趕跑病毒木馬遠(yuǎn)離電腦死機(jī)故障

1、 趕跑病毒木馬 遠(yuǎn)離電腦死機(jī)故障常在網(wǎng)上漂，哪能不挨刀。天天上網(wǎng)，殺毒軟件、防火墻雖然都安裝了，但由于殺毒軟件的滯后性等其他因素，總是會(huì)感染一些病毒、木馬，有時(shí)一不小心就會(huì)被裝上許多惡意軟件，這些“家伙”是導(dǎo)致我們系統(tǒng)死機(jī)、不穩(wěn)定的罪魁禍?zhǔn)?，下面我們就和大家一起?lái)清除他們。 這時(shí)的首要任務(wù)就是要清除病毒、木馬及惡意軟件，IT八哥網(wǎng)()建議進(jìn)入安全模式查殺。開(kāi)機(jī)時(shí)，按住鍵上的F8鍵，在出現(xiàn)的系統(tǒng)啟動(dòng)菜單中選擇安全模式，進(jìn)入安全模式后進(jìn)行病毒查殺。對(duì)于惡意軟件建議選擇多款惡意軟件配合清除，效果比較好。這里重點(diǎn)推薦360安全衛(wèi)士，主要是除了惡意軟件清理外，還具體很多其他實(shí)用的功能。為了防止惡意軟件更

2、改注冊(cè)表中一些和IE瀏覽器相關(guān)的選項(xiàng)，等上網(wǎng)的時(shí)候再次重新下載、安裝惡意軟件，修復(fù)IE瀏覽器顯得比較重要。可以運(yùn)行360安全衛(wèi)士，單擊“高級(jí)”，單擊“修復(fù)IE”標(biāo)簽，然后單擊“立即修復(fù)”按鈕修復(fù)IE瀏覽器（圖1）。圖1除了惡意軟件，一些病毒會(huì)將自己注冊(cè)為系統(tǒng)的服務(wù)項(xiàng)，這時(shí)在“系統(tǒng)配置實(shí)用程序”中隱藏系統(tǒng)服務(wù)的方法不能很好的解決，特別是除了系統(tǒng)服務(wù)之外，如果服務(wù)項(xiàng)有很多的話就很難判斷哪些有可能是病毒了。這里推薦瑞星的卡卡助手，利用卡卡助手的服務(wù)功能，可以更方便的判別一些服務(wù)是否為病毒或木馬程序。運(yùn)行卡卡助手，單擊“系統(tǒng)啟動(dòng)項(xiàng)管理”，再單擊左側(cè)的“服務(wù)項(xiàng)”，在右側(cè)的服務(wù)列表中單擊右鍵，在彈出的快捷

3、菜單中分別選中“隱藏微軟已簽名的項(xiàng)”和“隱藏瑞星已簽名的項(xiàng)”，這時(shí)就會(huì)剩下極少數(shù)幾項(xiàng)了，根據(jù)名稱就可大致判斷是否是病毒了。選中懷疑為病毒的選項(xiàng)，單擊右鍵，在彈出的快捷菜單中選擇“刪除當(dāng)前選中的項(xiàng)”（圖2）。經(jīng)過(guò)這樣的兩個(gè)實(shí)用小工具軟件的幫助，我們成功的剿殺了系統(tǒng)中隱藏的病毒木馬，讓系統(tǒng)恢復(fù)了平日的“寧?kù)o”！推薦閱讀：輕松解決盤(pán)符打不開(kāi)的病毒最近Autorun.inf病毒越來(lái)越多，也越來(lái)越厲害，最近就碰上了一種，雙擊盤(pán)符打不開(kāi)，連在右鍵菜單中選擇“打開(kāi)”也提示錯(cuò)誤。 要知道里面保存了很多有用的資料，如果格式化的話就全沒(méi)了，難道就沒(méi)有辦法了嗎？無(wú)意之中發(fā)現(xiàn)了一種超簡(jiǎn)單的解決辦法。打開(kāi)資源管理器，在

4、左側(cè)目錄樹(shù)中點(diǎn)擊受感染的盤(pán)符，這時(shí)在右側(cè)的內(nèi)容窗格中，便顯示出分區(qū)內(nèi)的內(nèi)容了。找到Autorun.inf文件，雙擊打開(kāi)，找到調(diào)用的目標(biāo)，連同Autorun.inf文件一起刪除搞定。除了上面這種方法外，也可以在打開(kāi)“我的電腦”后，在地址欄中直接輸入對(duì)應(yīng)的盤(pán)符（類似于“F:”的形式）來(lái)打開(kāi)。小提示：病毒一般都是隱藏屬性，因此需要在“文件夾選項(xiàng)”中勾選“顯示所有文件”，并取消“隱藏受保護(hù)的操作系統(tǒng)文件（推薦）”選項(xiàng)的選擇，這樣才能找到病毒文件。堵住系統(tǒng)自動(dòng)運(yùn)行，堵住病毒木馬不管你遇到的是什么病毒，它想霸占你的系統(tǒng)，侵害你的文件，大部分都要在每次系統(tǒng)重啟時(shí)將自己加入自動(dòng)運(yùn)行，如果我們有方法讓它喪失這個(gè)

5、能力，那么你將遠(yuǎn)離大多數(shù)病毒木馬。 改注冊(cè)表就想自動(dòng)運(yùn)行 不行病毒木馬一般都通過(guò)修改注冊(cè)表將自己設(shè)置為自動(dòng)運(yùn)行，我們可以針對(duì)他們修改的三種方式，來(lái)設(shè)置相應(yīng)的三種對(duì)策：1.設(shè)置注冊(cè)表自啟動(dòng)項(xiàng)為everyone只讀權(quán)限（Run、RunOnce、RunService），防止木馬、病毒通過(guò)自啟動(dòng)項(xiàng)目啟動(dòng)。2.設(shè)置.txt、.com、.exe、.inf、.ini、.bat等文件關(guān)聯(lián)為everyone只讀權(quán)限，防止木馬、病毒通過(guò)文件關(guān)聯(lián)啟動(dòng)。3.設(shè)置注冊(cè)表HKLMSYSTEMCurrentControlSetServices為everyone只讀權(quán)限，防止木馬、病毒以“服務(wù)”方式啟動(dòng)。我們特地為大家準(zhǔn)備了

6、一個(gè)批處理文件，只要你下載后運(yùn)行一下，就可以完成上述的權(quán)限設(shè)置，一次免除后顧之憂（點(diǎn)擊下載批處理文件）。白名單 只運(yùn)行許可的Windows應(yīng)用程序設(shè)置白名單可以有效地防范外來(lái)的惡意程序在你系統(tǒng)中運(yùn)行或者設(shè)置自動(dòng)運(yùn)行，方法簡(jiǎn)單有效。第一步：首先以管理員賬戶（Administrator）登錄WinXP。第二步：選擇“開(kāi)始”菜單里面的“運(yùn)行”項(xiàng)，輸入“gpedit.msc”命令，然后單擊“確定”按鈕打開(kāi)“組策略編輯器”窗口。第三步：在“組策略”窗口的左側(cè)窗格中依次展開(kāi)“用戶配置管理模板系統(tǒng)”分支，然后在右側(cè)窗格中雙擊“只運(yùn)行許可的Windows應(yīng)用程序”策略項(xiàng)打開(kāi)“只運(yùn)行許可的Windows應(yīng)用程序

7、屬性”窗口。第四步：在“只運(yùn)行許可的Windows應(yīng)用程序?qū)傩浴贝翱谥修D(zhuǎn)到“策略”選項(xiàng)卡，先選擇“啟動(dòng)”項(xiàng)，再單擊“顯示”按鈕打開(kāi)“顯示內(nèi)容”對(duì)話框。第五步：在“顯示內(nèi)容”對(duì)話框中單擊“添加”按鈕打開(kāi)“添加項(xiàng)目”對(duì)話框，再在相應(yīng)文本框中輸入允許運(yùn)行程序的命令行，然后單擊“確定”按鈕將它添加到“顯示內(nèi)容”對(duì)話框的列表中。當(dāng)設(shè)置完成后，在WinXP中除了列表中指定的程序外，其他程序一律將被禁止運(yùn)行，更別說(shuō)病毒想方設(shè)法將自己加入到自動(dòng)運(yùn)行的行列，也無(wú)法在系統(tǒng)啟動(dòng)時(shí)運(yùn)行。限制病毒木馬容身之所通過(guò)瀏覽網(wǎng)頁(yè)時(shí)下載到本地被執(zhí)行的病毒木馬，很多時(shí)候?qū)?huì)先著陸在一些常見(jiàn)的系統(tǒng)目錄中，比如Temp、system3

8、2、drivers等，我們對(duì)這寫(xiě)目錄做一定的權(quán)限設(shè)定，很容易將它們攔阻，防止它們自動(dòng)運(yùn)行。這里要求我們的C盤(pán)必須是NTFS格式的，這樣才能設(shè)置權(quán)限，這里我們以Temp目錄為例：第一步：選擇“我的電腦工具文件夾選項(xiàng)查看去掉隱藏受保護(hù)的系統(tǒng)文件選中顯示所有文件和文件夾確定”。做這一步是為了顯示出temp文件夾，以便設(shè)置權(quán)限。第二步：右鍵單擊“temp文件夾屬性安全高級(jí)”，現(xiàn)在開(kāi)始設(shè)置，選擇名稱為你用戶名的權(quán)限項(xiàng)目，點(diǎn)擊“編輯”。在“遍歷文件夾/運(yùn)行文件”勾選“拒絕”，依次確定。小提示：FAT2NTFS如果你的C盤(pán)不是NTFS格式，可以過(guò)DOS命令來(lái)轉(zhuǎn)換：convert c： /fs：ntfs，而且

9、不必強(qiáng)制卸下該卷，繼續(xù)下一步，系統(tǒng)會(huì)計(jì)劃下次重啟后執(zhí)行。當(dāng)然，比如著名的sxs病毒，除了C盤(pán)之外，也在其它盤(pán)的根目錄下生成兩個(gè)或三個(gè)文件autorun.inf、sxs.exe、autorun.pif，為了預(yù)防這種木馬我們也可以通過(guò)設(shè)置權(quán)限來(lái)預(yù)防。不過(guò)，我們要付出的代價(jià)就是不能在根目錄下創(chuàng)建文件了。方法如下：第一步：右鍵單擊D盤(pán)，選擇“屬性安全組或用戶名稱”，這里只留一個(gè)你的用戶名。第二步：選擇“高級(jí)”，在“應(yīng)用到”列表中選擇該文件夾或文件。這里的意思是說(shuō)只對(duì)于本目錄有效，下級(jí)目錄我們?nèi)钥梢詫?xiě)刪。第三步：設(shè)置“創(chuàng)建文件/寫(xiě)入數(shù)據(jù)”為“拒絕”；設(shè)置“文件夾/附加數(shù)據(jù)”為“拒絕”。這樣一個(gè)個(gè)性化的防

10、止木馬病毒自動(dòng)運(yùn)行批處理程序就打造完畢。教你一招從根本上廢除木馬功能的招數(shù)1.前言： 木馬的危害，在于它能夠遠(yuǎn)程控制你的電腦。當(dāng)你成為“肉雞”的時(shí)候，別人（控制端）就可以進(jìn)入你的電腦，偷看你的文件、盜竊密碼、甚至用你的QQ發(fā)一些亂七八糟的東西給你的好友木馬大量出現(xiàn)，在于它有著直接的商業(yè)利益。一旦你的網(wǎng)上銀行密碼被盜，哭都來(lái)不及了。正因?yàn)槿绱?，現(xiàn)在木馬越繁殖越多，大有“野火燒不盡”之勢(shì)。木馬與病毒相互配合、相得益彰，危害越來(lái)越大。毫不夸張地說(shuō)：木馬就是從網(wǎng)線上走進(jìn)你家里的小偷強(qiáng)盜。防殺木馬，已成為現(xiàn)代電腦用戶的必修課。2.原理：木馬危害，雖然手段繁多，但是萬(wàn)變不離其宗，其中必需的步驟是在你的系統(tǒng)

11、里建立管理員用戶。本文就是從這一環(huán)節(jié)入手，阻止木馬建立用戶。這樣，即便你的電腦已經(jīng)感染了木馬病毒，但是由于不能建立用戶，木馬就不能發(fā)揮遠(yuǎn)程控制的功能。換句話說(shuō)，就是廢了它，讓他變成垃圾。當(dāng)然，垃圾也需要清理，但這已經(jīng)不在本文的討論范圍之內(nèi)了。3.方法：運(yùn)行 regedt32.exe 打開(kāi)你的注冊(cè)表，里面有一個(gè)目錄樹(shù)：打開(kāi)其中目錄 HKEY_LOCAL_MACHINE再打開(kāi)其中目錄 SAM再打開(kāi)其中目錄 SAM再打開(kāi)其中目錄 Domains再打開(kāi)其中目錄 Account再打開(kāi)其中目錄 Groups好了，就是這個(gè) Groups 就是負(fù)責(zé)建立用戶的。（注意，在進(jìn)行下一步操作之前，你先要對(duì)Groups

12、進(jìn)行備份，必要的時(shí)候，可以還原。）刪掉它，系統(tǒng)就不能建立用戶了。無(wú)論木馬怎樣折騰，都無(wú)法建立用戶，更談不上提升為管理員了。這個(gè)目錄里的文件如果被刪除，是沒(méi)有辦法還原的。備份方法：右鍵點(diǎn)擊 Groups 選擇“導(dǎo)出”，給導(dǎo)出的文件起個(gè)名字，保存好，就可以了。4.說(shuō)明：可能你進(jìn)入注冊(cè)表的時(shí)候，只能看到第一個(gè) SAM 目錄，其他的都看不到。別著急，那是因?yàn)槟銠?quán)限不夠，右鍵點(diǎn)擊相應(yīng)目錄選擇“權(quán)限”，把你自己（通常是 Administrators ）設(shè)置為“允許完全控制”就可以了。以此類推，一直找到 Groups 目錄為止。5.還原：很簡(jiǎn)單，找到你導(dǎo)出的那的文件，直接點(diǎn)擊就可以了。由于刪除 Groups

13、 目錄之后，你將不能使用控制面板中的“用戶帳戶”和“本地用戶和組”的功能，因此，備份文件很重要。需要使用相應(yīng)功能的時(shí)候，先還原一下，就跟以前一樣了。當(dāng)然，如果你是一個(gè)個(gè)人用戶，一直都是你一個(gè)人使用這臺(tái)計(jì)算機(jī)，那就無(wú)所謂了。至此，文章也結(jié)束了。有興趣的朋友，可以一試。但愿能幫上你的忙，祝你好運(yùn)。如何查殺運(yùn)行狀態(tài)下的EXE、DLL病毒一、對(duì)于啟動(dòng)進(jìn)程的EXE病毒的查殺 1、在進(jìn)程中可以發(fā)現(xiàn)的單進(jìn)程EXE病毒或木馬程序，如：svch0st.exe，有些殺毒軟件可以發(fā)現(xiàn)且可以停掉進(jìn)程，殺掉病毒；有些殺毒軟件會(huì)報(bào)警提示用戶或形成日志，需要用戶作進(jìn)一步判斷后，再手工停掉相應(yīng)進(jìn)程，殺掉病毒。2、在進(jìn)程中可以

14、發(fā)現(xiàn)的雙進(jìn)程EXE病毒或木馬程序，由于手工方式不能同時(shí)停掉兩個(gè)進(jìn)程，當(dāng)我們手工掉其中一個(gè)進(jìn)程后，另一個(gè)進(jìn)程會(huì)將該進(jìn)程重新啟動(dòng)。針對(duì)這種情況殺毒軟件也無(wú)能為力，若兩個(gè)都是非系統(tǒng)進(jìn)程，我們可以通過(guò)任務(wù)管理器/進(jìn)程/結(jié)束進(jìn)程樹(shù)的方式停掉該進(jìn)程，殺掉病毒；也可以用工具 冰刃IceSword中文件/設(shè)置/禁止進(jìn)線程創(chuàng)建，來(lái)停掉其中一個(gè)進(jìn)程，再停掉另一個(gè)進(jìn)程，殺掉病毒。3、對(duì)于像被熊貓燒香感染的EXE文件，上述兩種手工處理無(wú)效，因?yàn)闊o(wú)法手工清除受病毒感染的文件中的病毒，這時(shí)只能向殺毒軟件廠商提供病毒樣本，等待殺毒軟件升級(jí)后再進(jìn)行處理，或重新安裝操作系統(tǒng)。二、 對(duì)于采用進(jìn)程插入技術(shù)，隱藏了進(jìn)程DLL病毒的查

15、殺目前的一些高級(jí)病毒或木馬程序，采用進(jìn)程插入技術(shù)，隱藏了進(jìn)程，將其DLL動(dòng)態(tài)鏈接庫(kù)文件插入現(xiàn)有的系統(tǒng)進(jìn)程中，常見(jiàn)的插入explorer.exe和winlogon.exe中，目前殺毒軟件針對(duì)這種動(dòng)態(tài)鏈接庫(kù)的病毒查殺，效果都不理想，有時(shí)殺毒軟件甚至?xí)霈F(xiàn)誤判，如賽門(mén)鐵克誤殺系統(tǒng)兩個(gè)關(guān)鍵動(dòng)態(tài)鏈接庫(kù)文件事件。對(duì)于插入explorer.exe中DLL文件，大部分可以利用工具IceSword中模塊/卸除，將DLL文件卸載，然后手工刪除DLL病毒文件。對(duì)于插入winlogon.exe中DLL文件，少數(shù)可以利用工具IceSword中模塊/卸除，將DLL文件卸載，然后手工刪除DLL病毒文件；大部分是不可以卸除的

16、，對(duì)于上述兩種不可以卸除的情況，需要在安全模式下，手工刪除DLL病毒文件。另外，目前還有些病毒或木馬程序有時(shí)還會(huì)感染U盤(pán)，在U盤(pán)產(chǎn)生Autorun.inf和相應(yīng)的EXE文件。巧妙從進(jìn)程中判斷出病毒和木馬任何病毒和木馬存在于系統(tǒng)中，都無(wú)法徹底和進(jìn)程脫離關(guān)系，即使采用了隱藏技術(shù)，也還是能夠從進(jìn)程中找到蛛絲馬跡，因此，查看系統(tǒng)中活動(dòng)的進(jìn)程成為我們檢測(cè)病毒木馬最直接的方法。但是系統(tǒng)中同時(shí)運(yùn)行的進(jìn)程那么多，哪些是正常的系統(tǒng)進(jìn)程，哪些是木馬的進(jìn)程，而經(jīng)常被病毒木馬假冒的系統(tǒng)進(jìn)程在系統(tǒng)中又扮演著什么角色呢？請(qǐng)看本文。 病毒進(jìn)程隱藏三法當(dāng)我們確認(rèn)系統(tǒng)中存在病毒，但是通過(guò)“任務(wù)管理器”查看系統(tǒng)中的進(jìn)程時(shí)又找不出

17、異樣的進(jìn)程，這說(shuō)明病毒采用了一些隱藏措施，總結(jié)出來(lái)有三法：1.以假亂真系統(tǒng)中的正常進(jìn)程有：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，可能你發(fā)現(xiàn)過(guò)系統(tǒng)中存在這樣的進(jìn)程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。對(duì)比一下，發(fā)現(xiàn)區(qū)別了么？這是病毒經(jīng)常使用的伎倆，目的就是迷惑用戶的眼睛。通常它們會(huì)將系統(tǒng)中正常進(jìn)程名的o改為0，l改為i，i改為j，然后成為自己的進(jìn)程名，僅僅一字之差，意義卻完全不同。又或者多一個(gè)字母或少一個(gè)字母，例如explorer.exe和iexplore.exe本

18、來(lái)就容易搞混，再出現(xiàn)個(gè)iexplorer.exe就更加混亂了。如果用戶不仔細(xì)，一般就忽略了，病毒的進(jìn)程就逃過(guò)了一劫。2.偷梁換柱如果用戶比較心細(xì)，那么上面這招就沒(méi)用了，病毒會(huì)被就地正法。于是乎，病毒也學(xué)聰明了，懂得了偷梁換柱這一招。如果一個(gè)進(jìn)程的名字為svchost.exe，和正常的系統(tǒng)進(jìn)程名分毫不差。那么這個(gè)進(jìn)程是不是就安全了呢？非也，其實(shí)它只是利用了“任務(wù)管理器”無(wú)法查看進(jìn)程對(duì)應(yīng)可執(zhí)行文件這一缺陷。我們知道svchost.exe進(jìn)程對(duì)應(yīng)的可執(zhí)行文件位于“C:WINDOWSsystem32”目錄下（Windows2000則是C:WINNTsystem32目錄），如果病毒將自身復(fù)制到“C:WI

19、NDOWS”中，并改名為svchost.exe，運(yùn)行后，我們?cè)凇叭蝿?wù)管理器”中看到的也是svchost.exe，和正常的系統(tǒng)進(jìn)程無(wú)異。你能辨別出其中哪一個(gè)是病毒的進(jìn)程嗎？3.借尸還魂除了上文中的兩種方法外，病毒還有一招終極大法借尸還魂。所謂的借尸還魂就是病毒采用了進(jìn)程插入技術(shù)，將病毒運(yùn)行所需的dll文件插入正常的系統(tǒng)進(jìn)程中，表面上看無(wú)任何可疑情況，實(shí)質(zhì)上系統(tǒng)進(jìn)程已經(jīng)被病毒控制了，除非我們借助專業(yè)的進(jìn)程檢測(cè)工具，否則要想發(fā)現(xiàn)隱藏在其中的病毒是很困難的。系統(tǒng)進(jìn)程解惑上文中提到了很多系統(tǒng)進(jìn)程，這些系統(tǒng)進(jìn)程到底有何作用，其運(yùn)行原理又是什么？下面我們將對(duì)這些系統(tǒng)進(jìn)程進(jìn)行逐一講解，相信在熟知這些系統(tǒng)進(jìn)程后

20、，就能成功破解病毒的“以假亂真”和“偷梁換柱”了。svchost.exe常被病毒冒充的進(jìn)程名有：svch0st.exe、schvost.exe、scvhost.exe。隨著Windows系統(tǒng)服務(wù)不斷增多，為了節(jié)省系統(tǒng)資源，微軟把很多服務(wù)做成共享方式，交由svchost.exe進(jìn)程來(lái)啟動(dòng)。而系統(tǒng)服務(wù)是以動(dòng)態(tài)鏈接庫(kù)(DLL)形式實(shí)現(xiàn)的，它們把可執(zhí)行程序指向scvhost，由cvhost調(diào)用相應(yīng)服務(wù)的動(dòng)態(tài)鏈接庫(kù)來(lái)啟動(dòng)服務(wù)。我們可以打開(kāi)“控制面板”“管理工具”服務(wù)，雙擊其中“ClipBook”服務(wù)，在其屬性面板中可以發(fā)現(xiàn)對(duì)應(yīng)的可執(zhí)行文件路徑為“C:WINDOWSsystem32clipsrv.exe”

21、。再雙擊“Alerter”服務(wù)，可以發(fā)現(xiàn)其可執(zhí)行文件路徑為“C:WINDOWSsystem32svchost.exe -k LocalService”，而“Server”服務(wù)的可執(zhí)行文件路徑為“C:WINDOWSsystem32svchost.exe -k netsvcs”。正是通過(guò)這種調(diào)用，可以省下不少系統(tǒng)資源，因此系統(tǒng)中出現(xiàn)多個(gè)svchost.exe，其實(shí)只是系統(tǒng)的服務(wù)而已。在Windows2000系統(tǒng)中一般存在2個(gè)svchost.exe進(jìn)程，一個(gè)是RPCSS(RemoteProcedureCall)服務(wù)進(jìn)程，另外一個(gè)則是由很多服務(wù)共享的一個(gè)svchost.exe；而在WindowsXP中

22、，則一般有4個(gè)以上的svchost.exe服務(wù)進(jìn)程。如果svchost.exe進(jìn)程的數(shù)量多于5個(gè)，就要小心了，很可能是病毒假冒的，檢測(cè)方法也很簡(jiǎn)單，使用一些進(jìn)程管理工具，例如Windows優(yōu)化大師的進(jìn)程管理功能，查看svchost.exe的可執(zhí)行文件路徑，如果在“C:WINDOWSsystem32”目錄外，那么就可以判定是病毒了。explorer.exe常被病毒冒充的進(jìn)程名有：iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我們經(jīng)常會(huì)用到的“資源管理器”。如果在“任務(wù)管理器”中將explorer.exe進(jìn)程結(jié)束，那么包括任務(wù)欄、桌面、以

23、及打開(kāi)的文件都會(huì)統(tǒng)統(tǒng)消失，單擊“任務(wù)管理器”“文件”“新建任務(wù)”，輸入“explorer.exe”后，消失的東西又重新回來(lái)了。explorer.exe進(jìn)程的作用就是讓我們管理計(jì)算機(jī)中的資源。explorer.exe進(jìn)程默認(rèn)是和系統(tǒng)一起啟動(dòng)的，其對(duì)應(yīng)可執(zhí)行文件的路徑為“C:Windows”目錄，除此之外則為病毒。iexplore.exe常被病毒冒充的進(jìn)程名有：iexplorer.exe、iexploer.exeiexplorer.exe進(jìn)程和上文中的explorer.exe進(jìn)程名很相像，因此比較容易搞混，其實(shí)iexplorer.exe是Microsoft Internet Explorer所產(chǎn)生

24、的進(jìn)程，也就是我們平時(shí)使用的IE瀏覽器。知道作用后辨認(rèn)起來(lái)應(yīng)該就比較容易了，iexplorer.exe進(jìn)程名的開(kāi)頭為“ie”，就是IE瀏覽器的意思。iexplore.exe進(jìn)程對(duì)應(yīng)的可執(zhí)行程序位于C:ProgramFilesInternetExplorer目錄中，存在于其他目錄則為病毒，除非你將該文件夾進(jìn)行了轉(zhuǎn)移。此外，有時(shí)我們會(huì)發(fā)現(xiàn)沒(méi)有打開(kāi)IE瀏覽器的情況下，系統(tǒng)中仍然存在iexplore.exe進(jìn)程，這要分兩種情況：1.病毒假冒iexplore.exe進(jìn)程名。2.病毒偷偷在后臺(tái)通過(guò)iexplore.exe干壞事。因此出現(xiàn)這種情況還是趕快用殺毒軟件進(jìn)行查殺吧。rundll32.exe常被病毒

25、冒充的進(jìn)程名有：rundl132.exe、rundl32.exe。rundll32.exe在系統(tǒng)中的作用是執(zhí)行DLL文件中的內(nèi)部函數(shù)，系統(tǒng)中存在多少個(gè)Rundll32.exe進(jìn)程，就表示Rundll32.exe啟動(dòng)了多少個(gè)的DLL文件。其實(shí)rundll32.exe我們是會(huì)經(jīng)常用到的，他可以控制系統(tǒng)中的一些dll文件，舉個(gè)例子，在“命令提示符”中輸入“rundll32.exe user32.dll,LockWorkStation”，回車(chē)后，系統(tǒng)就會(huì)快速切換到登錄界面了。rundll32.exe的路徑為“C:Windowssystem32”，在別的目錄則可以判定是病毒。spoolsv.exe常被病

26、毒冒充的進(jìn)程名有：spoo1sv.exe、spolsv.exe。spoolsv.exe是系統(tǒng)服務(wù)“Print Spooler”所對(duì)應(yīng)的可執(zhí)行程序，其作用是管理所有本地和網(wǎng)絡(luò)打印隊(duì)列及控制所有打印工作。如果此服務(wù)被停用，計(jì)算機(jī)上的打印將不可用，同時(shí)spoolsv.exe進(jìn)程也會(huì)從計(jì)算機(jī)上消失。如果你不存在打印機(jī)設(shè)備，那么就把這項(xiàng)服務(wù)關(guān)閉吧，可以節(jié)省系統(tǒng)資源。停止并關(guān)閉服務(wù)后，如果系統(tǒng)中還存在spoolsv.exe進(jìn)程，這就一定是病毒偽裝的了。限于篇幅，關(guān)于常見(jiàn)進(jìn)程的介紹就到這里，我們平時(shí)在檢查進(jìn)程的時(shí)候如果發(fā)現(xiàn)有可疑，只要根據(jù)兩點(diǎn)來(lái)判斷：1.仔細(xì)檢查進(jìn)程的文件名；2.檢查其路徑。通過(guò)這兩點(diǎn)，一般

27、的病毒進(jìn)程肯定會(huì)露出馬腳。找個(gè)管理進(jìn)程的好幫手系統(tǒng)內(nèi)置的“任務(wù)管理器”功能太弱，肯定不適合查殺病毒。因此我們可以使用專業(yè)的進(jìn)程管理工具，例如Procexp。Procexp可以區(qū)分系統(tǒng)進(jìn)程和一般進(jìn)程，并且以不同的顏色進(jìn)行區(qū)分，讓假冒系統(tǒng)進(jìn)程的病毒進(jìn)程無(wú)處可藏。運(yùn)行Procexp后，進(jìn)程會(huì)被分為兩大塊，“System Idle Process”下屬的進(jìn)程屬于系統(tǒng)進(jìn)程，explorer.exe”下屬的進(jìn)程屬于一般進(jìn)程。我們介紹過(guò)的系統(tǒng)進(jìn)程svchost.exe、winlogon.exe等都隸屬于“System Idle Process”，如果你在“explorer.exe”中發(fā)現(xiàn)了svchost.e

28、xe，那么不用說(shuō)，肯定是病毒冒充的。用Ftype命令讓病毒白白運(yùn)行朋友電腦中了病毒，我去看了一下，是個(gè)QQ病毒，由于挺長(zhǎng)時(shí)間沒(méi)有上網(wǎng)搜集病毒方面消息了，我對(duì)這些病毒的特性也不甚了解。我先打開(kāi)“進(jìn)程管理器”，將幾個(gè)不太熟悉的程序關(guān)閉掉，但剛關(guān)掉一個(gè)，再去關(guān)閉另外一個(gè)時(shí)，剛才關(guān)閉的那個(gè)馬上又運(yùn)行了。沒(méi)辦法，我決定從注冊(cè)表里先把啟動(dòng)項(xiàng)刪除后，再重啟試試，結(jié)果，我剛把那些啟動(dòng)項(xiàng)刪除，然后刷新一下注冊(cè)表，那些啟動(dòng)項(xiàng)又還原了，看來(lái)一般的方法是行不通了，上網(wǎng)下載專殺工具后，仍然不能殺掉。我知道這是因?yàn)椴《菊谶\(yùn)行，所以無(wú)法刪除。 由于這臺(tái)電腦只有一個(gè)操作系統(tǒng)，也沒(méi)辦法在另一個(gè)系統(tǒng)下刪除這些病毒，這時(shí)怎么辦呢

29、？如果大家也遇到這種情況時(shí)，我向大家推薦一種方法。第一步：在“開(kāi)始運(yùn)行”中輸入CMD，打開(kāi)“命令提示符”窗口。第二步：輸入ftype exefile=notepad.exe %1，這句話的意思是將所有的EXE文件用“記事本”打開(kāi)。這樣原來(lái)的病毒就無(wú)法啟動(dòng)了。第三步：重啟電腦，你會(huì)看見(jiàn)打開(kāi)了許多“記事本”。當(dāng)然，這其中不僅有病毒文件，還有一些原來(lái)的系統(tǒng)文件，比如：輸入法程序。第四步：右擊任何文件，選擇“打開(kāi)方式”，然后點(diǎn)擊“瀏覽”，轉(zhuǎn)到WindowsSystem32下，選擇cmd.exe，這樣就可以再次打開(kāi)“命令提示符”窗口。第五步：運(yùn)行ftype exefile=%1 %*，將所有的EXE文件

30、關(guān)聯(lián)還原?，F(xiàn)在運(yùn)行殺毒軟件或直接改回注冊(cè)表，就可以殺掉病毒了。第六步：在每一個(gè)“記事本”中，點(diǎn)擊菜單中的“文件另存為”，就可看到了路徑以及文件名了。找到病毒文件，手動(dòng)刪除即可，但得小心，必須確定那是病毒才能刪除。建議將這些文件改名并記下，重啟后，如果沒(méi)有病毒作怪，也沒(méi)有系統(tǒng)問(wèn)題，再進(jìn)行刪除，最后介紹一下Ftype的用法在Windows中，F(xiàn)type命令用來(lái)顯示及修改不同擴(kuò)展名文件所關(guān)聯(lián)的打開(kāi)程序。相當(dāng)于在注冊(cè)表編輯器中修改“HKEY_CLASSES_ROOT”項(xiàng)下的部分內(nèi)容一樣。Ftype的基本使用格式為：Ftype 文件類型=打開(kāi)方式/程序比如：像上例中的ftype exefile=note

31、pad.exe %1，表示將所有文件類型為EXE(exefile表示為EXE類型文件)的文件都通過(guò)“記事本”程序打開(kāi)，后面的%1表示要打開(kāi)的程序本身(就是雙擊時(shí)的那個(gè)程序)。ftype exefile=%1 %*則表示所有EXE文件本身直接運(yùn)行(EXE 可以直接運(yùn)行，所以用表示程序本身的%1即可)，后面的%*則表示程序命令后帶的所有參數(shù)(這就是為什么EXE文件可以帶參數(shù)運(yùn)行的原因)。個(gè)人IE安全優(yōu)化技巧幾則打開(kāi)C:Program FilesInternet Explorer文件夾，右擊Iexplore.exe文件，選擇“發(fā)送到桌面快捷方式”，再右擊桌面上新建的快捷方式，即可在后面添加參數(shù)，要注

32、意的是，程序名和參數(shù)之間要用空格分開(kāi)，如果有多個(gè)參數(shù)，則也必須將多個(gè)參數(shù)用空格分開(kāi)。 1.給IE穿上一件免費(fèi)防彈衣在Iexplore.exe后面添加-nohome參數(shù)，這樣雙擊此快捷方式則可以打開(kāi)一個(gè)空白IE窗口,不但能夠加快啟動(dòng)速度，更重要的是，即使我們的主頁(yè)被惡意程序修改了，利用此法也不會(huì)自動(dòng)打開(kāi)惡意網(wǎng)頁(yè)。2.輕松修復(fù)IE如果安裝的是Windows XP SP2，發(fā)現(xiàn)IE總是不大對(duì)勁，比如打不開(kāi)某些網(wǎng)站經(jīng)常無(wú)反應(yīng)。此時(shí)可新建一個(gè)指向“C:Program FilesInternet ExplorerIEXPLORE.EXE” /rereg的名為重新注冊(cè)IE組件的快捷方式，雙擊即可重新注冊(cè)IE

33、組件，之后就能解決前面的問(wèn)題。3.本地網(wǎng)絡(luò)均兼顧在IEXPLORE.EXE后面添加一個(gè)-e參數(shù)，會(huì)讓IE瀏覽器以Explorer方式來(lái)瀏覽，這時(shí)不僅可以看到網(wǎng)站的內(nèi)容，同時(shí)還可在左側(cè)窗格操作本地文件。4.拯救“死掉”的IEIE不聽(tīng)使喚已是家常便飯，這時(shí)，你首先在桌面上建立一個(gè)指向“C:Program FilesInternet ExplorerIEXPLORE.EXE” -new的快捷方式，將其命名為“開(kāi)啟新的IE”。當(dāng)你發(fā)現(xiàn)當(dāng)前的IE不受控制時(shí)，按下Win+D鍵回到桌面并雙擊此快捷方式，可以啟動(dòng)另一個(gè)IEXPLORE進(jìn)程，可以在任務(wù)管理器中看到多個(gè)IEXPLORE進(jìn)程），而且此IE可以保證你

34、在不重新啟動(dòng)系統(tǒng)的前提下仍可以正常瀏覽網(wǎng)站，可以解決一時(shí)之急。5.其他參數(shù)-k參數(shù)可以讓IE工作在全屏方式下， -remote參數(shù)可以在Unix平臺(tái)上啟動(dòng)另一個(gè)IE進(jìn)程，-slf參數(shù)會(huì)讓IE連接到默認(rèn)的主頁(yè)，而且會(huì)從緩存中打開(kāi)默認(rèn)主頁(yè)。-v參數(shù)會(huì)顯示出IE當(dāng)前的版本（Unix平臺(tái)上適用）。重新注冊(cè)IE組件1、IE莫名跳窗應(yīng)該是惡意廣告程序作怪，可以按以下方法修復(fù)：重新注冊(cè)IE項(xiàng)，修復(fù)IE注冊(cè)。從開(kāi)始-運(yùn)行輸入命令 regsvr32 actxprxy.dll 確定輸入命令 regsvr32 shdocvw.dll 確定2、跳窗網(wǎng)頁(yè)可能保留在HOSTS，一經(jīng)上網(wǎng)就先觸發(fā)該網(wǎng)址為默認(rèn)，就會(huì)自動(dòng)打開(kāi)。

35、檢查HOSTS：用記事本在C:WINDOWSsystem32driversetc目錄下打開(kāi)HOSTS在里面檢查有沒(méi)有網(wǎng)址，有則刪除?；蛟谇懊婕?保存后屏蔽掉。教你幾招讓黑客遠(yuǎn)離你的網(wǎng)絡(luò)本文想告知普通電腦用戶的是，防止電腦成為別人的“肉雞”，和攻擊者抓“肉雞”一樣超級(jí)簡(jiǎn)單，并且行之有效。您只要認(rèn)識(shí)到如果成為“肉雞”，會(huì)很受傷，你一定會(huì)拒絕被任何人控制。做到這幾點(diǎn)，攻擊者想抓住你，門(mén)兒都沒(méi)有。 言歸正傳，防止成為“肉雞”的，你只需要注意以下幾點(diǎn)：要點(diǎn)1：盜版Windows XP存在巨大風(fēng)險(xiǎn)，需要對(duì)這樣立即進(jìn)行安全性改造。如果你的操作系統(tǒng)是其它技術(shù)人員安裝，或者有可能是盜版XP，比

36、如電腦裝機(jī)商的*版本，蕃茄花園XP，雨木林風(fēng)XP，龍卷風(fēng)XP等。這樣的系統(tǒng)，很多是無(wú)人值守安裝的。安裝步驟非常簡(jiǎn)單，你把光盤(pán)放進(jìn)電腦，出去喝茶，回來(lái)就可能發(fā)現(xiàn)系統(tǒng)已經(jīng)安裝完畢。這樣的系統(tǒng)，最大的缺陷在哪兒呢？再明白不過(guò)，這種系統(tǒng)的管理員口令是空的，并且自動(dòng)登錄。也就是說(shuō)，任何人都可以嘗試用空口令登錄你的系統(tǒng)，距離對(duì)于互聯(lián)網(wǎng)來(lái)說(shuō)，根本不是障礙。改造方法：立即修改administrator用戶口令，口令使用字母和其它特殊字符的組合，長(zhǎng)度不低于8位。改變登錄方式，要求必須按ctrl+alt+del才可以登錄。要點(diǎn)2：任何時(shí)候離開(kāi)你的電腦，建議拔掉網(wǎng)線，不能斷線的計(jì)算機(jī)，建議立即鎖定，不要讓陌生人能夠

37、物理的接觸到你的計(jì)算機(jī)。隨便找一個(gè)windows PE的光盤(pán)（深山紅葉修復(fù)工具盤(pán)等），用這種光盤(pán)引導(dǎo)，可輕易修改你的管理員登錄密碼，修改你的注冊(cè)表信息，當(dāng)然也包括寫(xiě)入病毒，再啟動(dòng)病毒程序。曾經(jīng)有個(gè)例子，上海某白領(lǐng)的網(wǎng)上銀行一次性被云南的黑客劃走數(shù)10萬(wàn)元。對(duì)于一般的網(wǎng)上銀行來(lái)說(shuō)，大眾版通常限制了一天取款1000元左右，是小額支付，一旦丟失賬號(hào)，也不至于損失特別巨大。對(duì)于專業(yè)版網(wǎng)上銀行來(lái)說(shuō)，如果數(shù)字證書(shū)是存儲(chǔ)在本機(jī)計(jì)算機(jī)，當(dāng)你較長(zhǎng)時(shí)間離開(kāi)你的電腦時(shí)，攻擊者可以遠(yuǎn)程控制你的電腦，在你的電腦上轉(zhuǎn)移財(cái)產(chǎn)。這和你本地進(jìn)行在線銀行業(yè)務(wù)沒(méi)有任何區(qū)別。對(duì)于使用移動(dòng)數(shù)字證書(shū)的網(wǎng)上銀行用戶，千萬(wàn)注意，用完就拔掉數(shù)

38、字證書(shū)，不要給攻擊者任何機(jī)會(huì)。解決辦法：當(dāng)你需要較長(zhǎng)時(shí)間離開(kāi)電腦時(shí)，鎖定電腦，或拔掉網(wǎng)線。要點(diǎn)3：確保啟用網(wǎng)絡(luò)防火墻對(duì)于互聯(lián)網(wǎng)用戶來(lái)說(shuō)，網(wǎng)絡(luò)防火墻（注意，這里指Firewall，不是很多人認(rèn)為的病毒實(shí)時(shí)監(jiān)控）是隔離你和外界的一道關(guān)口，正確啟用和配置防火墻，將會(huì)使你減少很多直接面對(duì)攻擊的機(jī)會(huì)。在你的系統(tǒng)有漏洞未修補(bǔ)時(shí)，防火墻可能是唯一可保護(hù)你的電腦安全的解決方案。但是，不要以為開(kāi)啟了防火墻就萬(wàn)事無(wú)憂了，防火墻基本只是攔截由外到內(nèi)（由互聯(lián)網(wǎng)到本機(jī)）通信，由內(nèi)向外的訪問(wèn)，很容易使用各種手段進(jìn)行欺騙，木馬就是這樣逃避防火墻完成盜竊任務(wù)的。盡管，防火墻不是總有效，但有防火墻比沒(méi)有強(qiáng)很多，是必須要啟用的。

39、要點(diǎn)4：切實(shí)關(guān)注安全漏洞信息，及時(shí)使用各種補(bǔ)丁修復(fù)工具，提升系統(tǒng)安全性系統(tǒng)漏洞在正式公布前，通常會(huì)被黑客利用很長(zhǎng)時(shí)間，這就是通常說(shuō)的0day攻擊，這樣的攻擊也越來(lái)越常見(jiàn)。漏洞涉及Windows 操作系統(tǒng)文件和其它應(yīng)用軟件，但風(fēng)險(xiǎn)最大的仍是Windows 系統(tǒng)漏洞。應(yīng)用軟件漏洞的利用會(huì)受到較多的環(huán)境制約，通常風(fēng)險(xiǎn)相對(duì)較低。最近廣泛引起人們關(guān)注的是Flash player漏洞，攻擊者可利用這個(gè)漏洞運(yùn)行任意指定的代碼。解決方案：能用Windows Update的，一定要用，讓W(xué)indows進(jìn)行自動(dòng)更新。看到右下角Windows Update正在工作的圖標(biāo)，別給阻止了。部分盜版用戶不能正常使用Wind

40、ows Update或Microsoft Update的，建議使用第三方漏洞修復(fù)工具，比如金山清理專家的漏洞掃描修復(fù)模塊。要點(diǎn)5：安裝使用殺毒軟件，并經(jīng)常檢查是否工作正常，是否可以進(jìn)行病毒特征的更新不要把安全問(wèn)題只交給殺毒軟件來(lái)負(fù)責(zé)，安全是系統(tǒng)工程，殺毒軟件只是其中的一環(huán)?？偸窍扔胁《?，才會(huì)有殺毒軟件更新。在很多情況下，安裝殺毒軟件之后，還 是會(huì)中各種各樣的病毒。但這不能說(shuō)明殺毒軟件不必要，相反，殺毒軟件是非常重要的，如果沒(méi)有殺毒軟件，你的系統(tǒng)可能會(huì)更糟。越來(lái)越多的病毒為了入侵你的系統(tǒng)，首先會(huì)嘗試將殺毒軟件廢掉。破壞殺毒軟件的功能，可能比殺毒軟件對(duì)付病毒還要容易。因?yàn)槠茐恼叩哪繕?biāo)很明確，就是市面最流行的軟件，針對(duì)這幾種安全軟件做手腳是很容易的。并且，病毒制造者不象殺毒軟件那樣，必須考慮每個(gè)更新帶來(lái)的兼容性問(wèn)題，攻擊者只關(guān)注木馬需要完成的任務(wù)，其它后果，病毒制造者是不用花很多功夫去考慮的。木馬病毒制造者是這樣痛恨殺毒軟件，以至于目前有相當(dāng)多的木馬入侵后，首先會(huì)去破壞殺毒軟件，只要破壞者愿意，有針對(duì)性