来源:蜘蛛抓取(WebSpider)
时间:2014-12-02 01:45
标签:
exe程序
钩子程序 _百度百科
特色百科用户权威合作手机百科
收藏 查看&钩子程序本词条缺少信息栏,补充相关内容使词条更完整,还能快速升级,赶紧来吧!
钩子(Hook),是Windows消息处理机制的一个平台,可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许截获处理window消息或特定事件。
在某种操作后弹出的关于钩子程序的界面钩子实际上是一个处理消息的,通过,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即先得到控制权。这时即可以加工处理(改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。
钩子也可以理解为留给我们的,比如你想控制,在DOS时代很简单通过INT即可,而WINDOWS时代不允许我们直接操作硬件;由于WINDOWS是消息驱动,所以我们可以拦截键盘消息以达到控制键盘的目的。控制自己的消息固然很简单,但是要控制所有进程消息就要利用钩子了。将放在中,所有的有关的消息都必须经过过滤,这样你就可以为所欲为了。
WINDOWS下的钩子程序就像DOS下的TSR(内存)一样,用来截获WINDOWS下的
[1]每一个Hook(钩子)都有一个与之相关联的列表,称之为钩子,由系统来维护。这个列表的指向指定的,定义的,被Hook子程调用的,也就是该钩子的各个处理子程。当与指定的Hook类型关联的消息发生时,系统就把这个消息传递到Hook子程。 一些Hook子程可以只监视消息,或者修改消息,或者停止消息的前进,避免这些消息传递到下一个Hook子程或者目的窗口。最近安装的钩子放在链的开始, 而最早安装的钩子放在最后,也就是后加入的先获得控制权。
Windows 并不要求钩子子程的顺序一定得和安装顺序相反。每当有一个钩子被,Windows 便释放其占用的内存,并更新整个Hook链表。如果程序安装了钩子,但是在尚未钩子之前就结束了,那么系统会自动为它做卸载钩子的操作。按事件分类
有如下的几种常用类型
(1)和低级键盘钩子可以监视各种键盘消息。
(2) 鼠标钩子和低级鼠标钩子可以监视各种鼠标消息。
(3) 外壳钩子可以监视各种Shell事件消息。比如启动和关闭。
(4)钩子可以记录从系统中取出的各种事件消息。
(5) 窗口过程钩子监视所有从系统发往目标窗口的消息。
此外,还有一些特定事件的钩子提供给我们使用,不一一列举。
按使用范围分类
主要有线程钩子和
(1) 线程钩子监视指定线程的事件消息。
(2)监视系统中的所有线程的事件消息。因为会影响系统中所有的,所以必须放在独立的(DLL)中。这是和线程钩子很大的不同之处。
几点需要说明的地方:
(1) 如果对于同一事件(如鼠标消息)既安装了线程钩子又安装了,那么系统会自动先调用线程钩子,然后调用系统钩子。
(2) 对同一事件消息可安装多个钩子处理过程,这些钩子处理过程形成了钩子链。当前钩子处理结束后应把钩子信息传递给下一个。而且最近安装的钩子放在链的开始,而最早安装的钩子放在最后,也就是后加入的先获得控制权。
(3) 钩子特别是会消耗消息处理时间,降低系统性能。只有在必要的时候才安装钩子,在使用完毕后要及时。WH_CALLWNDPROC
1、WH_CALLWNDPROC和WH_CALLWNDPROCRET Hooks
WH_CALLWNDPROC和WH_CALLWNDPROCRET Hooks使你可以监视发送到窗口过程的消息。系统在消息发送到接收窗口过程之前调用WH_CALLWNDPROC Hook子程,并且在窗口过程处理完消息之后调用WH_CALLWNDPROCRET Hook子程。
WH_CALLWNDPROCRET Hook传递指针到CWPRETSTRUCT结构,再传递到Hook子程。CWPRETSTRUCT结构包含了来自处理消息的窗口过程的返回值,同样也包括了与这个消息关联的消息参数。
WH_CBT Hook
在以下事件之前,系统都会调用WH_CBT Hook子程,这些事件包括:
1. 激活,建立,销毁,最小化,最大化,移动,改变尺寸等窗口事件;
2. 完成系统指令;
3. 来自系统中的移动鼠标,事件;
4. 设置事件;
5. 同步系统事件。
Hook子程的返回值确定系统是否允许或者防止这些操作中的一个。
WH_DEBUG Hook
在系统中与其他Hook关联的Hook子程之前,系统会调用WH_DEBUG Hook子程。你可以使用这个Hook来决定是否允许与其他Hook关联的Hook子程。
WH_FOREGROUNDIDLE Hook
当的前台处于空闲状态时,可以使用WH_FOREGROUNDIDLE Hook执行低优先级的任务。当的前台大概要变成空闲状态时,系统就会调用WH_FOREGROUNDIDLE Hook子程。
WH_GETMESSAGE Hook
应用程序使用WH_GETMESSAGE Hook来监视从GetMessage or PeekMessage函数返回的消息。你可以使用WH_GETMESSAGE Hook去监视鼠标和输入,以及其他发送到中的消息。
WH_JOURNALPLAYBACK Hook
WH_JOURNALPLAYBACK Hook使可以插入消息到系统。可以使用这个Hook回放通过使用WH_JOURNALRECORD Hook记录下来的连续的鼠标和事件。只要WH_JOURNALPLAYBACK Hook已经安装,正常的鼠标和事件就是无效的。
WH_JOURNALPLAYBACK Hook是全局Hook,它不能象线程特定Hook一样使用。 WH_JOURNALPLAYBACK Hook返回超时值,这个值告诉系统在处理来自回放Hook当前消息之前需要等待多长时间(毫秒)。这就使Hook可以控制实时事件的回放。
WH_JOURNALPLAYBACK是system-wide local hooks,它们不会被注射到任何行程位址空间。(估计是用这个hook做的)
WH_JOURNALRECORD Hook
WH_JOURNALRECORD Hook用来监视和记录输入事件。典型的,可以使用这个Hook记录连续的鼠标和事件,然后通过使用WH_JOURNALPLAYBACK Hook来回放。
WH_JOURNALRECORD Hook是全局Hook,它不能象线程特定Hook一样使用。
WH_JOURNALRECORD是system-wide local hooks,它们不会被注射到任何行程位址空间。
WH_KEYBOARD Hook
在中,WH_KEYBOARD Hook用来监视WM_KEYDOWN and WM_KEYUP消息,这些消息通过GetMessage or PeekMessage function返回。可以使用这个Hook来监视输入到中的键盘消息。
WH_KEYBOARD_LL Hook
WH_KEYBOARD_LL Hook监视输入到中的键盘消息。
WH_MOUSE Hook
WH_MOUSE Hook监视从GetMessage 或者 PeekMessage 函数返回的鼠标消息。使用这个Hook监视输入到中的鼠标消息。
WH_MOUSE_LL Hook[2]
WH_MOUSE_LL Hook监视输入到线程中的鼠标消息。
WH_MSGFILTER / hooks
WH_MSGFILTER 和 WH_SYSMSGFILTER Hooks
WH_MSGFILTER 和 WH_SYSMSGFILTER Hooks使我们可以监视,滚动条,,对话框消息并且发现用户使用ALT+TAB or ALT+ESC 组合键切换窗口。
WH_MSGFILTER Hook只能监视传递到菜单,滚动条,的消息,以及传递到通过安装了Hook子程的建立的对话框的消息。
WH_SYSMSGFILTER Hook监视所有消息。
WH_MSGFILTER 和 WH_SYSMSGFILTER Hooks使我们可以在模式循环期间过滤消息,这等价于在主中过滤消息。通过调用CallMsgFilter function可以直接的调用WH_MSGFILTER Hook。通过使用这个函数,能够在模式循环期间使用相同的代码去过滤消息,如同在主里一样。
WH_SHELL Hook
外壳可以使用WH_SHELL Hook去接收重要的通知。当外壳是激活的并且当顶层窗口建立或者销毁时,WH_SHELL Hook子程。
WH_SHELL 共有5钟情况:
1. 只要有个top-level、unowned 窗口被产生、起作用、或是被摧毁;
2. 当Taskbar需要重画某个按钮;
3. 当系统需要显示关于Taskbar的一个程序的最小化形式;
4. 当目前的布局状态改变;
5. 当使用者按Ctrl+Esc去执行Task Manager(或相同级别的程序)。
按照惯例,外壳都不接收WH_SHELL消息。所以,在能够接收WH_SHELL消息之前,应用程序必须调用SystemParametersInfo function注册它自己。
新手上路我有疑问投诉建议参考资料 查看程序管理 _百度百科
特色百科用户权威合作手机百科
收藏 查看&程序管理本词条缺少概述、名片图,补充相关内容使词条更完整,还能快速升级,赶紧来吧!操作快捷键F1 ------- 帮助操作快捷键F3 ------- 打开目录
程序管理V1.2
此款软件由程序管理1.0升级而成,现在修改了部分功能,取消了以前的界面美化功能,软件实用就行,不需要多作打扮,就跟人一样,长得好看没用,要有能力才行!
本软件主要针对家用电脑而设计,专门对电脑里的各中软件进行分类管理,家用电脑,办公电脑都 很实用,现在增加了分类的管理,现有8个类目可以自由隐藏显示设置分类的名称!本软件功能如下:
【1】 可以把自己电脑里的应用程序进行分类保存
【2】 双击图标就可以打开指定的程序
【3】 还可以直接清空列表中的选项
【4】 可以设置不同的图标摆放方式
【5】 拖动电脑里的应用程序或应用程序的快捷方式到指定的程序分类
【6】 管理员高级设置(包括备份和恢复当前保存的程序,禁止某些操作)
【7】 可以进入后台设置部分操作权限
【8】 可以进入后台进行分类管理
【9】 进入后台可以对当前分类下的程序进行备份/还原操作
【10】状态栏增加了几个常用的系统工具,打开任务管理器,控制面板,鼠标设置等
【11】 拖动电脑里图片文件(只能是jpg格式的文件或指向jpg图片的快捷方式)可以直接换成程序的背景;
【12】 拖动电脑里exe程序文件(只能是exe格式的文件或指向exe程序的快捷方式)可以直接添加到程序当前目录
…………快捷键如下:
F1 ------- 帮助
F2 -------
F3 ------- 打开目录
F4 --------显示文件属性
F5 ------- 刷新
F6 ------- 添加程序
F7 ------- 修改背景
Delete --- 删除程序
Ctrl+Enter ---- 执行程序
Home ---- 显示程序主界面
Shift+Delete --- 清空目录
Ctrl+F12 ------- 打开此程序所在目录利用文本文件进行程序路径的保存,程序运行就读取这些路径进行获取程序的图标,然后把 这些图标和路径放到指定数据库中,然后启动程序直接从数据库中把保存好的名称和图标读取出来,在把把这些项都放在ListviewBox控件中进行各种操作,具体可以在程序中体会!
新手上路我有疑问投诉建议参考资料 查看可执行程序 _百度百科
特色百科用户权威合作手机百科
收藏 查看&可执行程序
EXE File(可执行程序),一种可在操作系统中浮动定位的可执行程序。MS-DOS和MS-WINDOWS下,此类文件扩展名为·exeWINDOWS操作系统中的二进制,分两种:一种为·com,另一种是·exe 。规定,有重名的exe和com,运行时优先执行com文件。如果只有A.exe,就可以直接输入A,而不用输入全名。但如果有A.com和A.exe,输入A则优先执行A.com,要运行A.exe只能输入A.exe而不能输入A。外文名EXE File所属类别计算机 windows特&&&&点在操作系统中浮动定位用&&&&途完成各项计算机功能反编译软件
.com一般用于,在系统中的执行文件一般都是.exe文件。在 MS-DOS 中,用以标识的。用户在提示行输入不带 .exe 扩展名的文件名后按 Enter 键或者点双击就能运行可执行程序。EXE 文件比较复杂,每个EXE文件都有一个文件头,结构如下。├┤ 意义 ┤
├00h-01h ┤MZ'EXE文件标记 ┤
├02h-03h ┤最后一页的字节数(每页512B) ┤
├04h-05h ┤文件长度(字节数)除以512的商+1 -| ┤
├06h-07h ┤重定位项的个数 ┤
├08h-09h ┤文件头除16的商 ┤
├0ah-0bh ┤程序运行所需最小段数 ┤
├0ch-0dh ┤..............大.... ┤
├oeh-0fh ┤的段值 (SS) ┤
├10h-11h ┤........sp ┤
├12h-13h ┤文件校验和 ┤
├14h-15h ┤IP ┤
├16h-17h ┤CS ┤
├18h-19h ┤............ ┤
├1ah-1bh ┤............ ┤
├1ch ┤............ ┤
―――――――――――――――――――――――――
.EXE文件包含一个和一个可程序映象。包含用于加载程序的信息,例如程序的大小和的初始值。还指向一个表,该表包含指向程序映象中可重定位的。文件头的形式与EXEHEADER结构对应:exSignature dw 5A4D.EXE标志
exExraB最后(部分)页中的字节数
exP文件中的全部和部分页数
exRelocI重定位表中的数
exHeaderS以为单位的大小
exMinA最小分配大小
exMaxA最大分配大小
exInitSS初始SS值
exInitSP初始SP值
exChechS补码校验值
exInitIP初始IP值
exInitCS初始CS值
exRelocT重定位表的字节
exO覆盖号包含处理器代码和程序的初始数据,紧接在之后。它的大小以为单位,等于EXE文件的大小减去的大小,也等于exHeaderSize的域的值乘以16。MS-DOS通过把该映象直接从文件拷贝到内存加载.EXE程序然后调整定位表中说明的可段地址。
定位表是一个,每个指向程序映象中的可段地址。中的exRelocItems域说明了数组中的个数,exRelocTable域说明了分配表的起始文件。每个重定位由两个16位值组成:和段值。 为加载.EXE程序,MS-DOS首先读以确定.EXE标志并计算程序映象的大小。然后它试图申请内存。首先,它计算程序的大小加上PSP的大小再加上EXEHEADER结构中的exMinAlloc域说明的内存大小这三者之和,如果总和超过最大可用内存块的大小。则MS-DOS停止加载程序并返回一个出错值。如果总和没超过最大可用内存块的大小,它便计算程序映象的大小加上PSP的大小再加上EXEHEADER结构中exMaxAlloc域说明的内存大小之和,如果第二个总和小于最大可用内存块的大小,则MS-DOS 分配计算得到的内存量。否则,它分配最大可用内存块。分配完内存后,MS-DOS确定,也称为起始段地址,MS-DOS从此处加载程序映象。如果exMinAlloc域和exMaxAlloc域中的值都为零,则MS-DOS把映象尽可能地加载到内存最高端。否则,它把映象加载到紧挨着PSP域之上。接下来,MS-DOS读取表中的项目调整所有由可重定位指针说明的。对于表中的每个,MS-DOS寻找程序映象中相应的可重定位,并把起始段地址加到它之上。一旦调整完毕,便指向了内存中被加载程序的代码和。 MS-DOS在所分配内存的最低部分建造256的PSP,把AL和AH设置为加载 .COM程序时所设置的值。MS-DOS使用中的值设置SP与SS,调整SS初始值,把起始地址加到它之上。MS-DOS还把ES和DS设置为PSP的.最后,MS-DOS从头读取CS和IP的初始值,把起始段地址加到CS之 上,把控制转移到位于调整后地址处的程序。最简单的可执行文件格式,可以在和中运行。它通过在添加字符串“MZ”(16进制中表示为4D5A)来标识。“MZ”是MS-DOS开发者之一的(Mark Zbikowski)的姓名首字母缩写。通过在添加ASCII字符串“NE”来标识。它只能运行在Windows和OS/2系统,而不能在DOS下运行。通过在文件头添加ASCII字符串“LE”来标识。它仅用来在Windows 3.x和Windows 9x中替代VxD驱动。通过在文件头添加ASCII字符串“LX”来标识。运行在OS/2 2.0以及更高版本中,也可用于某些扩展。这是最复杂也是目前最流行的格式,通过在添加ASCII字符串“PE”来标识。它主要运行于Windows 95和Windows NT以及更高版本的Windows中,也可在BeOS R3中运行。与前一种类似,但使用支持64位元的。因此它仅能在64位元的Windows系统中运行,譬如Windows XP 64-Bit Edition 和 Windows Server 2003 64-Bit Edition。常用软件
新手上路我有疑问投诉建议参考资料 查看问题补充&&
信息来源于互联网,不保证内容的可靠性、真实性及准确性,仅供参考,版权归原作者所有!Copyright &
Powered by恶意程序 _百度百科
特色百科用户权威合作手机百科
收藏 查看&恶意程序
通常是指带有攻击所编写的一段程序。这些威胁可以分成两个类别:需要的威胁和彼此的威胁。前者基本上是不能于某个实际的应用程序、实用程序或系统程序的程序片段;后者是可以被操作系统调度和运行的自包含程序。[1]也可以将这些威胁分成不进行复制工作和进行复制工作的。简单说,前者是一些当调用时被激活起来完成一个特定功能的程序片段;后者或者由程序片段()或者由程序(、细菌)组成,在执行时可以在同一个系统或某个其它系统中产生自身的一个或多个以后被激活的。
主要包括:、、、、细菌、病毒等。计算机操作的设置是指进入程序的秘密人口,它使得知道陷门的人可以不经过通常的安全检查访问过程而获得访问。为了进行调试和,已经合法地使用了很多年的技术。当被无所顾忌的程序员用来获得时,陷门就变成了威胁。对进行操作系统的控制是困难的,必须将安全测量集中在程序开发和更新的行为上才能更好地避免这类攻击。[2]在病毒和之前最古老的程序威胁之一是。是在某个合法程序里面的一段,被设置成当满足特定条件时就会发作,也可理解为“爆炸”,它具有明显的潜伏性。一旦触发,的危害性可能改变或删除数据或文件,引起机器关机或完成某种特定的破坏工作。[3]特木马是一个有用的,或表面上有用的程序或命令过程,包含了一段隐藏的、激活时进行某种不想要的或者有害的功能的代码。它的危害性是可以用来非直接地完成一些非授权用户不能直接完成的功能。木星马的另一动机是数据破坏,程序看起来是在完成有用的功能(如:计算器程序),但它也可能悄悄地在删除用户文件,直至破坏数据文件,这是一种非常常见的病毒攻击。程序是一种使用网络连接从一个系统传播到另一个系统的感染病毒程序。一旦这种程序在系统中被激活,可以表现得像或细菌,或者可以注入特,或者进行任何次数的破坏或毁灭行动。为了演化复制功能,传播主要靠网络载体实现。如:①机制:将自己的复制品邮发到另一系统。②远程执行的能力:执行自身在另一系统中的副本。③远程注册的能力:作为一个用户注册到另一个远程系统中去,然后使用命令将自己从一个系统复制到另一系统。网络蠕虫程序靠新的复制品作用接着就在远程系统中运行,除了在那个系统中执行非法功能外二它继续以同样的方式进行恶意传播和扩散。
表现出与同样的特征:、繁殖、和执行期。繁殖阶段一般完成如下的功能:①通过检查表或类似的存储中的远程系统地址来搜索要感染的其它系统。②建立与远程系统的连接。③将自身复制到远程系统并引起该复制运行。将自身复制到一个系统之前,也可能试图确定该系统以前是否已经被感染了。在中,它也可能将自身命名成一个,或者使用某个可能不会注意的其它名字来掩蔽自己的存在。和病毒一样,网络蠕虫也很难对付,但如果很好地设计并实现了和单机系统安全的测量,就可以最小化限制蠕虫的威胁。计算机中的细菌是一些并不明显破坏文件的程序,它们的惟一目的就是繁殖自己。一个典型的细菌程序可能什么也不做,除了在中同时执行自己的两个,或者可能创建两个新的文件外,每一个细菌都在重复地复制自己,并以指数级地复制,最终耗尽了所有的(如CPU,RAM,硬盘等),从而拒绝用户访问这些可用的。病毒是一种攻击性程序,采用把自己的副本嵌入到其它文件中的方式来感染。当被感染文件加载进内存时,这些副本就会执行去感染其它文件,如此不断进行下去。病毒常都具有破坏性作用,有些是故意的,有些则不是。通常是指基因代码的微小碎片:DNA或RNA,它可以借用活的细胞组织制造几千个无缺点的原始病毒的复制品。就像生物上的对应物一样,它是带着执行代码进入。感染实体,寄宿在一台宿主计算机上。典型的病毒获得计算机磁盘操作系统的临时控制,然后,每当受感染的计算机接触一个没被感染的时,病毒就将新的副本传到该程序中。因此,通过正常用户间的交换磁盘以及向网络上的另一用户发送程序的行为,感染就有可能从一台计算机传到另一台计算机。在网络环境中,访问其它计算机上的应用程序和的能力为病毒的传播提供了滋生的基础。
CIH病毒,它是迄今为止发现的最阴险的病毒之一。它发作时不仅破坏硬盘的和,而且破坏计算机系统flash BIOS芯片中的系统程序,导致主板损坏。是发现的首例直接破坏计算机系统硬件的病毒。
再,超过85%的人使用互联网是为了收发,,没有人统计其中有多少正使用直接打开附件的邮件阅读。“”发作时,全世界有数不清的人惶恐地发现,自己存放在电脑上的重要的文件、不重要的文件以及其它所有文件,已经被删得干干净净。如今,恶意软件及已经成为一种新的网络问题,恶意插件及软件的整体表现为清除困难,强制安装,甚至干拢的运行。下面的文章中笔者就给大家讲一部份恶意的手工清除方法,恶意插件实在太多,笔者无法做到一一讲解,希望下面的这些方法能为中了恶意插件的网友提供一定的帮助。
恶意插件Safobj
相关介绍:
捆绑安装,系统速度变慢,没有卸载项/无法卸载,强制安装,干扰其它正常运行,
清除方法:
重新注册IE项,修复IE注册。从开始-&;运行
输入命令 regsvr32
输入命令 regsvr32
重新启动,下载专家查有没有ADWARE,spyware,等并用其IE修复功能修复IE和注册表,用流氓软件杀手或微软恶意软件清除工具清除一些难的网站插件。
到down. 45it. com下载KillBox.exe。在C:/Program Files/Internet Explorer/目录下,把LIB目录或Supdate.log删除。
跳窗网页可能保留在HOSTS,一经上网就先触发该网址为默认,就会自动打开,检查HOSTS:
用在C:/WINDOWS/system32/drivers/etc/目录下打开HOSTS 。
在里面检查有没有网址,有则删除。
或在前面加
127.0.0.1
保存后屏蔽掉。
如果是弹出的信使:
从开始-&;运行,输入命令:
net stop msg
net stop alert
恶意插件MMSAssist
相关介绍:
这其实是一款非常简便易用的彩信发送工具,但它却属于,并采用了类似于木马的Hook(钩子)技术,常规的方法也很难删除它,而且很占用系统的资源。
清除方法:
方法一:它里第一个文件夹有个.ini文件,它自动从http://update. borlander. cn/updmms/mmsass.cab下载插件包,包里有albus.dll文件,UPX 0.80 - 1.24的壳,脱掉用16位进制打开发现这个垃圾插件利用HOOK技术插入到explorer和iexplore中,开机就在自动运行。
安全模式下,右键点击-管理-服务-禁用jmediaservice服务,删除C:/windows/system32下的Albus.DAT,删除C:/WINDOWS/SYSTEM32/DRIVERS下的,删除彩信通的安装文件夹,开始-运行-regedit-查找所有MMSAssist并删除,如果怕注册表还有彩信通的垃圾存在,下载个扫描下注册表再一一删除,你也可以试试超级兔子的超级功能。
要阻止它再次安装,也很简单。彻底删除它之后,你在它原来的位置新建一个与它同名的文件夹,然后将这个文件夹的权限设置为连系统管理员都是“只读”,取消“写入”和“运行”的权限。这样它就再也装不进我们的系统了。
方法二:用IceSword v1.18显示这些文件:c:/program files/mmsassist文件夹、windows/system32/albus.dat、windows/system32/drivers/Albus.SYS,把mmsassist文件夹及其中的文件一一删除,把albus.dat、删除。再到c:/program files下面看一下,mmsassist里又回来的两个文件,不过不要紧张,删除mmsassist文件夹,刷新,文件夹已经不见了。如果还不放心,可以进入regedit,搜索mmsassist,把带有mmsassist相关字样的键值一一清除!
恶意插件popnts.dll
相关介绍:
求助SREng日志整理出来的,主要表现是弹出广告,在收到邮件后,发现这个东东跟前段时间整理的0848/baisoa几乎一致,看来也只是一个毫无新意的升级版
病毒文件及文件夹
%windir%/winamps.exe
%windir%/realupdate.exe
%windir%/POPNTS.DLL
%windir%/ScNotify.dll
%system%/{pchome}/.setupf/
添加注册表启动项
[/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
updatereal %windir%/realupdate.exe other
winsamps %windir%/winamps.exe
冒充微软信息的启动项
[/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify]
ScCardLogn %windir%/ScNotify.dll
添加一个BHO
[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID]
{DE7C3CF0-4B15-11D1-ABED-00} %windir%/POPNTS.DLL
清除方法:
1.停止winamps.exe、realupdate.exeviruspe. com的进程
2.删除添加的所有注册表信息
3.重启后删除、或者使用Unlocker删除所有的病毒文件
1.由于病毒变种,可能实际情况与本文描述不同,但清除方法是一定的 本内容来源于电脑硬件
2.由于其具备download马特征,除此之外,可能伴随着其他病毒或。
恶意插件WBForm
相关介绍:
这个程序其实是一个IE的恶意插件,应该属于Spyware/Adware之类的,会随着IE一起启动,而且有时会弹出广告窗口。
清除方法:
为了彻底删除它,重新启动电脑后不要运行IE,直接删除Windows目录下的adstate.dat和WindowsSystem32目录下的文件(如果无法删除请重新启动进入安全模式再删)。然后,运行(Regedit),搜索并删除包含如下关键字的所有键值即可:3D898C55-74CC-4B7C-B5F1-。
恶意插件ACTIVEX
清除方法:
1.打开IE,进入&工具-internet选项&窗口,在&常规&选项上单击&设置&按钮弹出&设置&对话框,单击&查看对象&可查看机器上已经安装的一些ACTIVEX控件。
2.可以在&查看对象&窗口中直接删除控件,不过这样删除只能暂时清除骚扰,要想彻底屏蔽还需要了解它的SLSID值,找到恶意ACTIVEX,查看属性,在常规选项卡上ID后面的就是SLSID了。
3.新建一个REG,内容如下:
[/software/microsoft/internet explorer/activex compatibility/{x}](x就是在得到的SLSID)
&compatibility flags&=dword:
保存后导入注册表。
“天下搜索”
相关介绍:
一开始从添加删除里面想删除这个插件,一下子就了,baidu上搜索如何,例子有很多,总结了下,不外乎二种:手工卸载、工具卸载。
清除方法:
1,关闭IE,以免删除时程序占用而失败。
2,打开C:/WINDOWS/Downloaded Program Files/,你可以看到有个“天下搜索.ocx”控件,右键属性,选择“相关内容”选项卡,列出了其他相关文件的路径和文件名,我这里显示以下几个文件:
BARHELP22.0.DLL
IEBAR22.0.DLL
TOLLBAR.BMP
HDTBAR.XML
以上文件所在目录都是C:/WINDOWS/Downloaded Program Files/
但直接打开这个目录却又看不到上述文件:!
3,开始-程序-附件-
弹出dos窗口,输入以下命令:
cd.. 回车(退到C盘根目录)
cd winnt 回车
cd Downloaded Program Files 回车
你可以看到我们所要删除的几个文件
然后用del命令删除相关文件
最后回到文件夹C:/WINDOWS/Downloaded Program Files/ 将“天下搜索.ocx”删除。
4,打开regedit,删除HEKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer下的两个关于IE toolbar 下的天下搜索键值(因为个人不喜欢用任何的搜索条,把两个关于toolbar文件夹都删掉了,记不起这两个文件夹的名字了,自己慢慢在Internet Explorer 下面找)
5,至此完毕,你可以打开IE浏览器,发现已经没有“天下搜索”了!
伪lsass.exe
相关介绍:
这是个木马病毒,生成程序不在C盘里。即使你了系统也还是会存在。
清除方法:
把放在光驱里,在调为用硬盘启动。重起机子,查找你的上那个图标花了,也就是和以前的不一样了,明显的不一样的(或者是你中毒的那一天)。查看属性,生成日期是什么,记下来。然后就是比较麻烦的了,把你的电脑里除了C盘的所有盘只要是那个日期的全删了。我的是12.8号的,我就把是12.8号创建的都删了(即使你记得你的有些文件不是那天创建的,只要是那个日期就删,因为它已经被感染了。)再者,还是删C盘除外。
把你的网线拔了,重起机子。记得是从硬盘启动!把你机子上原有的删了,装前面你下载的那个。扫描一遍你的电脑,有可疑的全删。不能删的用冰刀强行删除。还要再删一遍还是出盘以外的。观察你的10分钟c:WINDOWS/system32/com里面还有没有lsass.exe和smss.exe?这时候我的机子没有了,真的没有了呢 呵呵高兴!
重起,调为正常启动(不用从硬盘启动)可以了,我的杀毒过程就是这样,中间可能有些步骤是不必要的。但我也说不好 所以就把解决的过程写下来了,希望对大家有用。
记得机子搞好后 用扫描下有没有,有的话就赶快修复。还有360也会查找你的系统有没有。
伪realshed
相关介绍:
。未经用户允许,下载并安装在用户电脑上;无法彻底;在收集用户信息牟利,危及用户隐私;频繁弹出广告,消耗系统资源,使其运行变慢等。
清除方法:
1.CTRL+ALT+DEL,结束REALSHED进程
2.打开REAPLAYER,在设置内终止它的自动更新和消息中心的相关功能,具体自己摸索下了,我这里没装这个大块头的播放
3.卸载REAPLAYER,并在相应目录删除它的文件夹,将它彻底消灭
如果只是普通的病毒,这样做应该可以搞定了,还不行的话,你在搜索内搜索realshed,注意打开搜索,或者在CMD窗口下执行DIR REALSHED*.* /A /S,找到这个垃圾的藏身之处
剩下的就是用360的删除工具把这个垃圾分尸了
另外无论你怎么操作,都记得要检查下注册表,搜索下realshed这几个字符,把相关项给删除了
如果这样还不行,那你可能要使用DRIVERVIEW,检查下你加载的驱动,把可疑的加载给删除掉
另外分析报告中以下几个很可疑,你可以直接把他们清理了
O41 - wgaalmvm - wgaalmvm - C:/WINDOWS/system32/drivers/wgaalmvm.sys - (running) - - - e67f70ab
O41 - boot001 - boot001 - C:/WINDOWS/system32/drivers/boot001.sys - (not running) - - -
O41 - WINIO - WINIO - F:/winio.sys - (not running) - - -
这3项非常可疑,尤其是BOOT001.SYS和WINIO.SYS,建议将其删除并检查注册表清理之.
相关介绍:
安装在“”的C:/Program Files目录下,名叫Video ActiveX Access,会把IE主页全改为http:// protectstand. com /,不会影响上网。!
清除方法:
1.开机进入安全模式(开机的时候一直不停的按F8键)。
2.启动Smit Fraud Fix(就是上面让下载的那款)。
3.按2,然后enter
4.它会问你是不是要清除Registry,按 Y。
重新启动电脑,OK,清理SpyCrush完毕
zh130. com弹出窗口
相关介绍:
强制安装、无法彻底删除、弹出广告
清除方法:
杀毒前关闭系统还原:右键
,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。
清除IE的:打开IE 点工具--&Internet选项 : Internet临时文件,点“”按钮 ,将 删除所有脱机内容 打勾,点确定删除。
启动项目 --&;注册表 的如下项
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
启动项目 --&;服务--&Win32服务应用程序 的如下项
[Voolume Shadow Copyre2 / ServiceCopyre9]
启动项目 --&;服务--&;驱动程序(如果删不掉,就设置类型为disabled!)
[MSJDrvr / MSJDrvr]
3 WINDOWS清理助手清理 清理
dudu加速器
相关介绍:
是由领先的P2P技术公司千橡互联开发的一款基于P2P技术的极速。
清除方法:
第一次安装dudu后,在C:Program Files下生成HDP文件夹;在进程里表现出来的是MSHTA.exe和henbang.exe,分别对应的运行窗口和驻留在上的 henbang,启动项里会添加“”(手动安装时会提示)。它,先在“添加/删除程序”里,发现有 HAP 和
,直接执行卸载。
注意的是,先执行“HAP”,然后再执行卸载“”。否则,C:Program FilesHDP依然存在,且程序完整,执行的删除没有完成。最后检查,往system32里写入的三个文件(二个ini文件,一个hbhap.dll 文件),也成功删除。
所以,如果大家电脑里有这个且一时无法的或提示pupw.sys错误的,可主动安装一次,然后按上面方法执行卸载。
另检查一下是否有C:Program FilesHBClient,如果有,说明系统里还装有装上 很棒通行证 ,可在添加删除里执行 Henbang Passport。
相关介绍:
是很棒公司的代表,它是一个多功能的信息和桌面商务平台。安装之后,不论使用任何一种搜索引擎,屏幕下方都会弹出与搜索关键词关联的广告,而且无论如何也无法彻底删除。
清除方法:
双击&c:windowssystem32&下的uninstall.exe 或者henbangkiller.exe 即可,
然后删除这两个文件和C:Program Fileshenbang文件夹。
如果你是xp sp2版,可以按照以下方法关闭它:
1:首先打开ie,然后选择“internet选项”
2:选择“程序”页,点击“”
3:选中“UrlMonitor Class”,选择禁用此项
最好运行msconfig将winup.exe的加载项去掉winup.exe
相关介绍:
木马 winup.exe经常和“”一同出现,所以也要一起清除。
清除方法:
1.在IE的工具里点&管理加载项&,禁用Downloadvalue Class,EyeOnIe Class,URLMonitor Class
2.在system32中运行一下henbangkiller.exe 再删除 winhtp.dll hap.dll xpieknl.dll winup.exe
3.在注册表中删除
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run下的 winup 键
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run下的 updata键
在msconfig里面还有一个可疑的东西: 在任务管理器里干掉msstart的进程,然后再到system32目录下delete掉msstart.exe这个文件。
相关介绍:
九鱼快车,弹窗网站,在浏览一些网站的时候,那些网站会有一些恶意代码使你的电脑自动下载IE插件,插件就是这个弹窗广告了。
清除方法:
1.拨掉网线,重启电脑,进入安全模式(启动电脑的时候按F8键进入)。
2.在安全模式下,打开我的电脑,搜索九鱼快车的名称www.******.com搜索“*”部分。将搜索出来的文件全部删除掉。
3.开始-运行,输入msconfig,在启动设置里的勾全部取消。退出而不重启。
4.进入注册表(运行里输入regedit),在注册表里搜索(*)部分,将搜索出来的值项全部删除掉
EeyOnIE/4199
清除方法:
1.下载本站的启动电脑按F8进入安全模式.
2.删除以下文件.如果删除不了就用费尔强制删除工具.
C:/WINDOWS/system32/biuky.dll
C:/WINDOWS/system32/yeheadk.dll 这个文件在注册表里搜索一下f9aac63a4ce值
C:/WINDOWS/system32/drivers/kanfsfm.sys 这个文件在注册表里搜索一c096dcd6a57f3fdc9bc3b9cf
C:/WINDOWS/System32/DRIVERS/osrnc.sys
C:/WINDOWS/system32/drivers/yeheadk.sys 注册表 53f365b06c3b83af46bf951fbb05ee0a
C:/WINDOWS/system32/drivers/aficthz.sys
C:/WINDOWS/system32/drivers/dadi_g.sys
提示:在开始--运行里输入 regedit 进入注册表.
3.保险一下,在和注册表里搜索一下:EeyOnIE和4199.如果有搜索到关于EeyOnIE和4199的文件,全部删除掉.最后,我们不防进入启动项设置(运行里输入msconfig)…观察一下启动里有没有这两项相关的值.
4.重新启动电脑.EeyOnIE/4199完毕.如果还未成功.清多清理一次..
卸载searchsite_pg/3839
相关介绍:
3839在线小游戏的恶意插件
清除方法:
1.建议把这篇文章复制一下。放到里。然后重新启动电脑,进入安全模式(开机的时候按 F8)。
2.在安全模式下,打开我的电脑。然后点搜索,在搜索框里输入host,将搜索到的文件打开观察,应该其中一个有Host:
localhost #test这些字。这个不要删了。删除除了这个文件之外的其他HOST文件。
3.删除每个盘下目录PROGRAFILE/3839在线小游戏/3839.dll文件。
4.在注册表中(开始--运行 输入regedit)搜索-02F7-4a55-ACFD-1F2EF7-4a55-ACFD-1F2E还有{25F97EB4-1C02-45BA-BA0C-E67AACE64D4A,将搜索出来的值项全部删除。这都是searchsite_pg/3839恶意的。
5.开始--运行 输入msconfig 然后点里面的一个启动,在里面把有关3839的内容的勾去掉。
6.还是在里搜索一下3839.dll ,这是为了保险起见。
OK了。重启下计算机。
恶意插件ddoc
相关介绍:ddoc和插件都杀不掉,“重启”和“安全模式”都无法。表现广告多。速度慢等。
清除方法:
1.用regworkshop搜索注册表 关键字是“a64e86”,将搜索到的结果全部用icesword删除掉,
2.HKEY_CLASSES_ROOT/clsid
还有在HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Ext/Stats
和HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects
这几个目录下的全部用以上两个来删除.
3.清理ddoc成功,重新启动后看还有没有ddoc.
相关介绍:
自动安装,无。
清除方法:
1.打开,选工具——。
然后点搜索 在第一个框里输入UUSEE。查找出来的项全部删除去。UUSEE就这个样,简单!
2.开注册表(开始——运行:输入regedit),在注册表中查找uusee,查找出来的项值全部清除去。
3.开始——运行:输入msconfig,在启动项里什么也不留!切记!
4.重新启动后再重复以上步骤(除了第三步MSCONFIG之外)。
5.卸载UUSEE成功,继续自己该做的事!
相关介绍:
这是一款在用户不知情的情况下自动安装到用户电脑上的一款恶意软件,rpcc会自动访问网络, 在屏蔽了之后只要你每次启动IE,QQ之类的这个东西又自动访问了。rpcc会不断连接不同地址的25端口,,监听不同地址的53端口。
清除方法:
1.断开网络。
2.运行“”,在结束病毒进程前,先勾选“禁止创建和禁止协件功能”,然后结束病毒进程。
3.运行 “sc delete 21A4AFA0”,删除病毒服务。
4.删除病毒文件
5.打开 “卡卡上网安全助手”在“系统启动项管理中”,删除所有可疑项目。
这时,会发现“rpcc.dll”这个文件删除不了(在安全模式下也不能删除),我们需要用 win98,或者从,切换到系统目录,执行
cd system32
del rpcc.dll
即可删除。
重启后更新到最新病毒库,然后全面杀毒。
相关介绍:
工具栏是在IE下方的一排如百度搜霸什么的一样的。进程
清除方法:
1.进入安全模式(电脑启动的时候按F8,有的电脑是按F2的)。在安全模式里用360检测文件名称。
2.将检测到的文件名搜索,既是打开,搜索,输入检测到的文件名,将搜索到的文件全部删除去。然后再搜索文件,不管是EXE还是DLL等文件,都删除掉。
3.进入启动服务(开始-运行),输入msconfig,选择启动,将与相关的启动项全部把勾取消。
4.进入注册表(开始-运行),输入regedit,编辑-查找。输入nb46和检测到的文件名,见查找出来的全部删除。
5.重新启动。
新手上路我有疑问投诉建议参考资料 查看
