本文目录一览:
- 1、Win32.Troj.Agent.24576
- 2、win32.hack.huigezi.te.761344
- 3、Hack.Exploit.Win32.MS08-067
- 4、trojan/win32.iepvot.jea
- 5、请问一下Win32.Hack.PcClient.cf是什么,金山2006抱是黑客程序,但到底是什么,是木马端还是控制端
- 6、病毒Win32.Troj.Agent.122880
Win32.Troj.Agent.24576
是一种木马的变种,用金山毒霸可以查杀
毒霸病毒信息库06.06.02.10版本可查杀病毒602个,其中:蠕虫病毒:17个 木马病毒:289个 黑客病毒:204个 其他病毒:92个。
1. Win32.Troj.Dialer.is.35588
2. Win32.Troj.Downloader.e.4096
这是一个木马下载器,用于下载并执行木马,这个病毒工作于Windows 32平台。
3. Win32.Troj.Downloader.i.2560
这是一个木马下载器,用于下载并执行木马,这个病毒工作于Windows 32平台。
4. Win32.Troj.StartPage.sf.545416
这是一个木马下载器,用于下载并执行木马,这个病毒工作于Windows 32平台。
5. Win32.Hack.TaskDir.h.51047
6. Win32.Agent.h.20465
7. Win32.Troj.Zlob.nc.16544
这是一个木马下载器,用于下载并执行木马,这个病毒工作于Windows 32平台。
8. Win32.Troj.AD9500.gx.130048
9. Win32.Troj.Adload.p.15820
这是一个木马下载器,用于下载并执行木马,这个病毒工作于Windows 32平台。
10. Win32.Troj.ADLoad.sd.36864
这是一个木马下载器,用于下载并执行木马,这个病毒工作于Windows 32平台。
11. Win32.Troj.ADMiShu.hr.37888
这个病毒工作于Windows 32平台,这个病毒是用Visual Basic写的。
12. Win32.Troj.Banker.bw.349696
这个病毒工作于Windows 32平台。
13. Win32.Troj.Banker.py.522752
这个病毒工作于Windows 32平台。
14. Win32.Troj.Download.hf.235895
这是一个木马下载器,用于下载并执行木马,这个病毒工作于Windows 32平台。
15. Win32.Troj.Download.hf.525312
16. Win32.Troj.Download.hg.10752
17. Win32.Troj.Download.hg.37376
18. Win32.Troj.Download.id.30720
19. Win32.Troj.DropTroj.dh.356352
这是一个木马下载器,用于下载并执行木马,这个病毒工作于Windows 32平台。
20. Win32.Hack.HacDef.cb.43520
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
21. Win32.Hack.Huigezi.bh.245248
22. Win32.Hack.Huigezi.xi.390656
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
23. Win32.Hack.Huigezi.yh.592749
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
24. Win32.Troj.KillAV.rh.47616
25. Win32.Troj.Lmir.bk.258227
26. Win32.Troj.Lmir.bk.46061
这个病毒工作于Windows 32平台。
27. Win32.Troj.Lmir.fd.120320
28. Win32.Troj.Lmir.oi.32851
这个病毒工作于Windows 32平台。
29. Win32.Troj.Lmir.ok.71600
这是一个传奇木马,会窃取用户传奇游戏的帐号密码,并将这些信息发到指定信箱。
30. Win32.Troj.Lmir.xd.258560
31. Win32.Hack.PcClient.jl.26371
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
32. Win32.Hack.Prosti.ar.150528
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
33. Win32.Troj.PswGame.rg.180680
34. Win32.Troj.PswQQ.bi.29647
这是一个木马下载器,用于下载并执行木马,这个病毒工作于Windows 32平台。
35. Win32.Troj.PswQQ.uy.30720
这个病毒工作于Windows 32平台。
36. Win32.Troj.PswRXJH.ma.58880
这个病毒工作于Windows 32平台。
37. Win32.Troj.PswWangYi.hz.450560
38. Win32.Troj.PswWangYi.hz.95232
39. Win32.Troj.QQLove.dz.23514
40. Win32.Troj.QQRobber.dl.38867
这是一个QQ木马,会窃取用户QQ的帐号密码,并将这些信息发到指定信箱。
41. Win32.Troj.QQRobber.dn.192616
42. Win32.Troj.QQRobber.dn.50377
43. Win32.Troj.Rootkit.hr.14336
44. Worm.SpyBot.sg.40448
这个病毒工作于Windows 32平台。
45. Win32.Hack.Xploit.wh.57856
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
46. Win32.Hack.Agent.as.92189
47. Win32.Hack.Agent.h.12273
48. Win32.Hack.Agent.h.13297
49. Win32.Hack.Agent.h.20465
50. Worm.Beann.22528
51. Worm.Beann.58843
52. Win32.Shell.Downloader.ab.27648
53. Win32.Troj.Downloader.dw.11909
这是一个木马,会偷取用户保存在计算机中的敏感信息。
54. Win32.Shell.Downloader.we.61440
55. Win32.Hack.PcClient.mb.57344
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
56. Win32.Hack.PcClient.qz.73728
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
57. Win32.PSWLmir.xe.113152
58. Win32.PSWLmir.xe.59904
59. Win32.Troj.PSWQq.do.35840
这是一个木马,会偷取用户保存在计算机中的敏感信息,它会偷取被感染机器的密码。
60. Win32.Troj.PSWWOW.ai.46251
61. Win32.Troj.PSWWOW.ai.258192
62. Win32.Troj.PSWWow.bw.25777
63. Win32.Troj.PSWWow.bw.46025
64. Win32.Troj.PSWWow.bw.155648
65. Win32.Troj.PSWWOW.bw.262290
66. Win32.Troj.QQPass.pa.12800
这是一个木马,会偷取用户保存在计算机中的敏感信息,它会偷取被感染机器的密码。
67. Win32.Troj.QqSendMsg.wo.21720
这是一个木马,会偷取用户保存在计算机中的敏感信息,它会偷取被感染机器的密码。
68. Win32.Hack.Rbot.104960
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
69. Win32.Hack.Rbot.131072
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
70. Win32.Hack.Rbot.157696
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
71. Win32.Hack.Rbot.161792
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
72. Win32.Hack.Rbot.184320
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
73. Win32.Hack.Rbot.185344
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
74. Win32.Hack.Rbot.194560
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
75. Win32.Hack.Rbot.205824
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
76. Win32.Hack.Rbot.50688
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
77. Win32.Hack.Rbot.78088
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
78. Win32.Hack.Rbot.ge.171520
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
79. Win32.Hack.Rbot.ge.1191936
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
80. Win32.Hack.Rbot.gn.198656
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
81. Win32.Hack.Rbot.wi.166912
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
82. Win32.Hack.Rbot.xe.166932
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
83. Worm.Scano.ab.18144
它是一种蠕虫,通过邮件进行传播,会造成网络阻塞,这个病毒工作于Windows 32平台。
84. Worm.Scano.ac.20884
它是一种蠕虫,通过邮件进行传播,会造成网络阻塞,这个病毒工作于Windows 32平台。
85. Win32.Hack.Sensode.f.10081
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
86. Win32.Troj.XYOnline.l.43408
这是一个木马,会偷取用户保存在计算机中的敏感信息,它会偷取被感染机器的密码。
87. Win32.TrojDownloader.Agent.aa.12129
88. Win32.Troj.Agent.aa.26112
89. Win32.Troj.Agent.aa.26624
90. Win32.TrojDownloader.Agent.aa.26624
91. Win32.TrojDownloader.Agent.aa.8816
92. Win32.Troj.Agent.ab.1136128
93. Win32.Troj.Agent.ab.1136640
94. Win32.TrojDownloader.Agent.ab.8832
95. Win32.Troj.Agent.am.199902
96. Win32.Troj.Agent.an.31624
97. Win32.Troj.Agent.ap.55715
98. Win32.Troj.Agent.ap.98304
99. Win32.Troj.Agent.ay.78848
100. Win32.TrojDownloader.Agent.bc.84545
101. Win32.TrojDownloader.Agent.bc.84634
102. Win32.TrojDownloader.Agent.bc.84686
103. Win32.TrojDownloader.Agent.bc.84909
104. Win32.TrojDownloader.Agent.bc.84938
105. Win32.TrojDownloader.Agent.bc.84983
106. Win32.TrojDownloader.Agent.bc.84986
107. Win32.TrojDownloader.Agent.bc.85374
108. Win32.TrojDownloader.Agent.bc.86593
109. Win32.TrojDownloader.Agent.bc.86687
110. Win32.TrojDownloader.Agent.bc.86698
111. Win32.TrojDownloader.Agent.bc.86804
112. Win32.TrojDownloader.Agent.bc.87134
113. Win32.TrojDownloader.Agent.bc.87228
114. Win32.TrojDownloader.Agent.bc.87287
115. Win32.TrojDownloader.Agent.bc.87312
116. Win32.TrojDownloader.Agent.bc.87527
117. Win32.TrojDownloader.Agent.bc.92397
118. Win32.TrojDownloader.Agent.bc.92698
119. Win32.TrojDownloader.Agent.bc.92731
120. Win32.Troj.Agent.bi.11801
121. Win32.Troj.Agent.bi.11895
122. Win32.Troj.Agent.bi.12145
123. Win32.Troj.Agent.bi.12500
124. Win32.TrojDownloader.Agent.bq.35081
125. Win32.TrojDownloader.Agent.bq.35353
126. Win32.TrojDownloader.Agent.bq.35629
127. Win32.Troj.Agent.bt.90112
128. Win32.Troj.Agent.cr.7277
129. Win32.Troj.Agent.ct.23184
130. Win32.Troj.Agent.ct.24720
131. Win32.Troj.Agent.ct.49932
132. Win32.Troj.Agent.ct.54416
133. Win32.PSWTroj.Agent.cw.42842
134. Win32.TrojDownloader.Agent.dn.87066
135. Win32.Troj.Agent.e.303616
136. Win32.Troj.Agent.ei.26624
137. Win32.Troj.Agent.en.8192
138. Win32.Troj.Agent.ff.4096
139. Win32.Troj.Agent.fn.6144
140. Win32.Troj.Agent.fr.11776
141. Win32.Troj.Agent.hm.26112
142. Win32.TrojDownloader.Agent.ho.3616
143. Win32.TrojDownloader.Agent.hy.4501
144. Win32.Troj.Agent.hz.22528
145. Win32.Troj.Agent.ik.24576
146. Win32.Troj.Agent.iq.8208
147. Win32.Troj.Agent.iu.36352
148. Win32.Troj.Agent.jy.121344
149. Win32.Troj.Agent.ka.63229
150. Win32.Troj.Agent.ku.51200
151. Win32.TrojDownloader.Agent.lp.16384
152. Win32.TrojDownloader.Agent.mg.193024
153. Win32.Troj.Agent.ml.358922
154. Win32.Troj.Agent.mn.23552
155. Win32.TrojDownloader.Agent.qq.47616
156. Win32.TrojDownloader.Agent.rn.12288
157. Win32.TrojDownloader.Agent.su.4608
158. Win32.TrojDownloader.Agent.td.35353
159. Win32.TrojDownloader.Agent.td.35447
160. Win32.TrojDownloader.Agent.td.35530
161. Win32.TrojDownloader.Agent.td.35596
162. Win32.TrojDownloader.Agent.td.35926
163. Win32.TrojDownloader.Agent.td.36176
164. Win32.Troj.Agent.tk.33426
165. Win32.Troj.Agent.tk.34304
166. Win32.Troj.Agent.tk.34816
167. Win32.Troj.Agent.uu.361472
168. Win32.Troj.Agent.uu.362533
169. Win32.Troj.Agent.uu.363798
170. Win32.Troj.Agent.uu.364185
171. Win32.Troj.Agent.uu.364265
172. Win32.Troj.Agent.uu.364312
173. Win32.Troj.Agent.uu.365017
174. Win32.Troj.Agent.uu.365120
175. Win32.Troj.Agent.uu.367104
176. Win32.Troj.Agent.uu.403456
177. Win32.Troj.Agent.uu.41472
178. Win32.Troj.Agent.uu.419840
179. Win32.Troj.Agent.uu.427440
180. Win32.Troj.Agent.uu.461177
181. Win32.Troj.Agent.uu.492032
182. Win32.Troj.Agent.uu.943616
183. Win32.Troj.Agent.uu.960000
184. Win32.TrojDownloader.Agent.vi.45126
185. Win32.TrojDownloader.Agent.vs.35184
186. Win32.TrojDownloader.Agent.wg.45126
187. Win32.Troj.Agent.x.5632
188. Win32.TrojDownloader.Agent.xe.435629
189. Win32.Troj.Agent.xs.56694
190. Win32.Troj.Agent.xs.58368
191. Win32.Troj.Agent.xs.65024
192. Win32.TrojDownloader.Agent.yo.10240
193. Win32.TrojDownloader.Agent.yo.10272
194. Win32.TrojDownloader.Agent.yo.8224
195. Win32.TrojDownloader.Agent.yo.8704
196. Win32.TrojDownloader.Agent.yo.9760
197. Win32.Troj.Boxed.d.26694
198. Win32.Troj.Boxed.l.27206
199. Win32.Troj.Boxed.n.29184
200. Win32.TrojDownloader.Centim.ag.15872
201. Win32.TrojDownloader.Centim.an.16384
202. Win32.TrojDownloader.Centim.cc.15360
203. Win32.Troj.Chimoz.a.182784
204. Win32.Troj.Chimoz.a.183296
205. Win32.Troj.Chimoz.a.183808
206. Win32.Troj.Chimoz.a.186368
207. Win32.Troj.Chimoz.a.187392
208. Win32.Troj.Chimoz.a.187904
209. Win32.Troj.Chimoz.a.188416
210. Win32.Troj.Chimoz.a.188928
211. Win32.Troj.Chimoz.a.189440
212. Win32.Troj.Chimoz.a.189952
213. Win32.Troj.Chimoz.a.288768
214. Win32.Troj.Chimoz.a.289280
215. Win32.Troj.Chimoz.a.480256
216. Win32.TrojDownloader.CWS.k.11776
217. Win32.TrojDownloader.CWS.s.15872
218. Win32.TrojDownloader.Dadobra.es.168058
219. Win32.TrojDownloader.Delf.ac.39837
220. Win32.TrojDownloader.Delf.ac.39868
221. Win32.TrojDownloader.Delf.ac.8960
222. Win32.TrojDownloader.Delf.ad.37463
223. Win32.Hack.Delf.ad.660547
224. Win32.Hack.Delf.ae.287744
225. Win32.Hack.Delf.ae.351744
226. Win32.Hack.Delf.ae.401920
227. Win32.TrojDownloader.Delf.bx.28053
228. Win32.Troj.Delf.bz.15184
229. Win32.Troj.Delf.bz.15201
230. Win32.Troj.Delf.bz.19456
231. Win32.Troj.Delf.bz.19968
232. Win32.Troj.Delf.bz.20480
233. Win32.Troj.Delf.bz.22528
234. Win32.Troj.Delf.bz.27648
235. Win32.TrojDownloader.Delf.ca.37482
236. Win32.TrojDownloader.Delf.ca.41963
237. Win32.TrojDownloader.Delf.ca.90199
238. Win32.Troj.Delf.ct.13824
239. Win32.Troj.Delf.ct.27136
240. Win32.Troj.Delf.df.273575
241. Win32.Troj.Delf.dj.475648
242. Win32.Troj.Delf.dr.70656
243. Win32.Troj.Delf.dr.71168
244. Win32.TrojDownloader.Delf.gi.202240
245. Win32.TrojDownloader.Delf.h.164352
246. Win32.Troj.Delf.ic.53248
247. Win32.PSWTroj.Delf.il.20090
248. Win32.Troj.Delf.jv.71144
249. Win32.Troj.Delf.jv.71567
250. Win32.Troj.Delf.jv.71588
251. Win32.Troj.Delf.jv.73216
252. Win32.Troj.Delf.jv.73728
253. Win32.Troj.Delf.kh.14848
254. Win32.Troj.Delf.kl.22487
255. Win32.Troj.Delf.kl.33318
256. Win32.TrojDownloader.Delf.lh.161280
257. Win32.Troj.Delf.na.22264
258. Win32.Troj.Delf.na.24576
259. Win32.Troj.Delf.na.43564
260. Win32.Troj.Delf.na.881152
261. Win32.Troj.Delf.nd.20992
262. Win32.Troj.Delf.nd.27930
263. Win32.Troj.Delf.nd.28041
264. Win32.Troj.Delf.nd.68096
265. Win32.Troj.Delf.np.107590
266. Win32.Troj.Delf.np.111104
267. Win32.Troj.Delf.np.120320
268. Win32.Troj.Delf.np.94208
269. Win32.Troj.Delf.ov.553472
270. Win32.Troj.Delf.qd.68183
271. Win32.TrojDownloader.Delf.wo.18223
272. Win32.TrojDownloader.Delf.wo.18535
273. Win32.TrojDownloader.Delf.xb.84992
274. Win32.TrojDownloader.Delf.xs.14848
275. Win32.TrojDownloader.Delf.yj.29999
276. Win32.TrojDownloader.Delf.yj.45068
277. Win32.TrojDownloader.Delf.yj.46529
278. Win32.TrojDownloader.Delmed.a.77824
279. Win32.Troj.Densmail.b.40960
280. Win32.Troj.Dialer.ay.13312
281. Win32.Troj.Dialer.eb.23040
282. Win32.Troj.Dialer.fl.57344
283. Win32.TrojDownloader.Dluca.bp.201216
284. Win32.TrojDownloader.Dluca.bp.34304
285. Win32.TrojDownloader.Dluca.bv.37376
286. Win32.TrojDownloader.Dluca.by.35328
287. Win32.Troj.DNSChanger.aa.27648
288. Win32.Troj.DNSChanger.aa.28160
289. Win32.Troj.DNSChanger.ab.27648
290. Win32.Troj.DNSChanger.ae.27648
291. Win32.Troj.DNSChanger.af.28160
292. Win32.Troj.DNSChanger.ah.28160
293. Win32.Troj.DNSChanger.ai.27648
294. Win32.Troj.DNSChanger.aj.28160
295. Win32.Troj.DNSChanger.ak.28160
296. Win32.Troj.DNSChanger.as.28160
297. Win32.Troj.DNSChanger.x.27136
298. Win32.Troj.EliteBar.d.132096
299. Win32.Troj.Fatoos.d.14336
300. Win32.Troj.Fearless.20.5113
301. Win32.Troj.Flux.a.12487
302. Win32.Troj.Flux.a.14184
303. Win32.Troj.Flux.a.16866
304. Win32.PSWTroj.Folin.b.32457
305. Win32.Troj.Fram.a.177152
306. Win32.Troj.Goldun.an.5632
307. Win32.Troj.Goldun.bu.7680
308. Win32.Troj.Goldun.eg.29037
309. Win32.Troj.Goldun.em.18474
310. Win32.Troj.Goldun.fm.17057
311. Win32.Troj.Harnig.a.2048
312. Win32.TrojDownloader.Harnig.bq.7141
313. Win32.TrojDownloader.Harnig.bq.7469
314. Win32.TrojDownloader.Hilldoor.a.14914
315. Win32.TrojDownloader.Hilldoor.a.14919
316. Win32.TrojDownloader.Hilldoor.a.14938
317. Win32.TrojDownloader.Hilldoor.a.14953
318. Win32.Hack.Huigezi.ad.345053
319. Win32.Hack.Huigezi.al.365635
320. Win32.Hack.Huigezi.am.342593
321. Win32.Hack.Huigezi.an.24208
win32.hack.huigezi.te.761344
灰鸽子
灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。这就好比火药,用在不同的场合,给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚,在此我们只能进行简要介绍。
灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。
连接密码的设定使得灰鸽子服务端程序只能被配置它的黑客控制,避免了黑客之间的竞争。
服务端对客户端连接方式有多种,使得处于各种网络环境的用户都可能中毒,包括局域网用户(通过代理上网)、公网用户和ADSL拨号用户等。
只用一个端口来传输所有通讯数据!普通同类软件都用到了两个或两个以上的端口来完成。
支持可以控制Internet连接共享、HTTP透明代理上网的电脑!软件智能读取系统设定的代理服务器信息,无需用户设置!
可以设置服务端开放Socks5代理服务器功能和HTTP代理服务功能!无需第三方软件支持!支持Windows9x/ME/2000/Xp/2003。便于黑客进行跳板攻击。
除了具有语音监听、语音发送,还有远程视频监控功能,只有远程计算机有摄像头,且正常打开没有被占用,那么你可以看到,远程摄像头捕获的图片!还可以把远程摄像头捕获的画面存为Mpeg-1格式.远程语音也可以录制成Wav声音文件。
其他后门具有的功能,你几乎都可以在灰鸽子里找到。而且每个功能都做的非常细致,非常人性化。整体界面比较清爽,容易上手,对每一个小细节的考虑都很到位,所有能想到的Ideal几乎都实现了。不过黑客的方便,对于广大用户来说可不是好事。
下面介绍服务端:
配置出来的服务端文件文件名为G_Server.exe(这是默认的,当然也可以改变)。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。具体采用什么办法,读者可以充分发挥想象力,这里就不赘述。
G_Server.exe第一次运行时自己拷贝到Windows目录下(98/XP操作系统为系统盘windows目录,2K/NT为系统盘winnt目录),并将它注册为服务(服务名称在上面已经配置好了),然后从体内释放2个文件到Windows目录下:G_Server.dll,G_Server_Hook.dll(近期灰鸽子版本会释放3个文件,多了一个G_ServerKey.exe,主要用来记录键盘操作)。然后将G_Server.dll,G_Server_Hook.dll注入到Explorer.exe、IExplorer.exe或者所有进程中执行。然后G_Server.exe退出,两个动态库继续运行。由于病毒运行的时候没有独立进程,病毒隐藏性很好。以后每次开机时,Windows目录下的G_Server.exe都会自动运行,激活动态库后退出,以免引起用户怀疑。
G_Server.dll实现后门功能,与控制端进行通信。灰鸽子的强大功能主要体现在这里。黑客可以对中毒机器进行的操作包括:文件管理、获取系统信息、剪贴板查看、进程管理、窗口管理、键盘记录、服务管理、共享管理,提供MS-Dos shell,提供代理服务,注册表编辑,启动telnet服务,捕获屏幕,视频监控,音频监控,发送音频,卸载灰鸽子…… 可以说,用户在本地能看到的信息,使用灰鸽子远程监控也能看到。尤其是屏幕监控和视频、音频监控比较危险。如果用户在电脑上进行网上银行交易,则远程屏幕监控容易暴露用户的帐号,在加上键盘监控,用户的密码也岌岌可危。而视频和音频监控则容易暴露用户自身的秘密,如“相貌”,“声音”。
G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项,甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以,有些时候用户感觉种了毒,但仔细检查却又发现不了什么异常。
灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气。由于一些API函数被截获,正常模式下难以遍历到灰鸽子的文件和模块,造成查杀上的困难。要卸载灰鸽子动态库而且保证系统进程不崩溃也很麻烦,因此造成了近期灰鸽子在互联网上泛滥的局面。
灰鸽子的运行原理
灰鸽子木马分两部分:客户端和服务端。攻击者操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe。G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
灰鸽子的手工检测
由于灰鸽子拦截了API调用,在正常模式下木马程序文件和它注册的服务项均被隐藏,也就是说你即使设置了"显示所有隐藏文件"也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以"_hook.dll"结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子木马。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择"Safe Mode"或"安全模式"。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开"我的电脑",选择菜单"工具"—》"文件夹选项",点击"查看",取消"隐藏受保护的操作系统文件"前的对勾,并在"隐藏文件和文件夹"项中选择"显示所有文件和文件夹",然后点击"确定"。
2、打开Windows的"搜索文件",文件名称输入"_hook.dll",搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。
经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了,下面就可以进行手动清除。
灰鸽子的手工清除
经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。
注意:为防止误操作,清除前一定要做好备份。
一、清除灰鸽子的服务
2000/XP系统:
1、打开注册表编辑器(点击"开始"-》"运行",输入"Regedit.exe",确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2、点击菜单"编辑"-"查找","查找目标"输入"G_Server.exe",点击确定,我们就可以找到灰鸽子的服务项。
3、删除整个G_Server项。
98/me系统:
在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,我们立即看到名为G_Server.exe的一项,将G_Server.exe项删除即可。
二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的G_Server.exe、G_Server.dll、G_Server_Hook.dll以及G_Serverkey.dll文件,然后重新启动计算机。至此,灰鸽子已经被清除干净。
Hack.Exploit.Win32.MS08-067
“MS08-067漏洞病毒(Hack.Exploit.Win32.MS08-067)”病毒:警惕程度★★★★,黑客程序,通过网络传播,依赖系统:Windows NT/2000/XP/2003。
这是一个利用微软 MS08-067 漏洞发起攻击的黑客程序。该程序会启动攻击线程开始发起攻击。攻击线程会随机生成IP地址,并试图对该IP地址发起攻击。如果系统没有打 MS08-067 补丁程序则可能受到攻击。攻击成功后会下载一个6767.exe的木马病毒,该木马程序会随时升级。
该病毒会修改注册表键值来使安全卫士360软件功能失效。之后该病毒会结束多种安全软件进程,使其失效。该病毒释放360的IceBreaker的驱动程序,并试图用该驱动来强制删除很多安全软件的文件,并通过删除注册表键值,使一些安全软件无法自动启动。最后,病毒会修改hosts文件,使用户无法正常访问很多安全软件的站点及省级服务器。由于很多用户没有打MS08-067补丁,所以对计算机的安全威胁十分严重。
安装一下补丁就可以了
trojan/win32.iepvot.jea
木马(Trojan)这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。
“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。
它是指通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了! 木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。
随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普通用户很难在中毒后发觉。
木马的种类
[编辑本段]
1. 网络游戏木马
随着网络在线游戏的普及和升温,我国拥有规模庞大的网游玩家。网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。与此同时,以盗取网游帐号密码为目的的木马病毒也随之发展泛滥起来。
网络游戏木马通常采用记录用户键盘输入、Hook游戏进程API函数等方法获取用户的密码和帐号。窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。
网络游戏木马的种类和数量,在国产木马病毒中都首屈一指。流行的网络游戏无一不受网游木马的威胁。一款新游戏正式发布后,往往在一到两个星期内,就会有相应的木马程序被制作出来。大量的木马生成器和黑客网站的公开销售也是网游木马泛滥的原因之一。
2. 网银木马
网银木马是针对网上交易系统编写的木马病毒,其目的是盗取用户的卡号、密码,甚至安全证书。此类木马种类数量虽然比不上网游木马,但它的危害更加直接,受害用户的损失更加惨重。
网银木马通常针对性较强,木马作者可能首先对某银行的网上交易系统进行仔细分析,然后针对安全薄弱环节编写病毒程序。如2004年的“网银大盗”病毒,在用户进入工行网银登录页面时,会自动把页面换成安全性能较差、但依然能够运转的老版页面,然后记录用户在此页面上填写的卡号和密码;“网银大盗3”利用招行网银专业版的备份安全证书功能,可以盗取安全证书;2005年的“新网银大盗”,采用API Hook等技术干扰网银登录安全控件的运行。
随着我国网上交易的普及,受到外来网银木马威胁的用户也在不断增加。
3. 即时通讯软件木马
现在,国内即时通讯软件百花齐放。QQ、新浪UC、网易泡泡、盛大圈圈……网上聊天的用户群十分庞大。常见的即时通讯类木马一般有3种:
一、发送消息型。通过即时通讯软件自动发送含有恶意网址的消息,目的在于让收到消息的用户点击网址中毒,用户中毒后又会向更多好友发送病毒消息。此类病毒常用技术是搜索聊天窗口,进而控制该窗口自动发送文本内容。发送消息型木马常常充当网游木马的广告,如“武汉男生2005”木马,可以通过MSN、QQ、UC等多种聊天软件发送带毒网址,其主要功能是盗取传奇游戏的帐号和密码。
二、盗号型。主要目标在于即时通讯软件的登录帐号和密码。工作原理和网游木马类似。病毒作者盗得他人帐号后,可能偷窥聊天记录等隐私内容,或将帐号卖掉。
三、传播自身型。2005年初,“MSN性感鸡”等通过MSN传播的蠕虫泛滥了一阵之后,MSN推出新版本,禁止用户传送可执行文件。2005年上半年,“QQ龟”和“QQ爱虫”这两个国产病毒通过QQ聊天软件发送自身进行传播,感染用户数量极大,在江民公司统计的2005年上半年十大病毒排行榜上分列第一和第四名。从技术角度分析,发送文件类的QQ蠕虫是以前发送消息类QQ木马的进化,采用的基本技术都是搜寻到聊天窗口后,对聊天窗口进行控制,来达到发送文件或消息的目的。只不过发送文件的操作比发送消息复杂很多。
4. 网页点击类木马
网页点击类木马会恶意模拟用户点击广告等动作,在短时间内可以产生数以万计的点击量。病毒作者的编写目的一般是为了赚取高额的广告推广费用。此类病毒的技术简单,一般只是向服务器发送HTTP GET请求。
5. 下载类木马
这种木马程序的体积一般很小,其功能是从网络上下载其他病毒程序或安装广告软件。由于体积很小,下载类木马更容易传播,传播速度也更快。通常功能强大、体积也很大的后门类病毒,如“灰鸽子”、“黑洞”等,传播时都单独编写一个小巧的下载型木马,用户中毒后会把后门主程序下载到本机运行。
6. 代理类木马
用户感染代理类木马后,会在本机开启HTTP、SOCKS等代理服务功能。黑客把受感染计算机作为跳板,以被感染用户的身份进行黑客活动,达到隐藏自己的目的。
首先找到感染文件,其手动方法是结束相关进程然后删除文件,但是现在有很多木马专杀的软件.可以借助软件删除。
木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说呢?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术. "木马"不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为"木马"程序。
一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好像有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能。
还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒.每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.省去普通病毒代码检验,是不是就提高了效率,提高了速度呢? 也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马!
如何防御木马病毒?
[编辑本段]
木马查杀(查杀软件很多,有些病毒软件都能杀木马)
防火墙(分硬件和软件)家里面的就用软件好了
如果是公司或其他地方就硬件和软件一起用
基本能防御大部分木马,但是现在的软件都不是万能的,是不?还要学点专业知识,有了这些,你的电脑就安全多了
现在高手也很多,只要你不随便访问来历不明的网站,使用来历不明的软件(很多盗版或破解软件都带木马,这个看你自己经验去区分),如果你都做到了,木马,病毒。就不容易进入你的电脑了。
如何删除木马病毒 ?
[编辑本段]
可以下载卡巴斯基(建议先卸载其他杀毒软件)绿鹰PC万能精灵
也可以下载瑞星杀毒软件(建议先卸载其他杀毒软件)
卡巴斯基搜索下就可以找到下载,其授权key到这里下载:
绿鹰PC万能精灵
瑞星杀毒2008
他的sn: Ew7S5NLyptbybbpt
1、禁用系统还原(Windows Me/XP)
如果您运行的是 Windows Me 或 Windows XP,建议您暂时关闭“系统还原”。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
此外,病毒扫描可能还会检测到 System Restore 文件夹中的威胁,即使您已将该威胁删除。
注意:蠕虫移除干净后,请按照上述文章所述恢复系统还原的设置。
2、将计算机重启到安全模式或者 VGA 模式
关闭计算机,等待至少 30 秒钟后重新启动到安全模式或者 VGA 模式
Windows 95/98/Me/2000/XP 用户:将计算机重启到安全模式。所有 Windows 32-bit 作系统,除了Windows NT,可以被重启到安全模式。更多信息请参阅文档 如何以安全模式启动计算机 。
Windows NT 4 用户:将计算机重启到 VGA 模式。
扫描和删除受感染文件启动防病毒程序,并确保已将其配置为扫描所有文件。运行完整的系统扫描。如果检测到任何文件被 Download.Trojan 感染,请单击“删除”。如有必要,清除 Internet Explorer 历史和文件。如果该程序是在 Temporary Internet Files 文件夹中的压缩文件内检测到的,请执行以下步骤:
启动 Internet Explorer。单击“工具”“Internet 选项”。单击“常规”选项卡“Internet 临时文件”部分中,单击“删除文件”,然后在出现提示后单击“确定”。在“历史”部分,单击“清除历史”,然后在出现提示后单击“是”。
3、关于病毒的危害,Download.Trojan会 执行以下作:
进入其作者创建的特定网站或 FTP 站点并试图下载新的特洛伊木马、病毒、蠕虫或其组件。
完成下载后,特洛伊木马程序将执行它们。
中了木马不能打开杀毒软件可以用360安全卫士安全启动来先修复一下
请问一下Win32.Hack.PcClient.cf是什么,金山2006抱是黑客程序,但到底是什么,是木马端还是控制端
后门程序
Backdoor/PcClient “友好客户”是一个后门,开启被感染计算机的后门,记录键击,盗取用户机密信息。“友好客户”运行后,在系统目录下和Windows目录下创建病毒文件。修改注册表,实现开机自启。将系统目录下的.d1l病毒文件注入到iexplore.exe的进程中,打开.sys病毒文件,隐藏自我,防止被查杀。开启TCP 6868和7777端口,侦听黑客指令,记录键击,盗取用户计算机系统信息,保存在Windows目录下。另外,“友好客户”还可以上传或下载特定文件。
这大概是该病毒的一个变种.
重启后又用2006查了一次,显示清除(查出两个文件).
病毒Win32.Troj.Agent.122880
XP中CPU占用率100%原因及解决方法
我们在使用Windows XP操作系统的时候,用着用着系统就变慢了,一看“任务管理器”才发现CPU占用达到100%。这是怎么回事情呢?遇到病毒了,硬件有问题,还是系统设置有问题,在本文中笔者将从硬件,软件和病毒三个方面来讲解系统资源占用率为什么会达到100%。
经常出现CPU占用100%的情况,主要问题可能发生在下面的某些方面:
[b]CPU占用率高的九种可能[/b]
[b]1、防杀毒软件造成故障[/b]
由于新版的KV、金山、瑞星都加入了对网页、插件、邮件的随机监控,无疑增大了系统负担。处理方式:基本上没有合理的处理方式,尽量使用最少的监控服务吧,或者,升级你的硬件配备。
[b]2、驱动没有经过认证,造成CPU资源占用100%[/b]
大量的测试版的驱动在网上泛滥,造成了难以发现的故障原因。 处理方式:尤其是显卡驱动特别要注意,建议使用微软认证的或由官方发布的驱动,并且严格核对型号、版本。
[b]3、病毒、木马造成[/b]
大量的蠕虫病毒在系统内部迅速复制,造成CPU占用资源率据高不下。解决办法:用可靠的杀毒软件彻底清理系统内存和本地硬盘,并且打开系统设置软件,察看有无异常启动的程序。经常性更新升级杀毒软件和防火墙,加强防毒意识,掌握正确的防杀毒知识。
4、控制面板—管理工具—服务—RISING REALTIME MONITOR SERVICE点鼠标右键,改为手动。
5、开始-;运行-;msconfig-;启动,关闭不必要的启动项,重启。
[b]6、查看“svchost”进程[/b]。
svchost.exe是Windows XP系统的一个核心进程。svchost.exe不单单只出现在Windows XP中,在使用NT内核的Windows系统中都会有svchost.exe的存在。一般在Windows 2000中svchost.exe进程的数目为2个,而在Windows XP中svchost.exe进程的数目就上升到了4个及4个以上。
[b]7、查看网络连接。主要是网卡。[/b]
[b]8、查看网络连接[/b]
当安装了Windows XP的计算机做服务器的时候,收到端口 445 上的连接请求时,它将分配内存和少量地调配 CPU资源来为这些连接提供服务。当负荷过重的时候,CPU占用率可能过高,这是因为在工作项的数目和响应能力之间存在固有的权衡关系。你要确定合适的 MaxWorkItems 设置以提高系统响应能力。如果设置的值不正确,服务器的响应能力可能会受到影响,或者某个用户独占太多系统资源。
要解决此问题,我们可以通过修改注册表来解决:在注册表编辑器中依次展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver ]分支,在右侧窗口中新建一个名为“maxworkitems”的DWORD值。然后双击该值,在打开的窗口中键入下列数值并保存退出:
如果计算机有512MB以上的内存,键入“1024”;如果计算机内存小于512 MB,键入“256”。
[b]9、看看是不是Windows XP使用鼠标右键引起CPU占用100%[/b]
前不久的报到说在资源管理器里面使用鼠标右键会导致CPU资源100%占用,我们来看看是怎么回事?
[b]征兆:[/b]
在资源管理器里面,当你右键点击一个目录或一个文件,你将有可能出现下面所列问题:
任何文件的拷贝操作在那个时间将有可能停止相应
网络连接速度将显著性的降低
所有的流输入/输出操作例如使用Windows Media Player听音乐将有可能是音乐失真成因:
当你在资源管理器里面右键点击一个文件或目录的时候,当快捷菜单显示的时候,CPU占用率将增加到100%,当你关闭快捷菜单的时候才返回正常水平。
[b]解决方法:[/b]
方法一:关闭“为菜单和工具提示使用过渡效果”
1、点击“开始”--“控制面板”
2、在“控制面板”里面双击“显示”
3、在“显示”属性里面点击“外观”标签页
4、在“外观”标签页里面点击“效果”
5、在“效果”对话框里面,清除“为菜单和工具提示使用过渡效果”前面的复选框接着点击两次“确定”按钮。
方法二:在使用鼠标右键点击文件或目录的时候先使用鼠标左键选择你的目标文件或目录。然后再使用鼠标右键弹出快捷菜单。
[b]CPU占用100%解决办法[/b]
一般情况下CPU占了100%的话我们的电脑总会慢下来,而很多时候我们是可以通过做一点点的改动就可以解决,而不必问那些大虾了。
当机器慢下来的时候,首先我们想到的当然是任务管理器了,看看到底是哪个程序占了较搞的比例,如果是某个大程序那还可以原谅,在关闭该程序后只要CPU正常了那就没问题;如果不是,那你就要看看是什幺程序了,当你查不出这个进程是什幺的时候就去google或者baidu搜。有时只结束是没用的,在xp下我们可以结合msconfig里的启动项,把一些不用的项给关掉。在2000下可以去下个winpatrol来用。
一些常用的软件,比如浏览器占用了很搞的CPU,那幺就要升级该软件或者干脆用别的同类软件代替,有时软件和系统会有点不兼容,当然我们可以试下xp系统下给我们的那个兼容项,右键点该.exe文件选兼容性。
svchost.exe有时是比较头痛的,当你看到你的某个svchost.exe占用很大CPU时你可以去下个aports或者fport来检查其对应的程序路径,也就是什幺东西在掉用这个svchost.exe,如果不是c:\Windows\system32(xp)或c:\winnt\system32(2000)下的,那就可疑。升级杀毒软件杀毒吧。
右击文件导致100%的CPU占用我们也会遇到,有时点右键停顿可能就是这个问题了。官方的解释:先点左键选中,再右键(不是很理解)。非官方:通过在桌面点右键-属性-外观-效果,取消”为菜单和工具提示使用下列过度效果(U)“来解决。还有某些杀毒软件对文件的监控也会有所影响,可以关闭杀毒软件的文件监控;还有就是对网页,插件,邮件的监控也是同样的道理。
一些驱动程序有时也可能出现这样的现象,最好是选择微软认证的或者是官方发布的驱动来装,有时可以适当的升级驱动,不过记得最新的不是最好的。
CPU降温软件,由于软件在运行时会利用所以的CPU空闲时间来进行降温,但Windows不能分辨普通的CPU占用和降温软件的降温指令之间的区别,因此CPU始终显示100%,这个就不必担心了,不影响正常的系统运行。
在处理较大的word文件时由于word的拼写和语法检查会使得CPU累,只要打开word的工具-选项-拼写和语法把”检查拼写和检查语法“勾去掉。
单击avi视频文件后CPU占用率高是因为系统要先扫描该文件,并检查文件所有部分,并建立索引;解决办法:右击保存视频文件的文件夹-属性-常规-高级,去掉为了快速搜索,允许索引服务编制该文件夹的索引的勾。
[b]CPU占用100%案例分析[/b]
[b]1、dllhost进程造成CPU使用率占用100%[/b]
特征:服务器正常CPU消耗应该在75%以下,而且CPU消耗应该是上下起伏的,出现这种问题的服务器,CPU会突然一直处100%的水平,而且不会下降。查看任务管理器,可以发现是DLLHOST.EXE消耗了所有的CPU空闲时间,管理员在这种情况下,只好重新启动IIS服务,奇怪的是,重新启动IIS服务后一切正常,但可能过了一段时间后,问题又再次出现了。
[b]直接原因:[/b]
有一个或多个ACCESS数据库在多次读写过程中损坏,微软的MDAC系统在写入这个损坏的ACCESS文件时,ASP线程处于BLOCK状态,结果其它线程只能等待,IIS被死锁了,全部的CPU时间都消耗在DLLHOST中。
[b]解决办法:[/b]
安装“一流信息监控拦截系统”,使用其中的“首席文件检查官IIS健康检查官”软件,
启用”查找死锁模块”,设置:
--wblock=yes
监控的目录,请指定您的主机的文件所在目录:
--wblockdir=d:\test
监控生成的日志的文件保存位置在安装目录的log目录中,文件名为:logblock.htm
停止IIS,再启动“首席文件检查官IIS健康检查官”,再启动IIS,“首席文件检查官IIS健康检查官”会在logblock.htm中记录下最后写入的ACCESS文件的。
过了一段时间后,当问题出来时,例如CPU会再次一直处100%的水平,可以停止IIS,检查logblock.htm所记录的最后的十个文件,注意,最有问题的往往是计数器类的ACCESS文件,例如:”**COUNT.MDB”,”**COUNT.ASP”,可以先把最后十个文件或有所怀疑的文件删除到回收站中,再启动IIS,看看问题是否再次出现。我们相信,经过仔细的查找后,您肯定可以找到这个让您操心了一段时间的文件的。
找到这个文件后,可以删除它,或下载下来,用ACCESS2000修复它,问题就解决了。
[b]2、svchost.exe造成CPU使用率占用100%[/b]
在win.ini文件中,在[Windows]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什幺都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那幺后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\Windows\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马该病毒也称为“Code Red II(红色代码2)”病毒,与早先在西方英文系统下流行“红色代码”病毒有点相反,在国际上被称为VirtualRoot(虚拟目录)病毒。该蠕虫病毒利用Microsoft已知的溢出漏洞,通过80端口来传播到其它的Web页服务器上。受感染的机器可由黑客们通过Http Get的请求运行scripts/root.exe来获得对受感染机器的完全控制权。
当感染一台服务器成功了以后,如果受感染的机器是中文的系统后,该程序会休眠2天,别的机器休眠1天。当休眠的时间到了以后,该蠕虫程序会使得机器重新启动。该蠕虫也会检查机器的月份是否是10月或者年份是否是2002年,如果是,受感染的服务器也会重新启动。当Windows NT系统启动时,NT系统会自动搜索C盘根目录下的文件explorer.exe,受该网络蠕虫程序感染的服务器上的文件explorer.exe也就是该网络蠕虫程序本身。该文件的大小是8192字节,VirtualRoot网络蠕虫程序就是通过该程序来执行的。同时,VirtualRoot网络蠕虫程序还将cmd.exe的文件从Windows NT的system目录拷贝到别的目录,给黑客的入侵敞开了大门。它还会修改系统的注册表项目,通过该注册表项目的修改,该蠕虫程序可以建立虚拟的目录C或者D,病毒名由此而来。值得一提的是,该网络蠕虫程序除了文件explorer.exe外,其余的操作不是基于文件的,而是直接在内存中来进行感染、传播的,这就给捕捉带来了较大难度。
”程序的文件名,再在整个注册表中搜索即可。
我们先看看微软是怎样描述svchost.exe的。在微软知识库314056中对svchost.exe有如下描述:svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。
其实svchost.exe是Windows XP系统的一个核心进程。svchost.exe不单单只出现在Windows XP中,在使用NT内核的Windows系统中都会有svchost.exe的存在。一般在Windows 2000中svchost.exe进程的数目为2个,而在Windows XP中svchost.exe进程的数目就上升到了4个及4个以上。所以看到系统的进程列表中有几个svchost.exe不用那幺担心。
[b]svchost.exe到底是做什幺用的呢?[/b]
首先我们要了解一点那就是Windows系统的中的进程分为:独立进程和共享进程这两种。由于Windows系统中的服务越来越多,为了节约有限的系统资源微软把很多的系统服务做成了共享模式。那svchost.exe在这中间是担任怎样一个角色呢?
svchost.exe的工作就是作为这些服务的宿主,即由svchost.exe来启动这些服务。svchost.exe只是负责为这些服务提供启动的条件,其自身并不能实现任何服务的功能,也不能为用户提供任何服务。svchost.exe通过为这些系统服务调用动态链接库(DLL)的方式来启动系统服务。
svchost.exe是病毒这种说法是任何产生的呢?
因为svchost.exe可以作为服务的宿主来启动服务,所以病毒、木马的编写者也挖空心思的要利用svchost.exe的这个特性来迷惑用户达到入侵、破坏计算机的目的。
如何才能辨别哪些是正常的svchost.exe进程,而哪些是病毒进程呢?
svchost.exe的键值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost”,如图1所示。图1中每个键值表示一个独立的svchost.exe组。
微软还为我们提供了一种察看系统正在运行在svchost.exe列表中的服务的方法。以Windows XP为例:在“运行”中输入:cmd,然后在命令行模式中输入:tasklist /svc。系统列出如图2所示的服务列表。图2中红框包围起来的区域就是svchost.exe启动的服务列表。如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令替换为:“tlist -s”即可。如果你怀疑计算机有可能被病毒感染,svchost.exe的服务出现异常的话通过搜索svchost.exe文件就可以发现异常情况。一般只会找到一个在:“C:\Windows\System32”目录下的svchost.exe程序。如果你在其它目录下发现svchost.exe程序的话,那很可能就是中毒了。
还有一种确认svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在Windows系统自带的任务管理器不能察看进程路径,所以要使用第三方的进程察看工具。
[b]3、Services.exe造成CPU使用率占用100%[/b]
[b]症状[/b]
在基于 Windows 2000 的计算机上,Services.exe 中的 CPU 使用率可能间歇性地达到100 %,并且计算机可能停止响应(挂起)。出现此问题时,连接到该计算机(如果它是文件服务器或域控制器)的用户会被断开连接。您可能还需要重新启动计算机。如果 Esent.dll 错误地处理将文件刷新到磁盘的方式,则会出现此症状。
[b]解决方案[/b]
[b]Service Pack 信息[/b]
要解决此问题,请获取最新的 Microsoft Windows 2000 Service Pack。有关其它信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
260910 如何获取最新的 Windows 2000 Service Pack
[b]修复程序信息[/b]
Microsoft 提供了受支持的修补程序,但该程序只是为了解决本文所介绍的问题。只有计算机遇到本文提到的特定问题时才可应用此修补程序。此修补程序可能还会接受其它一些测试。因此,如果这个问题没有对您造成严重的影响,Microsoft 建议您等待包含此修补程序的下一个 Windows 2000 Service Pack。
要立即解决此问题,请与“Microsoft 产品支持服务”联系,以获取此修补程序。有关“Microsoft 产品支持服务”电话号码和支持费用信息的完整列表,请访问 Microsoft Web 站点:
注意 :特殊情况下,如果 Microsoft 支持专业人员确定某个特定的更新程序能够解决您的问题,可免收通常情况下收取的电话支持服务费用。对于特定更新程序无法解决的其它支持问题和事项,将正常收取支持费用。
下表列出了此修补程序的全球版本的文件属性(或更新的属性)。这些文件的日期和时间按协调通用时间 (UTC) 列出。查看文件信息时,它将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中的“日期和时间”工具中的 时区 选项卡。
[b]状态[/b]
Microsoft 已经确认这是在本文开头列出的 Microsoft 产品中存在的问题。此问题最初是在 Microsoft Windows 2000 Service Pack 4 中更正的。
[b]4、正常软件造成CPU使用率占用100%[/b]
首先,如果是从开机后就发生上述情况直到关机。那幺就有可能是由某个随系统同时登陆的软件造成的。可以通过运行输入“msconfig”打开“系统实用配置工具”,进入“启动”选项卡。接着,依次取消可疑选项前面的对钩,然后重新启动电脑。反复测试直到找到造成故障的软件。或者可以通过一些优化软件如“优化大师”达到上述目的。另:如果键盘内按键卡住也可能造成开机就出现上述问题。
如果是使用电脑途中出项这类问题,可以调出任务管理器(WINXP CTRL+ALT+DEL WIN2000 CTRL+SHIFT“ESC),进入”进程“选项卡,看”CPU“栏,从里面找到占用资源较高的程序(其中SYSTEM IDLE PROCESS是属于正常,它的值一般都很高,它的作用是告诉当前你可用的CPU资源是多少,所以它的值越高越好)通过搜索功能找到这个进程属于哪个软件。然后,可以通过升级、关闭、卸载这个软件或者干脆找个同类软件替换,问题即可得到解决。
[b]5、病毒、木马、间谍软件造成CPU使用率占用100%[/b]
出现CPU占用率100% 的故障经常是因为病毒木马造成的,比如震荡波病毒。应该首先更新病毒库,对电脑进行全机扫描 。接着,在使用反间谍软件Ad—Aware,检查是否存在间谍软件。论坛上有不少朋友都遇到过svchost.exe占用CPU100%,这个往往是中毒的表现。
svchost.exe Windows中的系统服务是以动态链接库(DLL)的形式实现的,其中一些会把可执行程序指向svchost.exe,由它调用相应服务的动态链接库并加上相应参数来启动服务。正是因为它的特殊性和重要性,使它更容易成为了一些病毒木马的宿主。
[b]6、explorer.exe进程造成CPU使用率占用100%[/b]
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那幺后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的
Explorer 键值改为Explorer=“C:\Windows\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。
[b]7、超线程导致CPU使用率占用100%[/b]
这类故障的共同原因就是都使用了具有超线程功能的P4 CPU。我查找了一些资料都没有明确的原因解释。据一些网友总结超线程似乎和天网防火墙有冲突,可以通过卸载天网并安装其它防火墙解决,也可以通过在BIOS中关闭超线程功能解决。
[b]8、AVI视频文件造成CPU使用率占用100%[/b]
在Windows XP中,单击一个较大的AVI视频文件后,可能会出现系统假死现象,并且造成exploere.exe进程的使用率100%,这是因为系统要先扫描该文件,并检查文件所有部分,建立索引。如果文件较大就会需要较长时间并造成CPU占用率100%。解决方法:右键单击保存视频文件的文件夹,选择”属性—常规—高级“,去掉”为了快速搜索,允许索引服务编制该文件夹的索引“前面复选框的对钩即可。
[b]9、杀毒软件CPU使用率占用100%[/b]
现在的杀毒软件一般都加入了,对网页、邮件、个人隐私的即时监空功能,这样无疑会加大系统的负担。比如:在玩游戏的时候,会非常缓慢。关闭该杀毒软件是解决得最直接办法。
[b]10、处理较大的Word文件时CPU使用率过高[/b]
上述问题一般还会造成电脑假死,这些都是因为WORD的拼写和语法检查造成的,只要打开WORD的“工具—选项”,进入“拼写和语法”选项卡,将其中的“键入时检查拼写”和“键入时检查语法”两项前面的复选框中的钩去掉即可。
[b]11、网络连接导致CPU使用率占用100%[/b]
当你的Windows2000/xp作为服务器时,收到来自端口445上的连接请求后,系统将分配内存和少量CPU资源来为这些连接提供服务,当负荷过重,就会出现上述情况。要解决这个问题可以通过修改注册表来解决,打开注册表,找到HKEY—LOCAL—MACHNE\SYSTEM\CurrentControlSet\Services\lanmanserver,在右面新建一个名为";maxworkitems";的DWORD值.然后双击该值,如果你的电脑有512以上内存,就设置为";1024";,如果小于512,就设置为256.
[b]一些不完善的驱动程序也可以造成CPU使用率过高[/b]
经常使用待机功能,也会造成系统自动关闭硬盘DMA模式。这不仅会使系统性能大幅度下降,系统启动速度变慢,也会使是系统在运行一些大型软件和游戏时CPU使用率100%,产生停顿。
[b]进程占用CPU 100%时可能中的病毒[/b]
system Idle Process
进程文件: [system process] or [system process]
进程名称: Windows内存处理系统进程
描 述: Windows页面内存管理进程,拥有0级优先。
介 绍:该进程作为单线程运行在每个处理器上,并在系统不处理其它线程的时候分派处理器的时间。它的CPU占用率越大表示可供分配的CPU资源越多,数字越小则表示CPU资源紧张。
Spoolsv.exe
进程文件: spoolsv or Spoolsv.exe
进程名称: Printer Spooler Service
描 述: Windows打印任务控制程序,用以打印机就绪。
介 绍:缓冲(spooler)服务是管理缓冲池中的打印和传真作业。
Spoolsv.exe→打印任务控制程序,一般会先加载以供列表机打印前的准备工作
Spoolsv.exe,如果常增高,有可能是病毒感染所致
目前常见的是:
Backdoor/Byshell(又叫隐形大盗、隐形杀手、西门庆病毒)
危害程度:中
受影响的系统: Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 3.x, Macintosh, Unix, Linux,
[b]病毒危害:[/b]
1. 生成病毒文件
2. 插入正常系统文件中
3. 修改系统注册表
4. 可被黑客远程控制
5. 躲避反病毒软件的查杀
简单的后门木马,发作会删除自身程序,但将自身程序套入可执行程序内(如:exe),并与计算机的通口(TCP端口138)挂钩,监控计算机的信息、密码,甚至是键盘操作,作为回传的信息,并不时驱动端口,以等候传进的命令,由于该木马不能判别何者是正确的端口,所以负责输出的列表机也是其驱动对象,以致Spoolsv.exe的使用异常频繁......
Backdoor.Win32.Plutor
破坏方法:感染PE文件的后门程序
病毒采用VC编写。
[b]病毒运行后有以下行为:[/b]
1、将病毒文件复制到%WINDIR%目录下,文件名为";Spoolsv.exe";,并该病毒文件运行。";Spoolsv.exe";文件运行后释放文件名为";mscheck.exe";的文件到%SYSDIR%目录下,该文件的主要功能是每次激活时运行";Spoolsv.exe";文件。如果所运行的文件是感染了正常文件的病毒文件,病毒将会把该文件恢复并将其运行。
2、修改注册表以下键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
增加数据项:";Microsoft Script Checker"; 数据为:";MSCHECK.EXE /START";
修改该项注册表使";MSCHECK.EXE";文件每次系统激活时都将被运行,而";MSCHECK.EXE";用于运行";Spoolsv.exe";文件,从而达到病毒自激活的目的。
3、创建一个线程用于感染C盘下的PE文件,但是文件路径中包含";winnt";、";Windows";字符串的文件不感染。另外,该病毒还会枚举局域网中的共享目录并试图对这些目录下的文件进行感染。该病毒感染文件方法比较简单,将正常文件的前0x16000个字节替换为病毒文件中的数据,并将原来0x16000个字节的数据插入所感染的文件尾部。
4、试图与