飘的梦客厅

        现在网络病毒十分的猖獗，几乎每天上网都能遇到一个或者几个病毒，用杀毒软件去查杀，当然这是不可缺少的 。我用的瑞星的杀毒软件，我喜欢它的理由是它能够监测注册表，这样大多数的病毒在修改注册表时，我就能发现，我知道了以后，要是它能够自己杀掉病毒，那当然是很好的，大家都愿意有这样的结果。但是，有好多的病毒，杀毒软件它不能发现，而且它悄无声息的就光临了你的电脑。这个时候怎么办？     

今天发现此种病毒求助者见多 收到样本后 利马测试了一下该病毒就是前些日子流行的 修改系统时间的病毒之变种此次变种可谓是集N种破坏性病毒之大成了主要破坏功能有：1.感染exe 并使得被感染的exe的公司等属性变为 番茄花园2.感染html asp 等文件 插入恶意代码3.通过双击磁盘启动4.下载木马，盗取网游帐号5.修改注册表 使系统无法显示隐藏文件6.通过hook API 函数 导致任务管理器中

最近发现一个比较猖獗的 U盘病毒 剑盟的jzb770325001也做了分析 不过个人感觉不太全面 昨天从某网友那获得了样本 分析了一下可以说 能用到的手段都用到了1.破坏安全模式2.不能显示隐藏文件3.结束常见杀毒软件以及常用杀毒工具进程4.监控窗口5.IFEO映像劫持6.可以通过移动存储传播下面就具体分析一下这个病毒File: 8668122F.exeSize: 35912 bytesMD5:

这是一个比较难杀的木马下载器。可通过移动存贮介质传播。作者：baohe来源于：http://forum.ikaka.com/topic.asp?board=28&artid=8310697一、中毒后的SRENG日志：（注：中此毒后，SRENG须改名运行。原因见后述。）启动项目注册表[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVer

  今天接到了一个叫Gameservet.exe的样本 测试了一下 测试结果真的让人震惊 这是个超级变态的木马下载器当今流行的木马几乎都全了 而且最后还捣登出来个威金来 哎 现在的病毒都太厉害 那些无耻的制造病毒者 你们还让人活么？！越来越多的这类案例提示：每个用户应该做好自己系统的防护。不能仅仅指望一两款杀软保护自己系统的安全。对于病毒，防远重于杀。by baohe下面就说说测试过程：F

作者：newcenturymoon 来自于：http://forum.ikaka.com/topic.asp?board=28&artid=8322881最近“帕虫”（瑞星命名），AV终结者（金山命名）U盘寄生虫（江民命名）疯狂传播主要症状是 打不开杀毒软件，防火墙，以及某些杀毒辅助的小工具，打不开带有“杀毒”“反病毒”等字样的窗口。安全模式被破坏，不能显示隐藏文件,下载木马.....等这

最近，金山软件正式发布《2007年度中国电脑病毒疫情及互联网安全报告》。报告显示，2007年，金山毒霸共截获新病毒/木马283084个，较06年相比增长了17.88%，其中盗号木马新增数量   <!-- -->

转载地址：http://forum.ikaka.com/topic.asp?board=28&artid=8401242  作者：baohe 此毒经移动介质传播。病毒模块twain.dll插入winlogon进程；病毒模块1sasrv.dll和adsldps.dll动态插入所有应用程序进程。通过IFEO劫持多个杀毒软件以及常用手工杀毒工具（这次，连XDELBOX1.3也劫持了）。中毒后的SR

转载自：http://forum.ikaka.com/topic.asp?board=28&artid=8398433  作者：newcenturymoon 这是最近很流行的木马下载者病毒，它是之前的logogo病毒的变种，不过最近的新变种非常肆虐。该病毒主要具有如下破坏作用1.通过U盘等移动存储传播2.创建IFEO项目劫持杀毒软件3.感染exe文件（被感染文件尾部被加入一个名为.ani的节

“磁碟机”病毒疫情紧急!已有超过5万台电脑被感染 2008-3-19 13:26:34       www.jiangmin.com      消息出自: 江民科技    

金山毒霸每日病毒预警“BHO下载器1015296”（Win32.TrojDownloader.Delf.1015296），这是一个木马下载器程序。它会注册为“BHO”插件，随着系统桌面进   <!-- -->

作者：qq264399由于现在360安全卫士对病毒木马有着99%的查出率和杀灭率，对于各种病毒木马的生存构成了极大的威胁，所以各式各样的病毒木马纷纷将360安全卫士作为首要的功击目标，正所谓树大招风。只要360安全卫士能够打开，病毒就有杀灭的希望。在这里我们教你怎么样一步一步的解决360安全卫士不能打开的问题:1、使用360系列工具进行修复。360安全卫士修复工具下载：http://www.3

ps: 前天，一朋友的电脑也是这种情况，任何的杀软都不能打开，一打开就是找不到文件，没油办法打开，我拿到电脑后首先安装了江民2008（丁香鱼提供），能够启动，并且查杀了几个病毒。然后把江民卸载，安装了卡巴斯基，还是不能启动卡巴斯基，于是就到注册表中把INFO里的所有劫持项全部删除，这样卡巴斯基就可以安全的使用了。可能这样做，没有完全的删除病毒，起码能够让杀软和360等工具运行。下面是360论坛

 一个新木马群，值得一提的是该木马群开始利用驱动加载自身，更进一步增加了清除的难度。具体分析和查杀方法如下：1.该木马群通过注册两个名为AsyncMac和comint32的驱动服务加载自身 服务映像路径%systemroot%/system32/drivers/comint32.sys2.comint32.sys加载后 会自动搜索GD*I32.dll，bj*rl.dll，addr*help.d

 在局域网中，我们会设置网关，arp攻击就和网关有关，和网关的ip地址以及它的mac（物理地址）有关 ，中了arp病毒的机器会伪装成网关的ip地址，这时我们就不能获取正确的网关地址，也就不能正常上网了。我的解决方法是：1、在能上网的时候，打开命令行提示符，在其中输入：arp -a 回车，这时就能看到现在网关的ip和mac地址的对应，记下这条信息。2、在你受到arp攻击时，不能上网的

扫荡波”来袭已造成大面积用户系统崩溃微软“黑屏”后遗症爆发“狼牙抓鸡器”每天抓“鸡”上万只来源于：http://baike.360.cn/recommend/4005462/14068013.html微软“黑屏”后遗症已初步爆发！许多网友正在庆幸躲过了“黑屏”，却没想到自己已因此而沦为了“肉鸡”。最近一段时间，为了避免下载微软的黑屏补丁，许多网友关闭了系统自动更新，从而给了黑客们利用系统漏洞作恶的

这又是一个下载者木马文件名 SVCH0ST.exe文件大小 53,097 字节加壳方式 UPX运行后 释放C:/WINDOWS/system32/SVCH0ST.exe并释放C:/WINDOWS/system32/norton.sys C:/WINDOWS/system32/drivers/usbme.sys加载驱动然后开启IE进程连接219.153.15.80:80下载木马下载的木马有C:/WI

作者卡卡论坛：轩辕小聪 网址：http://forum.ikaka.com/topic.asp?board=28&artid=8296495飘的梦编辑近段时间，看到社区上不少会员因此而不知所措，不得不简要说明一下。希望以后再因此求助的会员，会自己动手搜索一下，看到这个帖子，也就不用再惊慌了。所谓Hack.SuspiciousAni，其实就是利用微软MS07-017中的动态光标处理漏洞的畸形

第一步首先结速conime.exe进程，然后在system32中找到conime.exe将其删除。第二步修改注册表找到："HKEY_CURRENT_USER/Console"中的"LoadConIme"修改为"0"即可--------------------------------------conime.exe进程说明：conime.exe是输入法编辑器，允许用户使用标准键盘就能输入复杂的字符与

found.000文件夹的问题　　问：我的电脑有的时候在C盘或D盘的根目录下有个名为found.000的文件夹，里面有一些后缀名为CHK的文件。在c:/windows下有很多以fff开头的怪文件，而且大小全部为0字节。请问这些是什么文件？能否将它们删除？　　　　答：found.000文件夹里面的一些后缀名为CHK的文件是你在使用“磁盘碎片整理程序”整理硬盘后所产生的“丢失簇的恢复文件”。在c:/w

svohost.exe是Trojan-Proxy.Win32.Agent.if木马相关程序，建议立即删除。病毒运行后会将自身复制到系统目录下，文件名为“SVOHOST.exe”和“hsoft.exe”。同时在注册表中添加Run/SoundMam信息，实现开机自动运行或打开文本文件时自动运行。该病毒会自动向QQ好友发送内容为“让我成功申请x位QQ号和Q币动画,朋友推荐我的,你看看http: //ww

手动杀毒步骤：   查杀流程：1、断开网络。删除其启动项。     找到注册表中的下面这个位置       HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/Run可以看到：9    C:/WINNT/system32/Ravdm.exe  ，删除这个键值2、关闭QQ。取消Q

从昨天晚上开始，我的机子就中病毒了，这个病毒总体说来还是不叫仁慈的，没有什么破坏（对我而已），只是把我的瑞星监控给停止了，以及静音！其他的就是在c:/winnt下生成几个文件，下面是我求救时写的文章：昨天中了这个病毒，发作时把瑞星的监控停止而且还 有静音功能，确实很烦人的，它涉及到的文件（我现在发现的）mppds.exe,mppds.dll,这两个在用户名文件夹下的temp下,c0nima.e

网页的加密解密之8位二进制ASCII码加密解密方法（转载） 作者：轩辕小聪转载于：卡卡论坛 提示：接触恶意网页有风险，如果直接用IE浏览器打开不经修改的带有恶意脚本的网页，又没有打好相应补丁的话，就等于直接把病毒“引进家门”。除非你真正有必要做这些甚至已经把它当成了“家常便饭”，否则绝不提倡去尝试。原恶意网页地址：http://www.bartenderofchina.com/

解决方法就是到acrobat网站去下载xdict32.API这个文件，然后放到下面三个目录里面../Adobe/Acrobat 7.0/Acrobat/plug_ins3d/../Adobe/Acrobat 7.0/Acrobat/plug_ins/../Adobe/Acrobat 7.0/Acrobat/SPPlugins/然后重新启动Acrobat 7和金山词霸，要是不行，多试

【转贴】关于最新爆发的MSN蠕虫 photo album.zip rdshost.dll 作者：newcenturymoon   最近发现社区里很多人反映MSN不断转发文字：Hey accept my photo album, Nice new pics of me and my friends and stuff and when i was young lol...然后转发附件ph

作者：baohe主体文件名：dllhost.exe文件大小: 762368 bytesMD5: 9825e84cab8476682e631403d1835981SHA1: 3bf7713c184d75ae39dc7fbbef5a4b83ab910d6c多引擎扫描结果：AVG报：BackDoor.Hupigon.LK卡巴斯基报：Backdoor.Win32.Hupigon.emvF-Secure

作者：baohe样本来源：http://keygen.name/download/delta.force.xtreme_keygen.exe特点：1、Keygen.exe运行后，在system32文件夹中释放一个随机文件名的DLL（本次感染释放的是：rqrsppn.dll）。随后，将Keygen.exe自身删除。2、该DLL插入winlogon进程。若用IceSword强制卸除该DLL————

SysLoad3.exe木马病毒地分析及清除方法       最后更新版本(2007-04-02 SYSBMW.exe)的变更分析：      http://codinggg.spaces.live.com/blog/cns!8FF03B6BE1F29212!701.entry         适用于SysLoad3.exe V1.0.6及其SysBMW变种版本：用于恢复被感染

最近很多人中了木马群cmdbcs.exe，wsttrs.exe，msccrt.exe，winform.exe,upxdnd.exe等 这个应该是通过木马下载器下载所致 这些基本上都是些盗号木马一般sreng日志表现如下启动项目里 (不一定全) [Microsoft Corporation] [Microsoft Corporation] [] [Microsoft Corporation] [N/

近一段时间，网页木马群猖獗。中招，一般是访问某些挂马的网页时，成堆的木马下载到IE临时文件夹中并悄悄运行。用户发现系统异常时，系统内已经木马成堆了。这类木马群的内容各式各样，但有一点相同之处：其中的病毒模块（常见的是dll文件）狂插系统及应用程序进程，导致杀毒困难。未打微软的ANI漏洞补丁是中这类网页木马的主要原因。今天见到有人反映类似情形。按照他给的网址，在未打ANI漏洞补丁的系统上，用IE6.

源地址：http://forum.ikaka.com/topic.asp?board=28&artid=8295656昨天，在本论坛浏览帖子发现有网友提到一个名为“兔宝宝”（Rabbit.exe）的病毒。下载该样本，在“影子系统”下观察了一下其感染系统的情形（卡巴斯基和瑞星最新病毒库均查不到此毒）。现将所见过程罗列如下，希望大家警惕。1、病毒运行后释放的病毒文件见图1。screen.width

卡卡论坛：baohe这是个利用ANI漏洞传播的木马群，其“动态插入进程”的功能是导致中招后杀毒困难的原因之一。另：中招后，系统分区以外的.exe全被感染。这也是中此毒后的麻烦之处。我的手工查杀流程如下（用IceSword操作）：1、禁止进程创建。2、根据SRENG日志，先结束病毒进程shualai.exe以及所有被病毒模块插入的进程（病毒插入了哪些进程，取决于你当时运行的程序。以下是我运行该样

今天一个朋友中了这个病毒，看到了这个手工杀毒的方法，转载到这里，留待自己若是中毒了，学习！其原文地址是：http://bbs.ikaka.com/showtopic-8592261-1.aspx作者： baohe usp10.dll木马群的手工杀毒流程 病毒样本来自剑盟。文件大小：38.4K；MD5值：395d9da848