病毒感染:Backdoor.Hupigon.bslt

Backdoor的意思是:秘密的、后门。相似短语：by the back door 用隐蔽或不正当的方法, 走后门。back door 后门，秘密途径。back door selling 后门销售。back door interference 后门干扰。through the back door through the back door 走后门（形容一人以不正当的手段, 得到一份工作或是入学许可）。door back stop 门挡。back door listing 借壳上市，后门上市 借壳上市是指一间私人公司透过把资产注入一间市值较低的已上市公司，得到该公司一定程度的控股权，利用其上市公司地位，使母公司的资产得以上市。通常该壳公司会被改名。Does the back door have a lock on it 后门有没有装锁。at the door prep 临近。be on the door 守门, 门口值勤。相似单词：back door a.不正当的；可疑的；私下的；秘密的；后门的。 ad. 不正当地；可疑地；私下地；秘密地；后门地。door n.门，门户；途径（这里指的是BBS站的扩充功能或扩充程序, 如较常见的有DOORWAY等程序）。BACK 背脊，背部。Back ad. 向后，在后；回，回原处；以前；n. 背，背部；背后，后面。a. 后面的。vt. 支持。back n. 后部；后面；背面；反面。人体的背部，脊椎骨；动物的脊背。后襟。椅子的靠背；椅背。（足球等）后卫。adj.位置在后的。以前的，过去的。door to door a. 挨户访问的，按户送达的。ad. 挨户访问地，按户送达地。back to back a.背靠背的；连续的；一个接一个的 n.连排式房屋（侧面和背面相连接）。door hinge n. 门的铰链。closed door a. 非公开的；闭关。door way n.门口。Backdoor例句：1、She slipped out the back door as Ribby returned.利比回来时，她从后门溜了出去。2、The back door burst open, and he found himself surrounded by policemen.接着后门被撞开了，他发现他被一群警察包围了。3、The thief goes out from the back door of a house.小偷从房子的后门溜出去了。4、We were all in the kitchen, and Peter Hobbs came in. He nearly broke the back door down.我们都在厨房，随后彼特霍布斯进来了，他几乎把后门给砸倒了。5、Mama came in the back door carrying two bags of groceries.妈妈提着两袋食品走进了后门。6、I remember standing at that back door and watching cows graze.我还记得我曾站在后门口看牛群吃草。7、Your dog"s barking at the back door to get in.你的狗狗在后门不停的吠叫着要进门。8、Does the back door have a lock on it?后门有锁吗？9、The thief goes out from the back door of a house.小偷从房子的后门溜出去了。10、I mistakenly went out the back door of the hotel bar onto a dark deserted Waikiki street.我错误地从旅店酒吧后门走出，进入了一条荒芜黑暗的街道。11、He spat so that the spittle hit the back door of the sedan and walked away.他啐了一口唾沫，让唾沫打在轿车的后门上，然后走开。12、This is what happens when you hear the back door opening and know an intruder is on the scene.当你听到后门打开，发现有人闯入自家时，这一切就会发生。13、We were all in the kitchen,and Peter Hobbs came in.He nearly broke the back door down.我们都在厨房，随后彼特霍布斯进来了，他几乎把后门给砸倒了。14、The back door of the office opens into a small lane.办公室的后门通向一条小巷。15、The back door of the office opens into a small lane.办公室的后门通向一条小巷。

关于后门的英文介绍如下：backdoor/gate。关于学习英文的技巧介绍如下：1、学习英语的方法：找到适合的方法，坚持学习，找到学习方法，能够快速的进入英语学习状态。2、听力与口语：英语听力与口语学习要想达到炉火纯青的地步，自然少不了多听多练多积累。3、英语阅读与写作：英语阅读和写作是相辅相成的。4、文章读多了，自然就得到许多有用的英语句子、结构，也能够模仿别人文章的篇幅布局，学着写作。5、平时可以多与同学朋友交流英语学习心得，请教老师英语问题，多用英语与他人沟通、交流。关于小学英语的介绍如下：小学英语这一时期学生的语法、词汇及会话技能构建的关键时期;处于机械记忆阶段，学得快忘的也很快，语言应用能力不强;开始需要面对学校考试的压力。主要针对在校学生，7-11岁的儿童在学校已经开始接触少量词汇并对口语会话有了进一步要求。而且这个阶段对于打好语音语调基础至关重要，由于公立学校班级人数过多的因素，儿童在这一阶段很容易产生"把英语当成学科而不是语言"的错觉;大量时间放在语言输入上而降低了语言输出能力;具体表现就是背单词，背课文，没有主动表达，没有兴趣。因此，通过紧贴新课标的学习进度，系统地梳理各个语法点;消化语言输入，学会主动表达，锻炼自己的胆量，纠正自己的发音;储备一定量的词汇，显著提高在校学习成绩，最重要的保持对英语的兴趣，而不是走向哑巴英语。小学英语的教学目的是培养学生学习英语的浓厚兴趣和良好的语言习惯，打好语音发音基础，培养学生听、说、读、写的初步能力和口头交际能力。

病毒名称：Backdoor.Win32.IRCBot.st 病毒类型：后门 危害等级：B+ 文件长度：9,609 字节 文件MD5：9928a1e6601cf00d0b7826d13fb556f0 公开范围：完全公开 感染系统：Win9x以上所有版本 开发工具：Microsoft Visual C++ 6.0 加壳类型：MEW 病毒描述： 近日来，一种新的BOT蠕虫现身网络，该病毒会利用微软MS06-040高危漏洞进行传播。目前已经有多个变种。修改多处注册表键，用以关闭杀毒软件、防火墙降低系统安全性

这样杀杀：下载一个360木马专杀大全，一个360安全卫士到硬盘里，开机进入“安全模式”，运行360木马专杀大全的superkiller.exe，查杀结束，如果提示重新启动，启动再次进入“安全模式”，安装360安全卫士，执行清理恶评插件-查杀流行木马，提示重启则重启进入系统，升级杀毒软件，全盘杀毒。运行360，执行修复系统和软件漏洞。记住一定要先使用木马专杀大全杀一遍才安装360安全卫士，不然360安全卫士可能启动不了。开机多按几下F8就可看见进入安全模式的界面，把光标移动到安全模式上，按回车就可以了。

分类: 电脑/网络 >> 反病毒 问题描述: 在安全模式下扫描没有出现 解析: backdoor.win32. 顾名思义即“灰鸽子后门木马”，制作者把此木马的终端文件制作成一个大小仅为270-280k的自释放安装的压缩包，而恶意散布者则通常将其夹在某些文件、电影或程序的压缩包内以达到掩盖的目的，这样的“大压缩包”通常形式也是一个【自释放压缩包】，但它与一般的自释放压缩包不同在于——散步者在压缩包的〖注释〗里加入了这样几行命令参数： ;下面的注释包含自解压脚本命令 Setup=XXX.exe Silent=1 Overwrite=1 （XXX表示“灰鸽子”木马真实文件的伪装名称，通常会是诸如“某某软件名”、“ *** 密码”等等诱惑性名称，大家务必自省自制！！！） 注意：就是这样几行脚本命令，使得你在警惕性不高的情况下、随意自解压【大压缩包】的同时，真正的“灰鸽子”木马注入文件即“XXX.exe”将在电脑后台以完全静默方式完成“注入”！！！——之所以你察觉不到它注入的过程，就是“Silent=1”这条命令产生的效果。于是，“灰鸽子”木马便这样悄然地进驻你的电脑 里。 从这个注入过程的分析，大家可以看出，防止“Backdoor.GPigeon.uac”即“灰鸽子”木马进驻电脑的最主动措施是大家自己平日里使用电脑时多访问正当、有益的网站或网页，即便为了获取软件注册工具（当然我还是希望大家尊重知识产权，积极付费使用正当软件）也要到诸如“华军”、“太平洋”等大站去，不要轻易相信网络上由不明身份的小网页、黑网页提供的所谓“软件注册机”，更不要相信所谓的“成人资讯网站免费会员帐号/破解密码”之类的网络垃圾信息。 一旦Backdoor.GPigeon.uac被注入你的电脑，一般情况下最近的各种杀毒软件是能够截杀它，但是不能完全、彻底地清除木马的“毒根”，究其原是因为“灰鸽子”的的*.exe文件不能被各杀毒软件查到——“灰鸽子”不属于定时发作型木马，只在每次电脑启动到系统正常这一段很短的时间内发作，主文件被注册成一个服务，每次正常启动将释放*.dll和*_hook.dll病毒体，把他们注入像explorer.exe,iexplore.exe,csrss.exe,lsass.exe等系统进程，因此各种杀毒软件可以查出并及时截杀，但总不能找到“毒根”。有的朋友常会误认为安全模式下可以用杀毒软件杀掉它，但事实上是安全模式下不启动服务，因此所有的*.exe没有被激活，当然病毒体也不例外，那么它注入病毒体的过程也不发作，而多数杀毒软件引擎以病毒运行特征为监视手段，没了“注入”这一特征性动作，杀毒软件又从何发现病毒呢？所以安全模式下多数杀毒软件也不能捉到病毒。 但这并不意味着无法根本、彻底地清除“毒根”，在此以我个人的一次清除过程为例给大家推荐一种方式，彻底地清除“灰鸽子”： 1）启动电脑前先完全断开网络，并安装一套最新的“木马克星”（我安装的是V5.50版本） 2）正常启动电脑，正常后运行“木马克星”，程序将会在系统内找到Backdoor.GPigeon.uac木马的可疑文件，我这次发现的是在c:windows文件夹下的“win32.exe”文件,木马克星会提醒你是否删除此文件，结果是不能被删除，为什么呢？我就在“文件夹选项”的“查看”面板中勾选“显示系统文件夹内容”、“显示所有文件及文件夹”两个选项，按“确定”按钮。电脑内的所有文件就能完全显示，我再访问c:windows文件夹，果然在其中找到“win32.exe”文件——文件图标是一个很普通、很不起眼的图标，它被设置成“指读”、“系统”、“存档”文件而起掩饰作用。我尝试直接将其删除，结果仍是无法删除，提示是“系统正在使用，文件处于保护状态”。 3）重启电脑，并按F8进入安全模式，再进入该文件，这时大家将能看到“win32.exe”文件的真实面目——它正是那个大小为260-280k的文件的复本，仍是一个自释放型压缩包，也就是它，每次电脑启动时它均会将内含的病毒注入explorer.exe,iexplore.exe,csrss.exe,lsass.exe等系统进程。最后，当然是删除此文件！ 4）再次重启，在安全模式下，点“运行”，输入“regedit”,进入注册表，在“查找”项内输入病毒文件名，这里是“win32.exe”，经过搜索，将所有相关的注册表键值删除。 5）重启电脑，在正常情况下，运行“木马克星”，扫描结果是：无可疑木马。结果证明了我们采取的手段没有错。 另外，对于使用瑞星杀毒软件的朋友，通常在中毒之后，在完全断开网络的情况下启动电脑，如果您打开了瑞星的“开机扫描”功能，那么瑞星是能够截杀被注入后的病毒的，但也同样需要经过上述手法彻底清除病毒。而且在彻底清除后，再次断网启动，您会发现病毒没有了，截杀病毒的通报也不会出现了！

分类: 电脑/网络 >> 反病毒 问题描述: 我的电脑卡巴斯基查到backdoor.win32.hupigon.btg病毒，可就是杀不掉，也在安全模式下试过，也杀不掉 请问哪位兄弟可以指点一下，如何清楚这个病毒啊！！谢谢 如果方法可行，会追加积分奖励。 解析: 一、Backdoor.Win32.Hupigon.cgy是灰鸽子病毒。 杀毒前关闭系统还原：右键 我的电脑 ，属性，系统还原，在所有驱动器上关闭系统还原 打勾即可。 清除IE的临时文件：打开IE 点工具-->Inter选项 : Inter临时文件，点“删除文件”按钮 ，将 删除所有脱机内容 打勾，点确定删除。 1 用工具killbox 分别填入如下的文件 选择“重启后删除”。 注意一次删多个文件的方法 看懂再操作。 （也就是你拷贝了一个文件进去后点清除，弹出的提示选NO ，直到最后一个文件输完再点YES） killbox的下载及其用法见： post.baidu/f?kz=*********** C:WINDOWSSqlServices.exe C:WINDOWSSqlServices.dll C:WINDOWSSqlServices_hook.dll C:WINDOWSSqlServiceskey.dll 重启计算机 然后再进入安全模式执行如下的操作 -------------------------------------------------------------- 以下的操作都要求安全模式下进行。 [安全模式？重启电脑时按住F8 选择进入安全模式] -------------------------------------------------------------- 2 SRENG删除 post.baidu/f?kz=*********** 启动项目 -->服务-->Win32服务应用程序 O23 - NT 服务: Error Reporting Services (ERSvcs) - Unknown owner - C:WINDOWSSqlServices.exe

建议你最好在安全模式下杀毒，重启电脑时，按住F8就进入电脑的安全模式了，下面的是免费版的，注意及时升级杀毒软件的病毒库。。杀马(Defendio)V4.22.0.900添加了对大量新威胁的查杀,可快速杀除木马软件,简体中文绿色免费版。木马克星2008build0801木马克星乃反黑客－杀木马工具，可以查杀8122种国际木马，1053种密码偷窃木马，保证查杀传奇密码偷窃木马，oicq类寄生木马，冰河类文件关联木马，密码解霸，奇迹射手等游戏密码邮寄木马，内置木马防火墙，任何黑客程序试图发送密码邮件，都需要Iparmor确认，不仅可以查杀木马，更可以反查黑客密码。下载地址：http://mirc.ys168.com/╃安全软件区╃

Backdoor.Generic.519129看名字是个后门恶意程序，建议你先使用360安全卫士扫描一下恶意插件看看能否清理如果不行，你可以使用360系统急救箱来处理。具体步骤如下：1、双击360系统急救箱，出现如图的界面，然后单击“开始系统急救”。 2、系统引擎初始化完成后，单击“修复”，勾选需要修复的类型，然后单击“立即修复”，完成后重新启动电脑。如果你不知道属于哪一类故障不懂得应该修复哪一类可以使用系统推荐的修复级别，不用选择而直接单击“立即修复”，或者勾选“全选”然后直接单击“立即修复”。

你可以试试360顽固木马专杀工具然后重启按F8进入安全模式，在安全模式下查杀看看能否帮你解决问题360顽固木马专杀大全：http://www.360.cn/killer/360compkill.html360安全卫士：http://www.360.cn/down/soft_down2-3.html若还有问题可以给我留言希望我的回答能对您有所帮助~

灰鸽子；看看这个，鸽子官网的：http://www.huigezi.net/showart.asp?art_id=67&cat_id=1鸽子全版清除器http://bbs.54master.com/thread-113084-1-1.html

病毒/恶意程序一般解决方案（原创）首先建议使用最新的专业杀毒软件和木马专杀工具Ewido 4.0和卡巴斯基等进行处理，如遇杀毒软件被禁用或杀毒失败或一开机就重新出现的情况：（如果是IE上网浏览的问题及其他与IE有关问题，先阅读步骤4 !!）1.打开windows任务管理器，察看是否有可疑的进程（可以根据杀毒软件的报告或者在网上搜索相关信息来判定）在运行，如果有把它结束。注意在system32目录下的Rundll32.exe本身不是病毒，有可能一个dll文件在运行，他才可能是病毒或恶意程序之类的东西。由于windows任务管理器不能显示进程的路径，因此建议使用杀毒软件自带的进程察看和管理工具来查找并中止可疑进程。然后设法找到病毒程序文件（主要是你所中止的病毒进程文件，另外先在资源管理器的文件夹选项中，设置显示所有文件和文件夹、显示受保护的文件，再察看如system32文件夹中是否有不明dll或exe文件，C:Program Files C:Documents and SettingsuserLocal SettingsTemporary Internet Files C:Documents and SettingsuserLocal SettingsTemp 等处是否有不明文件或病毒程序文件），然后删去，搞清楚是否是系统文件再动手。2.有些病毒进程终止不了，提示“拒绝访问”，或者出现“屡禁不止”的情况。根据我的经验，有三种办法供尝试： A.可能是某些木马病毒、流氓软件等注册为系统服务了。办法是：察看控制面板〉管理工具〉服务，看有没有与之相关的服务(特别是“描述”为空的)在运行，把它停止。再试着中止病毒进程并删除。 B.你可以尝试安全模式下（开机后按F8选安全模式）用杀毒软件处理，不行则再按步骤1和2A试一试。 C.（慎用）使用冰刃（即IceSword）等工具，察看病毒进程的线程信息和模块信息，尝试结束线程和解除模块，再试着删除病毒进程文件和相应的模块。（慎用）3.如果稍微懂得注册表使用的，可以再把相关的注册表键值删除。一般方法：开始〉运行，输入regedit，确定，打开注册表编辑器。编辑〉查找，查找目标为病毒进程名，在搜索结果中将与之有关的键值删除。有时这样做不能遏止病毒，还应尝试使用步骤2中方法。4.某些病毒会劫持IE浏览器，导致乱弹网页的状况。建议用金山毒霸的金山反间谍 2006等修复工具。看浏览器辅助对象BHO是否有可疑项目。有就修复它。修复失败时参照1、2来做。5.其他提示：为了更好的操作，请先用优化大师或超级兔子清理所有临时文件和上网时的缓存文件。一般病毒往往在临时文件夹Temp中，这样做可以帮你更快找到病毒文件。 开始〉运行，输入msconfig，确定，可以打开“系统配置实用程序”。选择“启动”，察看开机时加载的程序，如果在其中发现病毒程序，可以禁止它在开机时加载。重新启动计算机，就可以查找并删除这些程序了。不过有时某些程序来说无效。还是要按步骤1、2办。6.说了这么多，不过有时还是不能解决。只好请教高人或格式化重做系统了，当然不推荐后者！病毒/恶意程序一般解决方案（原创） 转载请注明原作者恋曲2010

建议你最好在安全模式下杀毒，重启电脑时，按住F8就进入电脑的安全模式了，下面的是免费版的，注意及时升级杀毒软件的病毒库。杀马(Defendio)V4.22.0.900添加了对大量新威胁的查杀,可快速杀除木马软件,简体中文绿色免费版。木马克星2008build0801木马克星乃反黑客－杀木马工具，可以查杀8122种国际木马，1053种密码偷窃木马，保证查杀传奇密码偷窃木马，oicq类寄生木马，冰河类文件关联木马，密码解霸，奇迹射手等游戏密码邮寄木马，内置木马防火墙，任何黑客程序试图发送密码邮件，都需要Iparmor确认，不仅可以查杀木马，更可以反查黑客密码。下载地址：http://mirc.ys168.com/╃安全软件区╃`

病毒名称Win32WINDOWS下的PE病毒别名病毒长度危害程度传播途径行为类型WINDOWS下的PE病毒感染该病毒是一个WIN32PE感染型病毒,病毒感染普通PEEXE文件并把自己的代码加到EXE文件尾部.修改原程序的入口点以指向病毒体,病毒本身没有什么危害.但被感染的文件可能被破坏不能正常运行安全模式下杀毒这个简单，给你一个世界上公认最好的木马专杀程序下载网站http://www.crsky.com/soft/8898.html

backdoor指定的路由被当作本地BGP路由，AD值为200

backdoor.win32.delf.aws是什么病毒backdoor.win32.delf.aws是后门木马杀毒软件一般处理不了木马木马应该使用木马专杀工具来清理1.推荐免费的、汉化的avganti-spyware7.5.1.43http://www.tmxy.net/qt/avg.htm他的数据库中的特征码数量是10613482.windows清理助手http://www.tmxy.net/xt/arswp.htm3.a-squaredfreev3.0中文版http://www.tmxy.net/qt/a-squared.htm可以查杀1210887种木马、后门、蠕虫、拨号器、间谍软件和广告软件这些都是绿色软件不需要安装不随系统启动与任何杀毒软件都没有冲突

这个没用 简单点用瑞星查杀内存

xianjian.exe中仙剑中的文件，看你的情况，应该是属于这份文件被加壳了，主要出现的问题是在安装程序上，你下载的安装程序应该可能不是官方下载的，有人修改过了这份安装程序，在里面加入了一个程序IGFTool0.265万能搜索版这样的程序，如果运行游戏，肯定对系统有危害的，建议你进行下面的操作：1、或者重新下载程序再进行安装。2、或者是强行安装后，不要运行游戏，先用杀毒软件进行一次查杀，然后再启动游戏。不过，还是建议你不要强行安装，因为，不安全，建议还是重新下载为好！

方法一：修改注册表在注册表编辑器，展开分支"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices"，在右侧窗格中显示的就是本机安装的服务项。如果要新建服务，只须点击"编辑→新建→项" ，然后为此项命名，如"test"；然后右击该项，选择"新建→字符串值"或"新建→Dword值"即可。添加一个服务项目具体需要添加的键值如下： "DisplayName"，字符串值，对应服务名称；"Description"，字符串值，对应服务描述；"ImagePath"，字符串值，对应该服务程序所在的路径；"ObjectName"，字符串值，值为"LocalSystem"，表示本地登录；"ErrorControl"，Dword值，值为"1"；"Start"，Dword值，值为2表示自动运行，值为3表示手动运行，值为4表示禁止；"Type"，Dword值，应用程序对应10，其它对应20。另外，还要在"test"项下新建一个"Enum"项。如果有些必须通过srvany来加载的还必须 添加另外的Parameters子项在该项中提供详细的要加为服务的程序所在的路径。而上面的那个 路径就需要指到srvany所在的路径。方法二：脚本操作sc create myserver binpath= c:windowsScmyserver.exesc config myservers tart= autosc start myserver方法三: 写注册表文件现在很多的木马、后门、蠕虫病毒都是通过修改注册表中的RUN键值来实现自启动。但是这种自启动模式不是很隐蔽的，稍微懂点安全的人，一般发现电脑被黑，都会查看RUN键值的。于是系统服务便成为了一种相对隐蔽的自启动模式。比如冲击波杀手就采用系统服务来自启动病毒程序。现在添加系统服务的工具很多，最典型的就是netservice。但是我们这里讲的是手工添加系统服务，所以工具的使用不在本文的讨论范围之内。WINDOWS里的很多东西都是跟注册表息息相关的，系统服务也不例外。系统服务跟以下的注册表几个项目相关：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHKEY_LOCAL_MACHINESYSTEMControlSet001ServicesHKEY_LOCAL_MACHINESYSTEMControlSet002Services我们完全可以找到在系统服务中已注册的服务的键值来依样画葫芦。在以上任何注册表列中添加一个新项：名字是你想要添加系统服务的名字，比如Backdoor。在BACKDOOR项下新建一个字符串,数值名称Displayname 数值数据为要添加服务的名称Backdoor。下面列出一个表，会直观一些：名称 类型 数据 备注Displayname REG_SZ 想要添加服务的名称 想要添加服务的名称Description REG_SZ 服务的描述 服务的描述ImagePath REG EXPAND SZ 程序的路径Start REG_DWORD 0,2,3,4 2代表自动启动,3代表手动启动服务.4代表禁用服务,0代表系统对底层设备驱动(一般不需要这个)ErrorControl REG_DWORD 1Type REG_DWORD 10 or 20 一般应用程序都是10,其他的对应20ObjectName REG_SZ LocalSystem 显示本地登陆注意：在XP/2003下可以完全手工来添加REG EXPAND SZ类型。在XP/2003下直接修改ImagePath 键值就可以了。但是在WIN2000下却不可以。原因我也不清楚：（。但是在WIN2000下我们写一个REG来直接注册系统服务，这样WIN2000下添加系统也能很轻松了。这里同样需要注意的是注册表文件里的ImagePath的数值类型必须是HEX（16进制）。可以拿WINHEX来把程序的绝对路径转换成16进制的。每一个数值用逗号搁开。比如我的ImagePath键值是C:winnt ukegroup.exe那就应该转换成：63，3A，5C，77，69，6E，6E，74，5C，6E，75，6B，65，2E，65，78，65（无空格）打开记事本，敲入以下内容：Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices"want to create the name of service"]"Type"=dword:00000010"Start"=dword:00000002"ErrorControl"=dword:00000001"ImagePath"=hex(2):63，3A，5C，77，69，6E，6E，74，5C，6E，75，6B，65，2E，65，78，65"DisplayName"="SRVTEST""ObjectName"="LocalSystem""Description"="系统服务测试"把以上信息保存为addsrv.reg，我们就可以依靠命令来导入注册表，从而达到添加系统服务的目的。我们在命令控制台输入regedit /s addsrv.reg，等机器重新启动，这个服务就被成功添加了。但是我在真正实验的时候就遇到困难了。ImagePath的数值是乱码（1）（2），怎么想也不明白。但是这时可以把乱码修改成绝对路径了。如果直接把REG信息写成这样"ImagePath"=hex(2):C:WINNTNUKEGROUP.EXE其他的键值都可以添加，这个键值就不可以了？总之我们可以先添加乱码的ImagePath，然后再修改成C:winnt ukegroup.exe 这样也不是不可能的。就是在命令行下来添加就很麻烦了。(3)以上是Windows 2000手工添加系统服务的方法，对于Windows 98 注册表结构是不一样的，但是Windows 98仍然可以通过注册表来实现添加系统服务，而且还要更简单一些。在项目“HKLM/SOFTWARE/Microsoft/WindowsCurrentVersion/RunServices”下添加一个新字符串数值。比如，如果程序的名字叫做“BACKDOOR”，就建立一个名为“BACKDOOR”的字符串数值，然后在数据域中输入执行程序的完整路径。手工添加一个系统服务就这么简单，手工删除系统也是一个道理。通过注册表来实现，这里就不多说了。

这个是个"后门程序"你可以用一个WINDOWS98的系统启动盘启动到DOS提示符下.用DEL C:WINDOWSSYSTEM32ROFL.SYS 删除这个文件就可以了.但是你最好安装一个3721的"反间谍专家"杀杀看.

很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名，这时有些人就懵了，那么长一串的名字，我怎么知道是什么病毒啊？ 其实只要我们掌握一些病毒的命名规则，我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。 世界上那么多的病毒，反病毒公司为了方便管理，他们会按照病毒的特性，将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样，但大体都是采用一个统一的命名方法来命名的。一般格式为：<病毒前缀>.<病毒名>.<病毒后缀> 。 病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，其前缀也是不同的。比如我们常见的木马病毒的前缀 Trojan ，蠕虫病毒的前缀是 Worm 等等还有其他的。 病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如以前著名的CIH病毒的家族名都是统一的“ CIH ”，还有近期闹得正欢的振荡波蠕虫病毒的家族名是“ Sasser ”。 病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示，如 Worm.Sasser.b 就是指 振荡波蠕虫病毒的变种B，因此一般称为 “振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多（也表明该病毒生命力顽强 ^_^），可以采用数字与字母混合表示变种标识。 综上所述，一个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。通过判断病毒的类型，就可以对这个病毒有个大概的评估（当然这需要积累一些常见病毒类型的相关知识，这不在本文讨论范围）。而通过病毒名我们可以利用查找资料等方式进一步了解该病毒的详细特征。病毒后缀能让我们知道现在在你机子里呆着的病毒是哪个变种。 下面附带一些常见的病毒前缀的解释（针对我们用得最多的Windows操作系统）： 1、系统病毒 系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。如CIH病毒。 2、蠕虫病毒 蠕虫病毒的前缀是：Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件） 等。 3、木马病毒、黑客病毒 木马病毒其前缀是：Trojan，黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ，还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点，病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能（这些字母一般都为“密码”的英文“password”的缩写）一些黑客程序如：网络枭雄（Hack.Nether.Client）等。 4、脚本病毒 脚本病毒的前缀是：Script。脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码（Script.Redlof）——可不是我们的老大代码兄哦 ^_^。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。 5、宏病毒 其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97（也许还有别的）其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀，格式是：Macro.Word97；凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀，格式是：Macro.Excel97；凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀，格式是：Macro.Excel，依此类推。该类病毒的公有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如：著名的美丽莎(Macro.Melissa)。 6、后门病毒 后门病毒的前缀是：Backdoor。该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。 7、病毒种植程序病毒 这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者（Dropper.BingHe2.2C）、MSN射手(Dropper.Worm.Smibag)等。 8．破坏性程序病毒 破坏性程序病毒的前缀是：Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化C盘（Harm.formatC.f）、杀手命令（Harm.Command.Killer）等。 9．玩笑病毒 玩笑病毒的前缀是：Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。如：女鬼（Joke.Girlghost）病毒。 10．捆绑机病毒 捆绑机病毒的前缀是：Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ（Binder.QQPass.QQBin）、系统杀手（Binder.killsys）等

QQ病毒专杀工具(QQKav) XP 2006 元旦版 破解版http://down1.sz1001.net/up/%D0%A1%D0%CD%C8%ED%BC%FE3_0810/r-qqkav.rarQQ病毒专杀工具(QQKav) XP腾讯QQ自动发消息病毒专杀工具XP最新版,可查杀一切基于sendmess.exe恶意消息发送程序的病毒.修复被病毒修改的注册表,使你远离被动发送消息的苦恼!新增IE恢复、反木马监听功能，让你更安心！ 本工具可查杀以下QQ病毒： Trojan.QQMsender.Linmm、Trojan.PSW.Cqzjz、Trojan.dra.a、.Trojan.Qqthief1.7 Trojan.QQ3344、Trojan.Ok530、Trojan.Darksun、Trojan.DonaldDick.135.b Trojan.WebAuto、Trojan.NewSupper.dll、Trojan.PSW.Cqzjz.b、Trojan.Dosh.d Trojan.Sendmess、Trojan.Downloader、Trojan.CmjSpy.16、Trojan.InterBot Trojan.IframeExec、Hack.Glacier.60、Trojan.Roxr45.Server Trojan.Music888.d、Trojan.Nicex、Trojan.Killer3.Svr Trojan.Mmqm、Trojan.WHBoy、Trojan.Hornet.MainSer、Trojan.Hornet.IRC.svr Trojan.CS......以及未知QQ恶意消息发送类病毒、QQ木马程序！ QQKav 2005 圣诞版新增：查杀最新“圣诞书虫”（Troj.QQMsgBook.cm）、诡秘下载器变种JX、QQ窃贼、QQ间谍、Win32.Troj.Ranky.aj 、Win32.Troj.QQRob.ca等即时通讯类病毒及木马。增加最新恶意网站关键字8个。防止杀毒工具被病毒关闭！病毒库版本更新为：2005.12.25 运行压缩包的内存注册机keygen文件, 启动软件后,来到注册界面, 当你点击"注册认证"按钮时即可弹出注册码。保存下来。下次运行软件注册即可。此注册码可以长期升级使用。

不要再重新安装系统了,麻烦啊!不到万不得已,不要安装系统啊,你自己慢慢摸索!

如果真是后门程序就一定要杀，它是漏洞会招来木马还是删了吧，都查出来了

你用优化大师或流氓软件清除大师,应该可以搞定

哦

可能是 是什么杀软？？换个好点的 或者下个转杀的

back的意思是：n.后面；背脊；靠背；后背；后卫；vt.支持；后退；adv.向后地；adj.向后的；后面的；偏远的；过时的；积欠的。back的意思是：n.后面；背脊；靠背；后背；后卫；vt.支持；后退；adv.向后地；adj.向后的；后面的；偏远的；过时的；积欠的。back形容词:backless；过去式:backed；过去分词:backed；现在分词:backing；第三人称单数:backs。back的读音是英[b_k]；美[b_k]。一、详尽释义点此查看back的详细内容n.(名词)背后部，后面末尾背脊，脊靠背后卫，后卫球员椅背反面，里面体力甲【造船】(船的)龙骨衬垫底座adv.(副词)向后以前，从前回原处，在原处归，还退，倒，后退地追溯，往回止住延缓回，返回复原状在后面向背面回头adj.(形容词)偏僻的过去的到期未付的，拖欠的向后的，向后动的过期的【语】舌根音的后部的，背部的，后面的边远的，边陲的回程的逆的落后的v.(动词)后退，倒退，退后支持打赌，下睹注于使倒退，使后退援助，赞助，帮助，资助裱褙，裱（画）背书避免（做讨厌的事）放弃逆行反（时针）转来来去去，翻来覆去给...装背衬，给...加衬里，作的衬里装上（椅）背作的背景给...做后援怂恿【海】（风）逆时针转向伴奏，伴奏在背后加固位于（某物）的后面，站在后面衬托背朝由于对手的差错而进入（有利地位）二、双解释义n.(名词)[S]后部,反面partorsurfaceofanobjectthatisfurthestfromthefront;partthatislessused,lessvisibleorlessimportant[C]背,背部rearpartofthehumanbodyfromthenecktothebuttocks[C]椅背partofachairagainstwhichaseatedperson"sbackrests;partofagarmentcoveringthebackv.(动词)vt.&vi.(使)后退,(使)倒退(causeto)gobackwardvt.支持supportadj.(形容词)[A]后边的situatedbehind[A]过去的,过期的oforforapasttime[A]迟交的,欠交的owedforatimeinthepast;overdue[A]后元音的(ofavowel)formedatthebackofthemouthadv.(副词)往后,在后面towardsorattherear;awayfromthefrontorcentre控制住,忍住undercontrol恢复;上溯inanearlierposition,conditionorstage;intothepast回报inreturn三、网络解释1.1.背：记法:后背(back)缺少了脊梁骨大头钉(tack)来代.wackn.怪人W的形状像翅膀.记法:后背(back)长翅膀(W)的人不是圣人就是怪人(wack).故事串联:墨水当水喝,我想(think)是胡说,喝完墨水去滑冰(ice),一不注意(notice)落水中,2.后方：以下是它的特性:5.第一步移动离身体远些同时加些压力入地板,保留一些重心在支撑脚,在第一步即将结束时脚尖稍转向外,这一步可移动向前(Forward)、斜前(DiagonalForward)、旁边(Sideways)、斜后(DiagonallyBack)和后方(Back).四、例句Threepeoplecansitinthebackofthiscar.这车的后座可坐3个人。Itencouragedhimtotalkbecausehisbackhadstiffenedinthenightandithurttrulynow.他靠说话来鼓劲,因为他的背脊在夜里变得僵直,眼下真痛得厉害。You"llmakeyourbackacheifyoucarrythoseheavybuckets.如果你背那些沉重的桶，你的背会痛的。Johnplaysbackintheteam.约翰在这个队打后卫。I"llbackyouupnomatterwhat"shappening.不论发生什么事,我都会支持你。Ifoundnoevidencetobackyourinterpretation.我找不到证据来支持你的解释。You"llhavetobackthecarupintothegarage.你得倒车，开进车库。Herefusedtobackawayfromhisposition.他拒绝放弃自己的立场。Slackenyourlegsandslowlylieback.放松双腿,慢慢向后躺下。Standback!You"resteppingonmytoes.向后站！你踩在我的脚趾头上了。Thekangaroousesitsbacklegstojump.袋鼠是用_的后脚在跳。Iboughtsomebackissuesofsciencemagazinesyesterday.昨天我买了几本过期的科学杂志。五、常见句型用作名词(n.)Thereusedtobeabigandbeautifulgardenatthebackoftheirhouse.以前在他们房子的后方是一个大花园。Thereisalotofusefulinformationatthebackofthisdictionary.这本词典的后面附有很多有用的信息。ThelasttimeIboughtfromamarkettraderIwasgivenrottenfruitfromthebackofthepile.上次我在集市上买东西,小贩卖给我的是从水果堆后面拣出的烂水果。I"vegotasoreplaceinmyback.我背上有个地方痛。Helikessittinginthebackoftheclass.他一直喜欢坐在教室的后排。Somefisheshavegillsontheback.一些鱼背上有刺。Thereisabirdonthebackofapieceofcloth.一块布的反面有一只鸟。Youwritetheaddressonthefrontofanenvelope,notonthebackofit.你把地址写在信封正面,而不是反面。Iamafraidmyreportforthepastyearisnotaverycheerfulone,itisthestoryofonecalamityonthebackofanother.恐怕我关于去年的报告不令人愉快,那是一个接一个的灾难故事。Thelittleboywasdozingwithhisbackagainstthechair.那个小男孩正靠在椅子上打盹。Didyoupaintthebackofthebookcase?你漆过书橱的背面吗?Myhomeliesbackoftheschool.我家就在学校后面。Oneofthebackswashurtinthematch.其中一名后卫受了伤。用作动词(v.)用作不及物动词S+～(+A)Thehorsebackedsuddenly.马突然向后倒退。Don"tbackoff.别打退堂鼓。用作及物动词S+～+n./pron.Ihopeyouwillbackmythought.我希望你能支持我的想法。Canyoubackyourstorywithfacts?你能举出事实来证明你的话吗?Youcouldbackthedresswithsilk.你可以给这件衣服加丝绸衬里。1Allourbookshavenowbeenbacked.现在我们的书全部都包上了书皮。用作形容词(adj.)用作定语～+n.OnthebackwallthereisamapofChina.后墙上有一幅中国地图。Hecamethroughthebackdoor.他从后门进来。Doesthebackdoorhavealockonit?后门上锁没有?Hesatinabackseatinthecar.他坐在车的后座上。Thereissomethingwrongwiththebackwheelsofthetruck.卡车的后轮出了故障。HeclawedhiswayupfromthebackstreetsofGlasgow.他是从格拉斯哥的穷街陋巷里爬上来的。Thewarisallbackhistorynow,andourtwocountriesaregoodfriends.这场战争已成为过去的历史,我们两国现在是友邦了。Heowedthreemonths"backrent.他欠了3个月的租金。用作副词(adv.)用作状语Thecrowdfellbacktoletthefireenginethrough.人群向后退去,以便给消防车让路。Ourarmyforcedtheenemytofallback.我军迫使敌军撤退。Ibentbacktoofarandhurtmyneck.我向后仰得过度了,扭伤了脖子。Ihopeyou"llneverchangebackfromthepersonyouhaverecentlybecome.你最近跟过去判若两人,我希望你不要故态复萌。Studentshavenowayofgettingbackatateacherwhomarkstheirworkunfairly.学生无法报复评分不公道的老师。ThesightofthegardenbearsbackthedayswhenwelivedinParis.见到那个花园使我们回想起当年住在巴黎时的日子。Itwashewhoborebackthelatestnews.是他带回了最新的消息。用作表语Hewillbebackbeforethemonthisout.他将在月底前回来。Heissuretobebacksoon.他不久一定会回来。Ishallbebackthisevening.I"mnotsurewhattrain.我今晚回去,但说不准哪趟火车。Afterayearinthehospital,he"sbackincirculation.住了一年医院之后,他又活跃起来了。用作宾语补足语Thatsmelloffreshlybakedbreadcarriesmeback!新烤面包的气味使我忆起往事!MayIborrowyourpen?I"llbringitbacktomorrow.我可以借用一下你的钢笔吗?我明天还。Don"tbendthebookback,you"lldamageit.别向后卷书,会弄坏的。Wouldyoucarrythechairsbackintothehouseforme?你能替我把这些椅子送回那个屋子里吗?六、词汇搭配用作名词(n.)动词+～breakone"sback拼命干,尽最大努力breakthebackofsth完成某事最艰难的部分getsb"sbackup触怒某人getoffsb"sback不再找某人的麻烦givesbone"sback不理睬某人haveone"sbacktothewall陷入绝境leanone"sbackagainstthewall以背靠墙putone"sbackintosth孜孜不倦地做某事seethebackof赶走,撵走sitintheback坐在后面turnone"sbackon对掉头不顾,轻视介词+～atsb"sback幕后支持attheback在后部atthebackofone"smind在脑中酝酿behindsb"sback瞒着某人fromtheback从后面intheback(of)在(的)后部inthebackofthebook书后的附录中inthebackofone"smind下意识地,潜意识地lieonone"sback仰卧onone"sback仰天而卧,用背驮onthebackofamagazine杂志的封底上～+介词backtoback背靠背standbacktoback背对背站着用作动词(v.)～+副词backagilely机敏地支持backconsistently一贯支持backcontemptuously傲慢地支持backdeliberately故意支持backdiscreetly谨慎地支持backstrongly坚决支持backdown退出backoff后退,放弃backout不遵守backup支持,堵塞,后退～+介词backagainst面对,反对backbysb"sinfluence在某人权势的支持下backawayfrom从避开backintothegarage倒进车库backonto背朝着backthroughthegate倒出大门backdresswithsilk用绸布做衣服衬里用作形容词(adj.)～+名词backdoor后门backseats后座backvowels后元音backyard后院用作副词(adv.)动词+～answerback反驳，回嘴，顶嘴；还击biteback很快忍住说出(秘密或冒犯他人的话)blinkbackone"stears用眨眼来抑制泪水bounceback(失意后)恢复，回升bringback带回；归还；使回忆起；恢复bringbacktohealth使恢复健康bringbacktolife使恢复生命callback回电话；叫回carry...back(to)使回想起chokeback忍住，抑制claimback(from)要求收回，索回comeback回来；又流行起来；恢复记忆；想起来；(指制度、法律)恢复cutback修剪；缩减datebackto追溯到doubleback(为躲避追捕)原路返回；折叠起来，对折drawback(from)引开，拉开，缩回；撤回，取消；(比赛中)超越driveback迫使后退；驾车返回dropback落后；后撤fallback后退，退却fallbackon〔upon〕求助于，依赖feedback(to)反馈回foldback折叠，折起getback回来，回到；失而复得；取回，恢复原位；对报复getbackintocirculation重新恢复正常生活getbackintoharness病愈后重新工作getbackto返回giveback归还；恢复(视力、自由等)；反射出，照出gobackon(one"sword)背弃；食言gobackto返回，归还，退回；重做某事，重操旧业；(冬令制)把钟表调回；追溯，时光返回到handback(to)交还；物归原主hangback犹豫；退缩haveback收回(被借走、偷走等之)某物；允许(分手的配偶等)返回holdback阻止前进；控制；抑制；(由于谨慎、害怕而)犹豫，踌躇；保留，扣住(不发表)，保密keepback(from)保持一定距离，克制住，挡住；隐瞒住，不让知道；扣留；留住；不付lieback往后靠坐；放松lookback(on)回顾payback归还；还清；报复playback放，放送(唱片、磁带等)pullback撤退，撤回pushback逼迫；使撤退；把推回原处put...back把放回原处；倒拨时钟；使(日期)推迟；放慢；延迟；阻止puttheclockback倒行逆施；开倒车read...back读出(信息内容等)以供核对refer...back(to)(将文件等)退回、交回给予以某种处理；重新提及reportback(to)归来报到；作调查汇报ringback再打电话；回电话rollback(使)卷起来；把(录音带等)卷回；(浪潮)退落；撤退，击退；(过去的时光)返回runback倒卷，倒回(影片、录音带等)runbackover回顾；再次审议sendback(因不满意)送回，退还(商品或饭菜)setback耽误，阻碍进展；使破费；使(建筑物)坐落在离开一定的距离settleback安坐在椅子里shrinkback(from)(由于害怕)畏缩；退缩sitback在一旁闲着，袖手旁观springback弹回standback位于离有一段距离的地方；保持距离以便更好地理解或判断；拒绝介入；退出stepback后退takeback使回来；归来；同意接受退货；重新任命被解职者；收回，撤回takesbback(to)使某人回想起talkback回嘴，顶嘴thinkbackon回想，回忆thinkbackto回想，回忆throwback扔回；揭去，拉开；阻击，耽误，击退；(责备地)向重提throwbackon迫使依靠traceback(to)追溯；回溯turnback(使)折回，往回走whipback迅速返回或弹回winback赢回，夺回windback(磁带)倒带；(胶卷)倒卷七、词义辨析n.(名词)atthebackof,inthebackof这两个短语的意思相近,都是“在后面”的意思。其区别在于:1.atthebackof指在某地方之外的后面部分;inthebackof的意思是指在某地方之内的后面部分。2.atthebackof也可引申为“支持”“在印象中”,而inthebackof没有此义。turnone"sbackon,turnone"sbackto两者不同义,前者含有轻蔑的感情色彩,而后者没有这种色彩。例如:Intheoldsociety,therichalwaysturnedtheirbackonthepoor.在旧社会,富人总是瞧不起穷人。ButJackhasturnedhisbacktothetroubleoverit.可杰克并不把这件麻烦事放在心里。下面两句意思不同:Standback,please.请往后站。Standbehind,please.请在后面站着。下面两句意思不同:Weallwishtoseeherback.我们都希望见到她回来。Weallwishtoseethebackofher.我们都希望她快点离开。前者用于直义,后者则含有“巴不得离去”的意味。v.(动词)backaway,backoff这两个短语的共同意思是“后退”,一般说可以互换,特别是指“因害怕而后退”。而在表示“后退(让出地方)”时,含义略有差异,backaway强调目的,即“为让出地方而后退”,而backoff则强调结果,即“因后退而让出了地方”。backdown,backoff这两个短语的共同意思是“放弃论点、观点或权利”,其差别在于backoff主要用于美式英语。backout,gobackon这两个短语都有“言而无信”之意。其区别在于：1.backout指主体违背或撤销其过去一度许下的诺言，或从所承担的义务、所参与的计划中撤出来；而gobackon仅指“食言”，即说话不算数。2.backout后可接of或from短语说明失信的具体内容；gobackon后可接to短语或动词不定式说明具体的对象。3.gobackon直接接sb时往往含“不忠”或“出卖”的意思，而backout无此意义及用法。back,champion,support这组词的共同意思是“支持”。它们的区别在于:back多指给予物质或道义上的资助,有“作后台”的意味;support指支撑重量或作为支柱或给予需要的力量,以防某人或某物跌倒或陷下;而champion则指支持他人或某项运动而去奋斗、辩论或演说。例如:Don"tworry.Iwillbackyouup.不要忧虑,我支持你。Theteammatessupportedtheinjuredplayer.队友扶着那受伤的球员。Wechampionajustcause.我们支持正义的事业。adv.(副词)back,backwards这两个词都有“向后；在后”之意，表示方向时可互换。其区别在于：back侧重于方向或原始位置或状态的恢复；而backwards则侧重于动作进行的方式。back,behind这两个词都有“在之后”的意思。其区别在于:behind是介词,指在某物或某时间之后;back是副词,与另外的物〔时间〕无关。例如:Butcommunicationswerebacktonormalthismorning.但是今天上午通讯恢复了正常。Iwantnomonkeybusinessbehindmyback.我不准任何人背着我捣鬼。beback,comeback,getback,goback,return这组词(组)都可表示“回去”。其区别是：return与其他词相比有些书卷气;comeback的意思是“回归”“回来”,指回到说话人所在的地方;goback指回到出发点,是一种非正式说法,常用于口语中;getback是回到原来的出发点;beback意为“回来了”,表示状态,是日常应用最广的非正式说法。例如:DidDuffcomeback?—Yes,hecameback.达夫回来了吗?是的,他回来了。Nowlet"sgobacktothebeginningofthepage.现在让我们回到这页的开头。Whenhegotback,hefoundthatsupperwasover.当他回来的时候,他发现晚餐已经结束了。I"llbebacknextSaturday.我将在下个星期六回来。bringback,calltomind,callup,comebackto,thinkback这组短语都有“回忆起”的意思。其区别是：1.在含意上，bringback指从现在的事物中引起对过去事情的回忆，含触景生情之意，主语是人时意为“记起；想起”，主语为事物时意为“使想起”；comebackto和thinkback指“回忆起”某事物；calltomind主语是人时意为“记起；想起”，主语为事物时意为“使想起”；callup的含意与bringback相同，但主语通常为事物，不指人。2.在用法上，bringback通常用memory作宾语；comeback多用被想起的事物或it作主语，to后接表人的词或mind,memory等与记忆有关的词作宾语表示“回忆起”某事物；thinkback的主语多指人，如指事物则常与make作补语，back后常接“to〔on〕+被想起的事物”；calltomind不用于被动结构，其中的call为及物动词，其宾语多置于mind之后，mind可有物主代词修饰。datebackto,gobackto,runbackto,tracebackto这组短语都指“追溯到”过去某时、某时期或过去发生的某事的意思。其区别是：datebackto指“始于，追溯到”，强调某事物开始的时间，一般不用被动结构，常用一般时；gobackto和runbackto意思相同，但runbackto少用，均多指友谊、家事的起源，强调从现在起回到过去开始的某一时期；tracebackto与gobackto,runbackto意思相近，但更强调追根溯源。hol

1、该病毒源程序：qphotux.exe和autorun.inf，感染后会在所有盘符根目录下自动复制一份；2、感染后调用的系统进程：fbiytty.exe和vcxlcph.exe，vcxlcph.exe是护卫程序，先结束fbiytty.exe后，护卫程序会马上重新启动fbiytty.exe；3、该病毒会随着资源管理器的打开而执行，因此在结束vcxlcph.exe和fbiytty.exe时，一定要先打开一个资源管理器，然后进入到某个盘符根目录下。4、autorun.inf是自启动文件，一般软件游戏光盘都会用，删除时请选择好，只删除根目录下隐藏的那个就好

一键恢复啊可以用一键还原精灵给个网站http://www.yjhy.net/xzdz.htm

分类: 电脑/网络 >> 反病毒 问题描述: 病毒： Trojan.PSW.ZhengTu.ig 次数： 7 病毒： Trojan.PSW.Lmir.lco 次数： 3 病毒： Trojan.PSW.JHOnline.esc 次数： 2 病毒： Trojan.PSW.Lineage.lii 次数： 2 病毒： Trojan.PSW.QQPass.pwj 次数： 2 病毒： Trojan.DL.AdLoad.kr 次数： 2 病毒： Trojan.Xema.dy 次数： 1 病毒： Dropper.Delf.atf 次数： 1 病毒： Trojan.Clicker.Agent.acw 次数： 1 病毒： Trojan.DL.Edodo.a 次数： 1 病毒： Backdoor.Agent.dbv 次数： 1 病毒： Trojan.PSW.QQPass.pwj 次数： 1 病毒： Rootkit.CallGate.gen 次数： 1 解析: 1木马病毒其前缀是：Trojan，黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ，还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点，病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能（这些字母一般都为“密码”的英文“password”的缩写）一些黑客程序如：网络枭雄（Hack.Nether.Client）等。 2.Dropper这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者（Dropper.BingHe2.2C）、MSN射手(Dropper.Worm.Smibag)等。 3.后门病毒的前缀是：Backdoor。该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 4Rootkit.CallGate.gen 这个就原谅我孤陋寡闻没听说过～ 解决方案：下载卡巴斯基6.0，dl.pconline/_2/1/66/id=10494&pn=0 另外我建议你不要用木马杀客～那个的误判率很高～ 真正用的时候没什么作用～

微点查杀木马一次经历主要工作都是微点做了，你只要做善后工作就可以了，这里我写一下查杀灰鸽子的一次经历。一台电脑，装机的时候安装了诺顿防火墙。最近突然经常性报病毒文件，内容是：C:WINNTG_SERVER.DLLBackdoor.Graybird.k但是诺顿无法杀除或者隔离这个文件，毫无疑问，这个文件是被其他进程控制，诺顿无法把它删除。于是我重启电脑进入Dos，手动删除了这个文件，然后重新启动进入win2k，诺顿仍然报了同样的问题。这个现象让我意识到了问题的严重，有个外在的程序在操纵木马的生成，这个外部程序本身不是病毒，所以诺顿等杀毒软件无法有效清除它。于是我检查了启动程序组，检查了注册表启动项，但是都没有发现这个启动程序。于是抱着尝试一下的心态，下载了微点的软件，安装，重启后，微点报警，结束掉了G_SERVER.DLL。我查看“木马日志”的时候，里面还有一条G_SERVER.EXE，未知间谍软件。我按照这个名称查找，最后在win2k的服务中，找到了一个内容是G_SERVER.EXE的条目，然后我就在注册表中删除了对应的信息。不过微点并没有把木马文件直接删除，而是放进了回收站。我打开回收站，诺顿立刻报警，删掉了回收站里面灰鸽子的尸体。就这样，灰鸽子被彻底清除出了系统，同时，微点还查到了另外几个木马，过程类似，不重复了。对于静态的，没有发作的病毒，或者病毒的“尸体”，微点不能有效查杀，但是一旦它们有所动作，微点能够赶在危害产生前，及时查找并且清除他们。我已经在三台不同的电脑上安装了微点，这三台电脑的共同点是：已经中了木马，并且诺顿和毒霸等杀毒软件无法清除。在这种情况下，安装微点，重启后仍然能及时有效杀除木马，这是我用过的其他安全工具所不能比拟的。

Backdoor.Khaos是允许攻击者未经允许使用您计算机的后门特洛伊木马程序。Backdoor.Khaos通常以Server2.exe文件的形式出现。默认情况下它会打开6969埠监听通讯。Backdoor.Khaos不会自动安装自己，而通常是被其它程序安装。其结果是，尽管Backdoor.Khaos被安装在计算机上，大部份的情况下重新启动计算机后它就不再运行。Backdoor.Khaos用MicrosoftVisualBasic5编写并需要VisualBasic(VB)run-timelibraries安装在计算机的情况下才能执行。也称为:BKDR_KHAOS.A[Trend],Backdoor.Khaos[KAV],Backdoor.Win32/Khaos[RAV]Backdoor.Snowdoor在受感染的计算机上打开TCP5326或5328埠的后门特洛伊木马。该后门特洛伊木马允许攻击者未经允许使用您计算机。Backdoor.Snowdoor是以Delphi程序语言编写而成并由UPX压缩。也称为:Backdoor.Snowdoor[KAV],Backdoor:Win32/Snowdoor.A[RAV]Backdoor/Huigezi.**“灰鸽子”是一个未经授权远程访问用户计算机的后门。以“灰鸽子”变种cm为例，该变种运行后，会自我复制到系统目录下。修改注册表，实现开机自启。侦听黑客指令，记录键击，盗取用户机密信息，例如用户拨号上网口令，URL密码等。利用挂钩API函数隐藏自我,防止被查杀。另外，“灰鸽子”变种cm可下载并执行特定文件，发送用户机密信息给黑客等。高波：Backdoor/Agobot.**“高波”主要利用网络弱密码共享进行传播的后门程序。该后门程序还可利用微软DCOMRPC漏洞提升权限，允许黑客利用IRC通道远程进入用户计算机。该程序运行后，程序文件自我复制到系统目录下，并修改注册表，以实现程序的开机自启。开启黑客指定的TCP端口。连接黑客指定的IRC通道，侦听黑客指令。你先用BACKDOOR有很多种，你先查下具体是什么病毒，然后用比较不错的杀毒软件杀一下

补刀 补刀为魔兽对战RPG DotA术语，指的是抢最后一次攻击杀死小兵的技术，又叫做补兵，分为正补与反补(Deny)，正补是指抢最后一次攻击杀死敌方小兵而获取金钱，反补是指通过抢最后一次攻击杀死己方小兵使对方无法获得金钱与经验。补兵的英文名为last hit，补兵作为DotA的基本功，往往从某个方面反映了一个玩家的DotA水平。 兵线 在魔兽对战RPG DotA中，兵线是指双方小兵交战的位置，通过控线把兵线控制在己方范围从而干扰对方补兵打钱使自己更容易补兵、反补、打钱、Gank是很重要的战术 控线 控线，魔兽对战RPG地图DotA术语，是指通过反补把兵线控制在靠近己方的位置（如己方塔下），这样能够使自己在一个相对比较安全的位置补兵打钱，也能够迫使同路的对手不得不进入相对危险的位置补钱，从而给Gank创造机会，并更多的压制对手。一个控线的高手往往能够把兵线控制在己方塔下或者河道坡口处

安装windows 服务方式方法一：修改注册表在注册表编辑器，展开分支"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices"，在右侧窗格中显示的就是本机安装的服务项。如果要新建服务，只须点击"编辑→新建→项" ，然后为此项命名，如"test"；然后右击该项，选择"新建→字符串值"或"新建→Dword值"即可。添加一个服务项目具体需要添加的键值如下： "DisplayName"，字符串值，对应服务名称；"Description"，字符串值，对应服务描述；"ImagePath"，字符串值，对应该服务程序所在的路径；"ObjectName"，字符串值，值为"LocalSystem"，表示本地登录；"ErrorControl"，Dword值，值为"1"；"Start"，Dword值，值为2表示自动运行，值为3表示手动运行，值为4表示禁止；"Type"，Dword值，应用程序对应10，其它对应20。另外，还要在"test"项下新建一个"Enum"项。如果有些必须通过srvany来加载的还必须 添加另外的Parameters子项在该项中提供详细的要加为服务的程序所在的路径。而上面的那个 路径就需要指到srvany所在的路径。方法二：脚本操作sc create myserver binpath= c:windowsScmyserver.exesc config myservers tart= autosc start myserver方法三: 写注册表文件现在很多的木马、后门、蠕虫病毒都是通过修改注册表中的RUN键值来实现自启动。但是这种自启动模式不是很隐蔽的，稍微懂点安全的人，一般发现电脑被黑，都会查看RUN键值的。于是系统服务便成为了一种相对隐蔽的自启动模式。比如冲击波杀手就采用系统服务来自启动病毒程序。现在添加系统服务的工具很多，最典型的就是netservice。但是我们这里讲的是手工添加系统服务，所以工具的使用不在本文的讨论范围之内。WINDOWS里的很多东西都是跟注册表息息相关的，系统服务也不例外。系统服务跟以下的注册表几个项目相关：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHKEY_LOCAL_MACHINESYSTEMControlSet001ServicesHKEY_LOCAL_MACHINESYSTEMControlSet002Services我们完全可以找到在系统服务中已注册的服务的键值来依样画葫芦。在以上任何注册表列中添加一个新项：名字是你想要添加系统服务的名字，比如Backdoor。在BACKDOOR项下新建一个字符串,数值名称Displayname 数值数据为要添加服务的名称Backdoor。下面列出一个表，会直观一些：名称 类型 数据 备注Displayname REG_SZ 想要添加服务的名称 想要添加服务的名称Description REG_SZ 服务的描述 服务的描述ImagePath REG EXPAND SZ 程序的路径Start REG_DWORD 0,2,3,4 2代表自动启动,3代表手动启动服务.4代表禁用服务,0代表系统对底层设备驱动(一般不需要这个)ErrorControl REG_DWORD 1Type REG_DWORD 10 or 20 一般应用程序都是10,其他的对应20ObjectName REG_SZ LocalSystem 显示本地登陆注意：在XP/2003下可以完全手工来添加REG EXPAND SZ类型。在XP/2003下直接修改ImagePath 键值就可以了。但是在WIN2000下却不可以。原因我也不清楚：（。但是在WIN2000下我们写一个REG来直接注册系统服务，这样WIN2000下添加系统也能很轻松了。这里同样需要注意的是注册表文件里的ImagePath的数值类型必须是HEX（16进制）。可以拿WINHEX来把程序的绝对路径转换成16进制的。每一个数值用逗号搁开。比如我的ImagePath键值是C:winnt ukegroup.exe那就应该转换成：63，3A，5C，77，69，6E，6E，74，5C，6E，75，6B，65，2E，65，78，65（无空格）打开记事本，敲入以下内容：Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices"want to create the name of service"]"Type"=dword:00000010"Start"=dword:00000002"ErrorControl"=dword:00000001"ImagePath"=hex(2):63，3A，5C，77，69，6E，6E，74，5C，6E，75，6B，65，2E，65，78，65"DisplayName"="SRVTEST""ObjectName"="LocalSystem""Description"="系统服务测试"把以上信息保存为addsrv.reg，我们就可以依靠命令来导入注册表，从而达到添加系统服务的目的。我们在命令控制台输入regedit /s addsrv.reg，等机器重新启动，这个服务就被成功添加了。但是我在真正实验的时候就遇到困难了。ImagePath的数值是乱码（1）（2），怎么想也不明白。但是这时可以把乱码修改成绝对路径了。如果直接把REG信息写成这样"ImagePath"=hex(2):C:WINNTNUKEGROUP.EXE其他的键值都可以添加，这个键值就不可以了？总之我们可以先添加乱码的ImagePath，然后再修改成C:winnt ukegroup.exe 这样也不是不可能的。就是在命令行下来添加就很麻烦了。(3)以上是Windows 2000手工添加系统服务的方法，对于Windows 98 注册表结构是不一样的，但是Windows 98仍然可以通过注册表来实现添加系统服务，而且还要更简单一些。在项目“HKLM/SOFTWARE/Microsoft/WindowsCurrentVersion/RunServices”下添加一个新字符串数值。比如，如果程序的名字叫做“BACKDOOR”，就建立一个名为“BACKDOOR”的字符串数值，然后在数据域中输入执行程序的完整路径。

C

技术信息（分析） Backdoor：这是一个木马Win32/FlyAgent.F具有后门功能。它可能会执行的远程攻击者的命令的某些行动。 安装 后门：Win32/FlyAgent.F可能下降本身使用的文件夹在Windows系统文件夹中创建一个随机文件名。例如： <系统文件夹> 38955c cb05e3.exe 注 - <系统文件夹>指的是一个变量的位置，这是由病毒决定查询操作系统。为用于Windows 2000和NT系统文件夹是C： Winnt System32中的默认安装位置，并为XP和Vista是C：的Windows System32。 它也可能创建一个启动文件夹中的链接指向它的下降副本。例如： <startup文件夹> cb05e3.lnk 注 - <startup文件夹>是指一个变量的位置，这是由病毒决定查询操作系统。为Windows 9x的，我，NT，2000，XP和2003的启动文件夹的默认安装位置是"为％USERPROFILE％开始菜单程序启动"。对于Windows Vista的默认位置是"为％USERPROFILE％ AppData 漫游微软 Windows Start菜单程序启动"。 有效载荷 执行后门功能 后门：Win32/FlyAgent.F是执行对远程攻击者的命令为基础的行动能力，例如： 窃取用户凭据 连接到不同的网站 下载和执行文件 杀死进程 下降其他恶意软件，如VirTool：Win32/Afrootix.gen！乙 Technical Information (Analysis) Backdoor:Win32/FlyAgent.F is a trojan that has backdoor capabilities. It may perform certain actions based on the commands of a remote attacker. Installation Backdoor:Win32/FlyAgent.F may drop itself using a random file name in a folder it creates in the Windows system folder. For example: <system folder>38955ccb05e3.exe Note - <system folder> refers to a variable location that is determined by the malware by querying the Operating System. The default installation location for the System folder for Windows 2000 and NT is C:WinntSystem32; and for XP and Vista is C:WindowsSystem32. It may also create a link in the Startup folder that points to its dropped copy. For example: <startup folder>cb05e3.lnk Note - <startup folder> refers to a variable location that is determined by the malware by querying the Operating System. The default installation location for the Startup folder for Windows 9x, Me, NT, 2000, XP and 2003 is "%USERPROFILE%Start MenuProgramsStartup". For Windows Vista, the default location is "%USERPROFILE%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup". Payload Performs backdoor functionality Backdoor:Win32/FlyAgent.F is capable of performing actions based on the commands of a remote attacker, for example: Steal user credentialsConnect to various Web sitesDownload and execute filesKill processesDrop other malware, such as VirTool:Win32/Afrootix.gen!B Analysis by Andrei Florin Saygo

分类: 电脑/网络 >> 反病毒 问题描述: 此病毒会把文件夹选项（就是能设置“不显示隐藏文件夹”的那个）关闭，注册表会被锁定，在开始〉启动中还会生成一个名为“Empty”（好像是这么拼的）的MS-DOS文件。在电脑中的好象可以用系统恢复曲调，但在优盘中的怎么办？这病毒似乎是从我优盘中考来的。 一般杀毒软件好像没啥用，清除以后重启病毒任在，而且只能找到留在内存中的病毒。 解析: 你可以用这个软件来处理试试： 按杀毒软件提供的路径，记下来 1.下载一个软件：冰刃(ttian/website/2005/0829/391) 这是一个绿色软件，下载解压缩后即可使用。 如果杀软提供的病毒文件是一个dll的话，点击：进程 逐个右击右侧的进程－－模块信息，仔细查看这个dll到底对哪些进程进行了插入（特别是那些系统进程），尝试用右侧的“强制解除”试试，能不能将这个dll文件从进程中解除出来（可能会碰上在某个进程中强制解除时机器会重启的现象）。 如果不行，请先运行regsvr32 /u 这个dll文件，将它从系统中反注册。 2.如果杀软提供的病毒文件是一个非dll文件的话，直接在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下，找到这个文件（木马文件一般在system32下） 3.通过按钮“创建时间”对这个文件夹下的文件进行排序，仔细查看与这个文件在创建时间是同一天的所有文件（但是不是都是与它一样是病毒文件，需要你判断）。右击它们一一删除。 4.在这个软件的界面里直接搜索注册表里这个文件的键值，删除搜索到的。 5.重启电脑，这个东西应该清除干净了。

你可以这样,先下载360系统急救箱保存到D盘,重启按F8进入带网络连接的安全模式,使用360系统急救箱进行查杀 这样就查杀的比较彻底了,然后启动360杀毒 360安全卫士的木马云查杀功能查杀清除残留就可以了.

本地行为1、文件运行后会释放以下文件%DriveLetter%autorun.inf%Documents and Settings%AdministratorLocal SettingsTempdll62.dll%DriveLetter%system.dll%System32%appwinproc.dll%System32%driversetchosts%System32%Nskhelper2.sys%System32%NsPass0.sys%System32%NsPass1.sys%System32%NsPass2.sys%System32%NsPass3.sys%System32%NsPass4.sys%HomeDrive%system.dll%HomeDrive%autorun.inf2、新增注册表[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options“被劫持的文件名”]注册表值: Debugger类型: REG_SZ值: svchost.exe被劫持的文件名称列表如下：360safe.exe、360safebox.exe、360tray.exe、ACKWIN32.exe、ANTI-TROJAN.exe、anti.exe、antivir.exe、atrack.exe、AUTODOWN.exe、AVCONSOL.exe、AVE32.exe、AVGCTRL.exe、avk.exe、AVKSERV.exe、avp.exe、AVPUPD.exe、AVSCHED32.exe、avsynmgr.exe、AVWIN95.exe、avxonsol.exe、BLACKD.exe、BLACKICE.exe、CCenter.exe、CFIADMIN.exe、CFIAUDIT.exe、CFIND.exe、cfinet.exe、cfinet32.exe、CLAW95.exe、CLAW95CT.exe、CLEANER.exe、CLEANER3.exe、DAVPFW.exe、dbg.exe、debu.exe、DV95.exe、DV95_O.exe、DVP95.exe、ECENGINE.exe、EFINET32.exe、ESAFE.exe、ESPWATCH.exe、explorewclass.exe、F-AGNT95.exe、F-PROT.exe、f-prot95.exe、f-stopw.exe、FINDVIRU.exe、fir.exe、fp-win.exe、FRW.exe、IAMAPP.exe、IAMSERV.exe、IBMASN.exe、IBMAVSP.exe、ice.exe、IceSword.exe、ICLOAD95.exe、ICLOADNT.exe、ICMOON.exe、ICSSUPPNT.exe、iom.exe、iomon98.exe、JED.exe、Kabackreport.exe、Kasmain.exe、kav32.exe、kavstart.exe、kissvc.exe、KPFW32.exe、kpfwsvc.exe、KPPMain.exe、KRF.exe、KVMonXP.exe、KVPreScan.exe、kwatch.exe、lamapp.exe、lockdown2000.exe、LOOKOUT.exe、luall.exe、LUCOMSERVER.exe、mcafee.exe、microsoft.exe、mon.exe、moniker.exe、MOOLIVE.exe、MPFTRAY.exe、ms.exe、N32ACAN.exe、navapsvc.exe、navapw32.exe、NAVLU32.exe、NAVNT.exe、navrunr.exe、NAVSCHED.exe、NAVW.exe、NAVW32.exe、navwnt.exe、nisserv.exe、nisum.exe、NMAIN.exe、NORMIST.exe、norton.exe、NUPGRADE.exe、NVC95.exe、office.exe、OUTPOST.exe、PADMIN.exe、PAVCL.exe、pcc.exe、PCCClient.exe、pccguide.exe、pcciomon.exe、pccmain.exe、pccwin98.exe、PCFWALLICON.exe、PERSFW.exe、PpPpWallRun.exe、program.exe、prot.exe、pview95.exe、ras.exe、Rav.exe、RAV7.exe、rav7win.exe、RavMon.exe、RavMonD.exe、RavStub.exe、RavTask.exe、regedit.exe、rescue32.exe、Rfw.exe、rn.exe、safeboxTray.exe、safeweb.exe、scam32.exe、scan.exe、SCAN32.exe、SCANPM.exe、scon.exe、SCRSCAN.exe、secu.exe、SERV95.exe、sirc32.exe、SMC.exe、smtpsvc.exe、SPHINX.exe、spy.exe、sreng.exe、SWEEP95.exe、symproxysvc.exe、TBSCAN.exe、TCA.exe、TDS2-98.exe、TDS2-NT.exe、Tmntsrv.exe、TMOAgent.exe、tmproxy.exe、tmupdito.exe、TSC.exe、UlibCfg.exe、vavrunr.exe、VET95.exe、VETTRAY.exe、vir.exe、VPC32.exe、VSECOMR.exe、vshwin32.exe、VSSCAN40、vsstat.exe、WEBSCAN.exe、WEBSCANX.exe、webtrap.exe、WFINDV32.exe、windows优化大师.exe、wink.exe、XDelbox.exe、zonealarm.exe创建服务名为：NsDlRK25、NsPsDk00、NsPsDk01、NsPsDk02、NsPsDk03、NsPsDk04等6个服务。服务的路径分别为%System32%目录下的对应驱动文件。3、查找的指定的进程名如下：OllyDbg.exe、OllyICE.exe、PEditor.exe、LordPE.exe、C32Asm.exe、ImportREC.exe4、被禁用的服务列表如下：Schedule、AppMgmt、srservice、W32Time、stisvc对应的服务名称为：Application Management，Task Scheduler，System Restore Service，Windows Image Acquisition (WIA)，Windows Time5、修改host文件，屏蔽部分安全类网站添加的列表如下：127.0.0.1 www.360.cn127.0.0.1 www.360safe.cn127.0.0.1 www.360safe.com127.0.0.1 www.chinakv.com127.0.0.1 www.rising.com.cn127.0.0.1 rising.com.cn127.0.0.1 dl.jiangmin.com127.0.0.1 jiangmin.com127.0.0.1 www.jiangmin.com127.0.0.1 www.duba.net127.0.0.1 www.eset.com.cn127.0.0.1 www.nod32.com127.0.0.1 shadu.duba.net127.0.0.1 union.kingsoft.com127.0.0.1 www.kaspersky.com.cn127.0.0.1 kaspersky.com.cn127.0.0.1 virustotal.com127.0.0.1 www.kaspersky.com127.0.0.1 www.cnnod32.cn127.0.0.1 www.lanniao.org127.0.0.1 www.nod32club.com127.0.0.1 www.dswlab.com127.0.0.1 bbs.sucop.com127.0.0.1 www.virustotal.com127.0.0.1 tool.ikaka.com127.0.0.1 360.qihoo.com6、在各个驱动器根目录下衍生病毒文件和autorun.inf文件Autorun.inf文件的数据格式如下：[autorun]shellopencommand=rundll32 system.dll,exploreshellexplorecommand=rundll32 system.dll,explore7、窗口指定字符串列表金山毒霸，360安全卫士，江民，木马，专杀，下载者，NOD32，卡巴斯基、McAfee、超级巡警、奇虎、杀毒……8、感染系统文件被感染的系统文件有：%System32%appmgmts.dll%System32%schedsvc.dll%System32%srsvc.dll%System32%w32time.dll%System32%wiaservc.dll感染方式为：从文件的头部开始写入病毒文件“system.dll”的代码。直到写完为止。网络行为连接网络下载病毒列表，并依照病毒列表下载病毒文件并执行http://www-1****.com/count.txt文件内容如下：http://u3.www-s****.com/ly/a4.exehttp://u3. www-s****.com/ly/a1.exehttp://u3.www-s****.com/ly/a3.exehttp://u3.www-s****.com/ly/a10.exehttp://u3.www-s****.com/ly/a40.exehttp://u3.www-s****.com/ly/a25.exehttp://u3.www-s****.com/ly/a13.exehttp://u3.www-s****.com/ly/a36.exehttp://u3.www-s****.com/ly/a41.exehttp://u3.www-s****.com/ly/a9.exehttp://u3.www-s****.com/ly/a49.exehttp://u3.www-s****.com/ly/a23.exehttp://u3.www-s****.com/ly/a32.exehttp://u3.www-s****.com/ly/a42.exehttp://u1.www-s****.com/hm/b12.exehttp://u1.www-s****.com/hm/b17.exehttp://u1.www-s****.com/hm/b13.exehttp://u1.www-s****.com/hm/b35.exehttp://u1.www-s****.com/hm/b15.exehttp://u1.www-s****.com/hm/b7.exehttp://u1.www-s****.com/hm/b21.exehttp://u1.www-s****.com/hm/b44.exehttp://u2.www-s****.com/hm/b3.exehttp://u2.www-s****.com/hm/b10.exehttp://u2.www-s****.com/hm/b5.exehttp://u2.www-s****.com/hm/b8.exehttp://u2.www-s****.com/hm/b2.exehttp://u2.www-s****.com/hm/b4.exehttp://u2.www-s****.com/hm/b11.exehttp://u2.www-s****.com/hm/b1.exehttp://u4.www-s****.com/bm/c1.exehttp://u4.www-s****.com/bm/c2.exehttp://u4.www-s****.com/bm/c3.exehttp://u4.www-s****.com/vip/aaa.exehttp://u4.www-s****.com/vip/cj.exe注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32，windows95/98/me中默认的安装路径是C:WindowsSystem，windowsXP中默认的安装路径是C:WindowsSystem32。%Temp% = C:Documents and SettingsAAAAALocal SettingsTemp 当前用户TEMP缓存变量%Windir% WINDODWS所在目录%DriveLetter% 逻辑驱动器根目录%ProgramFiles% 系统程序默认安装目录%HomeDrive% = C: 当前启动的系统的所在分区%Documents and Settings% 当前用户文档根目录

提供个思路，有兴趣的话可以试试看<三>杀毒思路1进安全模式 用sreng删除所有自启动项 一次删除不掉 重新启动进再进安全模式再删（其实还有服务项以及驱动也要去看的，但是顾虑到很多人都还不怎么懂，就先不说了）2进安全模式 用360全面检测3卡巴杀毒 之前已经装了的 直接在安全模式下杀 还没装的进入正常模式装好了杀注意：以上最好按照顺序来<二>我通常杀毒的工具有以下三个仅供参考，都是免费正版的1。卡巴斯基全功能安全软件2009 8.0.0.454 （kis）华军官方网站下载地址 http://www.newhua.com/soft/51595.htm2。360360官方网址 http://www.360.cn3。SReng华军下载地址 http://www.onlinedown.net/soft/25562.htm一个主杀毒kaba，一个清理恶意插件360,最后一个专门用来删除自启动程序SReng，SReng很重要!!!<一>个人建议（电脑配置差的就别装kaba了，装nod32或者瑞星吧，什么叫配置差,依据卡巴的要求可以说是cpu低于1.7G,内存低于512M） 如果遇到了当时比较流行的一些新病毒，上面的方法不好使了（注：上面的方法不太可能不好使，只有你不会使的可能）搞不定的话最好配合专杀软件，肯定可以搞定，个人感觉360不错有新病毒木马猖行的时候他就会出专杀。我杀毒时基本360+SReng+专杀就行了，卡巴都不用的。卡巴7.0永久免费方法 --kav和kis都可以 http://hi.baidu.com/13148/blog/item/204a6459782cd72e2834f002.html 卡巴8.0永久免费方法 --kav和kis都可以 http://hi.baidu.com/13148/blog/item/fd26f61fa0705d65f624e484.html----如果不喜欢卡巴也可以去下载别的我还是转发360官方地址吧2008年破解版大集合 http://baike.360.cn/4044867/7687484.html2008年正版免费试用大集合 http://baike.360.cn/4044867/6513379.html----其实天下根本没有绝对安全的杀毒软件，你看看挂马得来的“肉鸡”吧，都装着杀毒软件呢 http://baike.360.cn/3233995/8733271.html所以这里提醒大家千万照顾好自己的计算机，我们不仅要有好的杀毒软件还要有好的操作水平以及好的网络安全意识。

灰鸽子

绝大部分的病毒扩展名是exe,有的脚本病毒的扩展名为VBS、VBE、JS、JSE、WSH、WSF。还有WORD文件（以DOC作为扩展名）也会携带病毒。 很多病毒会在它真正的扩展名前添加其他的后缀来迷惑用户，如.jpg,.txt等，防范方法就是使文件显示真正的扩展名，具体方法是：打开任意一个文件夹，选择“工具--文件夹选项--查看”，把“隐藏已知文件类型的扩展名”前的钩去掉。病毒的命名规则病毒的命名并没有一个统一的规定，每个反病毒公司的命名规则都不太一样，但基本都是采用前、后缀法来进行命名的，可以是多个前缀、后缀组合，中间以小数点分隔，一般格式为：〔前缀〕．〔病毒名〕．〔后缀〕1．病毒前缀病毒前缀是指一个病毒的种类，我们常见的木马病毒的前缀是“trojan”，蠕虫病毒的前缀是“worm”，其他前缀还有如“macro”、“backdoor”、“script”等。2．病毒名病毒名是指一个病毒名称，如以前很有名的cih病毒，它和它的一些变种都是统一的“cih”，还有振荡波蠕虫病毒，它的病毒名则是“sasser”。3．病毒后缀病毒后缀是指一个病毒的变种特征，一般是采用英文中的26个字母来表示的，如“worm.sasser.c”是指振荡波蠕虫病毒的变种c。 如果病毒的变种太多了，那也可以采用数字和字母混合的方法来表示病毒的变种。病毒的命名解释1．木马病毒木马病毒的前缀是：trojan。木马病毒的特点就是通过网络或者系统漏洞进入用户的系统并隐藏，然后再向外界泄露用户的信息。 一般的木马如qq消息尾巴trojan.qqpsw.r，网络游戏木马病毒trojan.startpage.fh等。病毒名中有psw或者什么pwd之类的是表示这个病毒有盗取密码的功能，所有这类病毒特别需要注意。2．脚本病毒脚本病毒的前缀是：script。脚本病毒是用脚本语言编写，通过网页进行的传播的病毒，如红色代码script.redlof等。 有些脚本病毒还会有vbs、html之类的前缀，是表示用何种脚本编写的，如欢乐时光vbs.happytime、html.reality.d等。3．系统病毒系统病毒的前缀为：win32、pe、win95、w32、w95等。这些病毒的特点是可以感染windows操作系统的*.exe和*.dll文件，并通过这些文件进行传播，如以前有名的cih病毒就属于系统病毒。4．宏病毒宏病毒也可以算是脚本病毒的一种，由于它的特殊性，因此就单独算成一类。 宏病毒的前缀是：macro，第二前缀有word、word97、excel、excel97等，根据感染的文档类型来选择相应的第二前缀。 该类病毒的特点就是能感染office系列的文档，然后通过office通用模板进行传播，如以前著名的美丽莎病毒macro.melissa。5．蠕虫病毒蠕虫病毒的前缀是：worm。这种病毒的特点是可以通过网络或者系统漏洞来进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性，大家比较熟悉的这类病毒有冲击波、震荡波等。6．机病毒机病毒的前缀是：binder。病毒作者会使用特定的程序把病毒与一些应用程序（如qq等大家常用的软件）起来，表面上看去是个正常的文件，但当用户运行这些应用程序时，也同时运行了被在一起的病毒文件，从而给用户造成危害。 如系统杀手binder.killsys。7．后门病毒后门病毒的前缀是：backdoor。 该类病毒的特点就是通过网络传播来给中毒系统开后门，给用户电脑带来安全隐患。如爱情后门病毒worm.lovgate.a/b/c。关于木马程序的识别、预防及清除方法

你可以使用360杀毒软件进行全盘扫描，不行的话就用360系统急救箱！如果还不行，最好重启一直按F8 进入安全模式进行杀毒！

是想问什么？

如果怀疑系统存在病毒，建议您安装瑞星杀毒软件V16版本升级到最新病毒库后进行病毒扫描查杀，下载地址：http://pc.rising.com.cn/

这个木马用专杀一般杀不干净，要自己手动删除 由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。 1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。 2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:windows，2k/NT为C:Winnt）。 3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。 4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。 经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了，下面就可以进行手动清除。 灰鸽子的手工清除 经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。 注意：为防止误操作，清除前一定要做好备份。 一、清除灰鸽子的服务 2000／XP系统： 1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices注册表项。 2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server）。 3、删除整个Game_Server项。 98／me系统： 在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun项，我们立即看到名为Game.exe的一项，将Game.exe项删除即可。 二、删除灰鸽子程序文件 删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。至此，灰鸽子已经被清除干净。

这个不知道的情况下还是先查杀下的好，一般的普通的病毒先用360杀毒的好，其它的顽固病毒和木马的话还是找360系统急救箱帮忙的好

去看百度百科啊

没有什么规则的 你只有把常用的找来记住就好了

isco是斯耐德旗下的分厂，之前在西德，斯耐德m42的镜头比较不好找（据说产量多，但是很少看到人卖，难道真的应证了真水无香牛头的传言？）。所以isco厂的镜头可以看作斯耐德血统的镜头，成像优异。不过我没有用过，也无法给你说出这个头的特点