病毒感染起步
Ⅰ 病毒是如何随系统启动的
在系统运行时,病毒通过病毒载体即系统的外存储器进入系统的内存储器,常驻内存。该病毒在系统内存中监视系统的运行,当它发现有攻击的目标存在并满足条件时,便从内存中将自身存入被攻击的目标,从而将病毒进行传播。 而病毒利用系统INT 13H读写磁盘的中断又将其写入系统的外存储器软盘或硬盘中,再感染其他系统。 可执行文件感染病毒后又怎样感染新的可执行文件 可执行文件.COM或.EXE感染上了病毒,例如黑色星期五病毒,它驻入内存的条件是在执行被传染的文件时进入内存的。 一旦进入内存,便开始监视系统的运行。当它发现被传染的目标时,进行如下操作:
(1)首先对运行的可执行文件特定地址的标识位信息进行判断是否已感染了病毒;
(2)当条件满足,利用INT 13H将病毒链接到可执行文件的首部或尾部或中间,并存大磁盘中;
(3)完成传染后,继续监视系统的运行,试图寻找新的攻击目标。
操作系统型病毒是怎样进行传染的 正常的PC DOS启动过程是:
(1)加电开机后进入系统的检测程序并执行该程序对系统的基本设备进行检测;
(2)检测正常后从系统盘0面0道1扇区即逻辑0扇区读入Boot引导程序到内存的0000:7C00处;
(3)转入Boot执行之;
(4)Boot判断是否为系统盘,如果不是系统盘则提示; non-system disk or disk error Replace and strike any key when ready 否则,读入IBM BIO.COM和IBM DOS.COM两个隐含文件;
(5)执行IBM BIO.COM和IBM DOS.COM两个隐含文件,将COMMAND.COM装入内存;
(6)系统正常运行,DOS启动成功。
如果系统盘已感染了病毒,PC DOS的启动将是另一番景象,其过程为:
(1)将Boot区中病毒代码首先读入内存的0000:7C00处;
(2)病毒将自身全部代码读入内存的某一安全地区、常驻内存,监视系统的运行;
(3)修改INT 13H中断服务处理程序的入口地址,使之指向病毒控制模块并执行之。因为任何一种病毒要感染软盘或者硬盘,都离不开对磁盘的读写操作,修改INT13H中断服务程序的入口地址是一项少不了的操作;
(4)病毒程序全部被读入内存后才读入正常的Boot内容到内存的0000:7C00处,进行正常的启动过程;
(5)病毒程序伺机等待随时准备感染新的系统盘或非系统盘。
如果发现有可攻击的对象,病毒要进行下列的工作:
(1)将目标盘的引导扇区读入内存,对该盘进行判别是否传染了病毒;
(2)当满足传染条件时,则将病毒的全部或者一部分写入Boot区,把正常的磁盘的引导区程序写入磁盘特写位置;
(3)返回正常的INT 13H中断服务处理程序,完成了对目标盘的传染。
Ⅱ 电脑中感染型病毒怎么办
电脑中感染型病毒的解决步骤如下:
1.发现电脑中毒后,立刻断开网络,防止病毒繁殖或感染。打开“网上邻居”。点击“查看网络连接”。
Ⅲ 病毒啊.............
兄弟,能人啊
没有杀毒软件却能发现病毒?!
对于查杀病毒有一个比较好的办法就是到DOS下去杀。
现在的《电脑迷》《网友世界》的随刊光盘可以起到这样的作用!
1.去买一本最新期的《电脑迷》或《网友世界》的杂志。
2.将这个光盘放入光驱重启电脑。
用光盘启动电脑需要光驱作为第一启动设备。方法如下:
电脑重启后按Del键进入BIOS。
PhoenixBIOS:Boot→光标选择至CD-ROM Drive→按小键盘的+号使CD-ROM Drive升至第一位。
Phoenix-AwardBIOS: Advanced BIOS Setup→First Boot Device设置为CD-ROM。
AMIBIOS:Advanced BIOS Features→Boot Device Select→1st 改为CD-ROM。
按F10保存设置,重新启动计算机。
3.在提示从CD启动时按任意键,启动维护光盘。
4.在进入的界面里用鼠标选择“江民杀毒软件DOS杀毒伴侣”
操作方法很简单,这里就不细说了。
注意,如果系统引导文件等重要文件感染病毒清除后,可能会因为文件的损坏而无法启动系统。这是因为病毒损坏了Windows系统的文件,需要重新安装系统或修复系统才可以。本光盘没有系统安装功能,请使用您自己的系统安装盘安装或修复系统。
5.如果真是有病毒的话,杀完毒后重启应该能正常了。
Ⅳ 病毒随系统自动启动或自动加载的方式还有哪些
研究的够深哦~~
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
资源管理器这里也会启动
还有计划任务里面也可能加载
AUTOEXEC.BAT
MSDOS.SYS里面也会加载,这个是很久之前的方式了
dll加载和作为驱动加载目前比较流行
知道就这么多,楼下继续补充
Ⅳ 病毒感染会启动黑屏吗
目前造成计算机黑屏的原因主要有两个,一是硬件的故障,二是软件的冲突,而二者的区别主要在于发生黑屏的位置,即是在开机时发生黑屏,还是在正常启动机器后,在使用的过程中出现黑屏。 当然,无论是硬件故障,还是软件的问题,从某种意义上讲都不是孤立的,尝试顺着以下的思路去解决,相信黑屏会很快得到妥善的解决。 黑屏硬伤 在开机后突然出现“黑屏”的时候,请读者先注意听一下电脑中的PC喇叭是否有报警的声音。如果PC喇叭发出了报警声音,那么我们就可以根据声音的长短来初步判定可能出现问题的硬件部位。比方说,如果电脑开机时PC喇叭报警声为一长四短,那么根据这个提示就可以很容易地判断出问题就发生在显示卡上。如果是这样,读者就可以打开机箱,看一看自己的显示卡是否插牢。如果感觉有些松动,请将显示卡拔出来再重新插入、插紧,然后用螺丝固定。 如果排除了插法的问题,插入卡槽也比较牢固,可以把显示卡拔出来再换主板上的另一插槽试试。如果用户的显示卡不属于PCI而是新式的AGP插槽板,而电脑主板上又只有一条AGP插槽,可以再另找一块主板的AGP插槽试一试,排除显示卡物理方面的故障。如果显示卡插的也比较紧,而且也排除了物理方面的故障,还有一种可能就是显示卡本身的“金手指”在正常接触方面存在问题。如果是这种情况,可以把显示卡重新拔出,然后找一块干净的橡皮在“金手指”上来回擦一擦,因为这种“金手指”方面的接触不良问题大多是由于其上沾了一些脏东西而导致。 如果电脑开机时PC喇叭报警声不是一长四短,而是一阵急促的短叫,同时也是出现黑屏的情况,那么根据现象可以大致判断您电脑的内存在接触方面有问题。接触不良的解决办法与显示卡基本一样,就是把它们拔出来然后再重新插入,注意插的时候一定要一插到底,并将内存槽两侧的卡子卡牢。 一些主板上的SDRAM插槽比较麻烦,因为这些主板上的插槽制作的大都很紧,用户如果遇到这种情况千万不能使强用狠,可以用手指托着主板SDRAM插槽的下方,然后再用拇指用力把内存压下去,听到一声微响后证明内存已经探底,最后用卡子固定内存就可以了。 还有一些黑屏现象电脑不会报警,这时最简单的就是要根据数学上的“排它法”来具体问题具体分析了。先检查电源接线板是否有问题,将电脑的有关配套部件拆下,换上另外的一些能够使用的设备来检查一下电源接线板是否正常工作。如果电源接线板没有故障,然后按正常的程序检查计算机电源与主板之间的连接是否正常,也就是说检查一下主板供电是否正常。 如果插口没有连接错就应该检查电源是否烧了,如果电源烧了电源风扇也会停转。一些早期的电脑机箱电源常常会出现供点不足的情况,如果怀疑是属于这种问题,请用户把所有的硬盘、光驱、软驱的电源线都拔出,然后重新启动计算机,耗电率大幅降低后,看此情况是否得到解决。如果问题仍然不能解决,请排除主板BIOS被CIH等病毒意外损坏、主板是否有焊头接触不良或短路。 除上述以外,随着CPU的主频速度不断提高,电源之于整个PC动力系统的作用也越来越重要。有人把CPU形容作一台电脑的心脏,可能很长时间我们都过于关心心脏是否健康有力,却忽视了能够为心脏提供动力和能源的机箱电源。而由于电源的功率不足,也可能造成计算机的黑屏现象。其症状是开机后可以听到机箱电源风扇启动正常,也没有听到系统报错的“滴滴”声,但机器却不工作,也没有开机自检过程,显示器黑屏。如果切断电源后,重新插拔各板卡及内存,确认所有板卡或部件没有松动的话,那大多是由电源功率不足造成的。 笔者强烈建设,为了您爱机的健康,选购电脑时千万不要忽视了机箱和电源,买一个额定功率在250瓦以上的电源是对您机器的一种关爱。这里还有一点需要说明,目前市场上很多标明额定功率在250W的电源实际上根本达不到为一要求,这就又引出了我们另一个建议,在买电源时尽量要照顾名牌儿,品牌在这个时候是对您机器安全的有力保证。如果您的机器上安装有较多的外设,如双硬盘、双CPU、双光驱、SCSI卡或者其它什么的,最好找个功率更大的(300~400瓦)或服务器电源。至于那些P4、雷鸟、GeForce3的用户则一定要用上300瓦以上的电源,否则,比黑屏更麻烦的事也会层出不穷。 黑屏软不良 当然,造成黑屏现象大多数是因为PC上的硬伤在作怪,但也并不是绝对如此,软伤害有时可能更容易蒙蔽用家。在我们使用计算机的过程中,某些黑屏现象也可能是进入了WINDOWS 98/WINME/WIN2000甚至WINXP系统之后出现的软性故障(不过笔者目前还没有发现WINDOWS XP的黑屏故障,不过既然也没有定论,我们权且认为它也有吧)。 如果用户发现在机器组装完成后,安装操作系统等软件的过程中总出现莫名其妙的问题,甚至突然出现黑屏死机的情况。这里我们有必要排除病毒的原因,因为系统运行中由于病毒作怪而导致黑屏的情况虽然不少,但解决办法却是唯一的,那就是杀病毒,没有什么可以多说的。相反,由于程序在运行中的报错或黑屏才更应该引起我们的足够重视。这里最明显的就是由于硬件的驱动问题而引发的程序运行故障。该类问题频繁地发生在一些3D加速显示卡、PCI声卡、网卡、SCSI卡、RAID卡等第三方板卡上,而这类问题最多、最明显的表现方式也就是在应用程序、游戏软件等运行过程中频频死机而导致黑屏。 比方讲在玩《地下城守护者II》时,S3的DIAMOND VIPER 770/GEFORCE 2PRO加速显示卡经常会被游戏拒之门外(不识别显示卡),甚至游戏还会放弃硬件加速而改用软件效果。分析造成这一问题的原因,主要是由于游戏源程序在编写时忽视了标准3D加速芯片或更高端、更新的非主流型3D加速芯片的力量,因此游戏本身在硬件的支持度上做的不尽理想,也影响了产品性能的发挥。再如PCI声卡、PCI网卡等由于驱动程序与系统应用程序的冲突,导致在机器运行中出现突然黑屏或重新启动,碰到这种问题读者可以通过安装更新版本的驱动程序来加以解决
Ⅵ 启动淘宝美工助理时老出现被病毒感染是怎么回事
杀毒软件不信任,添加信任就好了。
Ⅶ 病毒是怎么修改引导区
引导区病毒简介:
引导区病毒是PC机上最早出现的病毒,也是我国最早发现的病毒种类。这类病毒主要感染软盘的引导扇区和硬盘的引导扇区或者主引导记录。
一个正常的计算机启动过程是:计算机读取引导扇区或者主引导记录加载其进入内存中,然后引导相应的系统。而一台染有引导区病毒的机器则会先把病毒加载入内存然后才进行正常的引导过程。
在上个世纪八九十年代的时候引导区病毒有很多,如:Stone、Brain、Pingpang、Monkey等,但随着Windows 的发展,慢慢的有些引导区病毒已经失效了。但仍有一些引导区病毒存活,并且传染率相当高,常见的就是WYX(Polyboot)病毒。
引导区病毒引起的症状有:软盘读写出现错误、无故读取软驱等。
引导区病毒的传播方式:
下面主要说一下目前传播最为广泛的引导区病毒WYX。这个病毒传播的唯一途径就是使用感染有该病毒的启动盘(包含可启动的光盘)启动计算机。如果只是读取感染有引导区病毒的软盘或者光盘上的文件是不会被感染。
如果你的机器已经感染该病毒,并且病毒驻留了内存,则你的软盘如果没有写保护的话很容易被感染。
WYX病毒的清除:
当你的杀毒软件查出了机器感染了WYX的时候请不要惊慌,先要看清楚该文件的感染位置。
如果病毒是在SUHDLOG.DAT或SUHDLOG.BAK文件中,那么直接删除即可。其实,这是硬盘引导区先染上了引导区病毒,以后在安装WINDOWS系统时,没有先查杀病毒,直接就安装了WINDOWS系统。所以,WINDOWS先将引导区做了一个文件形式的备份,文件SUHDLOG.DAT就是其备份,该文件以隐含的形式存放在WINDOWS系统根目录下,由于该引导型病毒存在文件中,没有作用,所以可以直接删除。
如果病毒只是存在于移动存储设备(如软盘、闪存盘、移动硬盘)上,就可以借助本地硬盘上的反病毒软件直接进行查杀,或者干脆把移动存储设备上的文件备份到硬盘上,然后重新格式化掉移动存储设备,再把文件复制回去。
如果病毒确实是在硬盘的引导区上,也不用怕,这类病毒的清除方法很简单,针对不同的操作系统有不同的清除方法,一般可以不依靠杀毒软件。不过在清除之前一定要备份原来的引导区,特别是原来装有别的操作系统的情况,如日文Windows、Linux等。
Windows 95/98/me系统上的清除方法:
1.找一张“干净”的启动盘(没有这个引导区病毒的盘),启动你的计算机,一般安装操作系统的时候都会提示您制作启动盘。如果您手头没有启动盘或者您不能保证启动盘是否是“干净”的,您可以在别的计算机上做一张干净的可引导盘,此引导盘可以在Windows 95/98/me系统上通过“添加/删除程序”进行制作,但要注意的是,制作软盘的操作系统须和自己所使用的操作系统相同,也就是说如果你的系统是Windows me的话,你是不能使用一张Windows 98的启动盘进行下述操作的。
2.用这张软盘引导启动带毒的计算机,然后运行以下命令:
A:\fdisk /mbr [回车]
A:\sys a: c: [回车]
然后重新启动计算机就可以了。
其中第一行用于清除主引导记录中的病毒,第二行用于清除C盘引导区上的病毒。
Windows 2000/XP系统上的清除方法:
1.如果你之前通过X:\i386\winnt32.exe /cmdcons命令安装了恢复控制台可以直接选择进入。如果以前没有安装过恢复控制台则要使用系统的安装光盘启动计算机。当出现安装界面的时候按R选择“要用‘恢复控制台’修复”。系统会提示你登入到哪个系统,请输入相应的序号然后按回车。
2.然后分别执行fixmbr(恢复主引导记录)和fixboot(恢复启动盘上的引导区),再输入EXIT[回车],重新启动即可。
清除引导区病毒的注意事项:
1.如果用干净的启动盘启动计算机以后发现不能访问硬盘,而且硬盘不是NTFS格式,但是用硬盘启动计算机以后可以访问硬盘,则说明你的机器感染了可以加密引导区信息的病毒,此时看到的是加密的信息,比如前面提到的“Monkey(猴子)”病毒。遇到这种病毒时你应该让系统自己引导计算机,让病毒自己解密,然后用杀毒软件备份引导区的信息(目前国产的三大杀毒软件都有此功能),然后再用干净的启动盘启动计算机,把刚刚备份出来的引导区信息再写回硬盘就可以了。
2.如果你的机器被病毒感染无法启动,且用软盘引导也看不到硬盘(硬盘不是NTFS分区)则最好不要对硬盘进行写操作,应该找有经验的人员来帮您解决,以免造成不必要的损失。
如何防范引导区病毒:
前面已经提到,引导区病毒只有用染有病毒的软盘或光盘启动计算机的时候才会感染,所以养成良好的习惯是防范这种病毒的关键:对不明来路的软盘使用前应该先查毒;不用计算机的时候不要把软盘、光盘留在驱动器里(许多机器感染这个病毒都是由于用了带有病毒的可引导光盘启动计算机所造成的);另外,最好在主板的设置里把防病毒一项打开。
Ⅷ 懂病毒的进来看一下
病毒别名:
病毒大小:21,453 字节
加壳方式:FSG
样本MD5:
关联病毒:
传播方式:通过恶意网站传播,通过其它病毒/木马下载
技术分析
==========
运行后复制自身到%System%\Ravdm.exe,释放驱动%System%\drivers\Rinld.sys。
创建启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"9"="%System%\Ravdm.exe"
修改QQ目录下的TIMPlatform.exe,将TIMPlatform.exe改名为TIMPlatfrom.exe,复制病毒文件到TIMPlatform.exe以替换原来正常的TIMPlatform.exe,使得QQ运行时病毒也会被激活。
清除步骤
==========
1. 删除病毒文件:
%System%\Ravdm.exe
%System%\drivers\Rinld.sys
2. 删除病毒创建的启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"9"="%System%\Ravdm.exe"
3. 删除QQ目录下的TIMPlatform.exe,将TIMPlatfrom.exe改名为TIMPlatform.exe