【正文】 表 編 輯 器 ， 在 點(diǎn) 擊至 :“HKEYLOCALMACHINESoftwareMicrosoftWindowsCurrentVersionRun”目錄下，查看鍵值中有沒(méi)有自己不熟悉的自動(dòng)啟動(dòng)文件，擴(kuò)展名為 EXE，這里切記 :有的 “木馬 ”程序生成的文件很像系統(tǒng)自身文件，想通過(guò)偽裝蒙混過(guò)關(guān)，如 “Acid Battery 木馬 ”，它將注冊(cè)表 “HKEYLOCALMACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的 Explorer 鍵值改為 Explorer=“C:Window***”， “木馬 ”程序與真正的 Explorer 之間只有 “i”與 “l(fā)”的差別。該文件的大小是 8192 字節(jié)，VirtualRoot 網(wǎng)絡(luò)蠕蟲(chóng)程序就是通過(guò) 該程序來(lái)執(zhí)行的。 不單單只出現(xiàn)在 Windows XP 中，在使用 NT內(nèi)核的 Windows 系統(tǒng)中都會(huì)有 的存在。 是病毒這種說(shuō)法是任何產(chǎn)生的呢 ? 因?yàn)? 可以作為服務(wù)的宿主來(lái)啟動(dòng)服務(wù)，所以病毒、木馬的編寫(xiě)者也挖空心思的要利用 的這個(gè)特性來(lái)迷惑用戶達(dá)到入侵、破壞計(jì)算機(jī)的目的。如果你懷疑計(jì)算機(jī)有可能被病毒感染， 的服務(wù)出現(xiàn)異常的話通過(guò)搜索 文件就可以發(fā)現(xiàn)異常情況。通過(guò)察看 進(jìn)程的執(zhí)行路徑可以確認(rèn)是否中毒。此修補(bǔ)程序可能還會(huì)接受其它一些測(cè)試。要了解 UTC 與本地時(shí)間之間的時(shí)差，請(qǐng)使用 “控制面板 ”中的 “日期和時(shí)間 ”工具中的 時(shí)區(qū) 選項(xiàng)卡?；蛘呖梢酝ㄟ^(guò)一些優(yōu)化軟件如 “優(yōu)化大師 ”達(dá)到上述目的。 Windows 中的系統(tǒng)服務(wù)是以動(dòng)態(tài)鏈接庫(kù) (DLL)的形式實(shí)現(xiàn)的，其中一些會(huì)把可執(zhí)行程序指向 ，由它調(diào)用相應(yīng)服務(wù)的動(dòng)態(tài)鏈接庫(kù)并加上相應(yīng)參數(shù)來(lái)啟動(dòng)服務(wù)。據(jù)一些網(wǎng)友總結(jié)超線程似乎和天網(wǎng) _blank防火墻有沖突，可以通過(guò)卸載天網(wǎng)并安裝其它 _blank防火墻解決，也可以通過(guò)在 BIOS中關(guān)閉超線程功能解決。 1網(wǎng)絡(luò)連接導(dǎo)致 CPU使用率占用 100% 當(dāng)你的 Windows2020/xp 作為服務(wù)器時(shí)，收到來(lái)自端口 445 上的連接請(qǐng)求后，系統(tǒng)將分配內(nèi)存和少量 CPU資源來(lái)為這些連接提供服務(wù)，當(dāng)負(fù)荷過(guò)重，就會(huì)出現(xiàn)上述情況。 → 打印任務(wù)控制程序，一般會(huì)先加載以供列表機(jī)打印前的準(zhǔn)備工作 ，如果常增高，有可能是病毒感染所致 目前常見(jiàn)的是 : Backdoor/Byshell(又叫隱形大盜、隱形殺手、西門(mén)慶病毒 ) 危害程度 :中 受影響的系統(tǒng) : Windows 2020， Windows XP， Windows Server 2020 未受影響的系統(tǒng) : Windows 95， Windows 98， Windows Me， Windows NT， Windows ， Macintosh， Unix， Linux， 病毒危害 : 1. 生成病毒文件 2. 插入正常系統(tǒng)文件中 3. 修改系統(tǒng)注冊(cè)表 4. 可被黑客遠(yuǎn)程控制 5. 躲避反病毒軟件的查殺 簡(jiǎn)單的后門(mén)木馬，發(fā)作會(huì)刪除自身程序，但將自身程序套入可執(zhí)行程序內(nèi) (如 :exe)，并與計(jì)算機(jī)的通口 (TCP 端口 138)掛鉤，監(jiān)控計(jì)算機(jī)的信息、密碼，甚至是鍵盤(pán)操作，作為回傳的信息，并不時(shí)驅(qū)動(dòng)端口，以等候傳進(jìn)的命令，由于該木馬不能判別何者是正確的端口，所以負(fù)責(zé)輸出的列表機(jī)也是其驅(qū)動(dòng)對(duì)象，以致 的使用異常頻繁 ...... 破壞方法 :感染 PE 文件的后門(mén)程序 病毒采用 VC 編寫(xiě)。 試圖 與局域網(wǎng)內(nèi)名為 ； admin；的郵槽聯(lián)系，創(chuàng)建名為 ； client；的郵槽用于接收其控制端所發(fā)送的命令，為其控制端提供以下遠(yuǎn)程控制服務(wù) : 顯示或隱藏指定窗口、屏幕截取、控制 CDROM、關(guān)閉計(jì)算器、注銷(xiāo)、破壞硬盤(pán)數(shù)據(jù)。 病毒清除方法 此病毒可以用趨勢(shì)、諾頓、瑞星、金山和江民等殺毒軟件進(jìn)行清除。 Windows Me 的進(jìn)程打開(kāi)方式和 Windows 98 相同。 回到原來(lái)話題上 !通過(guò)進(jìn)程如何發(fā)現(xiàn)和殺掉病毒呢 ?由前面的知識(shí)介紹可知， Windows 9X和 Windows 2020 系統(tǒng)只能顯示進(jìn)程的名稱，這對(duì)判斷該進(jìn)程是否是病毒還不夠，如果要準(zhǔn)確的斷定病毒，最好使用前面介紹的 “Windows 優(yōu)化大師 ”來(lái)查看進(jìn)程程序的源路徑，如果是 “C:Windowssystem”下的一些未知的 “EXE”那便極有病毒的可能性了。 資源管理器 托盤(pán)區(qū)的拼音圖標(biāo) 允許程序在指定時(shí)間運(yùn)行。 并列事務(wù)，是分布于兩個(gè)以上的數(shù)據(jù)庫(kù)，消息隊(duì)列，文件系統(tǒng)或其它事務(wù)保護(hù)資源管理器。 如果你懷疑計(jì)算機(jī)有可能被病毒感染， 的服務(wù)出現(xiàn)異常的話通過(guò)搜索 文件就可以發(fā)現(xiàn)異常情況。通過(guò)察看 進(jìn)程的執(zhí)行路徑可以確認(rèn)是否中毒。如果你在其它目錄下發(fā)現(xiàn) 程序的話，那很可能就是中毒了。 包含代理程序可以監(jiān)視網(wǎng)絡(luò)設(shè)備的活動(dòng)并且向網(wǎng)絡(luò)控制臺(tái)工作站匯報(bào)。 (系統(tǒng)服務(wù) )→remoteregister 實(shí)現(xiàn) TFTP Inter 標(biāo)準(zhǔn)。這里介紹兩個(gè)技巧 : ，利用 Windows 的查找功能，查找該進(jìn)程所在的具體路徑，通過(guò)路徑可以知道該進(jìn)程是否合法，譬如由路徑 “C:Program ”知道該程序是 3721 的進(jìn)程，是合法的。 2020/ XP/2020 系統(tǒng) Windows 20 Windows XP、 Windows 2020 打開(kāi)進(jìn)程窗口的方式與 Windows 9x 系統(tǒng)相同，只是三鍵后打開(kāi)的是“Windows 任務(wù)管理器 ”窗口，需要選擇里面的 “進(jìn)程 ”項(xiàng)。而要論到手工殺毒，就不能不提到系統(tǒng)進(jìn)程了。 如果中了這種病毒可采用下面的四種方法進(jìn)行清除。 ； ；文件運(yùn)行后釋放文件名為 ； ；的文件到 %SYSDIR%目錄下，該文件的主要功能是每次激活時(shí)運(yùn)行 ； ；文件。這不僅會(huì)使系統(tǒng)性能大幅度下降，系統(tǒng)啟動(dòng)速度變慢，也會(huì)使是系統(tǒng)在運(yùn)行一些大型軟件和游戲時(shí) CPU使 用率 100%，產(chǎn)生停頓。如果文件較大就會(huì)需要較長(zhǎng)時(shí)間并造成 CPU占用率 100%。 進(jìn)程造成 CPU使用率占用 100% 在 文件中，在 [BOOT]下面有個(gè) “shell=文件名 ”。 如果是使用電腦途中出項(xiàng)這類(lèi)問(wèn)題，可以調(diào)出任務(wù)管理器 (WINXP CTRL+ALT+DEL WIN2020 CTRL+SHIFT“ESC)，進(jìn)入 ”進(jìn)程 “選項(xiàng)卡，看 ”CPU“欄，從里面找到占用資源較高的程序 (其中 SYSTEM IDLE PROCESS 是屬于正常，它的值一般都很高，它的作用是告訴當(dāng)前你可用的 CPU資源是多少，所以它的值越高越好 )通過(guò)搜索功能找到這個(gè)進(jìn)程屬于哪個(gè)軟件。此問(wèn)題最初是在 Microsoft Windows 2020 Service Pack 4 中更正的。 要立即解決此問(wèn)題，請(qǐng)與 “Microsoft 產(chǎn)品支持服務(wù) ”聯(lián)系，以獲取此修補(bǔ)程序。出現(xiàn)此問(wèn)題時(shí)，連接到該計(jì)算機(jī) (如果它是文件服務(wù)器或域控制器 )的用戶會(huì)被斷開(kāi)連接。如果你在其它目錄下發(fā)現(xiàn) 程序的話，那很可能就是中毒了。圖 1 中每個(gè)鍵值表示一個(gè)獨(dú)立的 組。所以看到系統(tǒng)的進(jìn)程列表中有幾個(gè) 不用那幺擔(dān)心。它還會(huì)修改系統(tǒng)的注冊(cè)表項(xiàng)目，通過(guò)該注冊(cè)表項(xiàng)目的修改，該蠕蟲(chóng)程序可以建立虛擬的目錄 C 或者 D，病毒名由此而來(lái)。該蠕蟲(chóng)病毒利用 Microsoft已知的溢出漏洞，通過(guò) 80端口來(lái)傳播到其它的 Web頁(yè)服務(wù)器上。 找到這個(gè)文件后，可以刪除它，或下載下來(lái)，用 ACCESS2020 修復(fù)