矿机病毒是怎么染上的
Ⅰ 病毒是怎么感染程序的
如果是问感染型的病毒的话,它自带编辑器可以把一段恶意代码附加到应用程序之中
Ⅱ 病毒是如何感染文件的
病毒是附着于程序或文件中的一段计算机代码,它可在计算机之间传播。它一边传播一边感染计算机。病毒可损坏软件、硬件和文件。
病毒 (n.):以自我复制为明确目的编写的代码。病毒附着于宿主程序,然后试图在计算机之间传播。它可能损坏硬件、软件和信息。
与人体病毒按严重性分类(从 Ebola 病毒到普通的流感病毒)一样,计算机病毒也有轻重之分,轻者仅产生一些干扰,重者彻底摧毁设备。令人欣慰的是,在没有人员操作的情况下,真正的病毒不会传播。必须通过某个人共享文件和发送电子邮件来将它一起移动。
什么是蠕虫?
与病毒相似,蠕虫也是设计用来将自己从一台计算机复制到另一台计算机,但是它自动进行。首先,它控制计算机上可以传输文件或信息的功能。一旦您的系统感染蠕虫,蠕虫即可独自传播。最危险的是,蠕虫可大量复制。例如,蠕虫可向电子邮件地址簿中的所有联系人发送自己的副本,那些联系人的计算机也将执行同样的操作,结果造成多米诺效应(网络通信负担沉重),使商业网络和整个 Internet 的速度减慢。当新的蠕虫爆发时,它们传播的速度非常快。它们堵塞网络并可能导致您(以及其他每个人)等很长的时间才能查看 Internet 上的网页。
蠕虫 (n.):病毒的子类。通常,蠕虫传播无需用户操作,并可通过网络分发它自己的完整副本(可能有改动)。蠕虫会消耗内存或网络带宽,从而可能导致计算机崩溃。
蠕虫的传播不必通过“宿主”程序或文件,因此可潜入您的系统并允许其他人远程控制您的计算机。最近的蠕虫示例包括 Sasser 蠕虫和 Blaster 蠕虫。
什么是特洛伊木马?
在神话传说中,特洛伊木马表面上是“礼物”,但实际上藏匿了袭击特洛伊城的希腊士兵。现在,特洛伊木马是指表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序。最近的特洛伊木马以电子邮件的形式出现,电子邮件包含的附件声称是 Microsoft 安全更新程序,但实际上是一些试图禁用防病毒软件和防火墙软件的病毒。
特洛伊木马 (n.):一种表面上有用、实际上起破坏作用的计算机程序。
一旦用户禁不起诱惑打开了以为来自合法来源的程序,特洛伊木马便趁机传播。为了更好地保护用户,Microsoft 常通过电子邮件发出安全公告,但这些邮件从不包含附件。在用电子邮件将安全警报发送给客户之前,我们也会在安全网站上公布所有安全警报。
特洛伊木马也可能包含在免费下载软件中。切勿从不信任的来源下载软件。始终从 Microsoft Update 或 Microsoft Office Update 下载 Microsoft 更新程序或修补程序。
蠕虫和其他病毒如何传播?
实际上,所有病毒和许多蠕虫是无法传播的,除非您打开或运行了受感染的程序。
很多最危险的病毒主要通过电子邮件附件(随电子邮件一起发送的文件)传播。通常,可判断电子邮件是否包含附件,因为您将看到表示附件且包括附件名称的回形针图标。有些文件格式(例如,图片、用 Microsoft Word 写的信件或 Excel 电子表格)可能是每天都要通过电子邮件接收的。当打开受感染的文件附件(通常是双击附件图标以打开附件)时,就会启动病毒。
提示:切勿打开附加在电子邮件中的任何内容,除非附件是您期望的文件且您清楚该文件的内容。
如果收到陌生人发来的带附件的邮件,请立即删除它。不幸的是,有时打开来自熟人的附件也可能不安全。病毒和蠕虫都能从电子邮件程序中窃取信息,然后将自已发送给地址簿中的所有联系人。因此,如果某人发来一封电子邮件,但其中的消息您并不了解,或其中的附件不是您期望的文件,请一定先与发件人联系并确认附件内容,然后再打开文件。
另一些病毒可能通过从 Internet 下载的程序进行传播,或通过从朋友那里借来的或甚至是从商店买来的带病毒计算机磁盘进行传播。这些属于比较少见的病毒感染方式。大多数人是因为打开和运行不认识的电子邮件附件感染病毒。
如何判断你的电脑是否含病毒资料
电脑出故障不只是因为感染病毒才会有的,个人电脑使用过程中出现各种故障现象多是因为电脑本身的软、硬件故障引起的,网络上的多是由于权限设置所致。我们只有充分地了解两者的区别与联系,才能作出正确的判断,在真正病毒来了之时才会及时发现。下面我就简要列出了分别因病毒和软、硬件故障引起的一些常见电脑故障症状分析。
症状 病毒的入侵的可能性 软、硬件故障的可能性
经常死机:病毒打开了许多文件或占用了大量内存;不稳定(如内存质量差,硬件超频性能差等);运行了大容量的软件占用了大量的内存和磁盘空间;使用了一些测试软件(有许多BUG);硬盘空间不够等等;运行网络上的软件时经常死机也许是由于网络速度太慢,所运行的程序太大,或者自己的工作站硬件配置太低。
系统无法启动:病毒修改了硬盘的引导信息,或删除了某些启动文件。如引导型病毒引导文件损坏;硬盘损坏或参数设置不正确;系统文件人为地误删除等。
文件打不开:病毒修改了文件格式;病毒修改了文件链接位置。文件损坏;硬盘损坏;文件快捷方式对应的链接位置发生了变化;原来编辑文件的软件删除了;如果是在局域网中多表现为服务器中文件存放位置发生了变化,而工作站没有及时涮新服器的内容(长时间打开了资源管理器)。
经常报告内存不够:病毒非法占用了大量内存;打开了大量的软件;运行了需内存资源的软件;系统配置不正确;内存本就不够(目前基本内存要求为128M)等。
提示硬盘空间不够:病毒复制了大量的病毒文件(这个遇到过好几例,有时好端端的近10G硬盘安装了一个WIN98或WINNT4.0系统就说没空间了,一安装软件就提示硬盘空间不够。硬盘每个分区容量太小;安装了大量的大容量软件;所有软件都集中安装在一个分区之中;硬盘本身就小;如果是在局域网中系统管理员为每个用户设置了工作站用户的"私人盘"使用空间限制,因查看的是整个网络盘的大小,其实"私人盘"上容量已用完了。
软盘等设备未访问时出读写信号:病毒感染;软盘取走了还在打开曾经在软盘中打开过的文件。
出现大量来历不明的文件:病毒复制文件;可能是一些软件安装中产生的临时文件;也或许是一些软件的配置信息及运行记录。
启动黑屏:病毒感染(记得最深的是98年的4.26,我为CIH付出了好几千元的代价,那天我第一次开机到了Windows画面就死机了,第二次再开机就什么也没有了);显示器故障;显示卡故障;主板故障;超频过度;CPU损坏等等
数据丢失:病毒删除了文件;硬盘扇区损坏;因恢复文件而覆盖原文件;如果是在网络上的文件,也可能是由于其它用户误删除了。
键盘或鼠标无端地锁死:病毒作怪,特别要留意"木马";键盘或鼠标损坏;主板上键盘或鼠标接口损坏;运行了某个键盘或鼠标锁定程序,所运行的程序太大,长时间系统很忙,表现出按键盘或鼠标不起作用。
系统运行速度慢:病毒占用了内存和CPU资源,在后台运行了大量非法操作;硬件配置低;打开的程序太多或太大;系统配置不正确;如果是运行网络上的程序时多数是由于你的机器配置太低造成,也有可能是此时网路上正忙,有许多用户同时打开一个程序;还有一种可能就是你的硬盘空间不够用来运行程序时作临时交换数据用。
系统自动执行操作:病毒在后台执行非法操作;用户在注册表或启动组中设置了有关程序的自动运行;某些软件安装或升级后需自动重启系统。
Ⅲ 病毒是怎么传播的它是怎么感染内网的其他的电脑的
病毒传播形式和如何感染其他电脑的分析如下:
1.因特网传播:
Internet既方便又快捷,不仅提高人们的工作效率,而且降低运作成本,逐步被人们所接受并得到广泛的使用。商务来往的电子邮件,还有浏览网页、下载软件、即时通讯软件、网络游戏等等,都是通过互联网这一媒介进行。如此频繁的使用率,注定备受病毒的“青睐”。
2.通过电子邮件传播:
在电脑和网络日益普及的今天,商务联通更多使用电子邮件传递,病毒也随之找到了载体,最常见的是通过Internet交换Word格式的文档。由于Internet使用的广泛,其传播速度相当神速。电子邮件携带病毒、木马及其他恶意程序,会导致收件者的计算机被黑客入侵。email协议的新闻组、文件服务器、FTP下载和BBS文件区也是病毒传播的主要形式。经常有病毒制造者上传带毒文件到FTP和BBS上,通常是使用群发到不同组,很多病毒伪装成一些软件的新版本,甚至是杀毒软件。很多病毒流行都是依靠这种方式同时使上千台计算机染毒。
3.通过浏览网页和下载软件传播:
很多网友都遇到过这样的情况,在浏览过某网页之后,IE标题便被修改了,并且每次打开IE都被迫登陆某一固定网站,有的还被禁止恢复还原,这便是恶意代码在作怪。当浏览一些不健康网站或误入一些黑客站点,访问这些站点的同时或单击其中某些链接或下载软件时,便会自动在您的浏览器或系统中安装上某种间谍程序。这些间谍程序便可让您的浏览器不定时地访问其站点,或者截获您的私人信息并发送给他人。
Ⅳ 电脑病毒是怎么感染的
我认为,第一,是通过网络下载(别人恶意的传输网络病毒)而来;第二,是通过硬件设备,例如光盘,内存卡等等而间接感染;
Ⅳ trojan病毒是怎么感染上的
特鲁伊木马病毒!
这种病毒怎么清除? 特洛伊木马(Trojan horse)
完整的木马程序一般由两个部份组成:一个是服务器程序,一个是控制器程序。“中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为,这时你电脑上的各种文件、程序,以及在你电脑上使用的帐号、密码就无安全可言了。
木马程序不能算是一种病毒,但越来越多的新版的杀毒软件,已开始可以查杀一些木马了,所以也有不少人称木马程序为黑客病毒。
特洛伊木马是如何启动的
1. 在Win.ini中启动
在Win.ini的[windows]字段中有启动命令"load="和"run=",在一般情况下 "="后面是空白的,如果有后跟程序,比方说是这个样子:
run=c:\windows\file.exe
load=c:\windows\file.exe
要小心了,这个file.exe很可能是木马哦。
2.在System.ini中启动
System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的隐藏加载之所,木马通常的做法是将该何变为这样:shell=Explorer.exefile.exe。注意这里的file.exe就是木马服务端程序!
另外,在System.中的[386Enh]字段,要注意检查在此段内的"driver=路径\程序名"这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这3个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里喽。
3.利用注册表加载运行
如下所示注册表位置都是木马喜好的藏身加载之所,赶快检查一下,有什么程序在其下。
4.在Autoexec.bat和Config.sys中加载运行
请大家注意,在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后,将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽。容易被发现,所以在Autoexec.bat和Confings中加载木马程序的并不多见,但也不能因此而掉以轻心。
5.在Winstart.bat中启动
Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件,也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成,在执行了Windows自动生成,在执行了Win.com并加截了多数驱动程序之后
开始执行 (这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Witart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。
6.启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为C:\Windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell
Folders Startup="c:\windows\start menu\programs\startup"。要注意经常检查启动组哦!
7.*.INI
即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。只启动一次的方式:在winint.ini.中(用于安装较多)。
8.修改文件关联
修改文件关联是木马们常用手段 (主要是国产木马,老外的木马大都没有这个功能),比方说正常情况下TXT文件的打开方式为Notepad.EXE文件,但一旦中了文件关联木马,则txt文件打开方式就会被修改为用木马程序打开,如著名的国产木马冰河就是这样干的. "冰河"就是通过修改HKEY_CLASSES_ROOT\txtfile\whell\open\command下的键值,将“C:\WINDOWS\NOTEPAD.EXE本应用Notepad打开,如著名的国产HKEY一CLASSES一ROOT\txt闹e\shell\open\commandT的键值,将 "C:\WINDOWS\NOTEPAD.EXE%l"改为 "C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%l",这样,一旦你双击一个TXT文件,原本应用Notepad打开该文件,现在却变成启动木马程序了,好狠毒哦!请大家注意,不仅仅是TXT文件,其他诸如HTM、EXE、ZIP.COM等都是木马的目标,要小心搂。
对付这类木马,只能经常检查HKEY_C\shell\open\command主键,查看其键值是否正常。
9.捆绑文件
实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖源文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马义会安装上去。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。
10.反弹端口型木马的主动连接方式
反弹端口型木马我们已经在前面说过了,由于它与一般的木马相反,其服务端 (被控制端)主动与客户端 (控制端)建立连接,并且监听端口一般开在80,所以如果没有合适的工具、丰富的经验真的很难防范。这类木马的典型代表就是网络神偷"。由于这类木马仍然要在注册表中建立键值注册表的变化就不难查到它们。同时,最新的天网防火墙(如我们在第三点中所讲的那样),因此只要留意也可在网络神偷服务端进行主动连接时发现它。
WORM_NUGACHE.G(威金)和TROJ_CLAGGE.B 特洛伊木马(Trojan horse)
的解决方案:
WORM_NUGACHE.G(威金)
病毒码发布日期: Dec 8, 2006
解决方案:
Note: To fully remove all associated malware, perform the clean solution for TROJ_DLOADER.IBZ.
Terminating the Malware Program
This procere terminates the running malware process.
Open Windows Task Manager.
• On Windows 98 and ME, press
CTRL+ALT+DELETE
• On Windows NT, 2000, XP, and Server 2003, press
CTRL+SHIFT+ESC, then click the Processes tab.
In the list of running programs*, locate the process:
MSTC.EXE
Select the malware process, then press either the End Task or the End Process button, depending on the version of Windows on your computer.
To check if the malware process has been terminated, close Task Manager, and then open it again.
Close Task Manager.
*NOTE: On computers running Windows 98 and ME, Windows Task Manager may not show certain processes. You can use a third party process viewer such as Process Explorer to terminate the malware process.
On computers running all Windows platforms, if the process you are looking for is not in the list displayed by Task Manager or Process Explorer, continue with the next solution procere, noting additional instructions. If the malware process is in the list displayed by either Task Manager or Process Explorer, but you are unable to terminate it, restart your computer in safe mode.
Editing the Registry
This malware modifies the computer's registry. Users affected by this malware may need to modify or delete specific registry keys or entries. For detailed information regarding registry editing, please refer to the following articles from Microsoft:
HOW TO: Backup, Edit, and Restore the Registry in Windows 95, Windows 98, and Windows ME
HOW TO: Backup, Edit, and Restore the Registry in Windows NT 4.0
HOW TO: Backup, Edit, and Restore the Registry in Windows 2000
HOW TO: Back Up, Edit, and Restore the Registry in Windows XP and Server 2003
Removing Autostart Entries from the Registry
Removing autostart entries from the registry prevents the malware from executing at startup.
If the registry entry below is not found, the malware may not have executed as of detection. If so, proceed to the succeeding solution set.
Open Registry Editor. Click Start>Run, type REGEDIT, then press Enter.
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows>CurrentVersion>Run
In the right panel, locate and delete the entry:
Microsoft Domain Controller = "%System%\mstc.exe"
(Note: %System% is the Windows system folder, which is usually C:\Windows\System on Windows 98 and ME, C:\WINNT\System32 on Windows NT and 2000, and C:\Windows\System32 on Windows XP and Server 2003.)
Removing Added Key from the Registry
Still in Registry Editor, in the left panel, double-click the following:
HKEY_LOCAL_MACHINE>SOFTWARE
In the left panel, locate and delete the following key:
GNU
Close Registry Editor.
Important Windows ME/XP Cleaning Instructions
Users running Windows ME and XP must disable System Restore to allow full scanning of infected computers.
Users running other Windows versions can proceed with the succeeding solution set(s).
Running Trend Micro Antivirus
If you are currently running in safe mode, please restart your computer normally before performing the following solution.
Scan your computer with Trend Micro antivirus and delete files detected as WORM_NUGACHE.G. To do this, Trend Micro customers must download the latest virus pattern file and scan their computer. Other Internet users can use HouseCall, the Trend Micro online virus scanner.
Applying Patch
This malware exploits known vulnerability in Windows. Download and install the fix patch supplied by Microsoft. Refrain from using this proct until the appropriate patch has been installed. Trend Micro advises users to download critical patches upon release by vendors.
TROJ_CLAGGE.B 特洛伊木马(Trojan horse)
病毒码发布日期: Sep 18, 2006
解决方案:
Identifying the Malware Program
To remove this malware, first identify the malware program.
Scan your computer with your Trend Micro antivirus proct.
NOTE the path and file name of all files detected as TROJ_CLAGGE.B.
Trend Micro customers need to download the latest virus pattern file before scanning their computer. Other users can use Housecall, the Trend Micro online virus scanner.
Editing the Registry
This malware modifies the computer's registry. Users affected by this malware may need to modify or delete specific registry keys or entries. For detailed information regarding registry editing, please refer to the following articles from Microsoft:
HOW TO: Backup, Edit, and Restore the Registry in Windows 95, Windows 98, and Windows ME
HOW TO: Backup, Edit, and Restore the Registry in Windows NT 4.0
HOW TO: Backup, Edit, and Restore the Registry in Windows 2000
HOW TO: Back Up, Edit, and Restore the Registry in Windows XP and Server 2003
Removing Malware Entry from the Registry
Open Registry Editor. Click Start>Run, type REGEDIT, then press Enter.
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>
SharedAccess>Parameters>FiREWaLLpolicy>StAnDaRDPrOFiLe>
AUtHorizedapplications>List
In the right panel, locate and delete the entry:
{Malware path and file name} ="{Malware path and file name}:*:ENABLED:0"
Close Registry Editor.
Important Windows ME/XP Cleaning Instructions
Users running Windows ME and XP must disable System Restore to allow full scanning of infected computers.
Users running other Windows versions can proceed with the succeeding solution set(s).
Running Trend Micro Antivirus
If you are currently running in safe mode, please restart your computer normally before performing the following solution.
Scan your computer with Trend Micro antivirus and delete files detected as TROJ_CLAGGE.B and TROJ_KEYLOG.CO. To do this, Trend Micro customers must download the latest virus pattern file and scan their computer. Other Internet users can use HouseCall, the Trend Micro online virus scanner
Ⅵ 电脑是如何染上病毒的
当你的电脑有以下症状,例如屏幕上出现乱码,运行速度变慢,常死机,演奏音乐,异常重新启动等等,这时电脑正在告诉你:我生病了!电脑和人一样也会染上病毒.关于电脑病毒的产生,有这么一种说法,20世纪6O年代,美国贝尔实验室里一些年轻的科学家,在工作之余想出了一个很好玩的娱乐方法,就是每人编写一小段程序,并且让这些程序进人计算机系统后相互攻击,从而设法破坏对方的程序.有人认为这些程序就是病毒的雏形.所以可以认为:病毒是人为编制的并具有自我复制能力的一段电脑程序.因为它与生物学上的病毒有相似之处,都具有寄生性、可传染性、潜伏性和危害性,可以一传十、十传百,很快“毒”倒一大批电脑,因此,人们形象地把这一小段具有自我复制以及破坏能力的程序称做电脑病毒.因为电脑的软件、硬件产品有很多不安全的“后门”,所以.病毒可以轻而易举地通过“后门”,进人电脑系统兴风作浪.电脑病毒与感冒病毒一样有载体,而且通过载体到达我们的电脑里.电脑病毒的载体可以是光盘、软盘里一些程序以及电子邮件等.伴随电脑的普及,病毒日益增多,现在的电脑病毒的种类到底有多少,估计谁也说不清.曾出现过的较典型的病毒......(本文共计1页) [继续阅读本文]
Ⅶ 手机如果变成矿机了怎么办,有什么病毒查杀软件吗
手机病毒是一种具有传染性、破坏性的手机程序。其可利用发送短信、彩信,电子邮件,浏览网站,下载铃声,蓝牙等方式进行传播,会导致用户手机死机、关机、个人资料被删、向外发送垃圾邮件泄露个人信息、自动拨打电话、发短(彩)信等进行恶意koufei,甚至会损毁
SIM卡、芯片等硬件,导致使用者无法正常使用手机。建议您使用腾讯手机管家,全面的保护您的手机安全!!拥有强大的病毒查杀功能,为您的手机时时保驾护航。还可以帮您拦截骚扰电话、讯息。同时,手机管家的隐私保护可以让您的短信,照片得到妥善的保管,不用担心隐私被窥视
希望可以帮到您了
Ⅷ 4199病毒是怎么感染上的
4199病毒彻底解决办法
第一步重新启动进入安全模式 (在正常进入的时候按F8进入安全模式)
第二步搜索三个文件(在开始菜单中找到搜索-〉然后文件或文件夹-〉所有文件和文件夹-〉然后输入下面的)
1.rscs.dll
2.qqst.dll
3 host
把前两个给删拉
把C:\WINDOWS\system32\drivers\etc\中的Hosts
用记事本打开改成
127.0.0.1 localhost
第三步
再注册表运行输入regedit
查找
1.rscs.dll
2.qqst.dll
找到相关的就删除
然后搜索4199.com
然后找到4199.COM后替换为about:blank
重启就能解决拉主页的问题
然后在运行中
输入regsvr32 msxml3.dll确定
这样就能解决QQ空间提示的对不起你的浏览器不支持Q-Zone的某些特征
HOHO~~~
大功告成