【正文】 一身冷汗。一般殺毒軟件不會對一段沒意義的代碼查殺，所以它隱蔽性及強，當你下載全該病毒全部10個分段后，病毒自行連接成可運行的破壞程序，自毀的同時將硬盤0磁道隨意漂移（這是查到病毒也晚了！）事后你就是用專用工具修復硬盤也必須低級格式化才能使用后果不要我說了吧！ 其他9段代碼對方?jīng)]有透露，我就不知道了，但你刪掉（4）就沒問題了。 教大家檢測硬盤與內(nèi)存中的隱藏病毒 病毒要進行傳染，必然會留下痕跡。例如“4096”病毒在內(nèi)存中時，查看被它感染的文件，不會發(fā)現(xiàn)該文件的長度已發(fā)生變化，而當在內(nèi)存中沒有病毒時，才會發(fā)現(xiàn)文件長度已經(jīng)增長了4096字節(jié)?！　脑嫉摹⑽词懿《靖腥镜腄OS系統(tǒng)軟盤啟動，可以保證內(nèi)存中不帶病毒?！　z測硬盤中的病毒可分成檢測引導區(qū)型病毒和檢測文件型病毒。搜索病毒體內(nèi)特定位置的特征字識別法。因為病毒傳播得很快，新病毒層出不窮，而目前還沒有能查出一切病毒的通用程序，或通過代碼分析，可以判定某個程序中是否含有病毒的查毒程序，所以只有靠比較法和分析法，或這兩種方法相結合來發(fā)現(xiàn)新病毒。比較法的好處是簡單、方便，不用專用軟件?！　∷阉鞣ā　∵@種方法主要是對每一種病毒含有的特定字符串進行掃描，如果在被檢測對象內(nèi)部發(fā)現(xiàn)了某一種特定字節(jié)串，就表明發(fā)現(xiàn)了該字節(jié)串所代表的病毒?！　〔《敬a串的選擇是非常重要的，短小的病毒代碼只有一百多個字節(jié)，長的也只有10KB字節(jié)。另外，特征串還必須能將病毒與正常的非病毒程序區(qū)，不然就會出現(xiàn)“假報、誤報”。由于特征字識別法更注意電腦病毒的“程序活性”，因此減少了錯報的可能性。同時，詳細地分析病毒代碼，還有助于制定相應的反病毒方案。不具備必要的條件，不要輕易開始分析工作?！　》治龇ǚ譃殪o態(tài)和動態(tài)兩種。在病毒編碼比較簡單的情況下，動態(tài)分析不是必須的。但對新出現(xiàn)的病毒會出現(xiàn)漏檢的情況，須要與分析和比較法結合使用 Windows作系統(tǒng)常遇木馬的預防技巧 木馬程序是目前比較流行的一類病毒文件，它與一般的病毒不同，它不會自我繁殖，也并不刻意地去感染其他文件。而木馬程序則完全相反，木馬要達到的是“偷竊”性的遠程控制，如果沒有很強的隱蔽性的話，那就是毫無價值的。 要弄清楚什么是動態(tài)嵌入式DLL木馬，我們必須要先了解Windows系統(tǒng)的另一種“可執(zhí)行文件”——DLL，DLL是Dynamic Link Library(動態(tài)鏈接庫)的縮寫，DLL文件是Windows的基礎，因為所有的API函數(shù)都是在DLL中實現(xiàn)的。如果那個進程是可信進程()，那么就沒人會懷疑DLL文件也是個木馬了。 這樣。 沒有是最好，如果有的話也不要直接刪除掉，可以先把它移到回收站里，若系統(tǒng)沒有異常反應再將之徹底刪除，或者把DLL文件上報給反病毒研究中心檢查。 第四，作系統(tǒng)的補丁要經(jīng)常進行更新。 重啟電腦,通常到這就可以了,如果還彈出來再進行第二步 開始——運行——regedit 在下面的位置刪除相應鍵值： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run .根據(jù)你的描述，那應該是一個已被刪除了的病毒或間諜軟件。所以啟動時還在加載。 或： 開始運行msconfig(即系統(tǒng)配置程序)啟動，看看里面的東西，找到哪個你說的東西，把前面的勾去掉，Ok 重啟看一下吧 （如果找不到它，那它就已經(jīng)不存在了，就清理注冊碼）15 / 15。刪除就行了解決方法三：開始運行鍵入regedit在上方的編輯菜單打開選查找，將.dll輸入，搜索，發(fā)現(xiàn)的全刪掉。 如果你點擊“確定”后，系統(tǒng)沒有什么不正常，并且可以正常運行的話，你可以用這個軟件清理掉這個開機加載項，以后開機就不會出現(xiàn)這個信息了。 相信大家只要做好安全防護工作，防治木馬并不是那么可怕的。 第二，把個人防火墻設置好安全等級，防止未知程序向外傳送數(shù)據(jù)。 ，然后運行 CMD—fc amp。 在WinNT系統(tǒng)，DLL木馬一般都藏在System32目錄下(因為System32是系統(tǒng)文件存放的目錄，里面的文件很多，在里面隱藏當然很方便了)，針對這一點我們可以在安裝好系統(tǒng)和必要的應用程序后，對該目錄下的EXE和DLL文件作一次記錄:點擊開始—運行—輸入cmd回車—出現(xiàn)DOS命令行模式—輸入cd\回車，再輸入cd C:\Windows\System32回車，這就轉換目錄到了System32目錄(要還是不知道怎么進入的，請參看DOS的cd命令的使用)，輸入命令:dir *.exe amp。 因為DLL文件不能獨立運行，所以在進程列表中并不會出現(xiàn)DLL。木馬的設計者為了防止木馬被發(fā)現(xiàn)，而采用多種手段隱藏木馬。木馬程序向施種木馬者提供打開被種者電腦的門戶，使施種者可以任意毀壞、竊取被種者的文件和隱私，甚至遠程控被種者的電腦?！　【C上所述，利用原始備份和被檢測程序相比較的方法適合于不用專用軟件，可以發(fā)現(xiàn)異常情況的場合，是一種簡單、基本的病毒檢測方法。分析人員的素質(zhì)越高，分析過程就越快，理解也就越深。特別是某些文件型病毒的源代碼可達10KB以上，與系統(tǒng)的牽扯層次很深，使詳細的剖析工作十分復雜。因為即使是很精通病毒的技術人員，使用性能完善的分析軟件，也不能完全保證在短時間內(nèi)將病毒代碼分析清楚。這兩種方法的使用，都須要不斷地對病毒庫進行擴充，一旦捕捉到病毒，經(jīng)過提取特征并加入到病毒庫，就能使查病毒程序多檢查出一種新病毒來。特征字識別法只須從病毒體內(nèi)抽取很少的幾個關鍵特征字，組成特征字庫。一般情況下，代碼串是由連續(xù)若干個字節(jié)組成的，但是有些掃描軟件采用的是可變長串，即在串中包含有一個到幾個“模糊”字節(jié)。這種病毒掃描軟件由兩部分組成:一部分是病毒代碼庫，含有經(jīng)過特別選定的各種電腦病毒的代碼串。另外，造成被檢測程序與原始備份之間差別的原因尚需進一步驗證，以查明是電腦病毒造成的，還是DOS數(shù)據(jù)被偶然原因，如突然停電、程序失控、惡意程序等破壞的。由于要進行比較，因此保留好原始備份是非常重要的?！　”容^法　　這是用原始備份與被檢測的引導扇區(qū)或被檢測的文件進行比較的方法，可以用打印的代碼清單(比如Debug的D命令輸出格式)進行比較，也可用程序來進行比較(如DOS的DISKCOMP、COMP或PCTOOLS等其它軟件)。主要是基于下列四種方法:比較被檢測對象與原始備份的比較法。檢測硬盤中的病毒，啟動系統(tǒng)軟盤的DOS版本號應該等于或高于硬盤內(nèi)DOS系統(tǒng)的版本號。還有引導區(qū)型的“巴基斯坦智囊”病毒，當它活躍在內(nèi)存中時，檢查引導區(qū)就看不到病毒程序而只看到正常的引導扇區(qū)。檢測電腦病毒，就要到病毒寄生場所去檢查，發(fā)現(xiàn)異常情況，并進而驗明“正身”，確認電腦病毒的存在。但是只要鍵入“計算機名或者IPC$”，系統(tǒng)就會詢問用戶名和密碼，遺憾的是，大多數(shù)個人用戶系統(tǒng)Administrator的密碼都為空，入侵者可以輕易看到C盤的內(nèi)容，這就給網(wǎng)絡安全帶來了極大的隱患。網(wǎng)上搜了一下沒人知道原理！ 大家可別小看這段你自己放在系統(tǒng)目錄下的代碼，它是新型連接式病毒的一段代碼（4）。　　如果發(fā)現(xiàn)有可攻擊的對象，病毒要進行下列的工作：　　（1）將目標盤的引導扇區(qū)讀入內(nèi)存，對該盤進行判別是否傳染了病毒；　?。?）當滿足傳染條件時，則將病毒的全部或者一部分寫入Boot區(qū)，把正常的磁盤的引導區(qū)程序寫入磁盤特寫位置；　?。?）返回正常的INT 13H中斷服務處理程序，完成了對目標盤的傳染。當它發(fā)現(xiàn)被傳染的目標時，進行如下作：　?。?）首先對運行的可執(zhí)行文件特定地址的標識位信息進行判斷是否已感染了病毒；　?。?）當條件滿足，利用INT 13H將病毒鏈接到可執(zhí)行文件的首部或尾部或中間，并存大磁盤中；　?。?）完成傳染后，繼續(xù)監(jiān)視系統(tǒng)的運行，試圖尋找新的攻擊目標。該病毒在系統(tǒng)內(nèi)存中監(jiān)視系統(tǒng)的運行，當它發(fā)現(xiàn)有攻