本文目录一览:
电脑染上木马病毒有什么现象
电脑中毒一般并不会有明显的状态的,如果有一般就是下面的12种状态:
1.经常死机:病毒打开了许多文件或占用了大量内存;不稳定(如内存质量差,硬件超频性能差等);运行了大容量的软件占用了大量的内存和磁盘空间;使用了一些测试软件(有许多BUG);硬盘空间不够等等;运行 *** 上的软件时经常死机也许是由于 *** 速度太慢,所运行的程序太大,或者自己的工作站硬件配置太低。
2.系统无法启动:病毒修改了硬盘的引导信息,或删除了某些启动文件。如引导型病毒引导文件损坏;硬盘损坏或参数设置不正确;系统文件人为地误删除等。
3.文件打不开:病毒修改了文件格式;病毒修改了文件链接位置。文件损坏;硬盘损坏;文件快捷方式对应的链接位置发生了变化;原来编辑文件的软件删除了;如果是在局域网中多表现为服务器中文件存放位置发生了变化,而工作站没有及时涮新服器的内容(长时间打开了资源管理器)。
4.经常报告内存不够:病毒非法占用了大量内存;打开了大量的软件;运行了需内存资源的软件;系统配置不正确;内存本就不够(目前基本内存要求为128M)等。
5.提示硬盘空间不够:病毒复制了大量的病毒文件(这个遇到过好几例,有时好端端的近10G硬盘安装了一个WIN98或WINNT4.0系统就说没空间了,一安装软件就提示硬盘空间不够。硬盘每个分区容量太小;安装了大量的大容量软件;所有软件都集中安装在一个分区之中;硬盘本身就小;如果是在局域网中系统管理员为每个用户设置了工作站用户的“私人盘”使用空间限制,因查看的是整个 *** 盘的大小,其实“私人盘”上容量已用完了。
6.软盘等设备未访问时出读写信号:病毒感染;软盘取走了还在打开曾经在软盘中打开过的文件。
7.出现大量来历不明的文件:病毒复制文件;可能是一些软件安装中产生的临时文件;也或许是一些软件的配置信息及运行记录。
8.启动黑屏:病毒感染(记得最深的是98年的4.26,我为CIH付出了好几千元的代价,那天我之一次开机到了Windows画面就死机了,第二次再开机就什么也没有了);显示器故障;显示卡故障;主板故障;超频过度;CPU损坏等等
9.数据丢失:病毒删除了文件;硬盘扇区损坏;因恢复文件而覆盖原文件;如果是在 *** 上的文件,也可能是由于其它用户误删除了。
10.键盘或鼠标无端地锁死:病毒作怪,特别要留意“木马”;键盘或鼠标损坏;主板上键盘或鼠标接口损坏;运行了某个键盘或鼠标锁定程序,所运行的程序太大,长时间系统很忙,表现出按键盘或鼠标不起作用。
11.系统运行速度慢:病毒占用了内存和CPU资源,在后台运行了大量非法操作;硬件配置低;打开的程序太多或太大;系统配置不正确;如果是运行 *** 上的程序时多数是由于你的机器配置太低造成,也有可能是此时网路上正忙,有许多用户同时打开一个程序;还有一种可能就是你的硬盘空间不够用来运行程序时作临时交换数据用。
12.系统自动执行操作:病毒在后台执行非法操作;用户在注册表或启动组中设置了有关程序的自动运行;某些软件安装或升级后需自动重启系统。
通过以上的分析对比,我们知道其实大多数故障都可能是由于人为或软、硬件故障造成的,当我们发现异常后不要急于下断言,在杀毒还不能解决的情况下,应仔细分析故障的特征,排除软、硬件及人为的可能性。
实用电脑小常识
现代社会中,电脑已经成为人们生活和工作不可缺少的工具,但电脑也越来越成为一把“双刃剑”:它在给人们生活和工作带来方便、快捷的同时,也在悄悄地危及人们的健康,引起人的视力衰退、关节损伤、辐射伤害、头部和肩膀疼痛。据调查,常用电脑的人中感到眼睛疲劳的占83%,肩酸腰痛的占63.9%,头痛和食欲不振的则占56.1%和54.4%,还会出现自律神经失调、忧郁症、动脉硬化性精神病等。
专家指出,“电脑病”的产生主要是和人们在电脑面前的坐姿、使用 *** ,以及使用时间长短有关。因此,对长期使用电脑的人来说,做好防护工作非常重要。
一、坐姿正确。在操作电脑时尽可能保持自然的端坐位,将后背坐直,并保持颈部的挺直。两肩自然下垂,上臂贴近身体,手肘弯曲成90度,操作键盘或滑鼠,尽量使手腕保持水平。
二、电脑的摆放高度要合适。将电脑屏幕中心位置安装在与操作者胸部同一水平线上,更好使用可以调节高低的椅子。应有足够的空间伸放双脚,膝盖自然弯曲成90度,并维持双脚着地,不要交叉双脚,以免影响血液循环。
三、与屏幕保持恰当的距离。眼睛与电脑屏幕的距离应在40—50厘米,使双眼平视或轻度向下注视荧光屏,这样可使颈部肌肉轻松,并使眼球暴露于空气中的面积减小到更低。
四、劳逸结合。避免长时间连续操作电脑,使用电脑的时间更好是30分钟就休息一下,可到室外散步,或抬头望天,或向远处眺望,或进行10至20次伸颈和扩胸练习。
五、保持皮肤清洁。电脑荧光屏表面存在着大量静电,其积聚的灰尘可转射到脸部和手的皮肤 *** 处,时间久了,易发生斑疹、色素沉着,严重者甚至会引起皮肤病变等。为减少辐射,应使办公室保持通风干爽,这样能使那些有害物质尽快排出,在电脑桌下放一盆水或是放一盆花草也可减少辐射,勤洗脸也能防止辐射波对皮肤的 *** 。
六、合理膳食。平时多吃些胡萝卜、白菜、豆芽、豆腐、红枣、橘子以及牛奶、鸡蛋、动物肝脏、瘦肉等食物,少食肥甘厚味及辛辣 *** 性食品,以补充人体内维生素A和蛋白质。平时可多饮些茶,茶叶中含有茶多酚等活性物质,有利于吸收与抵抗放射性物质。
最后别忘了,使用电脑后,一定要洗手。键盘上面附着着很多细菌和病毒,也会给人带来伤害。
MP3搜索发现病毒连接
最近发现了利用MP3搜索引擎木马传播的病毒。通过百度、一搜下载MP3以后,电脑都出现了中病毒的症状。一名网友说,她在百度的MP3搜索引擎上将一首MP3格式的歌曲文件下载到电脑后,运行该MP3文件时,电脑浏览器首页被改成了一个从未见过的网址,而鼠标右键也不能用了。
据反病毒专家分析后发现,这些网友通过连接所下载的并不是MP3文件,而是一个病毒文件。瑞星反病毒专家刘刚介绍说,这是一个名叫“首页变种AHK(Trojan.StartPage.ahk)”的木马病毒,感染这个病毒后浏览器会被强行修改,电脑运行变慢甚至崩溃,鼠标右键也出现异常,目前在百度和一搜的MP3搜索引擎中都发现了这个病毒。而通过MP3搜索引擎来传播病毒,这在国内还是首次发现。
由于通过MP3文件传播病毒形式更加隐蔽,专家提供了四条建议:一、计算机一定要安装杀毒软件并注意及时升级;二、上网时应打开杀毒软件的实时监控功能;三、利用杀毒软件的“漏洞扫描”弥补系统漏洞;四、从网上下载电影、音乐文件后应对其进行病毒扫描。
解决系统资源不足问题
之一种思路:
1.清除“剪贴板”
当“剪贴板”中存放的是一幅图画或大段文本时,会占用较多内存。请清除“剪贴板”中的内容,释放它占用的系统资源:单击“开始”,指向“程序”,指向“附件”,指向“系统工具”,单击“剪贴板查看程序”,然后在“编辑”菜单上,单击“删除”命令。
2.重新启动计算机
只退出程序,并不重新启动计算机,程序可能无法将占用的资源归还给系统。请重新启动计算机以释放系统资源。
3.减少自动运行的程序
如果在启动Windows时自动运行的程序太多,那么,即使重新启动计算机,也将没有足够的系统资源用于运行其他程序。设置Windows不启动过多程序:其一,单击“开始→运行”,键入“msconfig”,单击“确定”按钮,单击“启动”选卡,清除不需要自启动的程序前的复选框。其二,单击“开始→运行”,键入“sysedit”,单击“确定”按钮,删除“autoexec.bat”、“win.ini”和“config.sys”文件中不必要的自启动的程序行。然后,重新启动计算机。
4.设置虚拟内存
虚拟内存不足也会造成系统运行错误.可以在“系统属性”对话框中手动配置虚拟内存,把虚拟内存的默认位置转到可用空间大的其他磁盘分区。
5.应用程序存在Bug或毁坏
有些应用程序设计上存在Bug或者已被毁坏,运行时就可能与Windows发生冲突或争夺资源,造成系统资源不足。解决 *** 有二:一是升级问题软件,二是将此软件卸载,改装其他同类软件。
6.内存优化软件
不少的内存优化软件,如RAM Idle和Memo Kit都能够自动清空“剪贴板”、释放被关闭程序未释放的系统资源、对虚拟内存文件(Win386.swp)进行重新组织等,免除手工操作的麻烦,达到自动释放系统资源的目的。
第二种思路:
1.禁用一部分启动项
启动时加载过多的应用程序会使Windows因系统资源严重不足而“蓝屏”,因此我们更好运行“Msconfig”禁用一部分应用程序。或者使用Windows优化大师来代劳。
2.设置足够的虚拟内存
虚拟内存不足也会造成系统多任务运算错误,我们可以通过时常删除一些临时文件和交换文件对此问题加以解决,此外还可以在“系统属性”下手动配置虚拟内存,把虚拟内存的默认位置转到其他逻辑盘下。并设置得大一些。
3.给硬盘保留足够空间
由于Win9X运行时需要用硬盘作虚拟内存,这就要求硬盘必须保留一定的自由空间以保证程序的正常运行。一般而言,更低应保证100MB以上的空间,否则出现“蓝屏”很可能与硬盘剩余空间太小有关。另外,硬盘的碎片太多,也容易导致“蓝屏”的出现。因此,每隔一段时间进行一次碎片整理是必要的。
4.使用内存管理软件
剩下的就是些杂项了,诸如不用activedesktop之类浪费资源的功能。使用内存管理软件,如RAM Idle之类的。养成好习惯,暂时不用的程序就将其关闭。
我电脑为什么出现自动关机倒计时对话框
中了毒冲击波病毒感染症状 1、莫名其妙地死机或重新启动计算机; 2、IE浏览器不能正常地打开链接; 3、不能复制粘贴; 4、有时出现应用程序,比如Word异常; 5、 *** 变慢; 6、最重要的是,在任务管理器里有一个叫“m *** last.exe”的进程在运行! 7.SVCHOST.EXE产生错误会被WINDOWS关闭,您需要重新启动程序 8、在WINNT\\SYSTEM32\\WINS\\下有DLLhost.exe和svchost.exe 检测你的计算机是否被"冲击波杀手"病毒感染: 1)检查系统的system32\\Wins目录下是否存在DLLHOST.EXE文件(大小为20K)和SVCHOST.EXE文件,(注意:系统目录里也有一个DLLHOST.EXE文件,但它是正常文件,大小只有8KB左右)如果存在这两个文件说明你的计算机已经感染了"冲击波杀手"病毒; 2) 在任务管理器中查看是否有三个或三个以上DLLHOST.EXE的进程,如果有此进程说明你的计算机已经感染了此病毒。 解决 *** : 之一步:终止恶意程序 打开Windows任务管理器,按CTRL+ALT+DELETE然后单击进程选项卡 ,在运行的程序清单中*, 查找如下进程:MSBLAST.EXE DLLhost.exe和svchost.exe 选择恶意程序进程,然后按“终止任务”或是“中止进程”按钮。 为确认恶意程序进程是否中止,请关闭任务管理器并再次打开看进程是否已经终止。 第二步:删除注册表中的自启动项目 删除注册表中的自启动项目可以阻止恶意程序在系统启动时运行 注册表管理器 , HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 在右边的列表中查找并删除以下项目 Windows auto update" = MSBLAST.EXE DLLhost.exe和svchost.exe 重启系统 第三步:安装微软提供的冲击波补丁 Microsoft Security Bulletin MS03-026 点这里下载Win2000简体中文版冲击波补丁 点这里下载WinXP简体中文版冲击波补丁 点这里下载Win2000英文版冲击波补丁 点这里下载WinXP英文版冲击波补丁 装WIN2000系统的机器不论是服务器版还是个人版的都要顺序打上从SP2到Sp4 更改计算机系统时间到2004年后,重启计算机。这时病毒将自动清除自己,检查一下是否还有病毒; 瑞星专杀“冲击波”专杀工具 点击这里下载瑞星冲击波专杀工具1.9 点击这里下载金山毒霸冲击波专杀工具1.9 ___________________________________________________________________ 我怎么知道我是不是已经打上了这个补丁? 根据微软的定义,这个安全修补程序的代号为kb823980,我们要检查的就是这一项。 打开注册表编辑器。不知道怎么打开?在开始菜单上执行“运行”命令,输入“regedit"(不要引号)。 在注册表编辑器的窗口里又分左右两个窗格,我们先看左窗格。这个东西和资源管理器是非常相像的,只不过它有一些类似HKEY_。。。这样的条目,我们只看HKEY_LOCAL_MACHINE这一条(这里面的东东实在太多了,就不罗索了)。 展开这一条,找到里面的SOFTWARE,然后再展开,找到Microsoft,依次分别: 1、对于WindowsNT4.0: 找到 Updates,Windows NT, SP6,看看里面有没有kb823980 2、对于Windows2000: 找到 Updates,Windows 2000,SP5,看看里面有没有kb823980 3、对于WindowsXP: 找到 Updates,Windows XP, SP1,看看里面有没有kb823980 4、对于WindowsXP SP1:找到 Updates,Windows XP, SP2,看看里面有没有kb823980,如果找到,那就说明已经打上补丁了。如果没有,那就只有再来一次啦。 -------------------------------------------------------------------------------- -- 作者:白鲨笑江湖 -- 发布时间:2004-9-1 17:58:48 -- “震荡波”病毒 根据分析,“震荡波”病毒会在 *** 上自动搜索系统有漏洞的电脑,并直接引导这些电脑下载病毒文件并执行,因此整个传播和发作过程不需要人为干预。只要这些用户的电脑没有安装补丁程序并接入互联网,就有可能被感染。 “震荡波”病毒的发作特点,类似于去年夏天造成大规模电脑系统瘫痪的“冲击波”病毒,那就是造成电脑反复重启。 瑞星反病毒专家介绍,该病毒会通过ftp 的5554端口攻击电脑,使系统文件崩溃,造成电脑反复重启。病毒如果攻击成功,会在c:\\windows目录下产生名为avserve.exe的病毒体,用户可以通过查找该病毒文件来判断是否中毒。 “震荡波”病毒会随机扫描ip地址,对存在有漏洞的计算机进行攻击,并会打开ftp的5554端口,用来上传病毒文件,该病毒还会在注册表hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run中建立:"avserve.exe"=%windows%\\avserve.exe的病毒键值进行自启动。 该病毒会使“安全认证子系统”进程━━lsass.exe崩溃,出现系统反复重启的现象,并且使跟安全认证有关的程序出现严重运行错误。 ---------------------------------- 主要症状: 1、出现系统错误对话框 被攻击的用户,如果病毒攻击失败,则用户的电脑会出现 LSA Shell 服务异常框,接着出现一分钟后重启计算机的“系统关机”框。 2、系统日志中出现相应记录 如果用户无法确定自己的电脑是否出现过上述的异常框或系统重启提示,还可以通过查看系统日志的办法确定是否中毒。 *** 是,运行事件查看器程序,查看其中系统日志,如果出现如下图所示的日志记录,则证明已经中毒。 3、系统资源被大量占用 病毒如果攻击成功,则会占用大量系统资源,使CPU占用率达到100%,出现电脑运行异常缓慢的现象。 4、内存中出现名为 avserve 的进程 病毒如果攻击成功,会在内存中产生名为 avserve.exe 的进程,用户可以用Ctrl+Shift+Esc 的方式调用“任务管理器”,然后查看是内存里是否存在上述病毒进程。 5、系统目录中出现名为 avserve.exe 的病毒文件 病毒如果攻击成功,会在系统安装目录(默认为 C:\\WINNT )下产生一个名为avserve.exe 的病毒文件。 6、注册表中出现病毒键值 病毒如果攻击成功,会在注册表的 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 项中建立病毒键值: "avserve.exe "="%WINDOWS%\\avserve.exe " 。 --------------------------------- 如何防范“震荡波” 首先,用户必须迅速下载微软补丁程序,对于该病毒的防范,。 点这里下载微软补丁 金山或者瑞星用户迅速升级杀毒软件到最新版本,然后打开个人防火墙,将安全等级设置为中、高级,封堵病毒对该端口的攻击。 非金山或者瑞星用户迅速下载免费的专杀工具: 点这里下载 如果用户已经被该病毒感染,首先应该立刻断网,手工删除该病毒文件,然后上网下载补丁程序,并升级杀毒软件或者下载专杀工具。手工删除 *** :查找该目录c:\\windows目录下产生名为avserve.exe的病毒文件,将其删除。 点这里下载2000补丁程序 点这里下载xp补丁程序 ------------------------- “震荡波”病毒解决其他: A、请升级毒霸到5月1日的病毒库可完全处理该病毒; B、请到以下网址即时升级您的操作系统,免受攻击 点这里下载 C、请打开个人防火墙屏蔽端口:5554和1068,防止名为avserve.exe的程序访问 *** D、如果已经中招,请下载专杀工具进行杀毒处理,点这里下载;或者采用手工方式解决: 对于系统是Windows9x/WinMe: 步骤一,删除病毒主程序 请使用干净的系统软盘引导系统到纯DOS模式,然后转到系统目录(默认的系统目录为 C:\\windows),分别输入以下命令,以便删除病毒程序: C:\\windows\\system32\\del *_up.exe C:\\windows\\system32\\cd.. C:\\windows\\del avserve.exe 完毕后,取出系统软盘,重新引导到Windows系统。 如果手中没有系统软件盘,可以在引导系统时按“F5”键也可进入纯DOS模式。 步骤二,清除病毒在注册表里添加的项 打开注册表编辑器: 点击开始运行, 输入REGEDIT, 按Enter; 在左边的面板中, 双击(按箭头顺序查找,找到后双击): HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 在右边的面板中, 找到并删除如下项目: "avserve.exe" = %SystemRoot%\\avserve.exe 关闭注册表编辑器. 对于系统是Windows NT, Windows 2000, Windows XP, Windows 2003 Sever: 步骤一,使用进程序管里器结束病毒进程 右键单击任务栏,弹出菜单,选择“任务管理器”,调出“Windows任务管理器”窗口。在任务管理器中,单击“进程”标签,在例表栏内找到病毒进程“avserve.exe”,单击“结束进程按钮”,点击“是”,结束病毒进程,然后关闭“Windows任务管理器”; 步骤二,查找并删除病毒程序 通过“我的电脑”或“资源管理器”进入系统安装目录(Winnt或windows),找到文件“avserve.exe”,将它删除;然后进入系统目录(Winnt\\system32或windows\\system32),找到文件"*_up.exe", 将它们删除; 步骤三,清除病毒在注册表里添加的项 打开注册表编辑器: 点击开始运行, 输入REGEDIT, 按Enter; 在左边的面板中, 双击(按箭头顺序查找,找到后双击): HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 在右边的面板中, 找到并删除如下项目: "avserve.exe" = %SystemRoot%\\avserve.exe 关闭注册表编辑器. -------------------------------------------------------------------------------- -- 作者:白鲨笑江湖 -- 发布时间:2004-9-1 17:59:55 -- 反病毒监测网国内率先截获了在 *** 中疯狂传播的“高波”病毒最新变种:“高波变种3T”(Worm.Agobot.3.T)。该蠕虫病毒不但利用了“冲击波”曾利用过的RPC漏洞,还使用了另外几个不为常知的漏洞,对局域网中的计算机进行多种攻击,破坏性要比“冲击波”病毒更为厉害。 据反病毒工程师介绍说,该病毒变种极多,目前已经有几十个病毒变种,但该变种是最厉害的一个,病毒运行时会扫描 *** ,对存在漏洞的计算机进行攻击,攻击成功后病毒还会利用大型密码字典来猜测计算机中密码,感染局域网,导致整个局域 *** 瘫痪。 据分析,该病毒发作时会对用户计算机带来以下影响:无法正常使用OFFICE软件,无法进行复制、粘贴,注册表无法使用,系统文件无法正常显示,CPU占用率达到100%、使用户计算机反应速度变慢。如果用户发现自己的计算机出现以上现象,则很有可能是中了该病毒,这时应该立刻断网、打补丁、杀毒,消除病毒造成的破坏。 病毒名称: Hack.Agobot3.aw 中文名称: 安哥[金山] 威胁级别: 3A 病毒别名:“高波变种3T”(Worm.Agobot.3.t) [瑞星] Backdoor.Agobot.03.aw [AVP] 病毒类型: 黑客、蠕虫 受影响系统: WinNT/Win2K/WinXP/Win2003 该病毒兼具黑客和蠕虫的功能,利用IRC软件开启后门,等待黑客控制。使用RPC漏洞和WebDAV漏洞进行高速传播。猜测弱口令重点攻击局域网,造成局域网瘫痪。 金山毒霸已于11月27日进行了应急处理,并在当天升级了病毒库。升级到11月27日的病毒库可完全处理该病毒及其变种。 技术细节 1、利用利用RPC DCOM漏洞和WebDAV漏洞在 *** 中高速传播; 2、使用内部包含的超大型“密码表”猜口令的方式攻击局域网中的计算机,感染整个局域网,造成 *** 瘫痪; 3、系统修改: A.将自身复制为%System%\\scvhost.exe. B.在注册表的主键: HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 中添加如下键值: "servicehost"="Scvhost.exe" C.在注册表的主键: HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServicces 中添加如下键值: "servicehost"="Scvhost.exe" 4、中止许多知名反病毒软件和 *** 安全软件; 5、利用IRC软件开启后门; 6、试图偷取被感染计算机内的正版软件序列号等重要信息; 7、该病毒可造成计算机不稳定,出现计算机运行速度和 *** 传输速度极剧下降,复制、粘贴等系统功能不可用,OFFICE和IE浏览器软件异常等现象。 解决方案 A、升级杀毒软件或下载“安哥”专杀工具 点击这里下载瑞星高波专杀工具1.9 点击这里下载毒霸高波专杀工具 B、为系统打上MS03-026 RPC DCOM漏洞补丁(823980) 和MS03-007 WebDAV漏洞补丁(815021),并为系统管理员帐号设置一个更为强壮的密码。 MS03-026 RPC DCOM漏洞补丁(823980)下载地址 MS03-007 WebDAV漏洞补丁(815021)下载地址 C、手工清除 打开进程管理器,找到名为"scvhost.exe"的进程,并将其结束;在注册表中的项:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 下删除如下键值: "servicehost"="Scvhost.exe" 在注册表中的项: HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices 下删除如下键值: "servicehost"="Scvhost.exe" 删除以下文件: %System%\\scvhost.exe 专家提醒: 1、请及时升级您的杀毒软件到最新。因为病毒随时在产生, 2、打开 *** 和病毒防火墙,为您的系统打上微软的最新补丁。杀病毒不如防病毒,只要防止住病毒进入的通道,就可彻底免除病毒带来的危害; 3、不随意打开陌生人的邮件。当今的病毒不再只是通过计算机来传播,病毒 *** 者会利用人们好奇的心理来骗取自己激活的机会,
Scvhost.exe → 安哥病毒,怎么清除?木马啊!
您好:
Scvhost.exe应该是一个木马病毒,您使用腾讯电脑管家对您的电脑进行一下杀毒的哦,腾讯电脑管家是采用“4+1”核“芯”杀毒引擎的专业杀毒软件,腾讯电脑管家完全可以帮助您查杀Scvhost.exe安哥病毒的哦,您可以点击这里下载最新版的腾讯电脑管家:最新版腾讯电脑管家下载
腾讯电脑管家企业平台:
如何杀除冲击波
冲击波病毒感染症状
1、莫名其妙地死机或重新启动计算机;
2、IE浏览器不能正常地打开链接;
3、不能复制粘贴;
4、有时出现应用程序,比如Word异常;
5、 *** 变慢;
6、最重要的是,在任务管理器里有一个叫“m *** last.exe”的进程在运行!
7.SVCHOST.EXE产生错误会被WINDOWS关闭,您需要重新启动程序
8、在WINNT\\SYSTEM32\\WINS\\下有DLLhost.exe和svchost.exe
检测你的计算机是否被"冲击波杀手"病毒感染:
1)检查系统的system32\\Wins目录下是否存在DLLHOST.EXE文件(大小为20K)和SVCHOST.EXE文件,(注意:系统目录里也有一个DLLHOST.EXE文件,但它是正常文件,大小只有8KB左右)如果存在这两个文件说明你的计算机已经感染了"冲击波杀手"病毒;
2) 在任务管理器中查看是否有三个或三个以上DLLHOST.EXE的进程,如果有此进程说明你的计算机已经感染了此病毒。
解决 *** :
之一步:终止恶意程序
打开Windows任务管理器,按CTRL+ALT+DELETE然后单击进程选项卡 ,在运行的程序清单中*, 查找如下进程:MSBLAST.EXE DLLhost.exe和svchost.exe
选择恶意程序进程,然后按“终止任务”或是“中止进程”按钮。
为确认恶意程序进程是否中止,请关闭任务管理器并再次打开看进程是否已经终止。
第二步:删除注册表中的自启动项目
删除注册表中的自启动项目可以阻止恶意程序在系统启动时运行
注册表管理器 ,
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
在右边的列表中查找并删除以下项目
Windows auto update" = MSBLAST.EXE DLLhost.exe和svchost.exe
重启系统
第三步:安装微软提供的冲击波补丁
Microsoft Security Bulletin MS03-026
点这里下载Win2000简体中文版冲击波补丁
点这里下载WinXP简体中文版冲击波补丁
点这里下载Win2000英文版冲击波补丁
点这里下载WinXP英文版冲击波补丁
装WIN2000系统的机器不论是服务器版还是个人版的都要顺序打上从SP2到Sp4
更改计算机系统时间到2004年后,重启计算机。这时病毒将自动清除自己,检查一下是否还有病毒;
瑞星专杀“冲击波”专杀工具
点击这里下载瑞星冲击波专杀工具1.9
点击这里下载金山毒霸冲击波专杀工具1.9
___________________________________________________________________
我怎么知道我是不是已经打上了这个补丁?
根据微软的定义,这个安全修补程序的代号为kb823980,我们要检查的就是这一项。
打开注册表编辑器。不知道怎么打开?在开始菜单上执行“运行”命令,输入“regedit"(不要引号)。
在注册表编辑器的窗口里又分左右两个窗格,我们先看左窗格。这个东西和资源管理器是非常相像的,只不过它有一些类似HKEY_。。。这样的条目,我们只看HKEY_LOCAL_MACHINE这一条(这里面的东东实在太多了,就不罗索了)。
展开这一条,找到里面的SOFTWARE,然后再展开,找到Microsoft,依次分别:
1、对于WindowsNT4.0: 找到 Updates,Windows NT, SP6,看看里面有没有kb823980
2、对于Windows2000: 找到 Updates,Windows 2000,SP5,看看里面有没有kb823980
3、对于WindowsXP: 找到 Updates,Windows XP, SP1,看看里面有没有kb823980 4、对于WindowsXP SP1:找到 Updates,Windows XP, SP2,看看里面有没有kb823980,如果找到,那就说明已经打上补丁了。如果没有,那就只有再来一次啦。
--------------------------------------------------------------------------------
-- 作者:白鲨笑江湖
-- 发布时间:2004-9-1 17:58:48
--
“震荡波”病毒
根据分析,“震荡波”病毒会在 *** 上自动搜索系统有漏洞的电脑,并直接引导这些电脑下载病毒文件并执行,因此整个传播和发作过程不需要人为干预。只要这些用户的电脑没有安装补丁程序并接入互联网,就有可能被感染。
“震荡波”病毒的发作特点,类似于去年夏天造成大规模电脑系统瘫痪的“冲击波”病毒,那就是造成电脑反复重启。
瑞星反病毒专家介绍,该病毒会通过ftp 的5554端口攻击电脑,使系统文件崩溃,造成电脑反复重启。病毒如果攻击成功,会在c:\\windows目录下产生名为avserve.exe的病毒体,用户可以通过查找该病毒文件来判断是否中毒。
“震荡波”病毒会随机扫描ip地址,对存在有漏洞的计算机进行攻击,并会打开ftp的5554端口,用来上传病毒文件,该病毒还会在注册表hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run中建立:"avserve.exe"=%windows%\\avserve.exe的病毒键值进行自启动。
该病毒会使“安全认证子系统”进程━━lsass.exe崩溃,出现系统反复重启的现象,并且使跟安全认证有关的程序出现严重运行错误。
----------------------------------
主要症状:
1、出现系统错误对话框
被攻击的用户,如果病毒攻击失败,则用户的电脑会出现 LSA Shell 服务异常框,接着出现一分钟后重启计算机的“系统关机”框。
2、系统日志中出现相应记录
如果用户无法确定自己的电脑是否出现过上述的异常框或系统重启提示,还可以通过查看系统日志的办法确定是否中毒。 *** 是,运行事件查看器程序,查看其中系统日志,如果出现如下图所示的日志记录,则证明已经中毒。
3、系统资源被大量占用
病毒如果攻击成功,则会占用大量系统资源,使CPU占用率达到100%,出现电脑运行异常缓慢的现象。
4、内存中出现名为 avserve 的进程
病毒如果攻击成功,会在内存中产生名为 avserve.exe 的进程,用户可以用Ctrl+Shift+Esc 的方式调用“任务管理器”,然后查看是内存里是否存在上述病毒进程。
5、系统目录中出现名为 avserve.exe 的病毒文件
病毒如果攻击成功,会在系统安装目录(默认为 C:\\WINNT )下产生一个名为avserve.exe 的病毒文件。
6、注册表中出现病毒键值
病毒如果攻击成功,会在注册表的 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 项中建立病毒键值: "avserve.exe "="%WINDOWS%\\avserve.exe " 。
---------------------------------
如何防范“震荡波”
首先,用户必须迅速下载微软补丁程序,对于该病毒的防范,。
点这里下载微软补丁
金山或者瑞星用户迅速升级杀毒软件到最新版本,然后打开个人防火墙,将安全等级设置为中、高级,封堵病毒对该端口的攻击。
非金山或者瑞星用户迅速下载免费的专杀工具:
点这里下载
如果用户已经被该病毒感染,首先应该立刻断网,手工删除该病毒文件,然后上网下载补丁程序,并升级杀毒软件或者下载专杀工具。手工删除 *** :查找该目录c:\\windows目录下产生名为avserve.exe的病毒文件,将其删除。
点这里下载2000补丁程序
点这里下载xp补丁程序
-------------------------
“震荡波”病毒解决其他:
A、请升级毒霸到5月1日的病毒库可完全处理该病毒;
B、请到以下网址即时升级您的操作系统,免受攻击
点这里下载
C、请打开个人防火墙屏蔽端口:5554和1068,防止名为avserve.exe的程序访问 ***
D、如果已经中招,请下载专杀工具进行杀毒处理,点这里下载;或者采用手工方式解决:
对于系统是Windows9x/WinMe:
步骤一,删除病毒主程序
请使用干净的系统软盘引导系统到纯DOS模式,然后转到系统目录(默认的系统目录为 C:\\windows),分别输入以下命令,以便删除病毒程序:
C:\\windows\\system32\\del *_up.exe
C:\\windows\\system32\\cd..
C:\\windows\\del avserve.exe
完毕后,取出系统软盘,重新引导到Windows系统。
如果手中没有系统软件盘,可以在引导系统时按“F5”键也可进入纯DOS模式。
步骤二,清除病毒在注册表里添加的项
打开注册表编辑器: 点击开始运行, 输入REGEDIT, 按Enter;
在左边的面板中, 双击(按箭头顺序查找,找到后双击):
HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
在右边的面板中, 找到并删除如下项目:
"avserve.exe" = %SystemRoot%\\avserve.exe
关闭注册表编辑器.
对于系统是Windows NT, Windows 2000, Windows XP, Windows 2003 Sever:
步骤一,使用进程序管里器结束病毒进程
右键单击任务栏,弹出菜单,选择“任务管理器”,调出“Windows任务管理器”窗口。在任务管理器中,单击“进程”标签,在例表栏内找到病毒进程“avserve.exe”,单击“结束进程按钮”,点击“是”,结束病毒进程,然后关闭“Windows任务管理器”;
步骤二,查找并删除病毒程序
通过“我的电脑”或“资源管理器”进入系统安装目录(Winnt或windows),找到文件“avserve.exe”,将它删除;然后进入系统目录(Winnt\\system32或windows\\system32),找到文件"*_up.exe", 将它们删除;
步骤三,清除病毒在注册表里添加的项
打开注册表编辑器: 点击开始运行, 输入REGEDIT, 按Enter;
在左边的面板中, 双击(按箭头顺序查找,找到后双击):
HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
在右边的面板中, 找到并删除如下项目:
"avserve.exe" = %SystemRoot%\\avserve.exe
关闭注册表编辑器.
--------------------------------------------------------------------------------
-- 作者:白鲨笑江湖
-- 发布时间:2004-9-1 17:59:55
--
反病毒监测网国内率先截获了在 *** 中疯狂传播的“高波”病毒最新变种:“高波变种3T”(Worm.Agobot.3.T)。该蠕虫病毒不但利用了“冲击波”曾利用过的RPC漏洞,还使用了另外几个不为常知的漏洞,对局域网中的计算机进行多种攻击,破坏性要比“冲击波”病毒更为厉害。
据反病毒工程师介绍说,该病毒变种极多,目前已经有几十个病毒变种,但该变种是最厉害的一个,病毒运行时会扫描 *** ,对存在漏洞的计算机进行攻击,攻击成功后病毒还会利用大型密码字典来猜测计算机中密码,感染局域网,导致整个局域 *** 瘫痪。
据分析,该病毒发作时会对用户计算机带来以下影响:无法正常使用OFFICE软件,无法进行复制、粘贴,注册表无法使用,系统文件无法正常显示,CPU占用率达到100%、使用户计算机反应速度变慢。如果用户发现自己的计算机出现以上现象,则很有可能是中了该病毒,这时应该立刻断网、打补丁、杀毒,消除病毒造成的破坏。
病毒名称: Hack.Agobot3.aw
中文名称: 安哥[金山]
威胁级别: 3A
病毒别名:“高波变种3T”(Worm.Agobot.3.t) [瑞星]
Backdoor.Agobot.03.aw [AVP]
病毒类型: 黑客、蠕虫
受影响系统: WinNT/Win2K/WinXP/Win2003
该病毒兼具黑客和蠕虫的功能,利用IRC软件开启后门,等待黑客控制。使用RPC漏洞和WebDAV漏洞进行高速传播。猜测弱口令重点攻击局域网,造成局域网瘫痪。
金山毒霸已于11月27日进行了应急处理,并在当天升级了病毒库。升级到11月27日的病毒库可完全处理该病毒及其变种。
技术细节
1、利用利用RPC DCOM漏洞和WebDAV漏洞在 *** 中高速传播;
2、使用内部包含的超大型“密码表”猜口令的方式攻击局域网中的计算机,感染整个局域网,造成 *** 瘫痪;
3、系统修改:
A.将自身复制为%System%\\scvhost.exe.
B.在注册表的主键:
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
中添加如下键值:
"servicehost"="Scvhost.exe"
C.在注册表的主键:
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServicces
中添加如下键值:
"servicehost"="Scvhost.exe"
4、中止许多知名反病毒软件和 *** 安全软件;
5、利用IRC软件开启后门;
6、试图偷取被感染计算机内的正版软件序列号等重要信息;
7、该病毒可造成计算机不稳定,出现计算机运行速度和 *** 传输速度极剧下降,复制、粘贴等系统功能不可用,OFFICE和IE浏览器软件异常等现象。
解决方案
A、升级杀毒软件或下载“安哥”专杀工具
点击这里下载瑞星高波专杀工具1.9
点击这里下载毒霸高波专杀工具
B、为系统打上MS03-026 RPC DCOM漏洞补丁(823980) 和MS03-007 WebDAV漏洞补丁(815021),并为系统管理员帐号设置一个更为强壮的密码。
MS03-026 RPC DCOM漏洞补丁(823980)下载地址
MS03-007 WebDAV漏洞补丁(815021)下载地址
C、手工清除
打开进程管理器,找到名为"scvhost.exe"的进程,并将其结束;在注册表中的项:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
下删除如下键值:
"servicehost"="Scvhost.exe"
在注册表中的项:
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices
下删除如下键值:
"servicehost"="Scvhost.exe"
删除以下文件:
%System%\\scvhost.exe
专家提醒:
1、请及时升级您的杀毒软件到最新。因为病毒随时在产生,
2、打开 *** 和病毒防火墙,为您的系统打上微软的最新补丁。杀病毒不如防病毒,只要防止住病毒进入的通道,就可彻底免除病毒带来的危害;
3、不随意打开陌生人的邮件。当今的病毒不再只是通过计算机来传播,病毒 *** 者会利用人们好奇的心理来骗取自己激活的机会,
参考资料: