版主锁帖一、替换explorer.exeWindows 资源管理器,可以说是 Windows 图形界面外壳程序,它是一个有用的系统进程。 注意它的正常路径是 C:\Windows 目录如果在C:\Windows\temp生成则C:\Windows中的可能被替换二、替换userinit.exe在C:\WINDOWS\system32文件夹Userinit.exe是Windows操作系统一个关键进程。用于管理不同的启动顺序,例如在建立网络链接和Windows壳的启动。
如果桌面的图标好一阵时间都是像不能识别的程序的图标,并且显示任务栏,桌面图标超慢userinit.exe可能被替换关于木马群病毒中替换系统文件,尤其是替换explorer.exe和替换userinit.exe的情况
ï8I=Èýé3pbbs.ikaka.com¦×@2Õ&dotÝï8I=Èýé3pbbs.ikaka.com¦×@2Õ&dotÝ判断最简单的就是在自己的防火墙内观察这俩程序是否要访问网络,因为正常系统内,它俩是不会访问网络的。
ï8I=Èýé3pbbs.ikaka.com¦×@2Õ&dotÝ 三、实现注册表启动注册表是什么?http://baike.baidu.com/view/979.htmHKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\SOFTWARE\Microsoft\Windows\CurrentVersion\Run这个是病毒常用的手脚直接添加它的路径实现开机启动四、比较笨的一种开始-程序-启动五、修改挂钩什么是挂钩?http://baike.baidu.com/view/704748.htm六、还是注册表一般是木马群用的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]底下只要有一大堆未知的都是七、DLL劫持最近常见的有犇牛木马群(猫癣下载器)在每个根目录下创建usp10.dllhttp://baike.baidu.com/view/697659.htm未知木马群winsock32.dllcomres.dll及系统常见的DLL文件什么是DLL?http://baike.baidu.com/view/4373.htm八、修改、伪装、感染比如Autorun.infhttp://baike.baidu.com/view/603374.htm伪装成文件夹的http://baike.baidu.com/view/2116112.html感染文件的只要你运行这个文件你机子就接着中毒如Worm.Nimaya.ef(熊猫烧香变种)VirusWorm.Win32.DiskGen.lc(磁碟机变种)win32.BMW.j(异形熊猫烧香变种)九、伪装签名这个复杂伪装成什么的都有不再一一列举十、破坏系统隐藏文件属性十一、添加IEFO(镜像劫持)什么是镜像劫持?http://baike.baidu.com/view/1296399.htm十二、创建驱动\服务什么是驱动?http://baike.baidu.com/view/43111.htm什么是服务?http://baike.baidu.com/view/685551.htm直接由SYS启动sys是system的缩写,就是系统的意思,sys是Windows的系统文件。如安装文件,日志文件,驱动文件,备份文件,操作如播放等文件,还有些垃圾文件等诸如此类。 都是这类sys后缀名的。
如果不放心,可用某些软件对系统进行备份,或者优化软件,系统管理软件,这些软件可以查看不明系统进程并予以禁止和清除,对系统垃圾进行清理,保护系统正常运行,和不被恶意软件或者程序侵扰。如有发现不明文件,进程,可及时予以删除,卸载。
要对sys文件进行搜索,推荐你用文件名为关键词在Google(
www.google.cn)网上进行文件搜索。
十二、修改文件关联http://baike.baidu.com/view/1461556.htm总之病毒的行为:写注册表,改注册表,删除注册表
写文件,删文件,改文件
发送信息,发送隐私(如密码)
妨碍用户正常使用计算机而已