这几天我上因特网速度突然很慢,同时在操作电脑的时刻也发现系统速度很慢,然而我装的杀毒软件关于此病毒没有任何报警。审核计算机发如今系统进程表中有三四个msgfix.exe文件,而有时刻甚至少达六七个msgfix.exe文件(见图),CPU占用率经常高达80%以上。介绍文章用网络监测软件监测到该病毒计算机在攻打其余计算机“135、139、445、44444”等几个端口。我疑心是病毒所造成,启用杀毒软件查杀该病毒,结果显示“无病毒感化”,驳回到安保形式下经常使用手工肃清该病毒感化的文件msgfix.exe能肃清,然而重启计算机后不到3分钟,系统又出现感化病毒状况。网上求助得启示我上网去求助,发如今各大论坛上是“哭喊声一片”,四处都是求助如何查杀病毒感化文件Msgfix.exe帖子。有的说是波特变种F病毒感化惹起的,有的说是Worm_Timer.d或Worm_sdbot.c病毒感化惹起的等等。有一个帖子对我的启示很大:“病毒感化msgfix.exe文件,经过弱明码启动传达,修正注册表成功自启动,枚举本地IP地址,试图应用IPC弱口令将自己复制到别的主机上。”我细心剖析了一下,全校共有350多台计算机。wWw.itcOmpuTer.CoM.cN依据我的考查,被感化的计算机只要30多台,进一步剖析发现Windows XP和Windows 98操作系统都没有被感化病毒,而Windows 2000操作系统中加用户明码的计算机也都没有被感化病毒,只要那些没有加用户明码的Windows2000操作系统的计算机被感化病毒。为什么Windows XP、Windows 98操作系统没有加用户明码都没有被感化病毒呢?我发现Windows XP操作系统自动是制止IPC$空衔接的,即:HKEY_LOCAL_MACHINE\Systen\CurrentControlSet \Control\Lsa下的“restrctanony mous”的键值是1,而Windows 98操作系统中基本就没有IPC$空衔接的名目。只管在Windows 2000操作系统注册表中 “restrctanony mous”的键值是0,即开启IPC$空衔接,然而假设用户设有明码,病毒则不可经过IPC$空衔接启动传达。找准主要,对症下药如今,我曾经知道病毒的传达原理,即应用IPC弱口令将自己复制到主机上,修正注册表成功自启动,枚举本地IP地址。上方就入手杀毒,首先断开网线,重启计算机,按F8键进入安保形式,在安保形式下,修正注册表HKEY_LOCAL_MACHINE\Systen\CurrentControlSet\Control\Lsa下restrctanony mous的键值,把0改为1。同时肃清注册表中三个msgfix.exe文件,即:HKEY_LOCAL_MACHINE\Software \Microsoft \Windows\CurrentVersion\Run;HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runservices和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下的msgfix.exe文件,而后肃清在操作系统盘下的一个msgfix.exe文件,即:C:\WINNT\system32\msgfix.exe 。而后用“开局→搜查→文件或文件夹搜查”看能否还有其余的msgfix.exe文件,如有则一概肃清,最后分开安保形式重启计算机。再次进入系统后,病毒没有再次出现,系统中也没有再发现msgfix.exe进程,杀毒成功。金小林战友为我提供了一个比拟不凡的自己入手查杀未知病毒的方法。这个方法关于很多关于注册表或许进程检查不相熟的好友来说,还是比拟艰巨的。然而很多好友可以学习金小林战友处置疑问的思绪。遇到未知病毒的袭击,在杀毒软件不可查杀的状况下,不慌张。首先去搜集病毒出现的症状和一些出现的不凡程序代码,而后经过网络去求助高手。兴许在很多时刻,咱们能够经过高手的揭示获取启示,让咱们找到查杀病毒的主要。
如何肃清灰鸽子 状况形容:开机后病毒防火墙揭示“内存中发现木马病毒,已肃清”。既然已肃清,应该没疑问了,谁知下一次性启动电脑,病毒防火墙再次揭示“内存中发现木马病毒,已肃清”。我启动杀毒软件,把硬盘整个扫描一遍后,居然揭示没有发现病毒。电脑知识网介绍文章我的杀毒软件是经过在线实时更新的,目前是最新版本,看来杀毒软件对付不了它。经过检查病毒防火墙日志,显示为“Iexplore.exe>>c:\program files\Internet Exploer\Iexplore.exe->backdoor.Gpigeon.snl”。这不就是小名鼎鼎的灰鸽子木马病毒吗?灰鸽子以其操作的方便和配置的弱小,不易被查除且变种诸多等要素,而在网络上广为传达。于是请来了灰鸽子后门专杀工具,居然杀不掉,又请来木马清道夫,也不行。而后经常使用QQ木马专杀和反特务专家均不能处置疑问。如何肃清灰鸽子呢?搜查特定文件无眉目灰鸽子无论自定义的主机端文件名是什么,普通都会在操作系统的装置目录下生成一个以“_hook.dll”开头的文件。因为反常形式下灰鸽子会暗藏自身,因此检测灰鸽子的操作必定要在安保形式下启动。又因为灰鸽子的文件自身具备暗藏属性,因此要设置Windows显示一切文件,而后关上Windows的“搜查”,文件称号输入“_hook.dll”,搜查位置选用Windows的装置目录。经过搜查,却没有发现以“_hook.dll”开头的文件。于是把搜查范畴扩展到整个C盘,只搜查到一个mag_hook.dll的文件,门路为c:\windows\system32,而这个文件是系统所必须的。况且假设mag_hook.dll是病毒文件的话,还应该有相应的mag.exe、mag.dll文件和用于记载键盘操作的magKey.dll文件,但这些都没有。既然找不到病毒文件,也就没法在注册表中找到相应的服务项。在注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run项中,也没有多余的启动项。这下我傻眼了,难道遇到高人了?发现疑点顺藤摸瓜 如何破解硬盘包全 如今不少公共环境中的计算机都装置了硬盘包全卡,很多操作都须要从新启动计算机,但只需一重启电脑,咱们的“休息成绩”就会付之东流,那如何破解硬盘包全呢?介绍文章硬盘包全卡的上班原理硬盘包全卡是一种配件芯片,插在主板上与硬盘的MBR一同协同上班,可以包全硬盘数据不被恶意修正和删除,到达向硬盘中写入数据在从新启动计算机后消弭数据的目标。它的上班原理基于一种“BIOS映射地址转移”的不凡技术,说方便点就是经过阻拦BIOS原始的Int13h,使一切写入硬盘的操作从新定位到其自身的终止程序,从而成功对写入硬盘的数据起到包全的作用。解除硬盘包全卡的包全配置上方咱们明确了硬盘包全卡的上班原理,咱们只需恢复Int13h原始的BIOS终止量就可以解除破解硬盘包全卡。这须要借助于DOS下的Debug命令,经过它用手工形式找到Int13h的原始终止向量值,填入终止向量表即可。首先查找Int13h的入口。在纯DOS的命令揭示符下键入“Debug”并依次输入如下命令:-a100-xor ax,ax-int 13-int3接着输入“t”回车重复重复口头,直到显示地址形如“F000:xxxx”,记下这一地址,按“q”分开Debug形态。这里假定找到的入口为F000:xxxx,在(0:13H*4)=0:4ch处填入这个地址,例如获取地址为F000:1234,再次运转Debug,输入如下命令:-e 0:4c 34 12 00F0-q这样就把获取的原始入口填入Int13h的终止向量表中了,这时刻硬盘包全卡就被解除。须要说明的是,以上解除硬盘包全卡只对本次操作有效,每次从新启动系统都须要口头这样的操作。© 版权声明
