史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 應用軟體使用技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-03-22, 05:37 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 教學 - res.exe 病毒移除

Q:

木馬程序如何處理,NORTON只能查出來,但處理不了
系統速度下降近於當機,CPU佔用嚴重
用NORTON能查出C:\WINDOWS\SYSTEM32\RES.EXE Trofan Horse程序
無法隔離、無法移除;
經過第二次殺毒,雖能隔離,但系統不正常,速度極慢,CPU佔用嚴重

RES.EXE病毒怎樣才能弄好了?


前段時間瑞星防火牆提示RES。EXE文件訪問網路,網上一查,才知道是新的病毒,但下了好多殺毒軟體,比如卡巴,木馬殺客,流行病毒專殺,還有流氓軟體清理工具以及QQ病毒專殺,都不能弄好了它,現在常常是一開網頁就會自動跳出一些廣告,比如貓撲的。我現在的機器被它整得慢死了,各位高手誰能夠給我接招,解我燃眉之急,先在這兒謝謝大家了。




A:
HelpOnline正好收到幾個類似故障例子的。L2
©HelpOnline在線技術支持 -- HelpOnline在線技術支持,免費為您解決系統故障,進行安全維護。  
這個res.exe使用Hijackthis可以掃瞄到啟動項,但是無法直接修復,很可能在行程中有保護,所以你可以在安全模式下使用Hijackthis修復關於 res.exe 的啟動項。
©HelpOnline在線技術支持 -- HelpOnline在線技術支持,免費為您解決系統故障,進行安全維護。  
現在仍然懷疑你的電腦的話,你可以提交一下你的hijackthis掃瞄日誌。

Res.exe

自動執行項(Run) - res,,
相關文件:C:\WINNT\system32\res.exe
內容:C:\WINNT\system32\res.exe
安全等級:未知
=======================================
【訊息】:一個惡意文件,具體功能不知道,移除它沒錯了。
【來源】:不知道是通過什麼程序裝進來的。但是ie無故彈出廣告就有他的原因。
【卸載】:因為不知道是怎麼來的。所以只能直接移除源文件C:\WINNT\system32\res.exe




病毒名稱為
Trojan-Downloader.win32.Sma
病毒並不是一個文件,我就不一一說了,麻煩,
如果殺毒的話,我推薦用卡巴,這個不錯
執行REGEDIT找HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
裡面都是自啟動項目.
不想要的就刪了.

一、msser.exe是病毒:
1、開機按F8進入安全模式,進入系統碟,移除
system32\cba\task.exe
system32下的appmgmt
C:\windows\temp\Install\setup.exe
system32\icon目錄
system32\inetsrv\inet.exe
2.「開始——搜尋——所有文件和文件加」找到 (drmk.sys ks.sys)兩個文件將其移除,這兩個是系統檔案,移除後會自動恢復. 不必擔心,最後從移除system32\appmgmt資料夾。

如果下次開機還有的話,在動手清除一次即可。

二、res.exe是網路上流行的一些強行安裝的插件行程,可以移除掉那些軟體

執行REGEDIT找HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
裡面都是自啟動項目.
不想要的就刪了.

或是去可以去賽門鐵克的官方網站去找
按照步驟,修改註冊表即可

或者你不會自修復乾脆格式化掉硬碟
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-03-24, 05:47 AM   #2 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

火眼金睛 教你根據名稱識別電腦病毒

火眼金睛 教你根據名稱識別電腦病毒

很多時候大家已經用殺毒軟體查出了自己的電腦中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等這些一串英文還帶數位的病毒名,這時有些人就懵了,那麼長一串的名字,我怎麼知道是什麼病毒啊?
  其實只要我們掌握一些病毒的命名規則,我們就能通過殺毒軟體的報告中出現的病毒名來判斷該病毒的一些公有的特性了。
  世界上那麼多的病毒,反病毒公司為了方便管理,他們會按照病毒的特性,將病毒進行分類命名。雖然每個反病毒公司的命名規則都不太一樣,但大體都是採用一個統一的命名方法來命名的。一般格式為:<病毒前綴>.<病毒名>.<病毒後面> 。
  病毒前綴是指一個病毒的種類,他是用來區別病毒的種族分類的。不同的種類的病毒,其前綴也是不同的。比如我們一般的木馬病毒的前綴 Trojan ,蠕蟲病毒的前綴是 Worm 等等還有其他的。
  病毒名是指一個病毒的家族特徵,是用來區別和標幟病毒家族的,如以前著名的CIH病毒的家族名都是統一的「 CIH 」,還有近期鬧得正歡的振蕩波蠕蟲病毒的家族名是「 Sasser 」。
  病毒後面是指一個病毒的變種特徵,是用來區別具體某個家族病毒的某個變種的。一般都採用英文中的26個字母來表示,如 Worm.Sasser.b 就是指 振蕩波蠕蟲病毒的變種B,因此一般稱為 「振蕩波B變種」或者「振蕩波變種B」。如果該病毒變種非常多(也表明該病毒生命力頑強 ^_^),可以採用數位與字母混合表示變種標幟。
  綜上所述,一個病毒的前綴對我們快速的判斷該病毒屬於哪種檔案類型的病毒是有非常大的說明 的。通過判斷病毒的檔案類型,就可以對這個病毒有個大概的評估(當然這需要積累一些一般病毒檔案類型的相關知識,這不在本文討論範圍)。而通過病毒名我們可以利用搜尋資料等方式進一步瞭解該病毒的詳細特徵。病毒後面能讓我們知道現在在你電腦裡待著的病毒是哪個變種。

 下面附帶一些一般的病毒前綴的解釋(針對我們用得最多的Windows作業系統):
  1、系統病毒
  系統病毒的前綴為:Win32、PE、Win95、W32、W95等。這些病毒的一般公有的特性是可以感染windows作業系統的 *.exe 和 *.dll 文件,並通過這些文件進行傳播。如CIH病毒。

  2、蠕蟲病毒
  蠕蟲病毒的前綴是:Worm。這種病毒的公有特性是通過網路或者系統漏洞進行傳播,很大部分的蠕蟲病毒都有向外傳送帶毒郵件,阻塞網路的特性。比如衝擊波(阻塞網路),小郵差(髮帶毒郵件) 等。

  3、木馬病毒、黑客病毒
  木馬病毒其前綴是:Trojan,黑客病毒前綴名一般為 Hack 。木馬病毒的公有特性是通過網路或者系統漏洞進入用戶的系統並隱藏,然後向外界洩露用戶的訊息,而黑客病毒則有一個可視的介面,能對用戶的電腦進行遠端控制。木馬、黑客病毒往往是成對出現的,即木馬病毒負責侵入用戶的電腦,而黑客病毒則會通過該木馬病毒來進行控制。現在這兩種檔案類型都越來越趨向於整合了。一般的木馬如QQ消息尾巴木馬 Trojan.QQ3344 ,還有大家可能遇見比較多的針對網路遊戲的木馬病毒如 Trojan.LMir.PSW.60 。這裡補充一點,病毒名中有PSW或者什麼PWD之類的一般都表示這個病毒有盜取密碼的功能(這些字母一般都為「密碼」的英文「password」的縮寫)一些黑客程序如:網路梟雄(Hack.Nether.Client)等。

4、指令碼病毒
  指令碼病毒的前綴是:Script。指令碼病毒的公有特性是使用指令碼語言編寫,通過網頁進行的傳播的病毒,如紅色程式碼(Script.Redlof)——可不是我們的老大程式碼兄哦 ^_^。指令碼病毒還會有如下前綴:VBS、JS(表明是何種指令碼編寫的),如歡樂時光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。

  5、巨集病毒
  其實巨集病毒是也是指令碼病毒的一種,由於它的特殊性,因此在這裡單獨算成一類。巨集病毒的前綴是:Macro,第二前綴是:Word、Word97、Excel、Excel97(也許還有別的)其中之一。凡是只感染WORD97及以前版本WORD文件的病毒採用Word97做為第二前綴,格式是:Macro.Word97;凡是只感染WORD97以後版本WORD文件的病毒採用Word做為第二前綴,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文件的病毒採用Excel97做為第二前綴,格式是:Macro.Excel97;凡是只感染EXCEL97以後版本EXCEL文件的病毒採用Excel做為第二前綴,格式是:Macro.Excel,依此類推。該類病毒的公有特性是能感染OFFICE系列文件,然後通過OFFICE通用範本進行傳播,如:著名的美麗莎(Macro.Melissa)。

  6、後門病毒
  後門病毒的前綴是:Backdoor。該類病毒的公有特性是通過網路傳播,給系統開後門,給用戶電腦帶來安全隱患。如54很多朋友遇到過的IRC後門Backdoor.IRCBot 。

  7、病毒種植程序病毒
  這類病毒的公有特性是執行時會從體內解壓縮出一個或幾個新的病毒到系統目錄下,由解壓縮出來的新病毒產生破壞。如:冰河播種者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。

  8.破壞性程序病毒
  破壞性程序病毒的前綴是:Harm。這類病毒的公有特性是本身具有好看的圖示來誘惑用戶點擊,當用戶點擊這類病毒時,病毒便會直接對用戶電腦產生破壞。如:格式化C碟(Harm.formatC.f)、殺手指令(Harm.Command.Killer)等。

  9.玩笑病毒
  玩笑病毒的前綴是:Joke。也稱惡作劇病毒。這類病毒的公有特性是本身具有好看的圖示來誘惑用戶點擊,當用戶點擊這類病毒時,病毒會做出各種破壞操作來嚇唬用戶,其實病毒並沒有對用戶電腦進行任何破壞。如:女鬼(Joke.Girlghost)病毒。

  10.元件服務機病毒
  元件服務機病毒的前綴是:Binder。這類病毒的公有特性是病毒作者會使用特定的元件服務程序將病毒與一些應用程式如QQ、IE元件服務起來,表面上看是一個正常的文件,當用戶執行這些元件服務病毒時,會表面上執行這些應用程式,然後隱藏執行元件服務在一起的病毒,從而給用戶造成危害。如:元件服務QQ(Binder.QQPass.黑名單in)、系統殺手(Binder.killsys)等。

  以上為比較一般的病毒前綴,有時候我們還會看到一些其他的,但比較少見,這裡簡單提一下:
  DoS:會針對某台主機或者伺服器進行DoS攻擊;
  Exploit:會自動通過溢位對方或者自己的系統漏洞來傳播自身,或者他本身就是一個用於Hacking的溢位工具;
  HackTool:黑客工具,也許本身並不破壞你的電腦,但是會被別人加以利用來用你做替身去破壞別人。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-06-18, 05:04 PM   #3 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

Q:中毒了,能把office文件word,excel文件改成exe文件的,USB碟的文件也被改了,

請問USB碟裡面的文件被改了不能打開了,假如我把這個USB碟拿到別的電腦上去用,請問會不會感染別的電腦啊?,我真的好怕啊,我這裡是公司,我怕把公司別的電腦也感染了啊.......線上等答案........

A:

感染的可能性很大,關鍵看殺毒軟件的能力拉!

其他電腦上如果裝了殺毒軟件就沒事吧
反正我用得是卡巴,遇到過一次這樣的病毒,清除了
這個病毒會刪除文檔文件,並且修改註冊表,禁止顯示隱藏文件和系統文件。
會在 C:\windows\下產生病毒文件 SVCHOST.EXE autorun.inf。 會刪除文檔文件,並把自身複製為文檔文件同名的EXE病毒文件


不要試圖打開這些48.0 KB (49,152 字節)的文件,雖然它們的主文件名和原來的文檔文件相同,但EXE格式的都是病毒文件,請刪除這些病毒文件。

至於那些被病毒刪除的文檔,可以嘗試用文件恢復工具FinalData,EasyRecovery恢復


Q:
怎麼辦啊,有沒有辦法殺了這個病毒啊,




A:
已經說過了。你的doc文件已經被病毒刪除了,請不要在向硬碟要恢復doc文件的分區寫入。立即用深山紅葉或者雨浪飄零光碟啟動,用光碟自帶的FinalData或者EasyRecovery之類資料恢復軟件進行恢復。



Q:

不好意思啊,我是急的沒有辦法才開兩貼的,這是種病毒,難道沒有殺它的工具嗎?,
因為我的盤上還有些沒有中毒的文件,不知道怎麼保護啊.


A:

顯示所有文件和資料夾(隱含及系統保護)
打開「我的電腦-->工具-->資料夾選項-->檢視

去掉下面選項前面的鉤
「隱藏受保護系統文件(推薦)」
「隱藏已知文件類型的延伸名」
選中顯示所有文件和資料夾-->儲存設置


刪除下面病毒文件
C:\windows\SVCHOST.EXE
C:\windows\autorun.inf

在你文檔所在資料夾裡,同樣存在 SVCHOST.EXE 和與文檔文件同名的EXE病毒文件
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 05:34 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1