explorer占了70多M的内存
还有一个就是,打开任务管理器,打开"我的电脑"等时,会显示先运行"sysdafer",然后才显示运行"我的电脑".sysdafer是什么东东呀???
有哪位兄弟知道,帮帮我呀.重装了也是这样,都快烦死了
为什么不先查查毒再说呢?
可能你的explorer被植入了dll文件!试一下用进程查看器分析一下该进程的dll文件。看看有什么可疑的dll,找到它的位置,在安全模式下把dll删掉....
会显示先运行"sysdafer",然后才显示运行"我的电脑".sysdafer是什么东东呀???
------------
不是很明白
但这个程序是本地程序,为什么会有这种提示
----------
可能是正常的 天网拦截数据比较那个
用冰刃打开进程看看,
很好用的
可能安装盘问题,不要用改装版本的windows安装,可能一开始就有问题.
可能新型病毒.
可能你自己的其他非常用软件.
explorer不会访问网络,所以更大的可能就说你中马了
你不装天网试试。为什么非得要装天网呢。
好像没有中木马
查查是不是引导型病毒.
其实你可以关闭天网,只要运行正常。资源没有变化,安装麦克非 如果杀不到毒,那就是心理问题里了。
防火墙我不推荐非专业人士使用。给你报的错,你会感到莫名其妙。提示链接网络本身就很正常的。有很多本地文件 需要的。
我装了天网,从 "开始 "-> "搜寻 ",天网就提示 "是否允许Windows Explorer访问网络?"
文件路径是"C:\WINDOWS\explorer.exe".但这个程序是本地程序,为什么会有这种提示.而且explorer占了70多M的内存
还有一个就是,打开任务管理器,打开"我的电脑"等时,会显示先运行"sysdafer",然后才显示运行"我的电脑".sysdafer是什么东东呀???
有哪位兄弟知道,帮帮我呀.重装了也是这样,都快烦死了
为什么不先查查毒再说呢?
可能你的explorer被植入了dll文件!试一下用进程查看器分析一下该进程的dll文件。看看有什么可疑的dll,找到它的位置,在安全模式下把dll删掉....
会显示先运行"sysdafer",然后才显示运行"我的电脑".sysdafer是什么东东呀???
------------
不是很明白
但这个程序是本地程序,为什么会有这种提示
----------
可能是正常的 天网拦截数据比较那个
用冰刃打开进程看看,
很好用的
可能安装盘问题,不要用改装版本的windows安装,可能一开始就有问题.
可能新型病毒.
可能你自己的其他非常用软件.
explorer不会访问网络,所以更大的可能就说你中马了
你不装天网试试。为什么非得要装天网呢。
好像没有中木马
查查是不是引导型病毒.
其实你可以关闭天网,只要运行正常。资源没有变化,安装麦克非 如果杀不到毒,那就是心理问题里了。
防火墙我不推荐非专业人士使用。给你报的错,你会感到莫名其妙。提示链接网络本身就很正常的。有很多本地文件 需要的。
最新技术文章: