病毒感染起步
Ⅰ 病毒是如何隨系統啟動的
在系統運行時,病毒通過病毒載體即系統的外存儲器進入系統的內存儲器,常駐內存。該病毒在系統內存中監視系統的運行,當它發現有攻擊的目標存在並滿足條件時,便從內存中將自身存入被攻擊的目標,從而將病毒進行傳播。 而病毒利用系統INT 13H讀寫磁碟的中斷又將其寫入系統的外存儲器軟盤或硬碟中,再感染其他系統。 可執行文件感染病毒後又怎樣感染新的可執行文件 可執行文件.COM或.EXE感染上了病毒,例如黑色星期五病毒,它駐入內存的條件是在執行被傳染的文件時進入內存的。 一旦進入內存,便開始監視系統的運行。當它發現被傳染的目標時,進行如下操作:
(1)首先對運行的可執行文件特定地址的標識位信息進行判斷是否已感染了病毒;
(2)當條件滿足,利用INT 13H將病毒鏈接到可執行文件的首部或尾部或中間,並存大磁碟中;
(3)完成傳染後,繼續監視系統的運行,試圖尋找新的攻擊目標。
操作系統型病毒是怎樣進行傳染的 正常的PC DOS啟動過程是:
(1)加電開機後進入系統的檢測程序並執行該程序對系統的基本設備進行檢測;
(2)檢測正常後從系統盤0面0道1扇區即邏輯0扇區讀入Boot引導程序到內存的0000:7C00處;
(3)轉入Boot執行之;
(4)Boot判斷是否為系統盤,如果不是系統盤則提示; non-system disk or disk error Replace and strike any key when ready 否則,讀入IBM BIO.COM和IBM DOS.COM兩個隱含文件;
(5)執行IBM BIO.COM和IBM DOS.COM兩個隱含文件,將COMMAND.COM裝入內存;
(6)系統正常運行,DOS啟動成功。
如果系統盤已感染了病毒,PC DOS的啟動將是另一番景象,其過程為:
(1)將Boot區中病毒代碼首先讀入內存的0000:7C00處;
(2)病毒將自身全部代碼讀入內存的某一安全地區、常駐內存,監視系統的運行;
(3)修改INT 13H中斷服務處理程序的入口地址,使之指向病毒控制模塊並執行之。因為任何一種病毒要感染軟盤或者硬碟,都離不開對磁碟的讀寫操作,修改INT13H中斷服務程序的入口地址是一項少不了的操作;
(4)病毒程序全部被讀入內存後才讀入正常的Boot內容到內存的0000:7C00處,進行正常的啟動過程;
(5)病毒程序伺機等待隨時准備感染新的系統盤或非系統盤。
如果發現有可攻擊的對象,病毒要進行下列的工作:
(1)將目標盤的引導扇區讀入內存,對該盤進行判別是否傳染了病毒;
(2)當滿足傳染條件時,則將病毒的全部或者一部分寫入Boot區,把正常的磁碟的引導區程序寫入磁碟特寫位置;
(3)返回正常的INT 13H中斷服務處理程序,完成了對目標盤的傳染。
Ⅱ 電腦中感染型病毒怎麼辦
電腦中感染型病毒的解決步驟如下:
1.發現電腦中毒後,立刻斷開網路,防止病毒繁殖或感染。打開「網上鄰居」。點擊「查看網路連接」。
Ⅲ 病毒啊.............
兄弟,能人啊
沒有殺毒軟體卻能發現病毒?!
對於查殺病毒有一個比較好的辦法就是到DOS下去殺。
現在的《電腦迷》《網友世界》的隨刊光碟可以起到這樣的作用!
1.去買一本最新期的《電腦迷》或《網友世界》的雜志。
2.將這個光碟放入光碟機重啟電腦。
用光碟啟動電腦需要光碟機作為第一啟動設備。方法如下:
電腦重啟後按Del鍵進入BIOS。
PhoenixBIOS:Boot→游標選擇至CD-ROM Drive→按小鍵盤的+號使CD-ROM Drive升至第一位。
Phoenix-AwardBIOS: Advanced BIOS Setup→First Boot Device設置為CD-ROM。
AMIBIOS:Advanced BIOS Features→Boot Device Select→1st 改為CD-ROM。
按F10保存設置,重新啟動計算機。
3.在提示從CD啟動時按任意鍵,啟動維護光碟。
4.在進入的界面里用滑鼠選擇「江民殺毒軟體DOS殺毒伴侶」
操作方法很簡單,這里就不細說了。
注意,如果系統引導文件等重要文件感染病毒清除後,可能會因為文件的損壞而無法啟動系統。這是因為病毒損壞了Windows系統的文件,需要重新安裝系統或修復系統才可以。本光碟沒有系統安裝功能,請使用您自己的系統安裝盤安裝或修復系統。
5.如果真是有病毒的話,殺完毒後重啟應該能正常了。
Ⅳ 病毒隨系統自動啟動或自動載入的方式還有哪些
研究的夠深哦~~
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
資源管理器這里也會啟動
還有計劃任務裡面也可能載入
AUTOEXEC.BAT
MSDOS.SYS裡面也會載入,這個是很久之前的方式了
dll載入和作為驅動載入目前比較流行
知道就這么多,樓下繼續補充
Ⅳ 病毒感染會啟動黑屏嗎
目前造成計算機黑屏的原因主要有兩個,一是硬體的故障,二是軟體的沖突,而二者的區別主要在於發生黑屏的位置,即是在開機時發生黑屏,還是在正常啟動機器後,在使用的過程中出現黑屏。 當然,無論是硬體故障,還是軟體的問題,從某種意義上講都不是孤立的,嘗試順著以下的思路去解決,相信黑屏會很快得到妥善的解決。 黑屏硬傷 在開機後突然出現「黑屏」的時候,請讀者先注意聽一下電腦中的PC喇叭是否有報警的聲音。如果PC喇叭發出了報警聲音,那麼我們就可以根據聲音的長短來初步判定可能出現問題的硬體部位。比方說,如果電腦開機時PC喇叭報警聲為一長四短,那麼根據這個提示就可以很容易地判斷出問題就發生在顯示卡上。如果是這樣,讀者就可以打開機箱,看一看自己的顯示卡是否插牢。如果感覺有些松動,請將顯示卡拔出來再重新插入、插緊,然後用螺絲固定。 如果排除了插法的問題,插入卡槽也比較牢固,可以把顯示卡拔出來再換主板上的另一插槽試試。如果用戶的顯示卡不屬於PCI而是新式的AGP插槽板,而電腦主板上又只有一條AGP插槽,可以再另找一塊主板的AGP插槽試一試,排除顯示卡物理方面的故障。如果顯示卡插的也比較緊,而且也排除了物理方面的故障,還有一種可能就是顯示卡本身的「金手指」在正常接觸方面存在問題。如果是這種情況,可以把顯示卡重新拔出,然後找一塊干凈的橡皮在「金手指」上來回擦一擦,因為這種「金手指」方面的接觸不良問題大多是由於其上沾了一些臟東西而導致。 如果電腦開機時PC喇叭報警聲不是一長四短,而是一陣急促的短叫,同時也是出現黑屏的情況,那麼根據現象可以大致判斷您電腦的內存在接觸方面有問題。接觸不良的解決辦法與顯示卡基本一樣,就是把它們拔出來然後再重新插入,注意插的時候一定要一插到底,並將內存槽兩側的卡子卡牢。 一些主板上的SDRAM插槽比較麻煩,因為這些主板上的插槽製作的大都很緊,用戶如果遇到這種情況千萬不能使強用狠,可以用手指托著主板SDRAM插槽的下方,然後再用拇指用力把內存壓下去,聽到一聲微響後證明內存已經探底,最後用卡子固定內存就可以了。 還有一些黑屏現象電腦不會報警,這時最簡單的就是要根據數學上的「排它法」來具體問題具體分析了。先檢查電源接線板是否有問題,將電腦的有關配套部件拆下,換上另外的一些能夠使用的設備來檢查一下電源接線板是否正常工作。如果電源接線板沒有故障,然後按正常的程序檢查計算機電源與主板之間的連接是否正常,也就是說檢查一下主板供電是否正常。 如果插口沒有連接錯就應該檢查電源是否燒了,如果電源燒了電源風扇也會停轉。一些早期的電腦機箱電源常常會出現供點不足的情況,如果懷疑是屬於這種問題,請用戶把所有的硬碟、光碟機、軟碟機的電源線都拔出,然後重新啟動計算機,耗電率大幅降低後,看此情況是否得到解決。如果問題仍然不能解決,請排除主板BIOS被CIH等病毒意外損壞、主板是否有焊頭接觸不良或短路。 除上述以外,隨著CPU的主頻速度不斷提高,電源之於整個PC動力系統的作用也越來越重要。有人把CPU形容作一台電腦的心臟,可能很長時間我們都過於關心心臟是否健康有力,卻忽視了能夠為心臟提供動力和能源的機箱電源。而由於電源的功率不足,也可能造成計算機的黑屏現象。其症狀是開機後可以聽到機箱電源風扇啟動正常,也沒有聽到系統報錯的「滴滴」聲,但機器卻不工作,也沒有開機自檢過程,顯示器黑屏。如果切斷電源後,重新插拔各板卡及內存,確認所有板卡或部件沒有松動的話,那大多是由電源功率不足造成的。 筆者強烈建設,為了您愛機的健康,選購電腦時千萬不要忽視了機箱和電源,買一個額定功率在250瓦以上的電源是對您機器的一種關愛。這里還有一點需要說明,目前市場上很多標明額定功率在250W的電源實際上根本達不到為一要求,這就又引出了我們另一個建議,在買電源時盡量要照顧名牌兒,品牌在這個時候是對您機器安全的有力保證。如果您的機器上安裝有較多的外設,如雙硬碟、雙CPU、雙光碟機、SCSI卡或者其它什麼的,最好找個功率更大的(300~400瓦)或伺服器電源。至於那些P4、雷鳥、GeForce3的用戶則一定要用上300瓦以上的電源,否則,比黑屏更麻煩的事也會層出不窮。 黑屏軟不良 當然,造成黑屏現象大多數是因為PC上的硬傷在作怪,但也並不是絕對如此,軟傷害有時可能更容易蒙蔽用家。在我們使用計算機的過程中,某些黑屏現象也可能是進入了WINDOWS 98/WINME/WIN2000甚至WINXP系統之後出現的軟性故障(不過筆者目前還沒有發現WINDOWS XP的黑屏故障,不過既然也沒有定論,我們權且認為它也有吧)。 如果用戶發現在機器組裝完成後,安裝操作系統等軟體的過程中總出現莫名其妙的問題,甚至突然出現黑屏死機的情況。這里我們有必要排除病毒的原因,因為系統運行中由於病毒作怪而導致黑屏的情況雖然不少,但解決辦法卻是唯一的,那就是殺病毒,沒有什麼可以多說的。相反,由於程序在運行中的報錯或黑屏才更應該引起我們的足夠重視。這里最明顯的就是由於硬體的驅動問題而引發的程序運行故障。該類問題頻繁地發生在一些3D加速顯示卡、PCI音效卡、網卡、SCSI卡、RAID卡等第三方板卡上,而這類問題最多、最明顯的表現方式也就是在應用程序、游戲軟體等運行過程中頻頻死機而導致黑屏。 比方講在玩《地下城守護者II》時,S3的DIAMOND VIPER 770/GEFORCE 2PRO加速顯示卡經常會被游戲拒之門外(不識別顯示卡),甚至游戲還會放棄硬體加速而改用軟體效果。分析造成這一問題的原因,主要是由於游戲源程序在編寫時忽視了標准3D加速晶元或更高端、更新的非主流型3D加速晶元的力量,因此游戲本身在硬體的支持度上做的不盡理想,也影響了產品性能的發揮。再如PCI音效卡、PCI網卡等由於驅動程序與系統應用程序的沖突,導致在機器運行中出現突然黑屏或重新啟動,碰到這種問題讀者可以通過安裝更新版本的驅動程序來加以解決
Ⅵ 啟動淘寶美工助理時老出現被病毒感染是怎麼回事
殺毒軟體不信任,添加信任就好了。
Ⅶ 病毒是怎麼修改引導區
引導區病毒簡介:
引導區病毒是PC機上最早出現的病毒,也是我國最早發現的病毒種類。這類病毒主要感染軟盤的引導扇區和硬碟的引導扇區或者主引導記錄。
一個正常的計算機啟動過程是:計算機讀取引導扇區或者主引導記錄載入其進入內存中,然後引導相應的系統。而一台染有引導區病毒的機器則會先把病毒載入入內存然後才進行正常的引導過程。
在上個世紀八九十年代的時候引導區病毒有很多,如:Stone、Brain、Pingpang、Monkey等,但隨著Windows 的發展,慢慢的有些引導區病毒已經失效了。但仍有一些引導區病毒存活,並且傳染率相當高,常見的就是WYX(Polyboot)病毒。
引導區病毒引起的症狀有:軟盤讀寫出現錯誤、無故讀取軟碟機等。
引導區病毒的傳播方式:
下面主要說一下目前傳播最為廣泛的引導區病毒WYX。這個病毒傳播的唯一途徑就是使用感染有該病毒的啟動盤(包含可啟動的光碟)啟動計算機。如果只是讀取感染有引導區病毒的軟盤或者光碟上的文件是不會被感染。
如果你的機器已經感染該病毒,並且病毒駐留了內存,則你的軟盤如果沒有防寫的話很容易被感染。
WYX病毒的清除:
當你的殺毒軟體查出了機器感染了WYX的時候請不要驚慌,先要看清楚該文件的感染位置。
如果病毒是在SUHDLOG.DAT或SUHDLOG.BAK文件中,那麼直接刪除即可。其實,這是硬碟引導區先染上了引導區病毒,以後在安裝WINDOWS系統時,沒有先查殺病毒,直接就安裝了WINDOWS系統。所以,WINDOWS先將引導區做了一個文件形式的備份,文件SUHDLOG.DAT就是其備份,該文件以隱含的形式存放在WINDOWS系統根目錄下,由於該引導型病毒存在文件中,沒有作用,所以可以直接刪除。
如果病毒只是存在於移動存儲設備(如軟盤、快閃記憶體檔、移動硬碟)上,就可以藉助本地硬碟上的反病毒軟體直接進行查殺,或者乾脆把移動存儲設備上的文件備份到硬碟上,然後重新格式化掉移動存儲設備,再把文件復制回去。
如果病毒確實是在硬碟的引導區上,也不用怕,這類病毒的清除方法很簡單,針對不同的操作系統有不同的清除方法,一般可以不依靠殺毒軟體。不過在清除之前一定要備份原來的引導區,特別是原來裝有別的操作系統的情況,如日文Windows、Linux等。
Windows 95/98/me系統上的清除方法:
1.找一張「干凈」的啟動盤(沒有這個引導區病毒的盤),啟動你的計算機,一般安裝操作系統的時候都會提示您製作啟動盤。如果您手頭沒有啟動盤或者您不能保證啟動盤是否是「干凈」的,您可以在別的計算機上做一張干凈的可引導盤,此引導盤可以在Windows 95/98/me系統上通過「添加/刪除程序」進行製作,但要注意的是,製作軟盤的操作系統須和自己所使用的操作系統相同,也就是說如果你的系統是Windows me的話,你是不能使用一張Windows 98的啟動盤進行下述操作的。
2.用這張軟盤引導啟動帶毒的計算機,然後運行以下命令:
A:\fdisk /mbr [回車]
A:\sys a: c: [回車]
然後重新啟動計算機就可以了。
其中第一行用於清除主引導記錄中的病毒,第二行用於清除C盤引導區上的病毒。
Windows 2000/XP系統上的清除方法:
1.如果你之前通過X:\i386\winnt32.exe /cmdcons命令安裝了恢復控制台可以直接選擇進入。如果以前沒有安裝過恢復控制台則要使用系統的安裝光碟啟動計算機。當出現安裝界面的時候按R選擇「要用『恢復控制台』修復」。系統會提示你登入到哪個系統,請輸入相應的序號然後按回車。
2.然後分別執行fixmbr(恢復主引導記錄)和fixboot(恢復啟動盤上的引導區),再輸入EXIT[回車],重新啟動即可。
清除引導區病毒的注意事項:
1.如果用干凈的啟動盤啟動計算機以後發現不能訪問硬碟,而且硬碟不是NTFS格式,但是用硬碟啟動計算機以後可以訪問硬碟,則說明你的機器感染了可以加密引導區信息的病毒,此時看到的是加密的信息,比如前面提到的「Monkey(猴子)」病毒。遇到這種病毒時你應該讓系統自己引導計算機,讓病毒自己解密,然後用殺毒軟體備份引導區的信息(目前國產的三大殺毒軟體都有此功能),然後再用干凈的啟動盤啟動計算機,把剛剛備份出來的引導區信息再寫回硬碟就可以了。
2.如果你的機器被病毒感染無法啟動,且用軟盤引導也看不到硬碟(硬碟不是NTFS分區)則最好不要對硬碟進行寫操作,應該找有經驗的人員來幫您解決,以免造成不必要的損失。
如何防範引導區病毒:
前面已經提到,引導區病毒只有用染有病毒的軟盤或光碟啟動計算機的時候才會感染,所以養成良好的習慣是防範這種病毒的關鍵:對不明來路的軟盤使用前應該先查毒;不用計算機的時候不要把軟盤、光碟留在驅動器里(許多機器感染這個病毒都是由於用了帶有病毒的可引導光碟啟動計算機所造成的);另外,最好在主板的設置里把防病毒一項打開。
Ⅷ 懂病毒的進來看一下
病毒別名:
病毒大小:21,453 位元組
加殼方式:FSG
樣本MD5:
關聯病毒:
傳播方式:通過惡意網站傳播,通過其它病毒/木馬下載
技術分析
==========
運行後復制自身到%System%\Ravdm.exe,釋放驅動%System%\drivers\Rinld.sys。
創建啟動項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"9"="%System%\Ravdm.exe"
修改QQ目錄下的TIMPlatform.exe,將TIMPlatform.exe改名為TIMPlatfrom.exe,復制病毒文件到TIMPlatform.exe以替換原來正常的TIMPlatform.exe,使得QQ運行時病毒也會被激活。
清除步驟
==========
1. 刪除病毒文件:
%System%\Ravdm.exe
%System%\drivers\Rinld.sys
2. 刪除病毒創建的啟動項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"9"="%System%\Ravdm.exe"
3. 刪除QQ目錄下的TIMPlatform.exe,將TIMPlatfrom.exe改名為TIMPlatform.exe