本文目录一览:
- 1、哪些行为可能会导致电脑被安装木马程序?
- 2、移动硬盘中毒的特征
- 3、Windows defender在插上移动硬盘后提示有可能有木马或病毒,在检测结果却没有是什么情况
- 4、我的电脑一插上移动硬盘就显示出有病毒,不管是谁的盘都会这样,而且是相同的病毒,请问这是怎么回事?
- 5、为什么插上移动硬盘后老是出现一个病毒?每次都查杀,下次插上还是出现?
- 6、我的移动硬盘只要一插上我电脑就会出现recycler病毒
哪些行为可能会导致电脑被安装木马程序?
下载不明来源的文件、陌生邮件、无意中浏览了一些含有恶意代码的网站或网页。
黑客最常使用骗别人执行木马的方法,就是将特洛伊木马说成为图像文件,比如说是照片等,应该说这是一个最不合逻辑的方法,但却是最多人中招的方法,有效而又实用。
只要入侵者扮成美眉及更改服务器程序的文件名(例如 sam.EⅩE )为“类似”图像文件的名称,再假装传送照片给受害者,受害者就会立刻执行它。为甚么说这是一个不合逻辑的方法图像文件的扩展名根本就不可能是 exe,而木马程序的扩展名基本上又必定是 exe。
通常有经验的用户,是不会将图像文件和可执行文件混淆的,所以很多入侵者一不做二不休,干脆将木马程序说成是应用程序。
用户电脑感染木马也不容易及时感知到。木马在占用用户电脑资源时会十分智能与“克制”,“它会时刻监测用户电脑的CPU资源消耗,比如用户正在玩游戏,CPU占用率太高,木马就会暂停征用这台电脑进行挖矿,以免用户察觉到。
挖矿木马这么做可不是因为太有“职业操守”,而是避免自己在操作时CPU资源占用过度,导致电脑太慢、发热,从而被用户发现。一旦用户离开电脑,电脑息屏后,“潜伏”的木马就会在电脑上全速启动挖矿。
移动硬盘中毒的特征
文件都消失了、移动硬盘的速度极慢。
第一,用户打开移动硬盘的时候,发现里面的文件夹和文件很多都不见了,或者部分找不到了,而在查看移动硬盘内存的时候,发现去占用了一定的空间,这是因为移动硬盘被侵入了病毒,然后隐藏了文件或者文件夹所致。
第二,虽然移动硬盘中的文件和文件夹都在,但是查看它的属性,用户就会发现,本来几百兆的文件夹变成了几KB,这主要是因为文件或文件夹被隐藏的同时自动生成了快捷方式。
第三,用户进入移动硬盘的速度极慢,双击进入时总是显示被某某程序占用之类的提示,或者会出现“自动播放”、“Auto”等字样,这些都是移动硬盘被侵入病毒的具体表现。
第四,用户在使用的时候,突然无法进入移动硬盘的某个分区,例如无法进入C盘或者D盘,这时用户就要当心了,有可能移动硬盘被病毒入侵了。
以上四点就是移动硬盘中病毒后的表现,而用户在碰到这些情形的时候,一定不能硬来,要及时关掉电脑,然后重启,不停长铵F8,在安全模式下对电脑进行全面查杀,这样就能去除移动硬盘中的病毒。
Windows defender在插上移动硬盘后提示有可能有木马或病毒,在检测结果却没有是什么情况
一般的360或腾讯电脑管家,都会在检测的时候将移动硬盘隔离,提示可能有病毒也是正常的
我的电脑一插上移动硬盘就显示出有病毒,不管是谁的盘都会这样,而且是相同的病毒,请问这是怎么回事?
电脑如果被移动硬盘感染病毒的话。一般来说病毒都是通过移动硬盘中的Autorun.inf文件。你打开我的电脑→工具→文件夹选项→查看→去掉隐藏系统文件前面的对号。就可以找到那个文件。把它删除了。
要是预防的话,就是在你插移动硬盘的时候一直按着shift键。一直等到弹出窗口就送开。然后打开的时候用右键单击选打开。以后就能防止了
为什么插上移动硬盘后老是出现一个病毒?每次都查杀,下次插上还是出现?
U盘对病毒的传播要借助autorun.inf文件的帮助,病毒首先把自身复制到u盘,然后创建一个autorun.inf,在你双击u盘时,会根据autorun.inf中的设置去运行u盘中的病毒,我们只要可以阻止autorun.inf文件的创建,那么U盘上就算有病毒也只能躺着睡大觉了,大家可能也想到这个,但是不管给autorun.inf设置了什么属性,病毒都会更改它,我提到的方法就是,在根目录下,删除autorun.inf文件,然后,根目下建立一个文件夹,名字就叫autorun.inf,这样一来,因为在同一目录下,病毒就无能为力,创建不了autorun.inf文件了,以后会不会出新病毒,自动去删文件夹,然后再建立文件就不知道了,但至少现阶段,这种方法是非常有效的。但是,由于这个文件夹可以被改名,因此许多新的木马和病毒采用改名后再创建autorun.inf文件来达到感染U盘的目的。不过对于安全意识强的用户,用这种方法来判断自己的U盘是否遭到感染也未尝不可。
[编辑本段]现状分析
事实表明,目前已经有新的病毒能够有意识地检测autorun.inf的存在,对于能直接删除的则删之,对于“无法删除”的则用重命名的方式毁之;还有一种很早就出现的以文件名诱骗用户点击的病毒(如:重要文件.exe,小说.exe)。对于以上这两种传播方式的病毒,仅仅建立autorun.inf文件夹是抵御不了的。
[编辑本段]应对策略
1、在插入U盘时按住键盘 shift 键直到系统提示“设备可以使用”,然后打开U盘时不要双击打开,也不要用右键菜单的打开选项打开,而要使用资源管理器(打开我的电脑,按下上面的“文件夹”按钮,或者开始-所有程序-附件-windows资源管理器)将其打开,或者使用快捷键winkey+E打开资源管理器后,一定通过左侧栏的树形目录打开可移动设备!(要养成这样的良好习惯)
2、如果盘内有来路不明的文件,尤其是文件名比较诱惑人的文件,必须多加小心;需要特别提示的是,不要看到图标是文件夹就理所当然是文件夹,不要看到图标是记事本就理所当然是记事本,伪装图标是病毒惯用伎俩。
3、要有显示文件扩展名的习惯 。方法:打开“我的电脑”,工具--文件夹选项--查看,去掉“隐藏已知文件类型的扩展名”的勾,建议选择显示扩展名同时选上“显示隐藏文件”,去掉“不显示系统文件”的勾,这样可以对病毒看得更清楚。有图标的诱人的病毒文件基本都是可执行文件,显示文件扩展名之后,通过文件名后的".exe"即可判断出一个文件可执行文件,从而不会把伪装的病毒可执行文件误认为是正常文件或文件夹。
4、最后不管你用什么办法,或者用什么软件,插入U盘然后用这个方法检验你有没有中Autorun.inf型病毒的风险。
下面这个批处理可以检验你插入或打开U盘时是否有激活病毒的风险。运行这个批处理,然后按提示操作。注,批处理使用方法:打开开始菜单-附件-记事本,复制批处理内容进去,文件-另存为-文件名:xxxxxxx.bat,保存类型:所有文件-保存。然后找到你保存的位置,会出现一个批处理文件,双击运行即可。
@echo offsetlocal enabledelayedexpansion
echo 请在U盘和电脑没有病毒的情况下插入一个U盘set /p "d=请输入U盘的盘符(比如输入H): "
set "d=!d:~0,1!"set "a=autorun.inf.!random!.tmp"
if exist !d!:\autorun.inf attrib.exe -s -h -r !d!:\autorun.infren !d!:\autorun.inf !a!
(echo [autorun]echo open=calc.exeecho shellexecute=calc.exeecho shell=explore
echo shell\open\command=calc.exeecho shell\explore\command=calc.exe)!d!:\autorun.inf
echo 现在删除并重新插入U盘echo 打开U盘,如果出现"计算器"echo 说明你有中Autorun.inf类型病毒的机会
echo 完成后按任意键继续pausenul
del !d!:\autorun.infif exist !d!:\!a! ren !d!:\!a! autorun.infgoto :eof
推荐的其他方法:
1、推荐一种彻底拒绝Autorun.inf类型病毒的方法.
运行下面这个批处理,就可以保证插入以及打开磁盘时不中病毒(不会占用计算机资源,运行一次即可对当前用户名生效):
@ECHO off
REG.exe DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 /f
REG.exe ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
ECHO HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 []%temp%\temp.txt
REGINI.exe %temp%\temp.txt
GOTO :eof
如果想再恢复Autorun.inf功能运行这个批处理:
@ECHO off
ECHO HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 [7]%temp%\temp.txt
REGINI.exe %temp%\temp.txt
REG.exe DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 /f
REG.exe ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
GOTO :eof
2、对于伪装型病毒,可以通过它的可执行属性判断出来。
除通过选择文件夹选项“不隐藏扩展名”外,不喜欢显示所有为文件扩展名的用户还可以通过这种方式将可执行文件的特征--".exe"扩展名显示出来,这样病毒伪装成的文件或文件夹会多出一个".exe"。
以管理员身份运行下面的批处理:
@ECHO off
REG.exe ADD HKCR\exefile /v AlwaysShowExt /t REG_SZ /f
TASKKILL.exe /im explorer.exe /f
START %windir%\explorer.exe
GOTO :eof
要恢复不显示exe扩展名运行这个批处理:
@ECHO off
REG.exe DELETE HKCR\exefile /v AlwaysShowExt /f
TASKKILL.exe /im explorer.exe /f
START %windir%\explorer.exe
GOTO :eof
简单处理办法:
电脑硬盘个个分区下都出现了“autorun.inf”文件夹,也不知道是什么时候染上的病毒“遗孀”
用粉碎文件都不行,怎么删也删不掉。
想了好久,终于想起用DOS命令是最好的,也是最干净的!
方法如下:
假设autorun.inf文件夹是在D盘,操作如下: 打开“开始”,选择“运行”,输入“CMD”,打开命令行窗口,在命令行窗口中输入一下命令:
第一步:输入D: 然后回车
第二步:输入rmdir /s autorun.inf 然后回车
第三步:当出现提示时,按“Y”,并回车
其他盘照此方法执行即可!!
我的移动硬盘只要一插上我电脑就会出现recycler病毒
这个病毒一般的杀毒软件都可以杀的,把软件升级更新下病毒库,彻底查杀一下,另附网络来源解决方法,希望对你有用
清理本机上的病毒:
1:首先打开 我的电脑-工具-查看-把文件夹选项改为显示受保护的系统文件,显示所有
文件,显示扩展名,因为后面要删除的wincfgs.exe的属性是 隐藏,只读,系统,普通查
看方式找不到。
2:然后打开任务管理器,杀掉wincfgs.exe进程,仔细找。
3:打开msconfig(开始--运行--msconfig),去掉wincfgs.exe(没有省略)。
4:打开注册表(regedit)查找wincfgs.exe(我喜欢用这个,方便并且保险),找到的
一律删除。如果你有兴趣,自己找吧HKLM \SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows 其中Load = “C:\ windows\system32\wincfgs.exe” 删掉它。
还有HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared
Tools\MSConfig\startupreg\Load 删
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache 删
推荐搜索啦。。。
5:找到c:/windows/KB20060111.exe(记事本图标)和c:
/windows/system32/wincfgs.exe(问好图标)删掉。
手动清理mp3/u盘上的病毒:
首先确认一下是否感染病毒,最简单的就是看看右键菜单是否异常,如果感染了,往下
看。。
1、设置一下能看到系统隐藏文件,显示文件扩展名。
2、按住键盘上的“Shift”键,插入优盘 打开U盘/MP3时不要双击,右键选打开,不要选英文
的OPEN。找到recycler文件夹,删,再删除autorun.exe和autorun.inf.
3、并找一下u盘里所有的文件夹下是否有对应的文件夹名(图标也是文件夹的)的 .exe
文件,删除之。
4、把u盘拔了重新插上,就可以发现右键菜单正常了,这是也可以双击进入了。
右键点击删除的文件 的属性,把 只读 钩去掉改为 存档 之后在删除
因为KB20060111.exe病毒名字与日期有关,每台电脑都不一样,以下方法是用批处理删除
文件、导入清理注册表,请根据情况修改使用:
1、删除文件:记事本写下以下内容,点“文件-另存为”,保存类型选择“所有文件”,文
件名为1.bat,然后双击运行文件。
@echo off
tskill wincfgs
attrib -R -A -S -H C:\windows\system32\wincfgs.exe
attrib -R -A -S -H C:\WINDOWS\KB20060111.exe
del C:\windows\system32\wincfgs.exe
del C:\WINDOWS\KB20060111.exe
del %0
附录:关于开机弹出记事本的蠕虫
开机开自动打开记事本程序。经过对样本的分析,确认此现象是蠕虫行为,特此提醒广大
网友警惕。
这个蠕虫目前绝大多数的主流杀毒软件都可以查杀,请发现此现象的朋友升级杀毒软件进
行杀毒!
以下是对此蠕虫做的一些简单分析:
蠕虫名称:Worm.Win32.Delf.aj(AVP)
蠕虫别名:Trojan.Spy.UsbSpy.a(瑞星)、TrojanSpy.USBSpy.a(江民)
蠕虫大小:47,104字节
加壳方式:UPX
MD5:07adddef653a702b9a11edbcee07e82b
CRC32:100A382A
发作现象:
电脑开机时会自动弹出记事本,会生成wincfgs.exe、KB20060111.exe等文件
行为分析:
1. 在注册表中创建USBSpyRunMutex互斥量,避免重复感染。
2. 在系统中生成
C:\%system%\wincfgs.exe(系统、隐藏、只读属性)
C:\%WINDOWS%\KB20060111.exe(大小66,560 字节,非病毒,是记事本程序)
3. 在注册表中添加:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Load =“C:\windows\system32\wincfgs.exe”
4. 在移动设备中生成RECYCLER\RECYCLER目录和autorun.inf,在这个目录下生成
autorun.exe、desktop.ini。
autorun.inf的内容:
[autorun]
open=.\RECYCLER\RECYCLER\autorun.exe
shell\1=Open
shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe
shell\2\=Browser
shell\2\Command=.\RECYCLER\RECYCLER\autorun.exe
shellexecute=.\RECYCLER\RECYCLER\autorun.exe
autorun.exe同wincfgs.exe
desktop.ini的内容:
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
由此可见,当含有病毒的移动设备接入电脑时,蠕虫会被自动运行。