“劫持”病毒

这天,笔者电脑出现异常现象,怀疑中毒了,于是查看系统进程,发现“ieplorer．exo”和“svchost．exe”两个进程很可疑,但却无法直接关闭。显然,是互相守护的病毒在做祟,用“映像劫持”就能轻松解决它!     

Windows系统中Svchost进程详解

Windows系统的Svchost.exe和Explorer.exe是非常重要的两种进程，对于Win2000、XP来说，不可或缺，很多病毒、木马也会调用它。通过“ctrl＋alt＋del”键打开任务管理器，这里的“进程”标签中就可看到。     

rundll32，神仙？妖怪？

经常和进程打交道的朋友一定接触过rundll32.exe，安装了某些软件后会在自启动列表发现它的身影，安装新硬件时也会在任务管理中发现它，网上还有许多文章介绍它是个病毒。到底rundll32.exe是“神仙”（系统正常进程）还是“妖怪”（病毒）。[编者按]     

教你全面认识SVCHOST．EXE进程

大家对windows操作系统一定不陌生．但你是否注意到系统中“svchost．exe”这个文件呢？细心的朋友会发现windows中存在多个“svchost“进程（通过“ctrl＋alt＋del”键打开任务管理器（图一）这里的“进程”标签中就可看到了）．为什么会这样呢？下面就来揭开它神秘的面纱。     

病毒播报 第9期

“U盘蠕虫下载器”变种FEH Worm.Win32．Autorun．feh 警惕程度 蠕虫下载器 通过网络传播 依赖系统Windows NT／2000/XP／2003 该病毒通过闪盘和网络传播,运行时它会在系统的system目录中生成svchost．exe和Dwinlogon．exe文件。它具有双进程守护一的功能,还能下载大量的木马病毒到用户的电脑中。     

你认识Svchost．exe进程吗？

很多朋友对Svchost．exe进程都不太了解．在任务管理器中一旦看到有多个该进程（图1中有8个）．就以为自己的电脑中了病毒或木马．其实并非如此!正常情况下．Windows中可以有多个Svchost．exe进程同时运行．例如Windows 2000有2个Svchost进程．Windows XP中有4个以上．Windows 2003中则更多．所以当你看到多个Svchost进程时．未必就是病毒!     

病毒名称：线上游戏窃取者变种ODT（Trojan．PSW．Win32．GameOL．odt）

病毒类型：木马病毒 病毒危害级别： 病毒分析：这是一个偷游戏密码的病毒。病毒执行后会释放rijxbkjn.dll和stjxskin．exe文件,设置自身属性为系统、隐藏,改写注册表项实现自启动。病毒会把动态库注入到“explorer．exe”进程中并查找进程中是否存在游戏进程,当找到游戏进程时,把自己注到游戏进程中,     

我用KV杀病毒

病毒描述：好来坞病毒是一种通过Microsoft Outlook和P2P网络共享传播的蠕虫病毒，能在Windows9X/ME/NT/2000/Xp下运行，病毒邮件主题是“你是一个商人吗？”、“你满意你的薪水吗？”等比较诱惑的内容，附件是busssinesssinfo.msi或axam.exe及其它文件。该病毒被运行后，会修该注册表相关的键值，如将exe关联程序设为病毒文件，使电脑运行任何EXE文件，病毒也同时运行。它还会将自己复制到%startup%／axam.exe和c：／program files路径下，生成Invisible_man.exe、jeedNASA.exe blaster.exe XXX_HOSTEX.exe、Fxbgbear.exe、Setup_flash.exe、Super Mario.exe等文件。好来坞病毒可以将一些著名的防毒软件及其监视进程杀死，并且修改AUTOEXEC．BAT，使电脑在重新启动的时候格式化硬盘。     

当心身边的“移动”木马

最近，在各大论坛的病毒版块围绕RavMon E.exe展开的话题成为不小的热点。“这个进程是什么病毒？”“该如何彻底清除？”“出现的新变种是哪些？”带着同样的疑问，笔者经过一段时间的观察和仔细的查证发现RavMon E．exe属手典型的木马，并且在短期内衍生出了两个变种：AdobeR．exe以及bittorrent．exe。鉴于三者在症状表现、传播途径．清除方法完全一致．下文不在分别阐述，都以RavMon E．exe为代表进行说明。[编者按]     

Q来A去——系统

福建·张彪：我使用的是Windows XP系统,最近、在查看系统进程时发现进程中“Phonetic.exe”很多,大概有四个左右,请问它们是做什么的？是不是病毒啊？     

批量关闭进程巧进行

如果“任务管理器”的“进程列表”中有多个映像名称相同的进程，这时除了重启和注销系统外，还有什么方法可以快速结束这些进程呢?利用“任务管理器”的“排列进程”选项，但却不允许用户一次选择多个进程，要想批量关闭这些进程。在Windows XP中，我们可以利用“Taskkill．exe”这个命令来结束至少一个或以上相同映像名称的进程。     

半月病毒播报

病毒名称：“线上游戏窃取者变种PIU（Trojan．PSW．Win32．GameOL．piu）” 病毒类型：盗号木马病毒 影响平台：Windows NT／2000／XP／2003 这是一个偷游戏密码的病毒。病毒采用Delphi语言编写,Upack加壳。病毒运行后会释放一个名称为随机8位字母组合的exe和名称为随机八位字母组合的dll文件,设置自身属性为系统、隐藏,改写注册表项实现自启动。病毒会把动态库注入到Explorer．exe进程中并查找进程中是否存在游戏进程,     

未知漏洞的预防技巧

还记得“震荡波“病毒的危害吗？“震荡波”病毒的起因在于LSA服务的漏洞,它是Windows系统中一个相当重要的服务,所有安全认证相关的处理都要通过这个服务。利用上述漏洞．”震荡波“病毒在系统上取得控制权后,打开端口并绑定cmd.exe,然后连接上来．通过ftp方式将蠕虫自身传输到系统目录下,传输完毕后,蠕虫文件就会被执行．系统     

“熊猫烧香”假慈悲 exe文件遭恶意篡改

金山毒霸全球反病毒监测中心消息：近日，一名为“熊猫烧香”（Worm．WhBoy．h）的蠕虫病毒正在利用互联网进行疯狂作案，被感染的用户系统中所有．exe可执行文件全部被改成熊猫举着三根香的模样。     

消除一例病毒的简便方法

我的电脑这两天启动一直比较慢，而且在系统启动项上每次都多了一个随机变化的新程序名。我赶紧用杀毒软件KV3000来查，但也没有发现什么病毒，但我感觉它是中毒了。用系统工具System Mechanic查一查，依次点击“System”→“Windows Startup Manager”，可以看到系统每次启动时的运行程序，禁止C:\Windows\System\winkfma.exe系统启动程序，退出System Mechanic。再次进入System Mechanic，我发现了一个很奇怪的现象，被禁止的系统启动程序winkfma.exe又处在En-abled（可用）状态。我怀疑winkfma.exe是一个病毒程序，它可以在其他程…     

半月病毒播报

中文名称：“密码盗窃器69632” 病毒名称：Win32．PSWTroj.QQPass.zc 病毒进入系统后,首先会进行伪装。它搜索出系统盘％WINDOWS％目录下的记事本程序Notepad．exe,将其更名为Mspad．exe,然后将自己的病毒文件取名为Notepad．exe,释放到同一目录下。一起被释放出来的还有Eudcedit．exe、Freecen．exe、Msscr．exe等文件。     

监视哪些程序调用了svchost．exe

任务管理器里有多个svchost．exe的进程,不清楚是哪些程序调用的系统服务,总担心中了木马或病毒,有什么方法能查看这些svchost．exe到底启用了什么服务么？     

针对近期爆发的“Flash”木马病毒的解决方案

本文针对近期爆发的Flash木马病毒给出解决方案,症状是:系统进程里常驻aa.exe或者bb.exe这样的病毒进程,并经常出现z1.exe、z2.exe、z3.exe等类似的病毒文件;360安全卫士无法启动,系统速度变     

Windows XP新技巧六则

巧解XP无法找到Rundll32．exe Windwos XP虽说是比较稳定的操作系统，可有时也会出现系统错误．有时候我们可能会遇到这样的情况，在打开控制面板时系统提示“Windows无法找到C：＼Windows\Rundll32.exe”的错误对话窗口，这是怎么回事，从大体上来看可能是你的电脑感染了病毒或Rund132.exe已经遭受破坏，那么我们如何来解决呢？     

你认识Svchost.exe进程吗?

很多朋友对Svchost.exe进程都不太了解,在任务管理器中一旦看到有多个该进程(图1中有6个),就以为自己的电脑中了病毒或木马,其实并非如此!正常情况下,Windows中可以有多个Svchost.exe进程同时运行,例如Windows2000有2个Svchost进程,WindowsXP中有4个以上,Windows2003中则更多,所以当你看到多个Sv-chost进程时,未必就是病毒!