冰河木马源码_冰河木马程序以及教程

hacker|
150

请问这是木马程序么?

您好:

这应该是冰河木马病毒,为了您电脑的安全建议您使用腾讯电脑管家对您的电脑进行一下全面的杀毒吧,打开腾讯电脑管家中的杀毒功能选择闪电查杀或者全盘查杀就可以的哦,腾讯电脑管家是采用“4+1”核“芯”杀毒引擎的专业杀毒软件,是完全可以帮助您查杀病毒而且保护您的电脑的哦。

您可以点击这里下载最新版的腾讯电脑管家:最新版腾讯电脑管家下载

腾讯电脑管家企业平台:

冰河木马为什么无法与主机建立联系

您好,

请不要传播病毒、盗号木马程序,恶意传播病毒和木马会污染互联网环境,请您加入到维护 *** 安全的大军中!

*** 木马程序会导致您和他人的帐号和密码泄露,从而可能使您和他人的 *** 财产,如游戏、QB等受到严重威胁,严重的还会违反法律。

请您不要轻易安装陌生人传送给您的未知文件,有可能是病毒或者木马。

建议您安装腾讯电脑管家对您的电脑进行实时防护,保护您的电脑安全运行,避免给您的财产和个人隐私带来威胁。

腾讯电脑管家企业平台:

发现一个病毒,不知道怎么删除

我很体谅你现在气愤的心情,你先把 *** 关闭了(要把 *** 线也拔了)然后再使用安全软件给查杀,如果没有杀毒软件,也不要紧,用以下 *** :1、通过进程找病毒原程序:病毒只要运行,肯定会有一个进程,通过“任务管理器”或“360安全卫士”等,我们可以查看到系统中当前运行的进程。一旦发现特别占用内存或CPU资源的进程,可以初步判断为病毒的原程序。进程名字通常是扩展名为.exe或.com的可执行文件,可以通过操作系统自带的“搜索”功能,查找该可疑进程的位置。由于一些病毒或进程会伪装成系统进程,这样会迷惑用户。例如,一些病毒通常会生成名字为“svch0st.exe”,与系统进程“svchost”的差别在于数字“0”和字母“o”,用户在查找时一定要注意。

说明:如果在系统进程中查找到了可疑的进程,可利用系统的“搜索”功能却没有找到病毒原程序,通常是要查找的进程文件是隐藏文件,可以在搜索选项中查找系统或隐藏文件,这样就能查找到病毒原程序。

2、通过注册表找病毒原程序:病毒一旦感染操作系统,会在注册表中的启动项加载一些进程。在注册表的键值中,自动加载的选项中有文件的路径,这大大方便用户查找病毒的原程序。

通常情况下,病毒原程序的加载位置在注册表的如下位置:

①HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;

②HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;

③HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。

查找到病毒的原文件之后,便可以对病毒举起屠刀,结束其生命了。但有时用户删除了病毒原程序后,病毒无意之间又冒了出来,其实之所以会出现这种情况,是因为没有彻底删除病毒原程序及其相关的加载选项。

彻底删除病毒原程序和加载选项

一些病毒通常会感染系统文件,用户在删除该病毒原程序时,系统会弹出“文件正在使用,无法删除”的提示,这种情况之下,要想彻底删除病毒原程序,只能使用特殊 *** 。下面介绍一下两种常用的删除病毒原程序的 *** 。

1、安全模式删除:如果遇到病毒原程序无法被删除的情况,用户可以进入安全模式下删除。如果病毒原程序感染了系统文件,必须将感染了病毒的系统文件删除,在删除之前,可以从其他没有感染病毒的机器中复制一个正常的文件替代被感染的病毒文件。

2、终止进程再删除:有些病毒无法删除是因为该文件已经被加载到正常的进程中,要想删除病毒原文件,可以将该进程强行中止,然后删除。

另外,用户可以借助一些第三方的工具删除病毒原程序,经常使用而且效果不错的第三方软件有:killbox、Icesword和unlocker,其中 Icesword当属最得力助手。删除了病毒原程序后,切记不要忘记删除病毒在注册表等处的一些加载选项。病毒除了注册表的Run键值之外,还需要检查以下几个位置并一一删除。

1、启动组:在“开始”菜单的“程序”中有一个启动组,这也是病毒的一个加载地方。一定要删除此处的病毒加载文件。

2、注册表:上文中已经提及,病毒会加载在注册表的Run键中,用户需要一一检查。如病毒原文件名字为loveyou.exe,可以使用注册表的“查找”功能进行查找并一一进行删除。

3、系统文件:win.ini和system.ini两个系统文件也是病毒的更佳藏身之处。打开win.ini后,在它的[windows]字段中有启动命令“load=”和“run=”,病毒通常加载在“=”后面。而在system.ini中,boot字段和driver字段中也是病毒的加载地方。Driver字段后加载的病毒文件,也就是我们通常所说的驱动型病毒。用户要删除上述字段中的病毒的加载选项。

删除了病毒原程序文件,以及病毒在注册表、启动组及系统文件中的加载位置之后,病毒才算真正的被消灭。彻底、完全干净的删除了病毒之后,通常会留下一定的后遗症,手工杀毒之后,还要进行修复工作。

系统修复不容忽视

越来越多的病毒为了躲过杀毒软件的追杀,或者是为了麻痹杀毒软件,通常会感染系统文件,一旦删除了系统文件,操作系统可能会留下诸多的后遗症。例如,正常情况下txt文件的打开方式为notepad.exe文件,但一旦中了文件关联木马,则txt文件打开方式就会被修改为用木马程序打开,著名的冰河木马就是这样的情况。一旦你双击一个txt文件,原本应用notepad打开该文件的,现在却变成启动冰河木马了,删除了冰河木马之后,txt文件关联就错位了。为此,删除病毒之后必须对系统进行修复。

1、复制正常系统文件:通常情况下,病毒会感染rundll32.exe文件,或者是一些扩展名为dll的文件。这种情况下,修复被病毒破坏文件的更佳 *** 就是从没有感染病毒的系统中复制文件,拷贝到被病毒感染的机器中。拷贝文件成功之后,重新启动计算机就可以了。

2、用恢复命令修复:在Windows XP操作系统中,对于dll文件和一些关键文件都会保存在dllcache目录中,用户可以在DOS提示符下或“运行”中输入sfc /scannow命令恢复这些系统文件。在修复过程中,可能需要插入Windows XP的安装光盘。

3、手工恢复文件关联:删除一些病毒文件后,可能会影响正常的文件关系,用户可以手工恢复文件关联。以修复扩展名为txt的文件为例,打开“文件夹选项”,在“文件类型”选项中查找.txt的文件关联,然后选择删除,点击确定后退出。在硬盘中随便找一个扩展名为.txt的文件,双击会出现一个“选择打开程序”的对话框,选择notepad.exe程序之后,txt文件关联就被恢复了。

不同的病毒对系统文件的破坏程度不同,其修复 *** 也不同。

我的是WIN98系统 开机时出现 rundll32 说该程序执行了非法操作 请问高手如何解决。

这是你安装的软件之间存在冲突。你可以回想一下,是在安装了什么软件之后出现的这种情况,如果知道,就把它卸载。推荐你一篇文章:

小议“非法操作”

在兼容机的操作过程中“非法操作”是很常见的故障现象。经过长时间的摸索和资料的搜集、整理,明白了它的成因及找到了不少对该故障的解决 *** 。不敢独享,特奉献给广大读者,让大家摆脱“非法操作”的困扰。

在Windows 9x系列中,是用保护模式来管理内存的。所谓保护模式,就是由Windows 9x给每个程序分配系统资源和访问权限。这样一来,将会减少一些不必要的内存占用。但是,当某个应用程序试图侵占其他应用程序的系统资源,或是越权使用的时候,就会出现“非法操作”。“非法操作”造成的原因很复杂,不仅可以由软件问题引起,也可由硬件引起,还有病毒也来作怪。下面,我将分软件及硬件两方面的原因给予介绍。为了使本文具有实用性及可操作性,每个原因都给出了典型例子和它的解决办法。

软件方面

1.由软件自身的不完善(BUG)引起

典型例子:Photoshop图形软件在运行时产生的“非法操作”。

解决:将软件升级为高版本或升级补丁程序。如安装Windows 98的sp1就非常必要了。运行期间,应减少其他程序对内存的占用,可关闭病毒防火墙、减少剪贴板中的不必要内容。也可根据自己的情况,升级一下显卡、声卡、或是显示器的驱动程序或将它们更换成新件。

2.由病毒感染、病毒的残留“僵尸”、冰河木马引起

典型例子:.DLL文件失效。

解决:(1)在有些病毒的发作过程中,往往会伴随着一些文件的改动。一旦某些重要文件(如.sys .dll .vdx...)被改动过以后,机器会很难正常工作。 *** 如下:先用干净的引导盘启动微机,后用最新的杀毒软件清除病毒,再用“系统文件检查器”或者“Ext.exe”进行文件的恢复。

(2)终止内存中正在运行的冰河木马,然后进入注册表,删除“KEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current-Version\Run”和“RunServices”的键值;将“HKEY_CLASSES_ROOT\xtfileshellopenco-mmand”的键值改成“C:\Windwos\NOTE-PAD.EXE %1”;重启到DOS,再到硬盘C:\Windows\System中,将Kernel32.exe和Sysexplr.exe删除。

3.由系统文件的损坏或丢失引起

典型例子:Rundll32程序执行无效,即将关闭。

解决: *** 一:当按下“详细资料”按钮时,若显示:“Rundll32 caused a general protection fault in module Mmsystem.dll....”信息,原因很可能就是你的 System.ini 文件里,在[boot]这个区段中,少了:drivers =mmsystem.dll 这一行造成的。你自己补上去就可以解决了。为什么会有这个错误的发生呢?大部分都是由于在使用控制面板“添加新硬件”时,使用不正确而造成的。例如,需要你提供驱动程序而你又不能提供正确的驱动程序造成的。使用记事本,打开位于 C:\Windows 下的System.ini 文件。找到“[boot]”这个区段。补上一行“drivers=mmsystem.dll”。补上后,保存,然后重新开机。

如果你不能确定该故障是由什么原因造成的,可以用“系统文件检查器”,在设置之中,选择“检查删除的文件” 、“检查修改过的文件”,还可以添加新的文件类型来进行检查、恢复。

4.由软件之间的不兼容引起

典型例子:Windows 98下的KVW3000所引起的“非法操作”。

解决:在前面,我曾讲过Windows 9x“内存管理”的概念,病毒软件运行过程中将不遵循这种方式,最终造成“非法操作”的出现。具体 *** :对扫毒软件的升级,或者不用病毒防护。还可以不加载 Windows 9x的内存管理程序Emm386.exe。

5.由缓存设置不合理引起

典型例子:极少出现的,没有规律可循。

解决:遵循缓存的设置规则:

�(1)Win386.swp是Windows的“虚拟内存交换文件”,简单地说,就是拿一部分硬盘空间当作内存使用,先把一些内存中闲置太久的程序,放到硬盘上,等CPU要用的时候,再从硬盘的win386.swp里读出来。它的大小按物理内存的2倍来设置。(2)在Windows 98下,使用虚拟设备磁盘缓存Vcache。在“系统配置实用程序”中,找到sysytem.ini,再找到“[vcache]”小节,添入: MinFileCache=16384 MaxFileCache=16384 ChunkSize=512。上面的数值是以64MB为例采取的,一般原则是:物理内存×25%×512=VCache。(3)CD-ROMCache优化,注册表中“HKEY_LOCAL_MACHINE\Systm\CurrentControlSet\control\FileSystem\CDFS”,右边能看到“CacheSize”和“Prefetch”。如果你现在是使用Windows 98推荐的4倍速设置的话,它们的值应该是“0000026b”和“000000e4”,我们需要分开来修改这两个数值,我这里省略了计算 *** ,大家可以参考以下数据值,并根据自己的需要来修改吧,修改完后需要重新启动。

6.由系统资源匮乏引起

典型例子:打印或保存时引起的“非法操作”。

解决:升级内存,加大缓存。移除一些不必要的软件,如:桌面主题、屏幕保护、计划任务、声音和输入法指示器、声卡的DOS驱动程序、防火墙、查毒软件、背景、Office 2000的竖式工具栏等等。更好是在启动微机后,先运行比较大的软件。还应加上一个良好的内存管理专家软件。

硬件方面

1.由系统及其系统部件过热引起

典型例子:SDRAM的过热故障。

解决:选择好一点的散热片和散热风扇,风扇转速要高,散热片的散热面积要大,散热片材质要利于散热,与被散热部件的接触面积要大。内存的散热:现在市场上已经出现了内存的散热片,是一种长方形带圆孔的东西,但是散热体的体积过大,会影响到第二条SDRAM的插位,再就是应当注意机箱通风和不要超频。

2.由硬件质量不好引起

典型例子:SDRAM的质量不稳定产生的“非法操作”。

解决:首先将BIOS中的内存参数设置得保守一些,如:SDRAM CAS LATENCY的值,设为CL=3。再就是不要超频,实在不行,只有更换内存了。

3.由硬件I/O冲突�兼容性差引起

典型例子:网卡的冲突。

解决:从设备管理中,删除带“?”或带“!”的设备,让系统重新识别一下硬件后,再安装驱动程序。I/O冲突的解决:查看“设备管理器/属性”中的“ 中断请求”,若有冲突,将它进行调整即可。再就是升级一下BIOS程序,也可以解决一些问题。

4.由硬件超频引起的“非法操作”

典型例子:CPU和SDRAM超频故障。

解决:首先要保证自己的硬件有良好的可超性能,再就是要将散热的危害性降到最小程度,CPU表面温度控制在50℃以内,SDRAM更好在25℃左右。

5.由硬件损坏引起

典型例子:包括一些接口的损坏,或者是小的电子元件被击穿。

解决:要有专门的仪器和 *** 来测试,一般很少出现。这里就不多讲了。

结论:上面讲到的,只不过是产生非法操作及解决的一些知识,它只是许多微机故障中的一个方面。下面,谈一谈为减少非法操作所应当知道的一些维护知识:

�(1)对机房环境的维护:防尘避免高温、高湿度。

�(2)看清故障,不要盲目处理,避免引发其他故障。

�(3)做好接地,避免静电的危害。

�(4)积极地吸取别人的好的建议,以增加对微机的掌握程度。

�(5)定期地进行除尘、除湿的维护。

�(6)注意软件版本的不断升级,以减少BUG的危害,增强功能。

�(7)意木马冰河的防范、杀毒软件的更新。

�(8)保持机箱的稳定性、避免不必要的振动、硬物的冲击。

�(9)保持硬盘的数据整洁,定期运行管理软件,如:磁盘扫描、系统文件检查器、磁盘碎片整理、备份程序……

木马是什么?

计算机世界中的特洛伊木马病毒的名字由《荷马史诗》的特洛伊战记得来。故事说的是希腊人围攻特洛伊城十年后仍不能得手,于是阿迦门农受雅典娜的启发:把士兵藏匿于巨大无比的木马中,然后佯作退兵。当特洛伊人将木马作为战利品拖入城内时,高大的木马正好卡在城门间,进退两难。夜晚木马内的士兵爬出来,与城外的部队里应外合而攻下了特洛伊城。而计算机世界的特洛伊木马(Trojan)是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。

之一代木马 :伪装型病毒

这种病毒通过伪装成一个合法性程序诱骗用户上当。世界上之一个计算机木马是出现在1986年的PC-Write木马。它伪装成共享软件PC-Write的 2.72版本(事实上,编写PC-Write的Quicksoft公司从未发行过2.72版本),一旦用户信以为真运行该木马程序,那么他的下场就是硬盘被格式化。在我刚刚上大学的时候,曾听说我校一个前辈牛人在WAX机房上用BASIC作了一个登录界面木马程序,当你把你的用户ID,密码输入一个和正常的登录界面一模一样的伪登录界面后后,木马程序一面保存你的ID,和密码,一面提示你密码错误让你重新输入,当你第二次登录时,你已成了木马的牺牲品。此时的之一代木马还不具备传染特征。

第二代木马 :AIDS型木马

继PC-Write之后,1989年出现了AIDS木马。由于当时很少有人使用电子邮件,所以AIDS的作者就利用现实生活中的邮件进行散播:给其他人寄去一封封含有木马程序软盘的邮件。之所以叫这个名称是因为软盘中包含有AIDS和HIV疾病的药品,价格,预防措施等相关信息。软盘中的木马程序在运行后,虽然不会破坏数据,但是他将硬盘加密锁死,然后提示受感染用户花钱消灾。可以说第二代木马已具备了传播特征(尽管通过传统的邮递方式)。

第三代木马: *** 传播性木马

随着Internet的普及,这一代木马兼备伪装和传播两种特征并结合TCP/IP *** 技术四处泛滥。同时他还有新的特征:

之一,添加了“后门”功能。

所谓后门就是一种可以为计算机系统秘密开启访问入口的程序。一旦被安装,这些程序就能够使攻击者绕过安全程序进入系统。该功能的目的就是收集系统中的重要信息,例如,财务报告、口令及信用卡号。此外,攻击者还可以利用后门控制系统,使之成为攻击其它计算机的帮凶。由于后门是隐藏在系统背后运行的,因此很难被检测到。它们不像病毒和蠕虫那样通过消耗内存而引起注意。

第二,添加了击键记录功能。

从名称上就可以知道,该功能主要是记录用户所有的击键内容然后形成击键记录的日志文件发送给恶意用户。恶意用户可以从中找到用户名、口令以及信用卡号等用户信息。这一代木马比较有名的有国外的BO2000(BackOrifice)和国内的冰河木马。它们有如下共同特点:基于 *** 的客户端/服务器应用程序。具有搜集信息、执行系统命令、重新设置机器、重新定向等功能。

当木马程序攻击得手后,计算机就完全在黑客控制的傀儡主机,黑客成了超级用户,用户的所有计算机操作不但没有任何秘密而言,而且黑客可以远程控制傀儡主机对别的主机发动攻击,这时候背俘获的傀儡主机成了黑客进行进一步攻击的挡箭牌和跳板。

电脑在开机时显示:“HttpReq.dll应用程序未能启动,需要重新安装可能会修复此问题”,是怎么了,应该?

冰河木马

用纯DOS启动进入系统(以防木马的自动恢复),删除你安装的windows下的system\kernel32.exe和system\sysexplr.exe两个木马文件,注意如果系统提示你不能删除它们,则因为木马程序自动设置了这两个文件的属性,我们只需要打开它们的隐藏、只读属性, *** 是键入如下命令:Attriba -h -r kernel32.exe或sysexplr.exe即可。

删除后进入windows系统进入注册表中,找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]两项,然后查找kernel32.exe和sysexplr.exe两个键值。再找到[HKEY_CLASSES_ROOT\txtfile\open\command],看在键值中是不是已改为“sysexplr.exe%1”,如是改回"notepad.exe %1” 。

0条大神的评论

发表评论