本文目录一览:
- 1、木马有几种启动方式?
- 2、打开方式用记事本打开病毒文件,会不会中毒?
- 3、如何用记事本杀毒?
- 4、如何删除一个“顽固”木马病毒?
- 5、请问我的电脑老是有hosts木马病毒,麦克菲修不了,我用记事本打不开,也不能移动或复制,怎么办?谢谢了
木马有几种启动方式?
键盘记录木马
这个特洛伊木马很简单。他们只做一件事,那就是记录受害者的键盘击键,并在LOG文件中找到密码,然后由Windows启动来启动它。他们具有在线和离线记录选项,当您在在线和离线状态下敲击键盘时,可以记录击键,以便您可以按一下按钮,黑客就可以从记录中知道,并且很容易就可以将您从它。有用的信息,例如密码,甚至您的信用卡帐户!当然,对于这种类型的特洛伊木马,许多都具有邮件发送功能,它将自动将密码发送到黑客指定的邮箱。
DoS攻击木马
当黑客入侵计算机并向其发出DoS攻击木马时,此计算机将不会反映在受感染的计算机中,而不是计算机中。受攻击控制的肉鸡数量越多,发起Dos攻击的可能性就越大。黑客使用它来攻击一台计算机,从而对网络造成巨大的破坏和损失。
还有一个类似DoS的木马,称为邮件炸弹木马。一旦机器被感染,特洛伊木马程序将随机生成各种主题的信件,并将继续向特定的邮箱发送电子邮件,直到对方感到尴尬并且无法接受邮件为止。
FTP木马
该木马可能是最简单,最古老的木马。它的唯一功能是打开21入口并等待用户连接。现在,新的FTP木马还增加了密码功能,以便只有攻击者才能知道正确的密码并进入另一台计算机。
反弹端口型木马
在分析了防火墙的特征之后,特洛伊木马开发人员发现防火墙通常对连接的链接执行非常严格的过滤,但是撤离了所连接的链接。与典型的Trojan相比,退回端口Trojan的服务器(控制台)使用主动端口,而客户端(控制台)使用被动端口。通常在80时开放,即使用户使用扫描软件检查自己的端口,他们也会发现类似的TCPUserIP:1026控制器IP:80ESTABLISHED的情况,有点疏忽,会认为他们正在浏览Web,因为正在浏览网络将打开80。
特洛伊木马
对于黑客而言,在入侵时掩盖自己的足迹非常重要。防止发现其身份非常重要。因此,代理特洛伊木马程序最重要的任务是为受控肉鸡种下特洛伊木马并将其转变为攻击者。。通过代理特洛伊木马,攻击者可以在匿名情况下使用Telnet,ICQ,IRC等隐藏自己的踪迹。
程序杀手木马
尽管以上木马的功能多种多样,但既要在另一台机器上发挥自己的作用,又要防范木马软件。常见的反木马软件是ZoneAlarm,NortonAnti-Virus等。程序杀手Trojan的功能是关闭在另一台计算机上运行的此类程序,以便其他Trojans可以更好地工作。
扩展资料:
检测和寻找木马隐藏的位置
木马侵入系统后,需要找一个安全的地方选择适当时机进行攻击,了解和掌握木马藏匿位置,才能最终清除木马。木马经常会集成到程序中、藏匿在系统中、伪装成普通文件或者添加到计算机操作系统中的注册表中,还有嵌入在启动文件中,一旦计算机启动,这些木马程序也将运行。
安装防火墙
防火墙在计算机系统中起着不可替代的作用,它保障计算机的数据流通,保护着计算机的安全通道,对数据进行管控可以根据用户需要自定义,防止不必要的数据流通。安装防火墙有助于对计算机病毒木马程序的防范与拦截。
打开方式用记事本打开病毒文件,会不会中毒?
不会因为使用记事本打开而中毒,不过很多病毒并不是用户运行才会发作
用记事本只能看到
乱码
,用winhex吧
如何用记事本杀毒?
越来越多的木马采用双进程守护技术保护自己,就是两个拥有同样功能的代码程序,不断地检测对方是否已经被别人终止,如果发现对方已经被终止了,那么又开始创建对方,这给我们的查杀带来很大的困难。不过,此类木马也有“软肋”,它只通过进程列表进程名称来判断被守护进程是否存在。这样,我们只要用记事本程序来替代木马进程,就可以达到“欺骗”守护进程的目的。 1.双进程木马的查杀 下面以某变种木马的查杀为例。中招该木马后,木马的“internet.exe”和“systemtray.exe”两个进程会互相监视。当然,我们中招的时候大多不知道木马具体的监护进程。不过,通过进程名称可以知道,“systemtray.exe”是异常的进程,因为系统正常进程中没有该进程。下面使用替换方法来查杀该木马。 第一步:单击“开始→运行”,输入“Msinfo32”打开系统信息窗口,展开“系统摘要→软件环境→正在运行任务”,这里可以看到“systemtray.exe”路径在“C:\Windows\System32”下。 第二步:打开“C:\Windows\System32”,复制记事本程序“notepad.exe”到“D:\” ,同时重命名为“systemtray.exe”。 第三步:打开记事本程序,输入下列代码,保存为“shadu.bat”,放置在桌面(括号为注释,无须输入): @echo off Taskkill /f /im systemtray.exe (使用taskkill命令强行终止“systemtray.exe”进程) Delete C:\Windows\System32\systemtray.exe (删除病毒文件) Copy d:\systemtray.exe C:\Windows\System32\(替换病毒文件) 第四步:现在只要在桌面运行“shadu.bat”,系统会将“systemtray.exe”进程终止并删除,同时把改名的记事本程序复制到系统目录。这样,守护进程会“误以为”被守护进程还存在,它会立刻启动一个记事本程序。 第五步:接下来我们只要找出监视进程并删除即可,在命令提示符输入: “taskkill /f /im systemtray.exe ”,将守护进程再生的“systemtray.exe”终止,可以看到“systemtray.exe”进程是由“PID 3288的进程”创建的,打开任务管理器可以看到“PID 3288的进程”为“internet.exe”,这就是再生进程的“元凶”。 第六步:按照第一步方式,打开系统信息窗口可以看到“internet.exe”也位于系统目录,终止“internet.exe”进程并进入系统目录把上述两个文件删除即可。 2.使病毒失效并删除 大家知道,文件都是由编码组成的,记事本程序理论上可以打开任意文件(只不过有些会显示为乱码)。我们可以将病毒打开方式关联到记事本,使之启动后变成由记事本打开,失去作恶的功能。比如,一些顽固病毒常常会在注册表的“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”等启动位置生成难以删除的键值,达到恶意启动的目的。下面使用记事本来“废”掉病毒的生命力。 第一步:启动命令提示符,输入“ftype exefile=notepad.exe %1”,把所有EXE程序打开方式关联到记事本程序,重启系统后我们会发现桌面自动启动好几个程序,这里包括系统正常的程序如输入法、音量调整程序等,当然也包括恶意启动的流氓程序,不过现在都被记事本打开了。 第二步:根据记事本窗口标题找到病毒程序,比如上例的systemtray.exe程序,找到这个记事本窗口后,单击“文件→另存为”,我们就可以看到病毒具体路径在“C:\Windows\System32”下。现在关掉记事本窗口,按上述路径提示进入系统目录删除病毒即可。 第三步:删除病毒后就可以删除病毒启动键值了,接着重启电脑,按住F8,然后在安全模式菜单选择“带命令提示的安全模式”,进入系统后会自动打开命令提示符。输入“ftype exefile="%1"%*”恢复exe文件打开方式即可
求采纳
如何删除一个“顽固”木马病毒?
1.重新启动Windows操作系统后,再按常规方式删除文件。
2.在DOS(或命令提示符)界面中用Del、Deltree之类的命令删除。
3.利用非Windows资源管理器的第三方工具删除,例如具有浏览文件夹功能的Total Commander、ACDSee、FlashFXP、Nero等软件。
4.如果你安装了两个以上的操作系统,那么就可以在当前系统中删除其它操作系统的文件。
5.在启动时按F8键选择进入安全模式执行删除操作。
下面,我们将针对具体问题做具体分析,为大家介绍因各种原因不能删除文件时应采取的非常规方法。
二、删除“其它程序正在使用”的文件
问题表现:
Windows XP系统中,准备删除一个大容量的AVI格式文件,但系统却总是提示无法执行删除操作,有别的程序在使用,即使刚开机进入Windows系统时也是如此。
问题解决:
方法1:打开记事本,点击菜单栏“文件”→“另存为”,命名文件和你想删除的那个文件名一致(包括扩展名),而后进行替换,会发现容量变为0 KB了。此时,执行删除命令即可。
方法2:在那个AVI文件同目录中新建一个文件夹,然后重新启动。现在,不要选那个AVI文件,先选择适才新建的文件夹,然后再同时按Ctrl键+那个AVI文件,执行删除操作。
方法3:把AVI文件的扩展名改为其它任意无效的文件类型,再执行删除操作。
方法4:有一个一劳永逸的方法就是禁用Windows XP的媒体预览功能,点击“开始”→“运行”,输入:“CMD”后回车。然后在“命令提示符”窗口下输入:regsvr32 /u shmedia.dll
回车确认操作后将卸载视频文件的预览功能。以后在需要恢复视频文件预览功能时,在“命令提示符”中输入:regsvr32 shmedia.dll命令即可。
方法5:启动曾播放过那个AVI文件的媒体播放器,打开另一个文件。此后,再尝试删除即可。
方法6:可用WinRAR程序删除,用鼠标右键单击那个AVI文件,在弹出菜单中选择“添加到压缩文件”,而后在弹出窗口的“常规”标签页中选择“压缩后删除源文件”复选框。确认操作后,执行压缩操作。最后再删除该压缩文件。
方法7:调出“Windows任务管理器”,在其中选择结束Explorer进程,但此时不要关闭该窗口。这时候,会出现像死机一样的状况。我们切换到“应用程序”标签页,点击“新任务”按钮,输入Explorer.exe 并确认操作。此后,桌面又恢复正常了,再执行删除操作即可。
三、巧妙删除“非空文件夹”或“坏文件”
问题表现:
在Windows XP系统下(NTFS分区格式),无论是在资源管理器还是用第三方工具都删除不了指定文件,例如用Total Commander删除,先提示文件夹非空,确认后没任何反应。即使用DOS盘启动,加载ntfs for dos pro可读写版本,也删除不了,提示说是“坏的文件名”,但是可以看到该文件夹。
问题解决:
这种情况下的文件无法删除很有可能是由于在NTFS格式下长文件名造成的。我们可以使用8.3格式缩小长度或更改路径中部分目录名以减少路径的长度。例如可以暂时把路径中某些目录改名字,或在命令行模式下使用8.3格式。例如,“Linux Faq”的目录变成8.3就是“LINUXF~1”了,通过“Linuxf~1”就能进入目录了,此后就可以使用Del命令删除指定文件了。如果需要删除目录,则使用Rd命令。
四、巧妙删除“指定程序或文件正在使用”的文件
问题表现:
在执行删除文件操作时,系统在弹出对话框中提示指定程序或文件正在使用,无法删除之类的警告信息。
问题解决:
方法1:对于此类情况,我们可通过结束预删除文件的相关进程来解决问题。那么,如何能获知指定文件与哪些进程相关联呢?可以使用WhoLockMe这款小工具一探究竟。我们运行“Install.exe”先安装该程序。
下面,进入预删除文件所在目录,用鼠标右键单击该文件,在弹出菜单中选择“Who Lock Me?”。
这时会弹出“Lockers”窗口,在其中我们可以获知当前所有调用该文件的进程。
选定其中的进程名称后,点击“Kill Process”按钮,弹出“Kill-Confirmation”对话框,在此点击“是”按钮确认结束进程操作即可。结束所有相应进程后,就可以通过正常途径删除指定文件了。
小提示:其实这种方法尤其适用于删除木马服务器,这种极有威胁性的小东东只有封杀了与其相关的所有进程后才能删除。
方法2:如果指定程序或文件所调用的DLL动态链接库文件还在内存中未释放,删除时也会提示文件正在使用。这种情况下,我们在DOS环境中删除系统的页面文件即可,Windows 9X系统中是“WIN386.SWP”文件(位于系统盘的Windows目录中),Windows 2000/XP系统中是“pagefile.sys”文件(位于系统盘根目录下)。
方法3:如果系统中常驻病毒防火墙,而它在扫描查毒时正在检查你准备删除的文件,那么系统也会提示文件正在使用。此时,我们只需要暂停实时监控操作即可。
五、巧妙删除其它类别的怪文件
1.用户权限问题导致无法删除文件
如果当前的Windows用户登录身份不具有删除指定文件/文件夹的权限(针对Windows NT/2000/XP/2003操作系统),只要重新以管理员身份登录即可。
2.非法字符导致文件或文件夹无法删除
如果是由于非法字符导致文件或文件夹无法删除,可以在“命令提示符”界面中进入要删除文件的目录,输入“dirdel.bat”,利用DOS的管道命令把当前目录的文件列表自动输入到批处理命令文件“del.bat”中,然后修改该批命令文件,仅保留文件或目录名,并在文件或者目录名称前增加“del ”或者“rd”,然后运行批处理命令即可删除。
3.无法删除系统中的任何文件
查看系统中是否安装了具有反删除功能的防护软件,如果是则将其删除即可。
请问我的电脑老是有hosts木马病毒,麦克菲修不了,我用记事本打不开,也不能移动或复制,怎么办?谢谢了
系统核心文件,不必动。
一. Hosts文件的位置
很多用户都知道在Window系统中有个Hosts文件(没有后缀名),在Windows 98系统下该文件在Windows文件夹。
在Windows 2000/XP/Vista系统中位于\%Systemroot%\System32\Drivers\Etc 文件夹中,其中,%Systemroot%指系统安装路径。例如,Windows XP 安装在C:\WINDOWS,那么Hosts文件就在C:\WINDOWS\system32\drivers\etc中。
你也可以用windows自带的查找功能搜索找到hosts文件。
该文件其实是一个纯文本的文件,用普通的文本编辑软件如记事本等都能打开和编辑。
二. Hosts文件的基本内容和语法
用记事本打开hosts文件,就可以看见了微软对这个文件的说明。Hosts文件文一般有如下面的基本内容
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
127.0.0.1 localhost
这个文件是根据TCP/IP for Windows 的标准来工作的。它的作用是定义IP地址和
Host name(主机名)的映射关系,是一个映射IP地址和Host name (主机名) 的规定。这个规定中,要求每段只能包括一个映射关系,也就是一个IP地址和一个与之有映射关系的主机名。 IP地址要放在每段的最前面,映射的Host name(主机名)在IP后面,中间用空格分隔。对于这段的映射说明,用“#”分割后用文字说明。
三. Hosts文件的工作方式
现在让我们来看看Hosts在Windows中是怎么工作的。
我们知道在网络上访问网站,要首先通过DNS服务器把要访问的网络域名(XXXX.com)解析成XXX.XXX.XXX.XXX的IP地址后,计算机才能对这个网络域名作访问。
要是对于每个域名请求我们都要等待域名服务器解析后返回IP信息,这样访问网络的效率就会降低,因为DNS做域名解析和返回IP都需要时间。
为了提高对经常访问的网络域名的解析效率,可以通过利用Hosts文件中建立域名和IP的映射关系来达到目的。根据Windows系统规定,在进行DNS请求以前,Windows系统会先检查自己的Hosts文件中是否有这个网络域名映射关系。如果有则,调用这个IP地址映射,如果没有,再向已知的DNS服务器提出域名解析。也就是说Hosts的请求级别比DNS高。
四. Hosts文件的工作方式和具体作用
现在来看一下Hosts文件的工作方式以及它在具体使用中起哪些作用。
1、加快域名解析
对于要经常访问的网站,我们可以通过在Hosts中配置域名和IP的映射关系,提高域名解析速度。由于有了映射关系,当我们输入域名计算机就能很快解析出IP,而不用请求网络上的DNS服务器。
2、方便局域网用户
在很多单位的局域网中,会有服务器提供给用户使用。但由于局域网中一般很少架设DNS服务器,访问这些服务器时,要输入难记的IP地址。这对不少人来说相当麻烦。现在可以分别给这些服务器取个容易记住的名字,然后在Hosts中建立IP映射,这样以后访问的时候,只要输入这个服务器的名字就行了。
3、屏蔽网站
现在有很多网站不经过用户同意就将各种各样的插件安装到你的计算机中,其中有些说不定就是木马或病毒。对于这些网站我们可以利用Hosts把该网站的域名映射到错误的IP或本地计算机的IP,这样就不用访问了。在WINDOWSX系统中,约定127.0.0.1为本地计算机的IP地址, 0.0.0.0是错误的IP地址。
如果,我们在Hosts中,写入以下内容:
127.0.0.1 # 要屏蔽的网站 A
0.0.0.0 # 要屏蔽的网站 B
这样,计算机解析域名 A和 B时,就解析到本机IP或错误的IP,达到了屏蔽网站A 和B的目的。
4、顺利连接系统
对于Lotus的服务器和一些数据库服务器,在访问时如果直接输入IP地址那是不能访问的,只能输入服务器名才能访问。那么我们配置好Hosts文件,这样输入服务器名就能顺利连接了。
五. 屏蔽不想访问的网站的例子
这里给出一些收集到的利用Hosts文件对一些网址屏蔽的例子,共大家学习使用Hosts文件时参考。
例1.
在 hosts文件中加入如下内容就可以屏蔽文件中定义的对应的网址。
127.0.0.1 localhost
127.0.0.1 download.3721.com
127.0.0.1 3721.com #3721网络实名
127.0.0.1 3721.net #3721网络实名
127.0.0.1 cnsmin.3721.com #3721网络实名
127.0.0.1 cnsmin.3721.net #3721网络实名
127.0.0.1 download.3721.com #3721网络实名
127.0.0.1 download.3721.net #3721网络实名
127.0.0.1 #3721网络实名
127.0.0.1 #3721网络实名
例2.
在 hosts文件中加入如下内容就可以屏蔽文件中定义的对应的网址。
127.0.0.1 localhost
127.0.0.1 bar.baidu.com #百度IE搜索伴侣
127.0.0.1 #百度IE搜索伴侣
127.0.0.1 baidu.com #百度IE搜索伴侣
例3.
免疫一些病毒
# *********免疫机器狗木马病毒******************
127.0.0.1 yu.8s7.net
127.0.0.1 1.jopanqc.com
127.0.0.1 2.joppnqq.com
127.0.0.1 wg.47255.com
127.0.0.1 1.joppnqq.com
127.0.0.1 xxx.m111.biz
127.0.0.1 1.jopenqc.com
127.0.0.1 1.jopenkk.com
127.0.0.1 xxx.vh7.biz
127.0.0.1 xxx.j41m.com
127.0.0.1 3.joppnqq.com
127.0.0.1 d.93se.com
127.0.0.1
127.0.0.1 xxx.mmma.biz
127.0.0.1 ilove.com
127.0.0.1 tp.shpzhan.cn
127.0.0.1
127.0.0.1
127.0.0.1
127.0.0.1 xx.exiao01.com
127.0.0.1
127.0.0.1
127.0.0.1 new.749571.com
127.0.0.1 xtx.kv8.info
127.0.0.1 cao.kv8.info
127.0.0.1 1.jopmmqq.com
127.0.0.1 171817.171817.com
127.0.0.1 d2.llsging.com
127.0.0.1 down.malasc.cn
127.0.0.1 llboss.com
127.0.0.1 nx.51ylb.cn
127.0.0.1 my.531jx.cn
127.0.0.1 qqq.dzydhx.com
127.0.0.1 qqq.hao1658.com
127.0.0.1
127.0.0.1 down.18dd.net
127.0.0.1 up.22x44.com
127.0.0.1 aaa.faba01.com
127.0.0.1 bad.tqdlt.cn
127.0.0.1 1.chsipo.com
127.0.0.1 c3.aishangai.net
127.0.0.1 c2.aishangai.net
127.0.0.1 xxx.188dm.com
127.0.0.1 x2.1a2b3c1.com
127.0.0.1 d1.163500.net
127.0.0.1 down.google-serv.cn
# *********结束******************
# *********免疫磁碟机dummycom病毒******************
127.0.0.1 gxgxy.net 127.0.0.1 c0mo.com
# *********免疫磁碟机dummycom结束******************
最后要指出的是,Hosts文件配置的映射是静态的,如果网络上的计算机更改了请及时更新IP地址,否则将不能访问。
