病毒--挣扎与抗争

2007，AUTO病毒大行其道

流风 — Sun, 09 Dec 2007 11:18:00 GMT

AUTO病毒，也可以叫U盘病毒，因为最早是由U盘开始传播的，就是在U盘甚至硬盘各分获的根目录下生成autorun.inf文件，并在U盘的右键菜单上出现“AUTO”。当然autorun.inf文件本身并不具有危害，但里面的内容会指向一个病毒文件，在打开U盘或硬盘的时候，就会由autorun.inf激活它指向的病毒文件，从而产生危害。这种病毒文件并无统一的名字，......

瑞星2008最新体验

流风 — Wed, 26 Sep 2007 02:15:00 GMT

瑞星2008测试结束后推出免费的全功能体验版，听说比测试版有改进，特地来试试。先是在我的虚拟机上的XP内安装，以前在上面装过瑞星测试版的2008，按瑞星说法，测试版可以直接升级到体验版，但不知道是我太久没搭理测试版，一直没升过级导致直接过渡困难，还是因为虚拟机连网慢，没耐性等，直接卸载了旧的下新的重新装。装完后比较来看，确实在内存占用上比测试版要好，比2......

几个疑似恶意软件的摘录

流风 — Thu, 09 Aug 2007 14:14:00 GMT

网上抄来的，好象是金山毒霸的描述报告，主要是对它们几个驱动文件名感兴趣，可以作为以后判断的依据，特此收录。 1，百度超级搜霸，百度搜索伴侣：捆绑安装；浏览器劫持(添加ie搜索工具条、地址栏搜索)；驱动(adsrsvc.SYS,BDGuard.SYS)强力保护文件、注册表信息不被删除(用户上报为病毒，发现是百度的驱动保护模块文件，因此未作病毒处理)。 2,......

几个可疑文件辨析

流风 — Thu, 09 Aug 2007 14:10:00 GMT

这一段看SREng日志中摘出来的可以判定为病毒的文件： 1、promote.dll yahoo的相关文件(估计是上网助手之类的吧，也许不算病毒，但至少可以安全删除) 2、%SystemRoot%\SYSTEM3......

C盘下的sqmdata00.sqm,sqmdata01.sqm是什么

流风 — Mon, 06 Aug 2007 02:35:00 GMT

C盘下出现一些文件：sqmdata00.sqm,sqmdata01.sqm...... 这是WindowsLive Messenger 8.0用来保存自定义图释的文件，可以删除，但删除后还会出现。彻底清除：打开Windows Live Messenger 8.0 ，选择工具 -> 选项 -> 消息，然后取消“显示自定义图释” 前面的勾，最后删除C盘下......

npf.sys是什么文件

流风 — Wed, 01 Aug 2007 08:03:00 GMT

最近一段在SREng日志中经常看到npf.sys文件 [NetgroupPacket Filter / NPF][Running/Manual Start] 应该说它并不是个病毒，从网上资料看，npf.sys应该是Winpcap的一部分。而Winpcap是一种网......

杀毒软件出现初始化(0xc00000ba)失败的解决方法

流风 — Tue, 31 Jul 2007 03:15:00 GMT

(转自：360安全论坛尤金·卡巴斯基) 内容有修改并增加免疫方法打开杀毒软件、360等清理软件，系统提示应用程序正常初始化(0xc00000ba)失败，目前为止认定是由于ws2_32.dll文件夹或者是MFC42.DLL文件夹导致的应用程序正常初始化失败。 Ⅰ部分 ws2_32.dll是Windows Sockets应用程序接口，用于支持......

C盘根目录下出现cmd.txt和response.txt

流风 — Mon, 30 Jul 2007 10:23:00 GMT

以前有看到，发现只要有装QQ就有出现，不象是病毒的样子。今天有人问，就去网上搜索下。网上果然有解释，特抄之： 1.cmd.txt文件内容： bugreport.qq.comToolVer=1.0&AppName=QQ&AppBuild=1630228&ErrAdd=004ef5dc&OSId=00000002&OSMajVer=00000005&OS......

TesSafe.sys

流风 — Sat, 28 Jul 2007 11:42:00 GMT

以前认为TesSafe.sys是病毒，不料一次检查病毒，把这个文件挑出来，却被告之QQ某个游戏不能运行，报缺少TS，可能是TesSafe.sys吧。到网上去找半天，总算找到，原来TesSafe.sys确实是腾讯TENCENT的文件，验明正身，它是好人，SREng怎么没显示出来。 [TesSafe/ TesSafe][Stopped/Manual Sta......

杀毒软件和HIPS的比喻

流风 — Mon, 16 Jul 2007 13:45:00 GMT

杀毒软件是拿着通缉犯照片站岗的保安，靠识别特征吃饭，对照片、抓坏人，如果对方化过装、整过容的就不一定能看出来了，至于其它没照片的也放过了，总之不在照片上的统统自由进出。所以这种保安的安全性在于他能不能及时拿到照片(升级)，有个别的专业能力好的，还有一定揭穿嫌疑人伪装的能力(脱壳)，甚至有的更厉害的，能从对方言谈举止中判断真实身份(查杀未知病毒)。 HIPS......

有关navlogon.dll

流风 — Wed, 11 Jul 2007 13:12:00 GMT

今天看到一个文件navlogon.dll，在c:\windows\system32下。到网上查了下，发现有如下记录......

C盘根目录下出现的.rnd文件

流风 — Tue, 10 Jul 2007 13:43:00 GMT

C盘根目录下出现的.rnd文件是什么......

解决Generic Host Process for Win32 Services遇到问题需要关闭(转)

流风 — Tue, 10 Jul 2007 13:33:00 GMT

解决Generic Host Process for Win32 Services遇到问题需要关闭......

关于svchost.exe的CPU占用率过高的原因以及解决方法

流风 — Sun, 08 Jul 2007 02:27:00 GMT

转自：http://hi.baidu.com/%B4%E5%C9%CFֲ%CA%F7/blog/item/958e811353629e806538dbd8.html 前两天电脑经常开机后CPU占用率就90%多，卡的玩儿不了游戏，最后确定是其中的一个svchost.exe搞的鬼，看来跟本地服务有关，没办法，又得忙活一下了。因为我一直对Windows中的......

删除runauto.. 的方法

流风 — Sat, 07 Jul 2007 15:43:00 GMT

类似题目中的样式，文件夹的名字后有两个点，如abc..，如果删除这样的文件夹会提示：“abc..引用了一个不可用的位置,它可能是在本机或网络上的计算机上的硬盘驱动器,请检查以确认此盘正确连接,或者您连接到的internet或在网络上,然后再试一次,如果仍然不能定位可能信息已经被转移到其他地方”，而不能删除。删除的方法是：进入命令行格式(开始-运......

SREng(System Repair Engineer)2.5版发布

流风 — Wed, 04 Jul 2007 03:11:00 GMT

2.5.16.900 发布日期：2007/07/04 增加多语言外置资源DLL支持：通过外挂不同的资源DLL实现对多语言的支持，而无须重新编译SystemRepair Engineer (SREng)主程序模块。增加繁体语言界面的官方支持。增加使用内核驱动进行Win32 API HOOK的详细信息显示功能：能够智能显示被HOOK的API是由哪个内......

“ARP 欺骗”的方式和原理——资料记录备查

流风 — Wed, 04 Jul 2007 02:34:00 GMT

从影响网络连接通畅的方式来看，ARP欺骗大概可以分为两种。一种是对路由器ARP表的欺骗，这种方法可以破坏系统的ARP缓存表，从而组成内外IP地址的混乱。另一种是对局域网里面计算机的网关欺骗，让内网计算机系统的数据报通过假网关来发送。第一种ARP 欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行地址的更换，使真实的......

HIPS——食之无味，弃之可惜

流风 — Mon, 02 Jul 2007 09:23:00 GMT

一直对HIPS有一番话想说，但是因为最近比较忙，而且本人比较懒，所以一直没有动手！今天看了“一条小河”兄的《最尴尬莫过于hips》一文，觉得我也该发表一下，一直闷在心里的一番话！对于HIPS，我认识的不深，从咖啡开始接触，到卡巴的主动防御，再到SSM，用过了卡巴621和SSM以后我已经不想再深入了！原因有三：一、高手不需要，菜鸟用不好 HIPS的防......

用arp –a命令查找中毒主机

流风 — Mon, 02 Jul 2007 04:40:00 GMT

arp欺骗简单说，就是网内某主机中毒假冒网关IP，向网内发数据包欺骗其它电脑认为它是网关，使其它电脑前往网关的数据转向该中毒电脑，从而导致网内断网。要找到这台中毒电脑可以试下用arp命令。从开始-运行-输入cmd，进入命令行格式，再输入arp –a命令，回车。不要在运行中直接输入arp –a，这样，命令显示的结果只会一闪而过。 Arp –a能显示出本机......

杀软会“主动”，谁也挡不住

流风 — Sat, 30 Jun 2007 02:09:00 GMT

现在杀软也开始涉水主动防御了，卡巴、微点，据说江民也有。好事，杀软永远不能只跟在病毒后面跑，光靠特征码杀毒防毒追不上井喷式的病毒产生速度，主动防御应该是必行之路，一些HIPS(主机入侵防御系统)软件已经在走这条路，但它们不具备杀毒能力，而且操作繁琐且众多，恐怕普通用户是受不了的，所以在智能化、傻瓜式操作方面还是远远不够的。如果杀软能进入此领域，确实能够弥补以......

收集的一些正常注册表、服务、驱动项

流风 — Fri, 29 Jun 2007 02:05:00 GMT

收集的一些正常注册表、服务、驱动项，别当作病毒删除了......

查杀网页浏览所带的病毒、iframe病毒(转)

流风 — Thu, 28 Jun 2007 06:54:00 GMT

查杀网页浏览所带的病毒，iframe病毒许多人都有过IE启动慢，被莫名下载病毒程序，即使正规的网站也会。如果你遇到可参考如下：前两天发现机器打开自己本地的网页速度很慢，察看IE底部的显示，正在下载http://***.htm查看源代码，发现自己的页面包括jsp,html所有的网页文件尾部都被加上了一句iframe语句指向那个网址当你运行网页的时候......

谁是“健康商城”的真正帮凶？

流风 — Thu, 28 Jun 2007 02:20:00 GMT

董师傅：近一段时间有不少网友反映，在使用IE浏览网页、瑞星卡卡、QQ、迅雷的时候，会频繁弹出一个名为“健康商城”的成人网站页面。遭骚扰的用户主要分布在西南、西北、北方等地区，而且同为网通用户。以前每当出现这种情况后人们的第一反应就是，自己的系统可能被安装了某些流氓软件，可是用专业工具检测却并无病毒、木马、流氓软件等恶意程序，很多网友一下子陷入了迷茫之中。那“......

诺顿公布误杀事件赔偿方案 27日将开通理赔网站

流风 — Tue, 26 Jun 2007 13:19:00 GMT

新浪科技讯6月25日11:20消息，赛门铁克今日就诺顿误报简体中文版WindowsXP系统文件事件公布赔偿方案，并再次对此次事件中受影响的用户深表歉意。受损用户的赔偿申请工作将于6月27日正式展开。　　赛门铁克在今日早间公布的方案中表示，受影响的个人用户将获得12个月的延长使用期限，并获赠诺顿存储还原大师2.0软件；而企业级用户则将根据受影响PC数量获......

一个突破e盾的想法

流风 — Mon, 25 Jun 2007 14:29:00 GMT

e盾就是EQSecure，一款HIPS，主机入侵防御软件，也有说是系统安全防火墙的，也就是拦截危险操作,避免类似病毒和间谍软件的安全威胁.包括进程,注册表以及文件以保护系统。有人不断追捧，说成天下无敌。其实原理就是手工控制电脑上的一切，也就是说所有电脑上的软件动作都报于你知，由你决定是否执行，安装、删除、注册表改动等等，如果你对电脑软件知识有一定基础，你可以......

国外分析师预言反病毒软件将死

流风 — Fri, 22 Jun 2007 07:19:00 GMT

据国外媒体报道，在6月13日的赛门铁克VISION2007用户大会上，来自Yankee Group研究机构的安全专家Andrew Jaquith表示杀毒软件将无法有效率地处理日益增多的恶意程序，并预言杀毒软件未来将死去。 Jaquith认为，来自互联网的主要威胁正在由电脑病毒转向恶意程序及木马，“在这样的情况下，过去采用的特征库判别法显然已经过时，在不久的......

使用SREngLog分析助手分析SREng日志

流风 — Mon, 18 Jun 2007 13:52:00 GMT

本文使用的是SREngLog分析助手1.2特别版，目前已经有修正版，可以去作者的博客http://egomoo.i170.cn/去下载。首先通过“剪贴板导入”或“文件导入”将自己或别人用sreng扫描的日志导入助手。然后点读取分析，助手会自动将日志中的内容分类显示到各页，你就可以方便地逐项目研究分析(比起原来从头到尾看一大篇日志好多了，真的感谢作......

病毒制造者，高手？

流风 — Thu, 14 Jun 2007 13:28:00 GMT

上次李某人入狱(熊猫)，有人说可惜了高手。真是高手吗？所有病毒制造者都是高手吗？不说病毒制造已经从编程走向工具软件化，也不说社会道德和行业道德(盗亦有道，皮这不存，毛将焉附，网络废了，程序有何用，何况病毒)，就算是自己写出的程序，也叫高手？就象杀人犯不一定都是武林高手一样，也许只是习惯于躲在阴暗的角落，拿一条裤腰带，伺机向一个路过的六七十岁的老太婆下手，还是......

“AV终结者”肆虐赶超熊猫烧香（附解决办法）

流风 — Thu, 14 Jun 2007 07:22:00 GMT

各厂商终于有反映了，也有方法，这下处理简单了吧 *************************************************** 近日，国内各反病毒中心监测到，一种采用“映像劫持”技术的病毒正在互联网上大肆流窜，其特征为：病毒运行后，会产生一个由数字和字母随机组成的8位名称的病毒进程，并且尝试关闭多款杀毒软件、防火墙和安全工具进程，......

瑞星关于部分用户被 “健康商城”网站骚扰的声明

流风 — Sun, 10 Jun 2007 14:11:00 GMT

来源：瑞星公司近日，瑞星客服中心收到一些用户的反应，在使用瑞星杀毒软件、瑞星卡卡的时候，会频繁弹出一个名为“健康商城”的网页，遭骚扰的用户主要分布在北京、天津、辽宁、河南、贵州、四川等地区。此前，包括QQ、迅雷、淘宝旺旺等著名软件也曾遭到此恶意网页的骚扰。经过瑞星网络安全专家对用户机器的检测，出现此现象的机器上并无病毒、木马、流氓软件等恶意程序，瑞星......

Autorun.inf(自动运行)病毒的升级

流风 — Fri, 08 Jun 2007 07:03:00 GMT

最近有人说遇到auto病毒，即在硬盘分区根目录下有autorun.inf文件，用右键打开也会中毒。查看提供的脚本，发现autorun.inf的编写也升级了。先看看autorun.inf的编写规则： 1.自动播放. 若想在驱动器右键生成"自动播放"菜单项，点击时可以自动运行(原先是用于光盘的自动运行的，许多光盘上都可以看到这个文件，它们可不是病毒)。可......

关于诺顿误杀的迟到评论

流风 — Sun, 03 Jun 2007 02:59:00 GMT

诺顿误删XP中文版系统文件导致系统崩溃发生一两周了，不想太早说什么，只想等等看，确实看到很多有趣的东西。先是瑞星出来声明，金山也有人在博客中出解决方案，江民不甘寂寞，说收到许多求助电话(呵呵，诺顿用户有事找江民)。然后事情更大了，有人说诺顿误杀有政治内幕，接着瑞星与卡巴开始掐架，一个说卡巴杀卡卡，一个卡巴要维护系统安全，马上卡巴也误杀，或说是误杀之王传言出场......

关闭杀毒软件和带“病毒”字样网页的病毒

流风 — Sat, 02 Jun 2007 03:17:00 GMT

前几天出来，一直找不到病毒电脑的日志，原来sreng也被屏蔽了。这几天才有高手分析出结果，还是映像劫持，不过，autoruns也在它关闭之列，解决方法：首先是解除劫持，一是用注册表法，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Opti......

小心近期利用ANI漏洞的病毒和病毒网站

流风 — Wed, 30 May 2007 15:21:00 GMT

近期不少病毒开始利用微软系统的ANI(也有叫艾妮的)漏洞作案，并联合使用ARP欺骗，对局域网用户造成损害，比如*.us、zpx520之类网址的病毒网站，全是如此。本来想转发个相关解决方案，但不知道为什么老被删除，本来只想让大家多了解一点。算了，只告诉大家小心预防，一定要打上windows的安全补丁，特别是ANI的补丁：MS07-017，下载地址：http://......

利用autoruns解决映像劫持(解决杀毒软件不能运行的问题)

流风 — Fri, 25 May 2007 14:33:00 GMT

上篇说到映像劫持(http://blog.yesky.com/338/storm_L/1667338.shtml)，昨天学了一手，利用autoruns软件来解决它，autoruns可以显示各种开机启动项，没想到还能显示映像劫持，真是不错的工具，希望它本身没被劫持。下载地址：http://storm01.atedu.net我的共享-我的软件

终于明白什么叫映像劫持

流风 — Fri, 11 May 2007 03:36:00 GMT

下面是网上抄来的：映像劫持(也有叫镜像劫持)，在注册表中 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\1.EXE] "Debugger"="2.EXE" 启动1.exe的时候就会调用2.exe来调试1，结果......

平生最烦卡巴迷

流风 — Thu, 10 May 2007 07:19:00 GMT

卡巴确实是一个不错的杀毒软件，但不用把它吹捧成神话，卡饭的追捧太肉麻了。卡巴只是一个软件，它也有自己的缺点，一个时间认证的许可证就让人找到对付它的死穴，系统时间一改，卡巴就自己睡觉去了，神话变成童话。还有更致命的删除能力，曾经是多少人选择它的原因，什么都敢删除，与其它小心谨慎的杀软相比，确实有魄力，可是它一发现中毒文件，不问是什么直接删除导致系统失败的例子太......

修复不能进入安全模式——资料记录备查

流风 — Wed, 04 Apr 2007 14:07:00 GMT

修复不能进入安全模式......

任务管理器被病毒禁用解决方法—资料记录备查

流风 — Sat, 17 Mar 2007 13:54:00 GMT

找到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies把DisableTaskMgr直接删除了. 如果任务管理器还是打不开.再次打开注册表.发现DisableTaskMgr的键值依然存在.按下面： 1.打开CMD.输入命令tasklist回车，找svohost.exe(虽然禁用了......

文件夹、分区无法正常打开的解决—资料记录备查

流风 — Tue, 06 Mar 2007 14:31:00 GMT

1、在资源浏览器或者我的电脑里面无法打开文件夹，双击鼠标不是打开文件夹而是进入了搜索界面可以修改注册表来恢复，进入注册表的HKEY_CLASSES_ROOT\Directory\shell，把find删除。还有一个方法就是点"文件夹"的"高级"选项里的"新建"，在"操作"里输入"OpenNew"，接着再在"用于执行操作的应用程序"里输入"Explorer%1......

熊猫烧香下的电脑网络安全

流风 — Tue, 30 Jan 2007 03:28:00 GMT

熊猫烧香以其恶劣的破坏和传播能力横扫中国大地(不知道外文操作系统是否对它免疫)，结果是普通用户吃亏倒霉，而杀毒厂商虽然反应缓慢而招致批评却依旧大收红利，特别是一些借机扩大影响的公司真的是遇到好时候了，以至有传说是他们故意放出的病毒(我宁愿不相信这是真的，否则真的是没天理了)。如果传闻是真的，真的是为了报复杀毒软件软弱的杀毒能力而做出的病毒，那制毒者一定失望了......

无法打开“打开方式”的解决

流风 — Tue, 23 Jan 2007 08:42:00 GMT

无法打开“打开方式” 解决方法

用SREng.exe修复你的系统(含实例分析)

流风 — Sun, 07 Jan 2007 06:02:00 GMT

用SREng.exe修复系统方法实例手工查杀病毒木马插件的工具和方法

隐藏文件无法显示的解决

流风 — Sun, 08 Oct 2006 14:34:00 GMT

隐藏文件无法显示

很牛地手动清除病毒

流风 — Thu, 08 Jun 2006 04:40:00 GMT

有时当商业杀毒软件对付病毒不力时，比如明明发现有可疑文件，却查不到病毒，或报警后却提示无法清除，这时就该我们亲自上阵手动清毒了。要手动杀毒，首先要知道什么是病毒文件，1、可以检查杀毒软件的日志，2、直接到网上查找可疑文件名或进程名。要发现哪些是可疑文件，只要打开任务管理器(98下按Ctrl+Alt+Del，2000、XP应任务栏上点右键，再点任务管......

4月26日

流风 — Wed, 26 Apr 2006 07:26:00 GMT

切尔诺的核电站泄漏也20年了，但我记住这个日子的不是辐射，是病毒，CIH病毒。台湾陈**开发的，与其名字谐音的病毒，率先打破计算机病毒只感染软件的传统概念，开始入侵硬件，通过破坏主板BIOS来实施破坏，当年4月26日起中招者无数，世界惊慌，可比泄漏的乌克兰核电站，以后除4月26日发作外，其变种也瞄上了其它月份的26日，一时间26成了恐怖的日子。许多人从那时起......

病毒瞄上windows系统服务

流风 — Wed, 19 Apr 2006 14:25:00 GMT

现在病毒越来越厉害了，对windows2000/XP的系统服务也不放过，往往除了在启动项中加入自己的内容，也会在服务中加入，把自己当作系统项启动，而且由于起的名字与windows的服务相似，也加上类似系统服务的描述，让人无法分辨，有时病毒文件已经被杀毒软件删除，可是服务项还在，开机时找不到文件也会跳出来提示一番，或者干脆“咚”的一声报个警，虽然没多大影响，总......