论坛风格切换
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 21027阅读
  • 104回复

PC电脑基本常识汇总(长) [复制链接]

上一主题 下一主题
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 60 发表于: 2008-03-27 18:49:19
charmap.exe
进程文件: charmap or charmap.exe
进程名称: Windows Character Map
描述: Windows字符映射表用来帮助你寻找不常见的字符。
是否为系统进程: 否

idaemon.exe
进程文件: cidaemon or cidaemon.exe
进程名称: Microsoft Indexing Service
描述: 在后台运行的Windows索引服务,用于帮助你搜索文件在下次变得更快。
是否为系统进程:

cisvc.exe
进程文件: cisvc or cisvc.exe
进程名称: Microsoft Index Service Helper
描述: Microsoft Index Service Helper监视Microsoft Indexing Service (cidaemon.exe) 的内存占用情况,如果cidaemon.exe内存使用超过了40M,则自动重新启动该进程。
是否为系统进程: 否

cmd.exe
进程文件: cmd or cmd.exe
进程名称: Windows Command Prompt
描述: Windows控制台程序。不像旧的command.com,cmd.exe是一个32位的命令行使用在WinNT/2000/XP。
是否为系统进程: 否

cmesys.exe
进程文件: cmesys or cmesys.exe
进程名称: Gator GAIN Adware
描述: Gator GAIN是一个Adware插件(广告插件,一般是由于安装某些免费软件而伴随安装上的程序)。
是否为系统进程: 否

ctfmon.exe
进程文件: ctfmon or ctfmon.exe
进程名称: Alternative User Input Services
描述: 控制Alternative User Input Text Processor (TIP)和Microsoft Office语言条。Ctfmon.exe提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持。
是否为系统进程: 否

ctsvccda.exe
进程文件: ctsvccda or ctsvccda.exe
进程名称: Create CD-ROM Services
描述: 在Win9X创建CD-ROM访问服务。
是否为系统进程: 否

cutftp.exe
进程文件: cutftp or cutftp.exe
进程名称: CuteFTP
描述: CuteFTP是一个流行的FTP客户端用于从FTP服务器上传/下载文件。
是否为系统进程: 否

defwatch.exe
进程文件: defwatch or defwatch.exe
进程名称: Norton AntiVirus
描述: Norton Anti-Virus扫描你的文件和email以检查病毒。
是否为系统进程: 否

devldr32.exe
进程文件: devldr32 or devldr32.exe
进程名称: Create Device Loader
描述: Creative Device Loader属于Create Soundblaster驱动。
是否为系统进程: 否

directcd.exe
进程文件: directcd or directcd.exe
进程名称: Adaptec DirectCD
描述: Adaptec DirectCD是一个用文件管理器式的界面,烧录文件到光盘的软件。
是否为系统进程: 否

dreamweaver.exe
进程文件: dreamweaver or dreamweaver.exe
进程名称: Macromedia DreamWeaver
描述: Macromedia DreamWeaver是一个HTML编辑器用于创建站点和其它类别的HTML文档。
是否为系统进程: 否

em_exec.exe
进程文件: em_exec or em_exec.exe
进程名称: Logitech Mouse Settings
描述: 这是Logitech MouseWare状态栏图标的进程,用于用户访问控制鼠标属性和察看MouseWare帮助。
是否为系统进程: 否
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 61 发表于: 2008-03-27 18:49:47
excel.exe
进程文件: excel or excel.exe
进程名称: Microsoft Excel
描述: Microsoft Excel是一个电子表格程序包括在Microsoft Office中。
是否为系统进程: 否

findfast.exe
进程文件: findfast or findfast.exe
进程名称: Microsoft Office Indexing
描述: Microsoft Office索引程序,用于提高Microsoft Office索引Office文档的速度。
是否为系统进程: 否

frontpage.exe
进程文件: frontpage or frontpage.exe
进程名称: Microsoft FrontPage
描述: Microsoft FrontPage是一个HTML编辑器用于创建站点和其它类别的HTML文档。
是否为系统进程: 否

gmt.exe
进程文件: gmt or gmt.exe
进程名称: Gator Spyware Component
描述: Gator Spyware是一个广告插件,随Gator安装和启动。
是否为系统进程: 否

hh.exe
进程文件: hh or hh.exe
进程名称: Gator Windows Help
描述: Windows Help程序用以打开帮助文件和文档,包括在很多Windows程序中。
是否为系统进程: 否

hidserv.exe
进程文件: hidserv or hidserv.exe
进程名称: Microsoft Human Interface Device Audio Service
描述: 后台服务,用来支持USB音效部件和USB多媒体键盘。
是否为系统进程: 否

QQ.exe
进程文件: QQ or QQ.exe
进程名称: QQ
描述: QQ是一个在线聊天和即时通讯客户端。
是否为系统进程: 否

iexplore.exe
进程文件: iexplore or iexplore.exe
进程名称: Internet Explorer
描述: Microsoft Internet Explorer网络浏览器透过HTTP访问WWW万维网。
是否为系统进程: 否

kodakimage.exe
进程文件: kodakimage or kodakimage.exe
进程名称: Imaging
描述: Kodak Imaging是一个图片察看软件。包括在Windows,用以打开图像文件。
是否为系统进程: 否

loadqm.exe
进程文件: loadqm or loadqm.exe
进程名称: MSN Queue Manager Loader
描述: MSN Queue Manager Loader被随着MSN Explorer和MSN Messenger安装。他在一些时候会占用很多系统资源。
是否为系统进程: 否

loadwc.exe
进程文件: loadwc or loadwc.exe
进程名称: Load WebCheck
描述: Load WebCheck用以定制一些Internet Explorer的设定,添加、删除或者更新用户profiles设定。
是否为系统进程: 否

mad.exe
进程文件: mad or mad.exe
进程名称: System Attendant Service
描述: System Attendant Service是Microsoft Exchange Server的后台程序。它用以读取Microsoft Exchange的DLLs文件,写log信息和生成离线地址薄。
是否为系统进程: 否
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 62 发表于: 2008-03-27 18:50:09
mcshield.exe
进程文件: mcshield or mcshield.exe
进程名称: McAfee VirusScan
描述: McAfee VirusScan是一个反病毒软件用以扫描你的文件和email中的病毒。
是否为系统进程: 否

mgabg.exe
进程文件: mgabg or mgabg.exe
进程名称: Matrox BIOS Guard
描述: Matrox BIOS守护进程。
是否为系统进程: 否

mmc.exe
进程文件: mmmc or mmc.exe
进程名称: Microsoft Management Console
描述: Microsoft Management Console管理控制程序集成了很多的系统控制选项。例如设备管理(系统、硬件
)或者计算机权限控制(Administrative管理工具)。
是否为系统进程: 否

mobsync.exe
进程文件: mobsync or mobsync.exe
进程名称: Microsoft Synchronization Manager
描述: Internet Explorer的一个组成部分,用以在后台同步离线察看页面。
是否为系统进程: 否

mplayer.exe
进程文件: mplayer or mplayer.exe
进程名称: Windows Media Player
描述: Windows Media Player是一个用以打开音乐、声音和视频文件的软件。
是否为系统进程: 否

mplayer2.exe
进程文件: mplayer2 or mplayer2.exe
进程名称: Windows Media Player
描述: Windows Media Player是一个用以打开音乐、声音和视频文件的软件。
是否为系统进程: 否

msaccess.exe
进程文件: msaccess or msaccess.exe
进程名称: Microsoft Access
描述: Microsoft Access是一个数据库软件包括在Microsoft Office。
是否为系统进程: 否

msbb.exe
进程文件: msbb or msbb.exe
进程名称: MSBB Web3000 Spyware Application
描述: MSBB Web3000 Spyware是包括在一些adware产品中,利用注册表随Windows启动。
是否为系统进程: 否

msdtc.exe
进程文件: msdtc or msdtc.exe
进程名称: Distributed Transaction Coordinator
描述: Microsoft Distributed Transaction Coordinator控制多个服务器的传输,被安装在Microsoft Personal Web Server和Microsoft SQL Server。
是否为系统进程: 否

msiexec.exe
进程文件: msiexec or msiexec.exe
进程名称: Windows Installer Component
描述: Windows Installer的一部分。用来帮助Windows Installer package files (MSI)格式的安装文件。
是否为系统进程: 否

msimn.exe
进程文件: msimn or msimn.exe
进程名称: Microsoft Outlook Express
描述: Microsoft Outlook Express是一个Email和新闻组客户端包括在Microsoft Windows。
是否为系统进程: 否

msmsgs.exe
进程文件: msmsgs or msmsgs.exe
进程名称: MSN Messenger Traybar Process
描述: MSN Messenger是一个在线聊天和即时通讯客户端。
是否为系统进程: 否

msoobe.exe
进程文件: msoobe or msoobe.exe
进程名称: Windows Product Activation
描述: Windows XP License的Product Activation产品激活程序。
是否为系统进程: 否
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 63 发表于: 2008-03-27 18:50:30
mspaint.exe
进程文件: mspaint or mspaint.exe
进程名称: Microsoft Paint
描述: Microsoft Paint画图是一个图像编辑器包括在Microsoft Windows,它能够编辑bmp图像。
是否为系统进程: 否

mspmspsv.exe
进程文件: mspmspsv or mspmspsv.exe
进程名称: WMDM PMSP Service
描述: Windows Media Player 7需要安装的Helper Service。
是否为系统进程: 否

mysqld-nt.exe
进程文件: mysqld-nt or mysqld-nt.exe
进程名称: MySQL Daemon
描述: MySQL Daemon控制访问MySQL数据库。
是否为系统进程: 否

navapsvc.exe
进程文件: navapsvc or navapsvc.exe
进程名称: Norton AntiVirus Auto-Protect Service
描述: Norton Anti-Virus扫描你的文件和email中的病毒。
是否为系统进程: 否

navapw32.exe
进程文件: navapw32 or navapw32.exe
进程名称: Norton AntiVirus Agent
描述: Norton Anti-Virus扫描你的文件和email中的病毒。
是否为系统进程: 否

ndetect.exe
进程文件: ndetect or ndetect.exe
进程名称: ICQ Ndetect Agent
描述: ICQ Ndetect Agent是ICQ用来侦测网络连接的程序。
是否为系统进程: 否

netscape.exe
进程文件: netscape or netscape.exe
进程名称: Netscape
描述: Netscape网络浏览器通过HTTP浏览WWW万维网。
是否为系统进程: 否

notepad.exe
进程文件: notepad or notepad.exe
进程名称: Notepad
描述: Notepad字符编辑器用于打开文档。在Windows中附带。
是否为系统进程: 否

ntbackup.exe
进程文件: ntbackup or ntbackup.exe
进程名称: Windows Backup
描述: Windows备份工具用于备份文件和文件夹。
是否为系统进程: 否

ntvdm.exe
进程文件: ntvdm or ntvdm.exe
进程名称: Windows 16-bit Virtual Machine
描述: Windows Virtual Machine是为了兼容旧的16位Windows和DOS程序而设置的虚拟机。
是否为系统进程: 否
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 64 发表于: 2008-03-27 18:50:58
nvsvc32.exe
进程文件: nvsvc32 or nvsvc32.exe
进程名称: NVIDIA Driver Helper Service
描述: NVIDIA Driver Helper Service在NVIDA显卡驱动中被安装。
是否为系统进程: 否

nwiz.exe
进程文件: nwiz or nwiz.exe
进程名称: NVIDIA nView Control Panel
描述: NVIDIA nView控制面板在NVIDA显卡驱动中被安装,用于调整和设定。
是否为系统进程: 否

osa.exe
进程文件: osa or osa.exe
进程名称: Office Startup Assistant
描述: Microsoft Office启动助手,随Windows启动,增强启动、Office字体、命令和Outlook事务提醒等特性。
是否为系统进程: 否

outlook.exe
进程文件: outlook or outlook.exe
进程名称: Microsoft Outlook
描述: Microsoft Outlook是一个Email客户端包括在Microsoft Office。
是否为系统进程: 否

photoshop.exe
进程文件: photoshop or photoshop.exe
进程名称: Adobe Photoshop
描述: Adobe Photoshop是一个图像编辑软件,能够打开和编辑照片和其它更多类型格式的图片。
是否为系统进程: 否

point32.exe
进程文件: point32 or point32.exe
进程名称: Microsoft Intellimouse Monitor
描述: Microsoft Intellimouse Monitor添加一个鼠标设定图标在工具栏。
是否为系统进程: 否

powerpnt.exe
进程文件: powerpnt or powerpnt.exe
进程名称: Microsoft PowerPoint
描述: Microsoft PowerPoint是一个演示软件包括在Microsoft Office。
是否为系统进程: 否

pstores.exe
进程文件: pstores or pstores.exe
进程名称: Protected Storage Service
描述: Microsoft Protected Storage服务控制保密的内容密码。
是否为系统进程: 否
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 65 发表于: 2008-03-27 18:51:28
qttask.exe
进程文件: qttask or qttask.exe
进程名称: Quick Time Tray Icon
描述: Quick Time任务栏图标在你运行Quick Time的时候启动。
是否为系统进程: 否

realplay.exe
进程文件: realplay or realplay.exe
进程名称: Real Player
描述: Real Player是一个媒体播放器用来打开和播放音乐、声音和Real Media格式的视频文件。
是否为系统进程: 否

rnaapp.exe
进程文件: rnaapp or rnaapp.exe
进程名称: Windows Modem Connection
描述: Windows Modem连接控制用以控制拨号modem连接。
是否为系统进程: 否

rtvscan.exe
进程文件: rtvscan or rtvscan.exe
进程名称: Norton AntiVirus
描述: Norton Anti-Virus用以扫描你的文件和email中的病毒。
是否为系统进程: 否

rundll32.exe
进程文件: rundll32 or rundll32.exe
进程名称: Windows RUNDLL32 Helper
描述: Windows Rundll32为了需要调用DLLs的程序。
是否为系统进程: 否

sndrec32.exe
进程文件: sndrec32 or sndrec32.exe
进程名称: Windows Sound Recorder
描述: Windows录音机用以播放和录制声音文件(.wav)。
是否为系统进程: 否

sndvol32.exe
进程文件: sndvol32 or sndvol32.exe
进程名称: Windows Volume Control
描述: Windows声音控制进程在任务栏驻留用以控制音量和声卡相关。
是否为系统进程: 否

spoolss.exe
进程文件: spoolss or spoolss.exe
进程名称: Printer Spooler Subsystem
描述: Windows打印机控制子程序用以调用需要打印的内容从磁盘到打印机。
是否为系统进程: 否

starter.exe
进程文件: starter or starter.exe
进程名称: Creative Labs Ensoniq Mixer Tray icon
描述: 状态栏图标在Creative Sound Mixer中被安装。为了Creative声卡 (Soundblaster)。
是否为系统进程: 否
systray.exe
进程文件: systray or systray.exe
进程名称: Windows Power Management
描述: Windows电源管理程序用以控制节能和恢复启动。
是否为系统进程: 否

tapisrv.exe
进程文件: tapisrv or tapisrv.exe
进程名称: TAPI Service
描述: Windows Telephony (TAPI) 的后台服务程序。
是否为系统进程: 否
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 66 发表于: 2008-03-27 18:52:12
userinit.exe
进程文件: userinit or userinit.exe
进程名称: UserInit Process
描述: UserInit程序运行登陆脚本,建立网络连接和启动Shell壳。
是否为系统进程: 否

visio.exe
进程文件: visio or visio.exe
进程名称: Microsoft Visio
描述: Microsoft Visio是一个图形化管理软件。
是否为系统进程: 否

vptray.exe
进程文件: vptray or vptray.exe
进程名称: Norton AntiVirus
描述: Norton Anti-Virus扫描你的文件和email中的病毒。
是否为系统进程: 否

vshwin32.exe
进程文件: vshwin32 or vshwin32.exe
进程名称: McAfee VirusScan
描述: McAfee VirusScan是一个反病毒软件用以扫描你的文件和email中的病毒。
是否为系统进程: 否

vsmon.exe
进程文件: vsmon or vsmon.exe
进程名称: True Vector Internet Monitor
描述: True Vector Internet Monitor是ZoneAlarm个人防火墙的一部分,用以监视网络流经数据和攻击。
是否为系统进程: 否

vsstat.exe
进程文件: vsstat or vsstat.exe
进程名称: McAfee VirusScan
描述: McAfee VirusScan是一个反病毒软件用以扫描你的文件和email中的病毒。
是否为系统进程: 否

wab.exe
进程文件: wab or wab.exe
进程名称: Address Book
描述: 在Outlook中的地址薄。用来存放email地址、联系信息。
是否为系统进程: 否

webscanx.exe
进程文件: webscanx or webscanx.exe
进程名称: McAfee VirusScan
描述: McAfee VirusScan是一个反病毒软件用以扫描你的文件和email中的病毒。
是否为系统进程: 否

winamp.exe
进程文件: winamp or winamp.exe
进程名称: WinAmp
描述: WinAmp Media Player是一个用来打开音乐、声音和视频文件以及用以管理Mp3文件的软件。
是否为系统进程: 否

winhlp32.exe
进程文件: winhlp32 or winhlp32.exe
进程名称: Windows Help
描述: Windows帮助文件察看程序,用来打开帮助文档。该程序被包括在很多的Windows程序中。
是否为系统进程: 否

winoa386.mod
进程文件: winoa386 or winoa386.mod
进程名称: MS-DOS Console
描述: Windows MS-DOS控制台用以DOS命令和脚本。
是否为系统进程: 否
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 67 发表于: 2008-03-27 18:52:37
winproj.exe
进程文件: winproj or winproj.exe
进程名称: Microsoft Project
描述: Microsoft Project是一个项目计划编制程序。
是否为系统进程: 否

winroute.exe
进程文件: winroute or winroute.exe
进程名称: WinRoute
描述: WinRoute是一个基于Windows的防火墙/路由/连接共享软件。
是否为系统进程: 否

winword.exe
进程文件: winword or winword.exe
进程名称: Microsoft Word
描述: Microsoft Word是一个字处理程序包括在Microsoft Office。
是否为系统进程: 否

winzip32.exe
进程文件: winzip32 or winzip32.exe
进程名称: WinZip
描述: WinZip是一个文件压缩工具,用于创建,打开和解压zip文件。
是否为系统进程: 否

wkcalrem.exe
进程文件: wkcalrem or wkcalrem.exe
进程名称: Microsoft Works Calendar Reminder
描述: Microsoft Works Calendar Reminders工作日程提醒,在后台处理和显示弹出计划的工作日志提醒。
是否为系统进程: 否

wkqkpick.exe
进程文件: wkqkpick or wkqkpick.exe
进程名称: WinZip traybar icon
描述: WinZip的状态栏图标,被允许在Winzip启动时启动。
是否为系统进程: 否

wmplayer.exe
进程文件: wmplayer or wmplayer.exe
进程名称: Windows Media Player
描述: Windows Media Player是一个用来打开和播放音乐,声音和视频的软件。
是否为系统进程: 否
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 68 发表于: 2008-03-27 18:53:09
wordpad.exe
进程文件: wordpad or wordpad.exe
进程名称: Wordpad
描述: Wordpad是一个字符编辑器用以打开和编辑txt和rtf档。
是否为系统进程: 否

wowexec.exe
进程文件: wowexec or wowexec.exe
进程名称: Windows On Windows Execution Process
描述: Windows On Windows Execution Support Process和ntvdm.exe作用类似,为了兼容16位应用程序。
是否为系统进程: 否

ypager.exe
进程文件: ypager or ypager.exe
进程名称: Yahoo Messenger Helper
描述: Yahoo Messenger的状态栏图标,随Yahoo Messenger运行,是其一部分。
是否为系统进程: 否


那么它们具有什么功能;是否可以结束其运行,以节省系统资源;哪个进程比较可疑,可能是木马……其实进程应该可理解为处于活动状态的计算机程序,它在操作系统中执行特定的任务。
  系统进程一般包括:基本系统进程和附加进程。基本系统进程是系统运行的必备条件,只有这些进程处于活动状态,系统才能正常运行;而附加进程则不是必需的,你可以按需新建或结束。我们就先来了解一下哪些是最基本的系统进程。
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 69 发表于: 2008-03-27 18:53:40
基本系统进程

  Csrss.exe:这是子系统服务器进程,负责控制Windows创建或删除线程以及16位的虚拟DOS环境。
  System Idle Process:这个进程是作为单线程运行在每个处理器上,并在系统不处理其它线程的时候分派处理器的时间。
  Smss.exe:这是一个会话管理子系统,负责启动用户会话。
  Services.exe:系统服务的管理工具。
  Lsass.exe:本地的安全授权服务。
  Explorer.exe:资源管理器。
  Spoolsv.exe:管理缓冲区中的打印和传真作业。
  Svchost.exe:这个进程要着重说明一下,有不少朋友都有这种错觉:若是在“任务管理器”中看到多个Svchost.exe在运行,就觉得是有病毒了。其实并不一定,系统启动的时候,Svchost.exe将检查注册表中的位置来创建需要加载的服务列表,如果多个Svchost.exe同时运行,则表明当前有多组服务处于活动状态;多个DLL文件正在调用它。

  在系统资源紧张的情况下,我们可以选择结束一些附加进程,以增加资源,起到优化系统的作用。在排除基本系统及附加进程后,新增的陌生进程就值得被大家怀疑了。
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 70 发表于: 2008-03-27 18:54:03
系统进程中Svchost.exe的作用?

  问:我的系统进程里有四个svchost.exe,听说有些木马就是伪装成系统的进程,不知道这个是不是?

  答:svchost.exe 存在 %windir%\system32\wins 下。

  如果怀疑svchost.exe是病毒可以通过以下方法来证实是不是病毒:1.可以去 wins 目录找找有无多余,2.可以搜搜windows文件夹中 svchost.exe 看看有几个(应为1个),3.tlist -s察看,4.也可以下载一个可以看带路径名的进程的浏览工具。

  问:svchost.exe是起什么作用的进程?

  答:Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。

  Svchost.exe 组是用下面的注册表值来识别。HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost每个在这个键下的值代表一个独立的Svchost组,并且当你正在看活动的进程时,它显示作为一个单独的例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个或多个从注册表值中选取的服务名,这个服务的参数值包含了一个ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service


  问:我的系统进程里有四个svchost.exe,听说有些木马就是伪装成系统的进程,不知道这个是不是?

  答:svchost.exe 存在 %windir%\system32\wins 下。

  如果怀疑svchost.exe是病毒可以通过以下方法来证实是不是病毒:1.可以去 wins 目录找找有无多余,2.可以搜搜windows文件夹中 svchost.exe 看看有几个(应为1个),3.tlist -s察看,4.也可以下载一个可以看带路径名的进程的浏览工具。

  问:svchost.exe是起什么作用的进程?

  答:Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。

  Svchost.exe 组是用下面的注册表值来识别。HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost每个在这个键下的值代表一个独立的Svchost组,并且当你正在看活动的进程时,它显示作为一个单独的例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个或多个从注册表值中选取的服务名,这个服务的参数值包含了一个ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 71 发表于: 2008-03-27 18:54:25
揭开进程的秘密

  到底什么是进程呢,它对我们的系统起着怎样的作用了呢?现在就让我们一起来了解进程,看完后,说不定你也会成为一个“进程高手”。

  问:在以前介绍的系统启动中,你好像介绍过什么系统进程?

  答:对,系统进程就是你在使用操作系统时同时按住“Ctrl、Alt和Delete”键所看到弹出框中所显示的目前正在系统下运行的程序或者模块。Win95/98下的窗口只是“关闭窗口”,而Win2000/XP下则分成了“应用程序”和“进程”。

  问:系统进程都有哪些功能?

  答:系统进程一般包括:基本的系统进程和附加的系统进程。基本的系统进程是系统运行的基本条件,有了这些进程,系统才能正常运行;附加的系统进程一般不是必要的,你可以根据需要来增加或减少。

  问:Win 98中我们应该了解的进程又有哪些?

  答:基本的系统进程中我们常见的有Explorer.exe,这是Windows的资源管理器,如果你把这个关了,那么系统栏里面的系统图标就不见了。另外一个是Internat.exe,这是显示输入法的系统图标,附加的系统进程我们需要知道只有Mstask.exe了,这是Windows的计划任务,我们不需要时可以将它关闭掉。

  问:Win XP中我们应该了解的进程又有哪些?

  答:csrss.exe是子系统服务器进程;winlogon.exe是管理用户登录;services.exe包含了很多系统服务;lsass.exe是管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序。上面这些属于基本的系统进程,winmgmt.exe可以提供系统管理信息,tlntsvr.exe是设置允许远程用户登录到系统并且使用命令行运行控制台程序;dns.exe可以应答对域名系统(DNS)名称的查询和更新请求,这些则属于附加的系统进程的范畴。

  问:是不是关了这些Windows的进程,恶意软件就不能运行了呢?

  答:有的可以,但有的一旦你关了它,那么系统也就崩溃了。在Win95/98下最好的办法是通过Windows系统信息来查看,即从“开始”菜单运行Msinfo32.exe,然后依次点击“软件环境”和“正在运行任务”就可以看到当前你的系统运行的进程了,但是这个程序并不能按照你的意愿关闭某个进程,于是就要依靠第三方软件,比如Windows优化大师附带的“进程管理”就可以随意关掉任意的进程。如果你看到某个进程比较陌生,或者看到“说明”不熟悉,那么你就得考虑一下它是不是恶意的软件了。Win2000/XP则不需要依靠第三方软件来查看,只要同时按“Ctrl、Alt和Delete”键,然后点击“进程”选项就可以看到当前的任务列表了,如果你发现某个应用程序独占系统内存或CPU时间,那么可以将它结束,将资源释放给其他进程
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 72 发表于: 2008-03-27 18:54:54
BIOS自检响铃及其意义
简单帮助检测硬件故障

Award 的BIOS自检响铃及其意义
1短: 系统正常启动。这是我们每天都能听到的,也表明机器没有任何问题。
2短: 常规错误,请进入CMOS Setup,重新设置不正确的选项。
1长1短: RAM或主板出错。换一条内存试试,若还是不行,只好更换主板。
1长2短: 显示器或显示卡错误。
1长3短: 键盘控制器错误。检查主板。
1长9短: 主板Flash RAM或EPROM错误,BIOS损坏。换块Flash RAM试试。
不断地响(长声): 内存条未插紧或损坏。重插内存条,若还是不行,只有更换一条内存。
不停地响: 电源、显示器未和显示卡连接好。检查一下所有的插头。
重复短响: 电源问题。
无声音无显示: 电源问题。

AMI 的BIOS自检响铃及其意义
1短: 内存刷新失败。更换内存条。
2短: 内存ECC较验错误。在CMOS Setup中将内存关于ECC校验的选项设为Disabled就可以解决,不过最根本的解决办法还是更换一条内存。
3短: 系统基本内存(第1个64kB)检查失败。换内存。
4短: 系统时钟出错。
5短: 中央处理器(CPU)错误。
6短: 键盘控制器错误。
7短: 系统实模式错误,不能切换到保护模式。
8短: 显示内存错误。显示内存有问题,更换显卡试试。
9短: ROM BIOS检验和错误。
1长3短: 内存错误。内存损坏,更换即可。
1长8短: 显示测试错误。显示器数据线没插好或显示卡没插牢。

Phoenix的BIOS自检响铃及其意义
1短 系统启动正常
1短1短1短 系统加电初始化失败
1短1短2短 主板错误
1短1短3短 CMOS或电池失效
1短1短4短 ROM BIOS校验错误
1短2短1短 系统时钟错误
1短2短2短 DMA初始化失败
1短2短3短 DMA页寄存器错误
1短3短1短 RAM刷新错误
1短3短2短 基本内存错误
1短3短3短 基本内存错误
1短4短1短 基本内存地址线错误
1短4短2短 基本内存校验错误
1短4短3短 EISA时序器错误
1短4短4短 EISA NMI口错误
2短1短1短 前64K基本内存错误
3短1短1短 DMA寄存器错误

3短1短2短 主DMA寄存器错误
3短1短3短 主中断处理寄存器错误
3短1短4短 从中断处理寄存器错误
3短2短4短 键盘控制器错误
3短1短3短 主中断处理寄存器错误
3短4短2短 显示错误
3短4短3短 时钟错误
4短2短2短 关机错误
4短2短3短 A20门错误
4短2短4短 保护模式中断错误
4短3短1短 内存错误
4短3短3短 时钟2错误
4短3短4短 时钟错误
4短4短1短 串行口错误
4短4短2短 并行口错误
4短4短3短 数字协处理器错误
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 73 发表于: 2008-03-27 18:55:17
WindowsXP 服务安全攻略

表头的含义

名称:在服务配置面板中,每项服务显示的名称。

服务名:服务的“简称”,并且也是在注册表中显示的名称。

进程名:启动这个服务后在后台运行的进程的名称(可以通过任务管理器看到)。

依存关系:该服务依赖的其他服务以及其他依赖该服务的服务。

Home默认:这个服务在Windows XP Home版下默认的运行状态

Pro默认:这个服务在Windows XP Professional版下默认的运行状态。

安全状态:为了保证系统的稳定,大部分人应该确定服务处在该状态下。

网关设置:如果你的电脑是作为网关运行的,那么对于每项服务,最好按照这里的说明来调整。

游戏设置:如果你的电脑主要用来玩游戏,那么为了达到最佳性能,最好按照这里的方案来调整。

超级用户:作为水平较高的用户,自然希望电脑的性能得到最大程度的挖掘了,那么你可以按照这里的方案来调整你的服务。
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 74 发表于: 2008-03-27 18:58:33
此主题相关图片

小图 | 大图 图片

  • 闪电联盟 - 第3页
  • 闪电联盟 - 第3页
  • 闪电联盟 - 第3页
  • 闪电联盟 - 第3页
  • 闪电联盟 - 第3页
  • 闪电联盟 - 第3页
  • 闪电联盟 - 第3页
  • 闪电联盟 - 第3页
  • 闪电联盟 - 第3页
  • 闪电联盟 - 第3页
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 75 发表于: 2008-03-27 18:59:04
常用默认端口列表及功能中文注解

端口 功能英文注解 功能中文注解

1 tcpmux TCP Port Service Multiplexer 传输控制协议端口服务多路开关选择器
2 compressnet Management Utility     compressnet 管理实用程序
3 compressnet Compression Process     压缩进程
5 rje Remote Job Entry          远程作业登录
7 echo Echo                回显
9 discard Discard             丢弃
11  systat Active Users          在线用户
13  daytime Daytime            时间
17  qotd Quote of the Day         每日引用
18  msp Message Send Protocol       消息发送协议
19  chargen Character Generator      字符发生器
20  ftp-data File Transfer[Default Data]  文件传输协议(默认数据口) 
21  ftp File Transfer[Control]       文件传输协议(控制)
22  ssh SSH Remote Login Protocol     SSH远程登录协议
23  telnet Telnet             终端仿真协议
24   any private mail system       预留给个人用邮件系统
25  smtp Simple Mail Transfer       简单邮件发送协议
27  nsw-fe NSW User System FE       NSW 用户系统现场工程师
29  msg-icp MSG ICP            MSG ICP
31  msg-auth MSG Authentication      MSG验证
33  dsp Display Support Protocol      显示支持协议
35   any private printer server      预留给个人打印机服务
37  time Time               时间
38  rap Route Access Protocol       路由访问协议
39  rlp Resource Location Protocol     资源定位协议
41  graphics Graphics           图形
42  nameserver WINS Host Name Server    WINS 主机名服务
43   nicname Who Is             "绰号" who is服务
44  mpm-flags MPM FLAGS Protocol      MPM(消息处理模块)标志协议
45  mpm Message Processing Module [recv]  消息处理模块 
46  mpm-snd MPM [default send]       消息处理模块(默认发送口)
47   ni-ftp NI FTP             NI FTP
48  auditd Digital Audit Daemon      数码音频后台服务 
49  tacacs Login Host Protocol (TACACS)  TACACS登录主机协议
50  re-mail-ck Remote Mail Checking Protocol  远程邮件检查协议
51  la-maintIMP Logical Address Maintenance  (接口信息处理机)逻辑地址维护
52  xns-time XNS Time Protocol       施乐网络服务系统时间协议

53  domain Domain Name Server       域名服务器
54  xns-ch XNS Clearinghouse        施乐网络服务系统票据交换
55  isi-gl ISI Graphics Language      ISI图形语言
56  xns-auth XNS Authentication      施乐网络服务系统验证
57   any private terminal access     预留个人用终端访问
58  xns-mail XNS Mail           施乐网络服务系统邮件
59   any private file service       预留个人文件服务
60   Unassigned              未定义
61  ni-mail NI MAIL            NI邮件?
62  acas ACA Services           异步通讯适配器服务
63  whois+ whois+              WHOIS+
64  covia Communications Integrator (CI)  通讯接口 
65  tacacs-ds TACACS-Database Service   TACACS数据库服务
66  sql*net Oracle SQL*NET         Oracle SQL*NET
67  bootps Bootstrap Protocol Server    引导程序协议服务端
68  bootpc Bootstrap Protocol Client    引导程序协议客户端
69  tftp Trivial File Transfer       小型文件传输协议
70  gopher Gopher             信息检索协议
71  netrjs-1 Remote Job Service      远程作业服务
72  netrjs-2 Remote Job Service      远程作业服务
73  netrjs-3 Remote Job Service      远程作业服务
74  netrjs-4 Remote Job Service      远程作业服务
75   any private dial out service     预留给个人拨出服务
76  deos Distributed External Object Store 分布式外部对象存储 
77   any private RJE service        预留个人远程作业输入服务
78  vettcp vettcp             修正TCP?
79  finger Finger             查询远程主机在线用户信息
80  http World Wide Web HTTP        全球信息网超文本传输协议
81  hosts2-ns HOSTS2 Name Server      HOST2名称服务
82  xfer XFER Utility           传输实用程序
83  mit-ml-dev MIT ML Device        模块化智能终端ML设备
84  ctf Common Trace Facility       公用追踪设备
85  mit-ml-dev MIT ML Device        模块化智能终端ML设备
86  mfcobol Micro Focus Cobol       Micro Focus Cobol编程语言
87   any private terminal link      预留给个人终端连接
88  kerberos Kerberos           Kerberros安全认证系统
89  su-mit-tg SU/MIT Telnet Gateway    SU/MIT终端仿真网关
90  dnsix DNSIX Securit Attribute Token Map  DNSIX 安全属性标记图 
91  mit-dov MIT Dover Spooler       MIT Dover假脱机
92  npp Network Printing Protocol     网络打印协议
93  dcp Device Control Protocol      设备控制协议
94  objcall Tivoli Object Dispatcher    Tivoli对象调度
95  supdup SUPDUP     
96  dixie DIXIE Protocol Specification   DIXIE协议规范
97  swift-rvf(Swift Remote Virtural File Protocol)快速远程虚拟文件协议 
98  tacnews TAC News            TAC新闻协议
99  metagram Metagram Relay       
100  newacct [unauthorized use]
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 76 发表于: 2008-03-27 18:59:26
可以运行"netstat -a"去查看自己的有效连接信息,以及端口的连接情况!
常见木马和未授权控制软件的关闭
以下各种木马及未授权被安装的远程控制软件均由于您没有正确的设置您的管理员密码造成的。请先检查系统中所有帐号的口令是否设置的足够安全。  

  口令设置要求:
  1.口令应该不少于8个字符;
  2.不包含字典里的单词、不包括姓氏的汉语拼音;
  3.同时包含多种类型的字符,比如

    o大写字母(A,B,C,..Z)
    o小写字母(a,b,c..z)
    o数字(0,1,2,…9)
    o标点符号(@,#,!,$,%,& …)

  注意:下文中提到的相关路径根据您的操作系统版本不同会有所不同,请根据自己的系统做相应的调整

  Win98系统:    c:\Windows  c:\Windows\system
  Winnt和Win2000系统:c:\Winnt  c:\Winnt\system32
  Winxp系统:    c:\Windows  c:\Windows\system32

  根据系统安装的路径不同,目录所在盘符也可能不同,如系统安装在D盘,请将C:\Windows改为D:\Windows依此类推

  大部分的木马程序都可以改变默认的服务端口,我们应该根据具体的情况采取相应的措施,一个完整的检查和删除过程如下例所示:

113端口木马的清除(仅适用于Windows系统):
  这是一个基于irc聊天室控制的木马程序。
  1.首先使用netstat -an命令确定自己的系统上是否开放了113端口
  2.使用fport命令察看出是哪个程序在监听113端口
     例如我们用fport看到如下结果:
   Pid  Process    Port Proto Path
   392  svchost   -> 113  TCP  C:\WinNT\system32\vhos.exe  
  我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为c:\Winnt\system32下。
  3.确定了木马程序名(就是监听113端口的程序)后,在任务管理器中查找到该进程,并使用管理器结束该进程。
  4.在开始-运行中键入regedit运行注册表管理程序,在注册表里查找刚才找到那个程序,并将相关的键值全部删掉。
  5.到木马程序所在的目录下删除该木马程序。(通常木马还会包括其他一些程序,如rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等,根据木马程序不同,文件也有所不同,你可以通过察看程序的生成和修改的时间来确定与监听113端口的木马程序有关的其他程序)
  6.重新启动机器。

  以下列出的端口仅为相关木马程序默认情况下开放的端口,请根据具体情况采取相应的操作:

707端口的关闭:
  这个端口开放表示你可能感染了nachi蠕虫病毒,该蠕虫的清除方法如下:
  1、停止服务名为WinS Client和Network Connections Sharing的两项服务
  2、删除c:\Winnt\SYSTEM32\WinS\目录下的DLLHOST.EXE和SVCHOST.EXE文件
  3、编辑注册表,删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services项中名为RpcTftpd和RpcPatch的两个键值
  
1999端口的关闭:
  这个端口是木马程序BackDoor的默认服务端口,该木马清除方法如下:
  1、使用进程管理工具将notpa.exe进程结束
  2、删除c:\Windows\目录下的notpa.exe程序
  3、编辑注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run项中包含c:\Windows\notpa.exe /o=yes的键值

2001端口的关闭:
  这个端口是木马程序黑洞2001的默认服务端口,该木马清除方法如下:
  1、首先使用进程管理软件将进程Windows.exe杀掉
  2、删除c:\Winnt\system32目录下的Windows.exe和S_Server.exe文件
  3、编辑注册表,删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices\项中名为Windows的键值
  4、将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES项中的Winvxd项删除
  5、修改HKEY_CLASSES_ROOT\txtfile\shell\open\command项中的c:\Winnt\system32\S_SERVER.EXE %1为C:\WinNT\NOTEPAD.EXE %1
  6、修改HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command
项中的c:\Winnt\system32\S_SERVER.EXE %1键值改为
C:\WinNT\NOTEPAD.EXE %1

2023端口的关闭:
  这个端口是木马程序Ripper的默认服务端口,该木马清除方法如下:
  1、使用进程管理工具结束sysrunt.exe进程
  2、删除c:\Windows目录下的sysrunt.exe程序文件
  3、编辑system.ini文件,将shell=explorer.exe sysrunt.exe 改为shell=explorer.exe后保存
  4、重新启动系统

2583端口的关闭:
  这个端口是木马程序Wincrash v2的默认服务端口,该木马清除方法如下:
  1、编辑注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\项中的WinManager = "c:\Windows\server.exe"键值
  2、编辑Win.ini文件,将run=c:\Windows\server.exe改为run=后保存退出
  3、重新启动系统后删除C:\Windows\system\ SERVER.EXE

3389端口的关闭:
  首先说明3389端口是Windows的远程管理终端所开的端口,它并不是一个木马程序,请先确定该服务是否是你自己开放的。如果不是必须的,请关闭该服务。
  Win2000关闭的方法:
  1、Win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。
  2、Win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。
  Winxp关闭的方法:
  在我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。

4444端口的关闭:
  如果发现你的机器开放这个端口,可能表示你感染了msblast蠕虫,清除该蠕虫的方法如下:
  1、使用进程管理工具结束msblast.exe的进程
  2、编辑注册表,删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
项中的"Windows auto update"="msblast.exe"键值
  3、删除c:\Winnt\system32目录下的msblast.exe文件

4899端口的关闭:
  首先说明4899端口是一个远程控制软件(remote administrator)服务端监听的端口,他不能算是一个木马程序,但是具有远程控制功能,通常杀毒软件是无法查出它来的,请先确定该服务是否是你自己开放并且是必需的。如果不是请关闭它。
  关闭4899端口:
  1、请在开始-->运行中输入cmd(98以下为command),然后 cd C:\Winnt\system32(你的系统安装目录),输入r_server.exe /stop后按回车。
  然后在输入r_server /uninstall /silence
  2、到C:\Winnt\system32(系统目录)下删除r_server.exe admdll.dll
raddrv.dll三个文件
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 77 发表于: 2008-03-27 18:59:48
5800,5900端口:
  首先说明5800,5900端口是远程控制软件VNC的默认服务端口,但是VNC在修改过后会被用在某些蠕虫中。
  请先确认VNC是否是你自己开放并且是必须的,如果不是请关闭
  关闭的方法:
  1、首先使用fport命令确定出监听在5800和5900端口的程序所在位置(通常会是c:\Winnt\fonts\explorer.exe)
  2、在任务管理器中杀掉相关的进程(注意有一个是系统本身正常的,请注意!如果错杀可以重新运行c:\Winnt\explorer.exe)
  3、删除C:\Winnt\fonts\中的explorer.exe程序。
  4、删除注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run项中的Explorer键值。
  5、重新启动机器。

6129端口的关闭:
  首先说明6129端口是一个远程控制软件(dameware nt utilities)服务端监听得端口,他不是一个木马程序,但是具有远程控制功能,通常的杀毒软件是无法查出它来的。请先确定该服务是否是你自己安装并且是必需的,如果不是请关闭。

关闭6129端口:
  1、选择开始-->设置-->控制面板-->管理工具-->服务
找到DameWare Mini Remote Control项点击右键选择属性选项,将启动类型改成禁用后停止该服务。
  2、到c:\Winnt\system32(系统目录)下将DWRCS.EXE程序删除。
  3、到注册表内将HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\项中的DWRCS键值删除


6267端口的关闭:
  6267端口是木马程序广外女生的默认服务端口,该木马删除方法如下:
  1、启动到安全模式下,删除c:\Winnt\system32\下的DIAGFG.EXE文件
  2、到c:\Winnt目录下找到regedit.exe文件,将该文件的后缀名改为.com
  3、选择开始-->运行输入regedit.com进入注册表编辑页面
  4、修改HKEY_CLASSES_ROOT\exefile\shell\open\command项的键值为
"%1" %*
  5、删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunServices项中名字为Diagnostic Configuration的键值
  6、将c:\Winnt下的regedit.com改回到regedit.exe

6670、6771端口的关闭:
  这些端口是木马程序DeepThroat v1.0 - 3.1默认的服务端口,清除该木马的方法如下:
  1、编辑注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion
\Run项中的‘System32‘=c:\Windows\system32.exe键值(版本1.0)或‘SystemTray‘ = ‘Systray.exe‘ 键值(版本2.0-3.0)键值
  3、重新启动机器后删除c:\Windows\system32.exe(版本1.0)或c:\Windows\system\systray.exe(版本2.0-3.0)

6939 端口的关闭:
  这个端口是木马程序Indoctrination默认的服务端口,清除该木马的方法如下:
  1、编辑注册表,删除
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServicesHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServicesOnce  四项中所有包含Msgsrv16 ="msgserv16.exe"的键值
  2、重新启动机器后删除C:\Windows\system\目录下的msgserv16.exe文件
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 78 发表于: 2008-03-27 19:00:15
6969端口的关闭:
  这个端口是木马程序PRIORITY的默认服务端口,清除该木马的方法如下:
  1、编辑注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run Services项中的"PServer"= C:\Windows\System\PServer.exe键值
  2、重新启动系统后删除C:\Windows\System\目录下的PServer.exe文件

7306端口的关闭:
  这个端口是木马程序网络精灵的默认服务端口,该木马删除方法如下:
  1、你可以使用fport察看7306端口由哪个程序监听,记下程序名称和所在的路径
  2、如果程序名为Netspy.exe,你可以在命令行方式下到该程序所在目录输入命令Netspy.exe /remove来删除木马
  3、如果是其他名字的程序,请先在进程中结束该程序的进程,然后到相应目录下删除该程序。
  4、编辑注册表,将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run项和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunServices项中与该程序有关的键值删除

7511端口的关闭:
  7511是木马程序聪明基因的默认连接端口,该木马删除方法如下:
  1、首先使用进程管理工具杀掉MBBManager.exe这个进程
  2、删除c:\Winnt(系统安装目录)中的MBBManager.exe和Explore32.exe程序文件,删除c:\Winnt\system32目录下的editor.exe文件
  3、编辑注册表,删除注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run项中内容为C:\WinNT\MBBManager.exe键名为MainBroad BackManager的项。
  4、修改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command中的c:\Winnt\system32\editor.exe %1改为c:\Winnt\NOTEPAD.EXE %1
  5、修改注册表HKEY_LOCAL_MACHINE\Software\CLASSES\hlpfile\shell\open\command
项中的C:\WinNT\explore32.exe %1键值改为C:\WinNT\WinHLP32.EXE %1

7626端口的关闭:
  7626是木马冰河的默认开放端口(这个端口可以改变),木马删除方法如下:
  1、启动机器到安全模式下,编辑注册表,删除HKEY_LOCAL_MACHINE\software\microsoft\Windows\ CurrentVersion\Run
项中内容为c:\Winnt\system32\Kernel32.exe的键值
  2、删除HKEY_LOCAL_MACHINE\software\microsoft\Windows\ CurrentVersion\Runservices项中内容为C:\Windows\system32\Kernel32.exe的键值
  3、修改HKEY_CLASSES_ROOT\txtfile\shell\open\command项下的C:\Winnt\system32\Sysexplr.exe %1为C:\Winnt\notepad.exe %1
  4、到C:\Windows\system32\下删除文件Kernel32.exe和Sysexplr.exe

8011端口的关闭:
  8011端口是木马程序WAY2.4的默认服务端口,该木马删除方法如下:
  1、首先使用进程管理工具杀掉msgsvc.exe的进程
  2、到C:\Windows\system目录下删除msgsvc.exe文件
  3、编辑注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run项中内容为C:\WinDOWS\SYSTEM\msgsvc.exe的键值
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 79 发表于: 2008-03-27 19:00:39
9989端口的关闭:
  这个端口是木马程序InIkiller的默认服务端口,该木马删除方法如下:
  1、编辑注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\项中的Explore="C:\Windows\bad.exe"键值
  2、重新启动系统后删除C:\Windows目录下的bad.exe程序文件

19191端口的关闭:
  这个端口是木马程序兰色火焰默认开放的telnet端口,该木马关闭方法如下:
  1、使用管理工具结束进程tasksvc.exe
  2、删除c:\Windows\system目录下的tasksvc.exe、sysexpl.exe、bfhook.dll三个文件
  3、编辑注册表,删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中的Network Services=C:\WinDOWS\SYSTEM\tasksvc.exe键值
  4、将注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command项中的C:\WinDOWS\SYSTEM\sysexpl.exe "%1"键值改为c:\Windows\notepad.exe "%1"键值
  5、将注册表HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command项中的C:\WinDOWS\SYSTEM\sysexpl.exe "%1键值"改为c:\Windows\notepad.exe
"%1"

1029端口和20168端口:
  这两个端口是lovgate蠕虫所开放的后门端口。
  蠕虫相关信息请参见:Lovgate蠕虫
  你可以下载专杀工具:FixLGate.exe
  使用方法:下载后直接运行,在该程序运行结束后重起机器后再运行一遍该程序。

23444端口的关闭方法:
  这个端口是木马程序网络公牛的默认服务端口,关闭该木马的方法如下:
  1、进入安全模式,删除c:\Winnt\system32\下的CheckDll.exe文件
  2、将系统中的如下文件的大小与正常系统中的文件大小比较,如果大小不一样请删除,然后将正常的文件拷贝回来,需要检查的文件包括:
   notepad.exe;write.exe,regedit.exe,Winmine.exe,Winhelp.exe
  3、替换回正常文件后进入注册表编辑状态,删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项中的"CheckDll.exe"="C:\WinNT\SYSTEM32\CheckDll.exe“键值
  4、删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices中的"CheckDll.exe"="C:\WinNT\SYSTEM32\CheckDll.exe"键值
  5、删除HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run中的"CheckDll.exe"="C:\WinNT\SYSTEM32\CheckDll.exe"键值请注意该病毒还可能会捆绑在其他应用软件上,请检查你的软件大小是否有异,如果有请卸载后重装
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 80 发表于: 2008-03-27 19:01:11
27374端口的关闭方法:
  这个端口是木马程序SUB7的默认服务端口,关闭该木马方法如下:
  1、首先使用fport软件确定出27374端口由哪个程序打开,记下程序名称和所在的路径。
  2、编辑注册表,将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run项中包含刚才使用fport察看出的文件名的键值删除
  3、将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\RunServic项中包含刚才使用fport察看出的文件名的键值删除
  4、在进程中将刚才察看的文件进程杀掉,如果杀不掉请到服务中将关联该程序的服务关掉(服务名应该是刚才在注册表RunServic中看到的)
  5、编辑Win.ini文件,检查“run=”后有没有刚才的文件名,如有则删除之
  6、编辑system.ini文件,检查“shell=explorer.exe”后有没有刚才那个文件,如有将它删除
  7、到相应的目录中将刚才查到的文件删除。

30100端口的关闭:
  这个端口是木马程序NetSphere默认的服务端口,清除该木马方法如下:
  1、编辑注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\项中的NSSX ="C:\WinDOWS\system\nssx.exe"键值
  2、删除HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中的NSSX ="C:\WinDOWS\system\nssx.exe"键值
  3、删除HKEY_USERS\****\Software\Microsoft\Windows\CurrentVersion\Run 中的
NSSX ="C:\WinDOWS\system\nssx.exe"键值
  4、重新启动系统后删除删除C:\WinDOWS\system\目录下的nssx.exe文件。

31337端口的关闭:
  这个端口是木马程序BO2000的默认服务端口,清除该木马方法如下:
  1、将机器启动到安全模式状态
  2、编辑注册表,删除\HEKY-LOCAL-MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServicse项中包含Umgr32.exe的键值
  3、删除\Windows\System目录下的Umgr32.exe程序
  4、重新启动机器

45576端口:
  这是一个代理软件的控制端口,请先确定该代理软件并非你自己安装(代理软件会给你的机器带来额外的流量)
  关闭代理软件:
  1.请先使用fport察看出该代理软件所在的位置。
  2.在服务中关闭该服务(通常为SkSocks),将该服务关掉。
  3.到该程序所在目录下将该程序删除。

50766端口的关闭:
  这个端口是木马程序SchWindler的默认服务端口,清除该木马的方法如下:
  1、编辑注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\项中的User.exe = "C:\WinDOWS\User.exe"键值
  2、重新启动机器后删除c:\Windows\目录下的user.exe文件。
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 81 发表于: 2008-03-27 19:01:32
61466端口的关闭:

  这个端口是木马程序Telecommando的默认服务端口,关闭该木马程序方法如下:
  1、编辑注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\中的SystemApp="ODBC.EXE"键值
  2、重新启动机器后删除C:\Windows\system\目录下的ODBC.EXE文件。
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 82 发表于: 2008-03-27 19:01:53
近百种木马清除

1. 冰河v1.1 v2.2
这是国产最好的木马

清除木马v1.1
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
查找以下的两个路径,并删除
" C:\windows\system\ kernel32.exe"
" C:\windows\system\ sysexplr.exe"
关闭Regedit
重新启动到MSDOS方式
删除C:\windows\system\ kernel32.exe和C:\windows\system\ sysexplr.exe木马程序
重新启动。OK

清除木马v2.2
服务器程序、路径用户是可以随意定义,写入注册表的键名也可以自己定义。
因此,不能明确说明。
你可以察看注册表,把可疑的文件路径删除。
重新启动到MSDOS方式
删除于注册表相对应的木马程序
重新启动Windows。OK

2. Acid Battery v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Explorer ="C:\WINDOWS\expiorer.exe"
关闭Regedit
重新启动到MSDOS方式
删除c:\windows\expiorer.exe木马程序
注意:不要删除正确的ExpLorer.exe程序,它们之间只有i与L的差别。
重新启动。OK

3. Acid Shiver v1.0 + 1.0Mod + lmacid
清除木马的步骤:
重新启动到MSDOS方式
删除C:\windows\MSGSVR16.EXE
然后回到Windows系统
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"
关闭Regedit
重新启动。OK
重新启动到MSDOS方式
删除C:\windows\wintour.exe然后回到Windows系统
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE"
关闭Regedit
重新启动。OK
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 83 发表于: 2008-03-27 19:02:17
4. Ambush
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的zka = "zcn32.exe"
关闭Regedit
重新启动到MSDOS方式
删除C:\Windows\ zcn32.exe
重新启动。OK

5. AOL Trojan
清除木马的步骤:
启动到MSDOS方式
删除C:\ command.exe(删除前取消文件的隐含属性)
注意:不要删除真的command.com文件。
删除C:\ americ~1.0\buddyl~1.exe(删除前取消文件的隐含属性)
删除C:\ windows\system\norton~1\regist~1.exe(删除前取消文件的隐含属性)
打开WIN.INI文件
在[WINDOWS]下面"run="和"load="都加载者特洛伊木马程序的路径,必须清除它们:
run=
load=
保存WIN.INI
还要改正注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的WinProfile = c:\command.exe
关闭Regedit,重新启动Windows。OK

6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1
清除木马的步骤:
注意:木马程序默认文件名是wincmp32.exe,然而程序可以随意改变文件名。
我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。
打开system.ini文件
在[BOOT]下面有个"shell=文件名"。正确的文件名是explorer.exe
如果不是"explorer.exe",那么那个文件就是木马程序,把它查找出来,删除。
保存退出system.ini
打开win.ini文件
在[WINDOWS]下面有个run=
如果你看到=后面有路径文件名,必须把它删除。
正确的应该是run=后面什么也没有。
=后面的路径文件名就是木马,把它查找出来,删除。
保存退出win.ini。
OK
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 84 发表于: 2008-03-27 19:02:44
7. AttackFTP
清除木马的步骤:
打开win.ini文件
在[WINDOWS]下面有load=wscan.exe
删除wscan.exe ,正确是load=
保存退出win.ini。
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Reminder="wscan.exe /s"
关闭Regedit,重新启动到MSDOS系统中
删除C:\windows\system\ wscan.exe
OK

8. Back Construction 1.0 - 2.5
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的"C:\WINDOWS\Cmctl32.exe"
关闭Regedit,重新启动到MSDOS系统中
删除C:\WINDOWS\Cmctl32.exe
OK

9. BackDoor v2.00 - v2.03
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的'c:\windows\notpa.exe /o=yes'
关闭Regedit,重新启动到MSDOS系统中
删除c:\windows\notpa.exe
注意:不要删除真正的notepad.exe笔记本程序
OK

10. BF Evolution v5.3.12
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的(Default)=" "
关闭Regedit,再次重新启动计算机。
将C:\windows\system\ .exe(空格exe文件)
OK

11. BioNet v0.84 - 0.92 + 2.21
0.8X版本是运行在Win95/98
0.9X以上版本有运行在Win95/98 和WinNT上两个软件
客户-服务器协议是一样的,因而NT客户能黑95/98被感染的机器,和Win95/98客户能黑
NT被感染的系统完全一样。
清除木马的步骤:
首先准备一张98的启动盘,用它启动后,进入c:\windows目录下,用attrib libupd~1.
exe -h
命令让木马程序可见,然后删除它。
抽出软盘后重新启动,进入98下,在注册表里找到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
的子键WinLibUpdate = "c:\windows\libupdate.exe -hide"
将此子键删除。
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 85 发表于: 2008-03-27 19:03:11
12. Bla v1.0 - 5.03
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Systemdoor = "C:\WINDOWS\System\mprdll.exe"
关闭Regedit,重新启动计算机。
查找到C:\WINDOWS\System\mprdll.exe和
C:\WINDOWS\system\rundll.exe
注意:不要删除C:\WINDOWS\RUNDLL.EXE正确文件。
并删除两个文件。
OK

13. BladeRunner
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
可以找到System-Tray = "c:\something\something.exe"
右边的路径可能是任何东西,这时你不需要删除它,因为木马会立即自动加上,你需要
的是记下木马的名字与目录,然后退回到MS-DOS下,找到此木马文件并删除掉。
重新启动计算机,然后重复第一步,在注册表中找到木马文件并删除此键。

14. Bobo v1.0 - 2.0
清除木马v1.0
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的DirrectLibrarySupport ="C:\WINDOWS\SYSTEM\Dllclient.exe"
关闭Regedit,重新启动计算机。
DEL C:\Windows\System\Dllclient.exe
OK
清除木马v2.0
打开注册表Regedit
点击目录至:
HKEY_USER/.Default/Software/Mirabilis/ICQ/Agent/Apps/ICQ Accel/
ICQ Accel是一个“假象“的主键,选中ICQ Accel主键并把它删除。
重新启动计算机。OK

15. BrainSpy vBeta
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
右边有 ??? = "C:\WINDOWS\system\BRAINSPY .exe"
???标签选是随意改变的。
关闭Regedit,重新启动计算机
查找删除C:\WINDOWS\system\BRAINSPY .exe
OK

16. Cain and Abel v1.50 - 1.51
这是一个口令木马
进入MS-DOS方式
查找到C:\windows\msabel32.exe
并删除它。OK

17. Canasson
清除木马的步骤:
打开WIN.INI文件
查找c:\msie5.exe,删除全部主键
保存win.ini
重新启动计算机
删除c:\msie5.exe木马文件
OK

18. Chupachbra
清除木马的步骤:
打开WIN.INI文件
[Windows]的下面有两个行
run=winprot.exe
load=winprot.exe
删除winprot.exe
run=
load=
保存Win.ini,再打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的'System Protect' = winprot.exe
重新启动Windows
查找到C:\windows\system\ winprot.exe,并删除。
OK
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 86 发表于: 2008-03-27 19:03:34
19. Coma v1.09
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的'RunTime' = C:\windows\msgsrv36.exe
重新启动Windows
查找到C:\windows\ msgsrv36.exe,并删除。
OK

20. Control
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的Load MSchv Drv = C:\windows\system\MSchv.exe
保存Regedit,重新启动Windows
查找到C:\windows\system\MSchv.exe,并删除。
OK

21. Dark Shadow
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\RunServices
删除右边的winfunctions="winfunctions.exe"
保存Regedit,重新启动Windows
查找到C:\windows\system\ winfunctions.exe,并删除。
OK

22. DeepThroat v1.0 - 3.1 + Mod (Foreplay)
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
版本1.0
删除右边的项目'System32'=c:\windows\system32.exe
版本2.0-3.1
删除右边的项目'SystemTray' = 'Systray.exe'
保存Regedit,重新启动Windows
版本1.0删除c:\windows\system32.exe
版本2.0-3.1
删除c:\windows\system\systray.exe
OK

23. Delta Source v0.5 - 0.7
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的项目:DS admin tool = C:\TEMPSERVER.exe
保存Regedit,重新启动Windows
查找到C:\TEMPSERVER.exe,并删除它。
OK
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 87 发表于: 2008-03-27 19:04:04
24. Der Spaeher v3
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的项目:explore = "c:\windows\system\dkbdll.exe "
保存Regedit,重新启动Windows
删除c:\windows\system\dkbdll.exe木马文件。
OK

--

25. Doly v1.1 - v1.7 (SE)
清除木马V1.1-V1.5版本:
这几个木马版本的木马程序放在三处,增加二个注册项目,还增加到Win.ini项目。
首先,进入MS-DOS方式,删除三个木马程序,但V1.35版本多一个木马文件mdm.exe。
把下列各项全部删除:
C:\WINDOWS\SYSTEM\tesk.sys
C:\WINDOWS\Start Menu\Programs\Startup\mstesk.exe
c:\Program Files\MStesk.exe
c:\Program Files\Mdm.exe
重新启动Windows。
接着,打开win.ini文件
找到[WINDOWS]下面load=c:\windows\system\tesk.exe项目,删除路径,改变为load=
保存win.ini文件。
最后,修改注册表Regedit
找到以下两个项目并删除它们
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Ms tesk = "C:\Program Files\MStesk.exe"

HKEY_USER\.Default\Software\Microsoft\Windows\CurrentVersion\Run
Ms tesk = "C:\Program Files\MStesk.exe"
再寻找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ss
这个组是木马的全部参数选择和设置的服务器,删除这个ss组的全部项目。
关闭保存Regedit。
还有打开C:\AUTOEXEC.BAT文件,删除
@echo off copy c:\sys.lon c:\windows\StartMenu\Startup Items\
del c:\win.reg
关闭保存autoexec.bat。
OK
清除木马V1.6版本:
该木马运行时,将不能通过98的正常操作关闭,只能RESET键。彻底清除步骤如下:
1.打开控制面板——添加删除程序——删除memory manager 3.0,这就是木马程序,但
是它并不会把木马的EXE文件删除掉。
2.用98或DOS启动盘启动(用RESET键)后,转入C:\,编辑AUTOEXEC。BAT,把如下内容
删除:
@echo off copy c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe
del c:\win.reg
保存AUTOEXEC。BAT文件并返回DOS后,在C:\根目录下删除木马文件:
del sys.lon
del windows\startm~1\programs\startup\mdm.exe
del progra~1\mdm.exe
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 88 发表于: 2008-03-27 19:04:38
3.抽出软盘重新启动,进入98后,把c:\program files\目录下的memory manager 目录
删除。
清除木马V1.7版本:
首先,打开C:\AUTOEXEC.BAT文件,删除
@echo off copy c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe
del c:\win.reg
关闭保存autoexec.bat
然后打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
找到c:\windows\system\mdm.exe路径并删除这个项目
点击目录至:
HKEY_USER/.Default/Software/Marabilis/ICQ/Agent/Apps/
找到"C:\windows\system\kernal32.exe"路径并删除这个项目
关闭保存Regedit。重新启动Windows。
最后,删除以下木马程序:
c:\sys.lon
c:\iecookie.exe
c:\windows\start menu\programs\startup\mdm.exe
c:\program files\mdm.exe
c:\windows\system\mdm.exe
c:\windows\system\kernal32.exe
注意:kernal32是A
OK

75. Revenger v1.0 - 1.5
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:AppName ="C:\...\server.exe"
关闭保存Regedit,重新启动Windows
在c:\windows查找相应的木马程序server.exe,并删除
OK

76. Ripper
清除木马的步骤:
打开system.ini文件
将shell=explorer.exe sysrunt.exe
改为shell= explorer.exe
关闭保存system.ini,重新启动Windows
在c:\windows查找相应的木马程序sysrunt.exe,并删除
OK

77. Satans Back Door v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
删除右边的项目:sysprot protection ="C:\windows\sysprot.exe"
关闭保存Regedit,重新启动Windows
删除C:\windows\sysprot.exe
OK

78. Schwindler v1.82
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:User.exe = "C:\WINDOWS\User.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\User.exe
OK
离线深水易寒

发帖
2098
今日发帖
最后登录
2020-02-27
只看该作者 89 发表于: 2008-03-27 19:05:07
79. Setup Trojan (Sshare) +Mod Small Share
这个共享隐藏C盘的木马
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Network\LanMan\


选择右边有'C$'的项目,并全部删除
关闭保存Regedit,重新启动Windows
OK

80. ShadowPhyre v2.12.38 - 2.X
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:WinZipp = "C:\WINDOWS\SYSTEM\WinZipp.exe /nomsg"
或者WinZip = "C:\WINDOWS\SYSTEM\WinZip.exe /nomsg"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\ WinZipp.exe或者C:\WINDOWS\ WinZip.exe
OK

81. Share All
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Network\LanMan\
这里你将看到所有被木马共享出来的你的硬盘符号,把它们一个个删除掉。

82. ShitHeap
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
删除右边的项目:recycle-bin = "c:\windows\system\recycle-bin.exe"
或者recycle-bin = "c:\windows\system.exe"
关闭保存Regedit,重新启动Windows
删除c:\windows\system\recycle-bin.exe或者c:\windows\system.exe
OK

83. Snid v1 - 2
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:System-tray = 'c:\windows\temp$01.exe'
关闭保存Regedit,重新启动Windows
删除c:\windows\temp$01.exe
OK

84. Softwarst
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:NetApp = C:\windows\system\winserv.exe
关闭保存Regedit,重新启动Windows
删除C:\windows\system\winserv.exe
OK

85. Spirit 2000 Beta - v1.2 (fixed)
清除木马v Beta版本:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:internet = "c:\windows\netip.exe "
关闭保存Regedit
打开win.ini文件
查找到run=c:\windows\netip.exe
更改为:run=
关闭保存win.ini,重新启动Windows
删除c:\windows\netip.exe和c:\windows\netip.exe
OK
清除木马v 1.2版本:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:SystemTray = "c:\windows\windown.exe "
关闭保存Regedit,重新启动Windows
删除c:\windows\windown.exe
OK
清除木马v 1.2(fixed)版本:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Server 1.2.exe = "c:\windows\server 1.2.exe"
关闭保存Regedit,重新启动Windows
删除c:\windows\server 1.2.exe
OK