先说治标的：
1、在你的服务器上装杀毒软件，升级到最新版，杀毒，确保本机没有病毒。
2、找一个Arp Sniffer之类的软件装上，探测一下机房局域网是否有ARP病毒，有则通知机房管理人员解决。
3、将你网页中的哪些代码删掉。网上可以找到批量删除工具，可对多个文件操作，只是注意如果你的access之类的数据库改成了.asp文件，要先改为别的，以免损坏。如果是动态网页，可能需要到网页的设置数据库表或模版中找哪些恶意代码。

治本：
网页被加上代码只要不是arp病毒干的，肯定是被黑了，被黑肯定是你的网站有漏洞。至于怎么被攻击的，方法有很多，一时也说不完，而且不知道你系统的情况，很难说出一个具体可能性。还是说说怎么补救吧：
1、赶紧改系统管理员administrator的密码，另建一个管理员账号。密码都尽量设得复杂一点。
2、删除除了上述两个管理员账号及Web服务器用的IUSR_?和IWAM_?外的其它账号
3、服务器上安装杀毒软件，升级到最新版本，全面杀毒杀马。注意停止服务器上所有无关的服务和驱动。其中有一些没有公司签名的，可能就是病毒的。关于怎么彻底清理病毒和木马，这里就不详细说明了。
4、用Windows Update补齐所有系统补丁。
5、如果是XP或2003系统，启用自带的防火墙，将除了80端口和你远程登陆端口外的所有端口，禁止ICMP访问。

6、如果你的网站有动态网页，数据库用的是MS SQL, 需要特别注意防止SQL Injection，要点如下（更详细的请自行查资料）：
a 将MS SQL Server的xp_cmdshell扩展存储删掉
b 减小你动态网页中连接数据库的那个账号在数据库系统中的访问权限
c 仔细检查你的每个动态网页，确保每个输入（包括URL中的参数）都进行了检查，过滤掉了“'-;”等非法字符
如果是access数据库，要防止access库文件被人下载更换再传上来。

7、修改你数据库中各主要账号的密码。比如sa 动态网页的连接账号等
8、注意IIS的安全配置
a 删掉IIS安装时那个缺省网站，删掉pinters等虚拟目录
b 停止IIS带你ftp和smtp
c 配置较详细的日志记录
d 禁用脚本调试和向客户端发送详细调试信息
9、注意你用于文件上传的ftp服务器的安全（查看你所用ftp服务器的有关安全资料）
10、随时注意检查系统的登录信息（事件查看器）和IIS日志

更多关于服务器安全配置的资料，请参见——

http://www.topsav.com.cn/EntSafety/ServerSafety/Index.html

1、释放病毒文件：
%Systemroot%\system32\dllcache\dvdplay.exe
%Systemroot%\system32\OLDA.tmp
%Systemroot%\system32\exloroe.exe
其中主体Xiaohao.exe常驻进程。

2、尝试启动C:\Program Files\Internet Explorer\iexplore.exe，不过未见其他行为。

3、Xiaohao.exe查找可用的磁盘，在其目录下生成：Xiaohao.exe和Autorun.inf
如双击磁盘，则激活病毒。
（如果在插入U盘情况下，运行被感染的病毒，那么U盘目录会生成Xiaohao.exe和Autorun.inf）

4、遍历磁盘所有文件，如遇到.exe文件则覆盖，并在文件尾增加感染标记“ygr”
         覆盖文件头部，导致可执行文件结构被破坏。文件全部变成一个“浩”字。
         由于无判断路径，系统文件也被破坏了，重启后可能无法开机。
         并且一些系统设置和配置失效，例如系统时间会被修改。

5、查找扩展名为*.jsp、*.php、*.aspx、*.asp、*.html、*.htm文件。可以重复下载感染的恶意代码。

6、修改注册表（不记得哪里，哈哈``），删除开始菜单的快捷方式。

7、修改进程窗口标题，为：已中毒 X14o-H4o's Virus

8、如病毒在进程，在进入一个目录后，所有文件（被感染文件除外）属性皆被设置为隐藏！

9、破坏显示隐藏文件，设置为“不显示”。

10、写入注册表，开机自启：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\
指向%SystemRoot%\system32\exloroe.exe

11、保存被感染的文件列表，则C:\Jilu.txt

病毒传播
          1、在网页上生成恶意代码，利用MS06-14漏洞下载病毒的执行文件到受害机器执行。
          2、利用U盘等移动存储，在其根目录下生成autorun.inf和Xiaohao.exe传播

解决办法：
         1、该病毒由于破坏所有的可执行文件，感染后系统不能启动，没有什么好的解决方法只能重装或还原。
         2、通过重装和还原解决问题时，在彻底杀干净前，千万不要双击或右键打开任何盘。也不要运行任何原来的程序。直接到DOS下将各盘的autorun.inf先删了。具体措施见关于auto病毒的解决具体资料——
    http://hi.baidu.com/sanluxia/blog/item/d8798d544a49e25ad1090600.html
        3、安装杀毒软件并升级，对盘上所有文件杀毒（对杀出有毒的文件直接删除）。所有应用软件重装。
        3、打齐系统补丁，删掉原来留在盘上的任何网页文件。

防护：
         1、打齐系统补丁，特别是MS06-14。可用Windows Update或360安全卫士帮助打补丁。
         2、卡巴和瑞星的最新版本都已经能防护该病毒。建议尽快升级。还没有杀毒软件的朋友去www.360safe.com下360安全卫士，送半年的正版卡巴——
http://hi.baidu.com/sanluxia/blog/item/b4625cd729770cdfa144dfd6.html

         3、禁止U盘自动播放功能。具体办法参见前面关于auto病毒的资料。

原始资料来源——
“孤独更可靠”大侠的文章：
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/fa79f888a89d4096a4c27285.html

      这个winlib.dll是acpidisk.sys释放出来的，另外还释放一个C:\WINDOWS\TEMP\~my1.tmp （或者~my2.tmp、~my3.tmp等）

       WinLogon.exe修改注册表值——
       HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\History为：C:\Documents and Settings\[User Account]\Local Settings\History
       HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations为：C:\WINDOWS\TEMP\~my1.tmp

       注册一个浏览器加载项[Info cache]，文件为C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll。

SREng的扫描报告如下：

驱动程序
[acpidisk / acpidisk][Running/Auto Start]
    <\??\C:\WINDOWS\System32\drivers\acpidisk.sys><N/A>
浏览器加载项
[Info cache]
    {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} <C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll, 金泰丰(广州)科技有限公司>
正在运行的进程
[PID: 628 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe]    [Microsoft Corporation, 5.1.2600.1106 (xpsp1.020828-1920)]
      [C:\WINDOWS\System32\winlib .dll]    [N/A, ]

解决办法：
      1、运行SREng。
附：System Repaire Engineer(SRE)
下载：http://www.kztechs.com/sreng/download.html
使用方法：http://www.kztechs.com/sreng/help2/

      2、在SREng界面的“启动项目/服务/驱动程序”中，删除[acpidisk / acpidisk]项。具体操作：（运行SRENG--->启动项目--->服务--->驱动程序--->勾选“隐藏已认证的微软项目”--->选择要删除的驱动程序--->选择删除服务--->点击设置--->出现提示里选择No(否)，确认删除。）

      3、使用冰刃(IceSword)1.20
http://www.ttian.net/website/2005/0829/391.html，在其界面注册表中，找到所有385AB8C6-FB22-4D17-8834-064E2BA0A6F0的项，删除。（由于IceSword没有注册表搜索功能，可以打开regedit搜索，然后对比找到后删除。这几个项都比较顽固，实际操作发现用SREng和Regedit都不能删出。）

      4、重新启动，删除C:\WINDOWS\System32\drivers\acpidisk.sys和C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll文件。那个winlib .dll已经自动消失了。

Author: Sanluxia
Aug. 13, 2007
Blog: http://hi.baidu.com/sanluxia/blog
This document is written by Sanluxia, all rights reserved. You may copy it to other place, but you must reserve this copyright information.

     该木马群成功感染后所有杀毒软件被禁止或劫持，桌面（或称Window Shell）explorer.exe被注入和劫持，某些情下安全模式被破坏。所以，完全清除对具有一定的难度，需要一点耐心、信心和电脑操作熟练度。

解决办法：
1、准备工具IceSword和SREng，下载地址：
System Repaire Engineer(SRE)
下载：http://www.kztechs.com/sreng/download.html
使用方法：http://www.kztechs.com/sreng/help2/
冰刃(IceSword)1.20
http://www.ttian.net/website/2005/0829/391.html

2、由于这两个工具被映像劫持了，将它们解压后，运行时先将可执行文件IceSword.exe和SREngPS.exe改为随便一个其它的名字，比如“1234.exe”运行。由于各盘被释放了autorun.inf，清理过程中注意不要双击或点右键打开任何盘。运行工具软件从开始菜单运行。

3、运行IceSword，在“文件”菜单点“设置”，勾“禁止进线程创建”，点“确认”，然后在进程列表中删除“eqrdrnr.exe”和“websrdu.exe”。然后再允许进线程创建。
在文件列表中，找到下列文件，并强制删除：
C:\Program Files\Common Files\Microsoft Shared\websrdu.exe
C:\Program Files\Common Files\System\eqrdrnr.exe
d:\autorun.inf
e:\autorun.inf
f:\autorun.inf
d:\txwslhg.exe
e:\txwslhg.exe
f:\txwslhg.exe

3、运行SREng，在“系统修复/高级”中，修复安全模式；在“启动项目/注册表”中，删除所有红色的IFEO项目，删除“eqrdrnr.exe”和“websrdu.exe”的启动项目。

4、参照Trojan.Win32.Agent.pow的处理办法删除对explorer.exe的注入（结束explore.exe进程，删除那些注入的文件，然后重启explore.exe）：
http://hi.baidu.com/sanluxia/blog/item/977959f7e7f93720730eec6d.html

5、现在杀毒软件应该可以运行了，启动运行并升级。然后重新启动，到安全模式，用你的杀毒软件扫描全部硬盘。

补充说明:
     由于木马群的相互作用，以及杀毒软件可能在其中做了部分清除工作，各中毒机器的具体情况可能与上述情况并不完全一样。网友们可以将上述解决办法作为一个解决问题的思路参考。

关于“AV终结者”或“帕虫”的详细资料，参见如下：

http://forum.ikaka.com/topic.asp?board=28&artid=8322881
http://hi.baidu.com/newcenturysun/blog/item/2ad3d7cedcea3c0292457e2c.html
http://forum.ikaka.com/topic.asp?board=28&artid=8315857

Author: Sanluxia
Aug. 10, 2007
Blog: http://hi.baidu.com/sanluxia/blog
This document is written by Sanluxia, all rights reserved. You may copy it to other place, but you must reserve this copyright information.

      拿到的样本这两个是打在一个安装包里。Trojan.Win32.Agent.pow释放如下文件：
      C:\WINDOWS\system32\netdde32.exe
      C:\WINDOWS\netdde32.exe
      C:\Windows\KB908023.log (假装成微软补丁日志的可执行模块)
      将这三个文件都插入到exeplore.exe，然后映像劫持exeplore.exe，使之指向C:\WINDOWS\Sysem32\netdde32.exe。

      Adware.Win32.CPush.e释放文件：
      C:\Program Files\Common Files\CPUSH\cpush.dll
      将这个文件注册为ActiveX对象，并生成浏览器加载项[CAdLogic Object]。

      已经注入了explorer.exe的Trojan.Win32.Agent.pow将cpush.dll也注入到explorer.exe中。在注册表中直接手工删除或修改exeplorer.exe的映像劫持项(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe)时，会马上被改回去。

      如果已经联网，Trojan.Win32.Agent.pow还会去下载一堆木马和流氓软件下来，其中包括一个假的QQ浏览器加载项：
      [腾讯QQ]
       {54EBD53A-9BC1-480B-966A-843A333CA162} <C:\WINDOWS\QQIEHelper.dll, N/A>
    

清除办法：
      由于这两个东西没有驱动和服务项保护，用最新的瑞星就基本能干掉了，测试中看到了瑞星修复了explorer.exe的映像劫持。Trojan.Win32.Agent.pow释放的三个文件提示要重启删除，因为它们已经注入到了explorer.exe进程中。如果由于某种原因explorer.exe的劫持没有修复过来，下次启动时就看不到桌面了，从任务管理器中运行也会出错。需要参考下面的手工方法。

      手工解决办法很简单——
      1、在任务管理器重结束explorer.exe
      2、在任务管理器中点“文件/新建任务”，运行regedit.exe，删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe项
      3、在任务管理器中点“文件/新建任务”，点“浏览”，然后在打开文件对话框找到上述它们释放的文件，直接删除。然后找到c:\windows\explorer.exe，点打开。
      4、运行360安全卫士（或瑞星卡卡，或SREng），清除浏览器加载项[CAdLogic Object]和[腾讯QQ]        {54EBD53A-9BC1-480B-966A-843A333CA162} <C:\WINDOWS\QQIEHelper.dll, N/A>。

Author: Sanluxia
Aug. 7, 2007
Blog: http://hi.baidu.com/sanluxia/blog
This document is written by Sanluxia, all rights reserved. You may copy it to other place, but you must reserve this copyright information.

        1 系统体系结构及软件的相关概念
        2 Windows操作系统与安全相关的知识
        3 网络的相关知识

1 系统体系结构及软件的相关概念

1.1 电脑系统基本体系结构
        电脑系统作为一个信息的存储和处理设备，剥开其基本的输入输出设备（键盘鼠标、显示器打印机音箱等）以及网络交换设备（网卡）等外围的东西，其核心其实只有三个：磁盘<--->内存<--->CPU。信息在磁盘（一般是硬盘）中永久存储，开机后被读到内存，内存与CPU进行交互，使信息得到处理，然后又通过内存存回到磁盘或发送到其它输出设备。与之稍有区别的是，来自键盘、网络等输入设备的信息，直接进入内存，经CPU进行处理。

        因此，我们要建立的概念是，CPU只和内存打交道，所有的信息必须经过内存才能被处理。内存比磁盘读写信息的速度快得多，相对来说容量小很多。内存中的信息断电就消失了，只有存在磁盘上的信息才能永久保存。

        病毒、木马等也只是某种格式的信息，它们要活动，就必须进入到内存，取得CPU的执行权。存储在磁盘上无法进入到内存并取得执行权的病毒是死病毒，没有任何危害，跟磁盘上被随机写入的一堆二进制数没有任何区别。

1.2 电脑软件的相关概念
        电脑软件是指令和数据的集合，存储在磁盘上时表现为一系列相关的文件。其中有的文件是程序（能够被执行的指令），有的文件纯粹是数据。程序和数据都是由一系列的二进制数来组成的，那么，计算机怎么知道什么是程序，什么是数据呢？
        CPU预先规定了一系列用二进制表示的指令集，存储在磁盘中的信息被读入内存时，预先精心设计的读取位置及二进制格式的分析能够保证，具有一定意义的CPU指令集合（程序）能够被以正确的顺序和格式读取到CPU，并被翻译成与原来设计相符的CPU指令动作；而其它的部分这是被这些指令集合处理的数据。

        电脑软件被分为几个层次。最底层的是与计算机硬件直接打交道的，称为设备驱动程序，这些设备驱动程序在开机时由BIOS（基本输入输出系统）来管理，加载完系统后由操作系统的设备抽象层来管理。设备层之上就是操作系统（对我们大多数电脑用户来说，就是Windows），操作系统是电脑系统的大管家，它为所有我们要运行的应用软件提供基础支持平台，并提供我们访问磁盘信息及使用电脑各个部分的支持。操作系统又分为三个层次：设备抽象层、核心层、用户界面层。操作系统之上就是我们运行的各种应用软件，比如浏览器、字处理软件、游戏等等。

        软件是通过软件开发工具，由人设计开发出来的。软件开发工具也是软件，所以最初的软件人们只能利用CPU的指令集合由二进制代码一点一点的拼出来，然后就拼出一种能减轻这种原始工作难度的软件，这就是最初的开发工具。这样，软件和软件工具就螺旋循环进行功能提升。所有的开发工具都是将人的设计意图最终翻译成机器能够执行的指令序列。

        病毒、木马等恶意程序也是软件，也就是说是一系列计算机指令与相关数据的集合，理论上讲，恶意软件和正常软件之间是无法区分的。但在实践中，可以通过它们的行为来进行判断，那些帮助我们使用电脑实现某个我们所需要功能的，就是正常软件；那些利用我们电脑实现我们不想要功能、或者阻碍或者危害我们使用电脑的，就是恶意软件。这种区别有时很微妙，比如一个搞笑的程序，一些人看来是个轻松的游戏，另一些人看来则是讨厌的恶意程序。正是这种理论上的不可区分性，才导致病毒的不可消亡性，不存在完全消除病毒的系统和能够杀除一切病毒的杀毒软件。

1.3 操作系统的相关概念
         站在用户的角度看操作系统，它是我们使用电脑的基础平台。它以某种方式接受我们对电脑的操作，提供我们读写磁盘信息的手段，将信息以某种有意义的方式在输出设备上显示出来。
         同时，它也是一切应用软件基本平台和生存环境。应用软件只能通过操作系统提供的途径来访问磁盘，接受用户的输入，访问网络信息，以及显示自己的信息。
         任何操作系统都会存在某种设计上的缺陷，当这种缺陷特别突出时，就被称之为漏洞。漏洞的存在使得恶意软件的生存空间和传播速度大为增加。

        病毒作为一类特殊形式的软件，它既依赖于操作系统提供的环境，又试图突破操作系统的限制。

1.4 病毒（恶意软件）是什么？
        前面说到了，病毒本质上是软件，是计算机指令集和数据的集合。理论上，它与正常的软件不可区分；实践上，通过对这些程序的行为分析，是可以判断哪些是病毒的。这里病毒是指广义上的恶意软件。
        病毒的恶意行为概括起来有如下几点——
        a 总是在用户不知情的情况下被安装（进入磁盘永久存储）
        b 尽可能地隐藏自己
        c 尽可能地获得加载执行机会
        d 尽可能在用户不知情的情况下利用电脑资源进行某些其它的活动（包括提供远程控制服务、泄露信息、继续传播等）

        因此，隐藏和自我传播是病毒最根本的特征。由于隐藏的需要，它们都比较小，能够较容易地附着在其它程序上，能够通过网络快速复制和传播。它们在指令序列上，往往是非常精巧编制的一段代码。不过，现代病毒越来越复杂，它们不再是一段代码，往往被分成若干个部分，各部分分工合作，有的完成最初的传播，有的进行进一步感染，有的进行自我保护和隐藏，有的完成感染后功能。

        从分类上讲，现代病毒可以分为如下类——
        a 传统病毒
        b 网络蠕虫
        c 木马
        d 其它恶意软件
        关于更详细的分类，可以参见资料：http://hi.baidu.com/sanluxia/blog/item/d3522bf400db61dbf2d38503.html

2 Windows操作系统与安全相关的知识

2.1 Windows系统的基础
        Windows是一个非常庞大的系统，实际上作为普通用户没有必要了解很多Winodows系统结构的知识。但是，我们要知道，Windows系统是运行在两个不同级别的层次中：内核模式和用户模式。系统的内核代码、硬件抽象层及设备驱动程序等运行在内核模式，可以直接访问系统数据和硬件；而Windows之上的应用程序都运行在用户模式，它们只能通过有限的一组接口，受限地访问系统数据，而且无法直接访问硬件。

        Windows作为一个操作系统，提供的最基础的功能包括：内存管理、进程管理和文件管理。

        进程是Windows中一个组件或应用程序运行时在内存中的基本单元。我们在Windows任务栏点右键，选“任务管理器”，在“进程”标签中就可以看到当前正在运行的各个进程的名字及其它一些信息。每个进程会调用一系列的程序模块，这些模块对应于硬盘上的一系列文件。

        我们看到的Windows的桌面、任务栏，在资源管理器中表现出来的磁盘及其目录结构，都是由Windows的用户接口层程序提供的，这个程序叫c:\windows\explore.exe。很多病毒感染时都针对这个程序下手。

        微软集成在Windows中的IE浏览器程序文件名叫IExplore.exe(大小写无关)，运行时在进程中看到同样的名字。浏览器由于在互联网时代的重要性，它实际上已经不是单个的应用程序，微软提供的相应的接口能够在浏览器中插入各种对象，以使得浏览器能够处理更多类型的数据，从而增加浏览器的功能。但是，这种接口也为病毒、木马、广告程序或其它流氓软件扰乱和劫持浏览器的正常运行提供了方便。

        Windows分为各种不同的版本，早期的有Win 95、Win 97、Win 98，目前微软基本上以及不提供继续支持了；其后有Windows 2000、Windows XP、Windows 2003，一直到现在正在推出的Windows Vista，这每个版本又包含家庭版、专业版、服务器版等功能侧重不同的版本。解决病毒问题，获取当前系统的Windows版本信息是很关键的。有很多软件工具可以显示当前的系统版本信息。

        针对不断发现的Windows安全问题，微软推出了一种给系统打补丁的机制。也就是到微软的站点下载经过更新，修补了已发现安全问题的程序到本地安装。为了简化这种过程，Window包含一个Window Update的程序，在开始菜单中可以看到，帮助我们打系统补丁的操作。

2.2 磁盘结构
        Windows的磁盘结构实际上也就是我们在资源管理器中看到的那个树形的文件夹结构。机器中的物理硬盘被逻辑地分为若干个分区，这些分区被叫做C盘、D盘...，每个盘存在若干个文件夹，每个文件夹下可以保存存任意数量的文件和任意数量的文件夹，文件夹的深度没有限制。系统中所有的信息都以文件的方式存在，并以这种树形的结构被逻辑分类保存在磁盘上。

        安装Windows的磁盘分区叫做系统分区（可以不在C盘）。Windows预定义了一些特殊的文件夹，叫做系统文件夹，这些系统文件夹包括（假定系统安装在C盘）：
        C:\Windows\或者C:\WinNT\——根据Windows版本的不同为二者之一，或者根据用户安装时的选择也可以为其它目录。这是Windows系统的主目录，下面包含一些重要的由Windows自己定义的子目录，其中C:\Windows\system32是比较重要的一个。
        C:\Documents and Settings\——这是保存用户个人信息的一个文件夹，其下为每个用户定义一个子文件夹
        C:\Documents and Settings\Administrator\——系统的缺省管理员帐户的个人信息文件夹

        每个C:\Documents and Settings\[用户帐户]\下，又包含如下的子目录：
           「开始」菜单——保存该用户的开始菜单项目信息
           [用户帐户]的文档——保存该用户的“我的文档”信息。“我的文档”逻辑文件夹也可被挪到其它位置。
           桌面——资源管理器中逻辑根“桌面”的实际存储位置
           Local Settings——该用户的一些设置信息，这个文件夹下还可能包含该用户的IE浏览器临时文件存储位置Temporary Internet Files，不过也可能根据用户在IE中的设置，挪到了其它位置
           Application Data——保存该帐号的一些应用程序信息
           ...

        C:\Program Files\——保存Windows下安装的一些应用程序。缺省象IE浏览器程序，邮件客户端Ooutlook Express等都安装在这个目录
        C:\System Volume Information\——其下保存Windows系统还原的信息。系统还原是Windows XP以上系统的一个高级功能，当某种原因系统发生崩溃或数据错误时，可以通过系统还原回到原来正确时的状态。有时通过这个就能清除病毒。这个文件夹在每个分区会有一个。
        C:\Recycler\——C盘的垃圾箱文件夹。每个盘下会有一个。还有一个逻辑抽象的Recycled的文件夹（就是被称为垃圾箱的东西），不过这不是磁盘上真正的文件夹。

        磁盘按照其数据存储的格式可以有FAT32和NTFS两个形式，其中NTFS是Windows推荐的格式，优点是有更好的权限控制，并且更能够节省磁盘空间，不过这种格式的磁盘在普通DOS下看不见，给有时需要DOS下杀毒造成一定的困难。磁盘上的每个文件及文件夹都可以设置为如下属性中的一种或几种：系统、隐藏、只读、归档。NTFS格式的磁盘还可以对用户和用户组设置文件和文件夹的更详细访问权限。  

       磁盘中的信息有可能被损坏。有两种类型的损坏：逻辑损坏和物理损坏。逻辑损坏是指数据以为某种原因使得其目录信息等发生损坏而造成的逻辑组织错乱；物理损坏是指由于磁盘表面存储数据的位置发生物理错误造成的数据丢失与破坏。Windows提供了从磁盘错误中恢复处理的工具。

       每个磁盘分区有一个引导扇区，整个磁盘有一个主引导区，它们是保存磁盘上操作系统加载信息的地方，以前是病毒经常呆的窝子，现在这种病毒少了。不过当前主流的杀毒软件都提供对磁盘引导区和主引导区的扫描。

2.3 注册表
        注册表是Windows的基础数据集合，几乎所有系统硬软件有关的配置数据都保存在其中。可以说，注册表是Windows的命根子，最注册表的损坏往往导致系统的崩溃。病毒对Windows系统的感染也极大程度地利用了注册表。因此，对注册表的管理和维护是系统维护的重要工作，也是清理病毒过程的重要组成部分。普通用户具有一些注册表的相关知识对维护自己系统的安全非常重要。

       从根本上说，注册表是一个信息的数据库，这个数据库是以树形结构来组织的，里面存储的信息量非常庞大。这种结构有点类似于磁盘的目录结构。微软预定义了这个树形结构大多数最初几个级别的分支。其中最底层几个分支是——
        HKEY_CLASS_ROOT
        HKEY_CURRENT_USER
        HKEY_LOCAL_MACHINE
        HKEY_USERS
        HKEY_CURRENT_CONFIG
        在这些初级分支下包含一系列其它预定义的分支。在描述这些分支时，经常用一种类似目录结构的字串来表示，比如：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

        注册表数据库可以通过一些软件工具来打开和编辑。微软提供了一个注册表的编辑工具，C:\Windoows\regedit.exe，通常我们在开始菜单中选运行，然后输入regedit.exe，就打开的注册表，实际上就是通过这个程序打开的，我们可以在里面逐步展开查看注册表的接口，或修改某些项目。
    需要特别注意的是：直接修改注册表是非常危险的行为，除非你明白你正在做什么，并且清楚会带来什么后果，否则不要轻易去动注册表中的东西。这样有可能导致应用软件的错误甚至系统的崩溃！

        Windows系统启动时所要加载的程序大部分都在注册表中有相应的项目定义。病毒和木马正是在注册表中这些预定义的项目增加自己来使得自己在下次启动时自动被加载运行的。因此，清理病毒不禁包含对病毒文件的清除，更重要是对注册表相关病毒加载项目的清理。

        病毒对系统的重要危害之一就是修改注册表中的一些正常或重要系统配置数据信息，从而导致应用软件甚至系统出现错误或不能正常工作。

2.4 服务与驱动程序

服务
        Windows服务是Windows运行的重要组成部分，Windows依赖它们来实现系统的很多重要功能。注册为服务的应用程序启动后在后台运行，没有自己的用户界面和接口，用户看不见它们，甚至几乎感受不到它们的存在。但是，很多计算机功能的实现正是它们在后台默默工作的结果。比如：

        我们的机器联网，都需要一个IP地址。很多情况下这个IP地址并不是事先设置好的，而是系统启动时从服务器动态获得的，而这种获得IP地址的过程，正是机器上一个叫DHCP Client的服务在后台工作的结果。

        Windows提供了一个程序，使得我们可以浏览、启动或停止当前系统中存在的所有服务，这个程序可以通过“控制面板/系统工具/服务”项目启动。

        Windows允许应用软件也将自身的一部分注册为系统服务，以完成应用软件特定的需要以服务方式来完成的任务。正是这样，病毒和木马也可以将自身的一部分注册为服务，一方面可以在系统启动时不需要人为的干预自动加载，另一方面可以在后台用户不知觉的情况下，完成它的某些功能。要清除病毒，停止并注销病毒注册的服务也是一个重要的步骤。

        有经验的用户可以通过浏览系统中注册的服务，从而发现有没有病毒或木马等异常情况的存在。不过，这需要对系统正常的服务比较了解。当前，很多安全工具都提供了对系统服务的管理功能，并将它作为手工清除病毒的手段之一。

驱动程序
        驱动程序本来是为系统硬件设备提供驱动服务，并与操作系统进行交互的。但是，Windows允许注册为软件服务的驱动程序。驱动程序运行在Windows系统的内核模式，它可以直接访问系统核心数据和硬件。因此，编写不好的驱动程序极易造成系统的崩溃或不能正常启动。而对驱动程序的编写，也具有更多的限制，同时需要开发者具有更多的系统底层知识。

         一旦驱动程序编制完成，它可以完成的功能是非常强大的，它甚至可以绕过操作系统的限制。现代的很多病毒，也就利用驱动程序的这种强大特性，在底层对自身的其它部分进行隐藏和保护，这使得对这类病毒的清除非常麻烦。识别并停止这种在后台保护的驱动程序，从而停掉病毒的保护伞，是对付现代病毒最关键的步骤。

2.5 IE浏览器
        IE浏览器已经不仅仅是一个简单的应用程序，微软将它集成到了操作系统中，甚至已经成为了操作系统的一部分。它作为用户使用互联网最常用和基本的应用软件，其强大的功能、开放的接口以及层出不穷的漏洞，成为黑客攻击和病毒传播的首先对象。统计表明，当前80%以上的病毒和木马都是通过网页，以IE漏洞为攻击目标传播的。作为普通用户，对IE一些基本知识的了解是安全上网的基础。

HTTP协议
        IE浏览器(包括其它的浏览器)都是通过HTTP协议与互联网上的服务器进行通讯，从那里获得网页的内容，并在用户的电脑上显示，并允许用户与服务器通过网页的交互。因此，HTTP协议又被称为互联网的基本协议。

HTML语言
        所有的网页都是通过HTML语言（超文本标志语言）写成的，实际上就是一个可以在记事本中打开的文本文件，不过在这个文本文件中预先定义了一些用于显示控制或其他功能的标签。这种语言经过扩展，可以在文本信息中包含图像、声音等多媒体信息流。
        HTML语言中支持一种基于脚本（也就是人可以读懂的文本）的程序，主要有两种格式的：JavaScript和VbScript的，这些程序可以控制网页的显示，验证用户在输入框中输入的数据，甚至访问和操作本地文件系统（这是很危险的，往往就是安全问题的来源，微软提供了这种功能，但是又加上了比较强的权限限制。突破这种权限限制是病毒和木马进行传播所梦寐以求的）。

ActiveX对象
        ActiveX对象是微软的一项重要技术，它的目的是将一些成熟的软件组建打包，对其它的软件部件提供服务，这样能极大程度利用现有的软件成果，减少重复开发，大大提高软件开发效率。在系统中注册的ActiveX对象具有本地执行用户的权限，能够访问本地的文件系统。IE浏览器中允许加载一些注册的ActiveX对象以扩展与补充其功能。正是这样，很多病毒、木马和流氓软件也将自身一部分注册为IE浏览器兼容的ActiveX对象，从而操纵IE的行为，提升恶意网页代码在本地的执行权限，达到进一步入侵感染系统的目的。

IE的临时文件
        IE浏览器读取的网页（包括网页上的图片、声音以及其它辅助文件）都放在本地硬盘的一个被称为IE临时文件夹的地方。这个位置缺省情况下在C:\Documents and Settings\[用户帐户]\Local Settings\Internet Temporary Files文件夹下，但是用户可以自己把它挪到其他的位置。这在IE的菜单“Internet选项/常规/临时文件”中设置。
        IE临时文件夹是很多被称为脚本病毒的东西最初的藏身之地。

IE的安全区域
        IE定义了如下几个安全区域：Internet、本地Intranet、受信任的站点、受限制的站点。不要被这些名字所疑惑，究竟这些区域是否跟它们名字称呼得一样，关键在于你对它们行为的定义。首先，你可以定义每个区域包含哪些站点，然后，你可以定义打开该区域的站点时有哪些安全限制。这些安全限制选项包括——
        对ActiveX控件的下载与执行限制
        对脚本的执行限制
        对文件下载的处理限制
        对用户认证的限制
        其它一些安全相关的选项
        一般来说，对越信任的站点，开放的权限就越多；对越可能存在威胁的站点来说就应该加以更多的限制。不过，这种安全区域的定制，对普通用户来说，还是相当的麻烦和费解。但是，我们需要了解，IE本身是为我们提供了更多的安全工具的，对安全越关注的用户越有必要弄清楚里面的细节。

2.6 Windows的漏洞与病毒的传播

      Windows漏洞的存在，导致了大量针对性的病毒产生。它们通过对漏洞的利用，立即获得了通过互联网广泛传播渗透的能力，从而造成巨大的破坏和社会影响。正确认识漏洞是怎样导致系统被感染的，有利于认识到打补丁的重要性。事实上，绝大多数受感染的系统就是因为没有打齐系统补丁。

      微软针对每个被发现的安全问题发布一个安全公告，该公告被命名为类似MS07-XX这样的编号，前一个数字代表年份，后一个数字代表当年安全公告的顺序编号。在每个安全公告中，微软详细说明了该安全漏洞的严重程度、可能影响的系统，针对性补丁的下载位置，以及更加详细的一些技术说明。当前每个公告都有简体中文的翻译版本（在微软的简体中文网站上，搜索时输入比如：MS06-14 site:www.microsoft.com/china）。

缓存溢出漏洞
       缓冲区溢出，其实要追溯到C/C++程序开发语言的问题。C/C++程序开发语言以其高效成为系统级软件开发的首选，Windows系统的绝大部分程序都是C/C++写的。但是，这种语言有一个固有的致命缺陷，就是语言本身对内存数组的操作不进行边界检查，对此全靠程序本身进行约束和检查，因此粗心或不正确的程序有可能超出本应受到约束的边界读写内存的数据，造成原有数据的破坏。软件中在读取数据的地方如果存在这样一个没有经过检查边界的“缓冲区”，那么经过精心设计的输入数据就会覆盖原有软件的代码区，造成输入的数据被当成代码执行，而这段代码就是进行准备的病毒代码，后果可想而知。

      这种类型的漏洞占到了微软安全漏洞的大多数。系统中存在的缓冲区溢出是黑客攻击最常利用的东西。这类的漏洞，造就了众多影响全球、破坏巨大的病毒，比如“红色代码”、“冲击波”、“蠕虫王”、“熊猫烧香”以及众多基于脚本的木马下载器（卡巴命名为Trojan-Downloader,xxx，瑞星命名为Trojan.DL.xxx的病毒）等等。

突破安全限制的漏洞
      这类漏洞使得Windows本身的某些安全机制被绕开，从而使可疑代码获得了本不该有的执行机会。比如，有个著名的漏洞叫MS01-20，它有个罗嗦点的名称叫“不正确的MIME头会导致IE执行E-Mail附件漏洞”。在Outlook中，HTML格式的邮件（也就是以网页方式写的邮件正文）实际上是调用IE来进行其内容展示，一般情况下，IE会以正确的MIME格式（MIME的中文名叫“多用途互联网邮件扩展”，目的是为了在邮件中包含一些图像等多媒体信息）打开邮件中的二进制流，但是，对某些不常见的MIME类型，IE在处理时存在一个错误，如果恶意攻击者将一个可执行文件加为邮件附件，并在邮件头中标明该附件是一个特殊格式的MIME类型，IE就会错误地将该可执行文件加载并执行，从而导致病毒代码在受害机器上运行。

并非全是漏洞造成的
      有很多中毒事件其实根Windows漏洞没有关系，只不过大多被误解为Windows漏洞了。举个简单的例子，网友通过QQ发过来的文件，名称为“MyPict.jpg.exe”，其实是个病毒的可执行文件，但在资源管理器中，已知文件类型".exe"经常被隐藏了，于是看到的只是"MyPict.jpg"，被误认为一幅图片，于是双击打开，结果执行了病毒的安装文件。我们总不能抱怨Windows在我们双击一个可执行文件时不该让它运行吧。你可能会说，Windows为什么要将.exe扩展名隐藏起来，这实在是不能怪微软，因为很多人认为隐藏掉已知类型的扩展名会显得整洁，同时人家不是给你提供了不同的图标显示吗？同时，微软缺省隐藏掉扩展名，其实有更深考虑，因为显示出来，就很容易被改掉，改完了扩展名的文件缺省行为表现就变了，这同样会带来用户使用上的问题。

      这种易用性设计中的矛盾其实无处不在。从另一个侧面其实也可以看出更多的电脑知识可以减小中毒的机会。当然，一些被总结出来的安全操作行为规范也能够使得这种安全威胁的可能性降低。

3 网络的相关知识

3.1 网络是怎么进行通信的？
      从物理上讲，网络通过通信介质（光纤、网线、电话线）和网络设备（交换机、路由器、Modem）将电脑与电脑连接起来。信息（二进制数据）被转换成物理信号（电信号或光信号）在物理介质上传播，由通讯的一端发送出去，由通讯的另一端接收。

      在这种发送与接收的过程中，协议起到了关键性的作用。协议通俗地讲就是通讯双方的约定，使得接收方能够正确将通过了通信线路的信息正确地还原，并能够理解发送方信息的含义。从最接近通信线路物理特征到最直接关系应用系统的数据，协议被分为了多个层次。其中规定通信双方物理接口、电气特征的协议被称为物理层，其上是数据链路层，再上面是网络层，最上是应用层。普通用户接触的主要是网络层和应用层的协议。

      网络层最主要的协议就是TCP/IP协议，它是互联网的基础。其上的应用层协议有：应用于浏览网页的HTTP协议；收发邮件的POP3和IMAP协议；传输文件的FTP协议等等。

     发送和接收的数据在两端经过了一个相反的协议处理过程。比如我们浏览网页时，在浏览器中输入一个地址，这个动作首先被解析为一个HTTP协议的GET请求，这个请求然后被转化网络层的TCP/IP数据包，最终通过物理层的协议转化为发送端的一系列电气信号；接受端将接受到的一系列物理信号通过物理层协议还原，然后向上层的协议递交，被还原层TCP/IP数据包，最后通过应用层的HTTP协议被还原成一个网页的GET请求，接收方的Web服务器于是通过这个GET请求的信息明白了用户端的需求，于是将相应的网页又通过一个相反的通信过程发送回去。

3.2 网络的一些基本概念

IP地址
      TCP/IP协议是目前应用最广泛的协议，是互联网的基础。TCP/IP协议的基础是IP地址，它为网络上通信的每一个节点（电脑或具有某种智能的网络设备）赋予一个唯一的标示，这个标示用一个32位的二进制数来表示，就是IP地址。

      由于人是不习惯于看二进制数的，你想，32个1和0的组合在一起，谁能轻易地区别这个和哪个？于是，这个32位的数被分为4组，每组8位，同时将8位的二进制数转化为十进制，并将每组用"."隔开。于是，我们看到的IP地址就是类似这样的：192.168.0.1、232.254.10.86、... 我们知道，8位的二进制数在0-255之间，所以"."隔开的每个数都在0和255之间。

      有了这个唯一的IP地址后，一台电脑要想与另一台电脑通信，只要在通信的数据包中包含自己（源）的IP地址和要通信电脑（目的）IP地址就可以了。这也是每个IP包的基本特点，包含源和目的的IP地址。IP协议规定了，IP包的发送者在什么位置写和读源IP，什么位置读写目的IP。

      互联网由很多个小网络（常常被称为子网）组成，同一个小网络中电脑的IP地址应该有共同的特征，这样便于区分和查找。于是规定同一个网络中IP地址的前面若干位是一样的，叫做网络地址，后面的若干位是子网中主机的地址。为了便于从一个IP地址中提取它的子网网络地址，基于二进制数的特点，人们规定了另一个32位的二进制数，它的前面由若干个1组成，位数与IP地址中网络地址的位数一样，后面剩下的位全部为0，并把这个数称为子网掩码，也就是说，要从一个IP地址中提取网络地址，只要将该IP与子网掩码进行二进制异或运算就可以了。例如，一个24位网络地址的IP地址192.168.1.1，子网掩码是255.255.255.0。可以看出，子网掩码中1的个数越多，子网中可以容纳的主机数越少，网络就越小。

      由于互联网的迅猛发展，32位的网络地址发现相当的不够用。于是人们想出了IP地址重用的办法。即在一个网络内部，所有主机的IP地址可以跟互联网的IP地址重复，在外部是看不到这些内部的IP地址的。在内部网络的出口，常常是企业的网络防火墙，使用一种叫NAT(网络地址转换)的技术保证内部机器与外部的通讯。现在，已经有了一种128位IP地址的技术（叫做ipv6，传统32位的ip技术叫做ipv4），用来解决ip地址不够或其它一些32位IP地址上的技术难题。

我们电脑的IP地址
      我们电脑只要联网了，无论是互联网还是局域网，都会有一个IP地址。我们在Windows中点“开始/运行/cmd.exe”，打开DOS窗口，在里面输入ipconfig命令，就可以看到当前的ip地址。这个IP地址是怎么得到的呢？有两种方式——

      一种叫静态IP地址，它是网络管理员或我们自己在安装配置电脑时输入的。当然，这个IP地址不是随便输入的，它要保证与同一网络的其它IP地址不冲突，并能够互相通信。

      另一种叫动态IP地址，它是机器启动并联网时从互联网服务提供商的服务器，或者局域网服务器动态获得的。服务器上负责维护一个当前可用的IP地址列表，当网络中的主机请求IP地址时，服务器就从列表中选择一个给正在联网的主机。这种动态获取IP地址的技术叫做DHCP，前面讲述Windows服务时已经提到过。DHCP技术是解决IP地址冲突和用较少的IP地址支持一个较大网络的好办法，因为所有的地址都是服务器分配的，不会重复，同时并不是所有的机器都同时联网，只需要给正联网的机器分配IP地址就可以了。

网络域名
      变化为十进制数的ip地址虽然比32位的二进制数好多了，但是还是不便于记忆、传播和理解，并很难从互联网中突出一个网络的结构出来。于是，人们试着将网络划分为若干个逻辑的结构，并用比较有意义的英文字母数字组合来标示它们，每个逻辑结构下又划分为若干小的逻辑结构，这样逐层划分，形成一个树形的结构。这些结构的第一层，我们称为根域名，就是com、net、gov、edu、以及各个国家的简称，等等。互联网的根管理机构将这些根域名分配给一些机构或组织进行它们下一层的管理。中国自己管理的根域名就是CN，管理机构是中国互联网信息中心（CNNIC，www.cnnic.net.cn）。

      一个域名代表一个逻辑上的子网络。域名前面再加一个主机名就代表子网络中的一台主机，比如我们最常见到的www.xxx.xxx，其中www就是xxx.xxx网络中一台主机名，这台主机被用来作为网站的web服务器，其实也可以取为任意的其它名字，只不过人们约定俗成了www代表一台web服务器。

      机器在进行通信时并不认识域名，这是方便人识别、记忆和传播的。于是，需要一种机制，将逻辑的树形结构的域名转换为平面的IP地址。这种技术机制就是下面要讲的名字解析（DNS）。

名字解析（DNS）
      名字解析主要由DNS服务器来完成，DNS上运行一个DNS服务。一台DNS服务器只负责一部分域名的解析任务，互联网上所有的DNS服务器也按照域名的方式构成一个树形的结构。比如，.sina.com.cn域名的DNS服务器只负责该域名下主机地址的解析工作，它的上级服务器是.com.cn域的DNS服务器，其上市.cn域名的DNS服务器，再上就是互联网的根服务器了。

      互联网上的所有这些DNS服务器是协同工作的。比如处于.com.cn域的一台机器要访问.net.tw域的一台服务器，它会向本域的DNS服务器发出解析域名的请求，如果该域的DNS服务器如果本地没有.net.tw的地址缓存，那么它像上级的.cn域名服务器提出请求，.cn域名服务器向互联网根服务器请求，然后根服务器在向下追溯到能够解析.net.tw的DNS服务器，最后解析完的IP地址通过相反的方向返回，最后达到请求解析地址的主机。

      所有的主机在配置网络连接互联网时，都必须配置联网需要使用的DNS服务器的地址。如果主机使用的动态IP，DNS服务器的地址也是动态得到的。在DOS下键入ipconfig /all命令可以看到当前DNS服务器的IP地址。

     常常还有另一种需求，将IP地址解析为域名，这被称为IP反向解析，这也是由DNS服务器完成的。

[未完待续]

菜鸟要保障自己系统的安全需要知道的一些基本知识(一)

Author: Sanluxia
Aug. 3, 2007
Blog: http://hi.baidu.com/sanluxia/blog
This document is written by Sanluxia, all rights reserved. You may copy it to other place, but you must reserve this copyright information.

同时，磁盘根目录下被放了autorun.inf文件，这也是导致难以清理的清理原因。关于autorun.inf相关问题的参考：http://hi.baidu.com/sanluxia/blog/item/d8798d544a49e25ad1090600.html

其他中了该病毒的网友可以将这篇的解决办法作为一个参考，你的实际情况可能并不完全一样。推荐的解决步骤如下：

1、清空IE临时文件。IE菜单/工具/Internet选项：常规/Internet临时文件/删除文件。
2、瑞星升级到最新版本，然后点“设置/详细设置/开机扫描：扫描所有硬盘”
3、禁用系统还原。我的电脑点右键/属性/系统还原：在所有驱动器上禁止系统还原。
4、重新启动，耐心等待瑞星开机扫描完成，然后再重新启动，按F8到安全模式，全部硬盘再扫描一遍。
5、发现有瑞星报毒，但经过上述过程还是不能杀掉的病毒文件，记下来文件名和位置。
6、还是在安全模式下，在资源管理器中找到那些文件，点右键，选粉粹文件。如果找不到那些文件，打开“我的电脑”，选择菜单“工具”-》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，点击“确定”，然后再找。还是找不到，说明病毒有RootKit隐藏，到www.360safe.com下一个文件粉粹工具，直接将那些文件的全路径名导入粉粹之。
7、然后再用瑞星杀一遍。
8、上述方法都试过了，还是不能解决，建议——
System Repaire Engineer(SRE) 2.4.12.806
下载：http://www.kztechs.com/sreng/download.html
安装启动后，点智能扫描，将报告保存为文件，然后贴到网上寻求帮助（最好描述现象，瑞星报的病毒名），也可以发给我：sanluxia@sina.com。

现在说到正题，手工的解决办法——

1、瑞星升级；到www.360safe.com下载文件粉粹工具：http://bbs.360safe.com/viewthread.php?tid=164748&extra=page%3d1
或者PowerRMV:
http://www.down911.com/SoftView/SoftView_4227.html

2、重新启动，到安全模式，运行360文件粉粹工具，导入并粉粹如下文件（可以直接将下面的列表拷下来，存为文本文件，放到桌面上。重启到安全模式后直接从该文本文件导入）：
C:\Documents and Settings\Administrator\Local Settings\Temp\sysphong.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\rxso.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\ztso.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\wlso.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\wgso.exe
C:\WINDOWS\TIMHost.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\tlso.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\wdso.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\zxso.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\qjso.exe
C:\WINDOWS\system32\drivers\svchost.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\Resources\Themes\Login\logonui-3.1.exe
C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll
C:\WINDOWS\system32\xygpri.dll
C:\WINDOWS\system32\dhbpri.dll
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys
C:\WINDOWS\system32\FE09FA50.EXE
C:\WINDOWS\system32\GlbkBPv.exe
C:\WINDOWS\system32\GPPxtrE.exe
C:\WINDOWS\system32\quJToiq.exe
C:\WINDOWS\system32\rundll32.exe windhcp.ocx,input
C:\WINDOWS\system32\4B2DF390.DLL] [Microsoft Corporation, ]
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys
C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll
C:\WINDOWS\system32\dhbpri.dll
C:\Program Files\Unlocker\UnlockerHook.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\ztso0.dll
C:\WINDOWS\system32\TIMHost.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\jh.dll
C:\WINDOWS\system32\windhcp.ocx
c:\Autorun.inf
c:\PageFile.pif
d:\Autorun.inf
d:\PageFile.pif
e:\Autorun.inf
e:\PageFile.pif
f:\Autorun.inf
f:\PageFile.pif
对于粉粹不了的文件，记下来，忽略并进行下一步，下次重启是再来粉粹。

3、还是在安全模式，运行SRE，在“启动项目/服务/驱动程序”中，删除如下项目：
（运行SRENG--->启动项目--->服务--->驱动程序--->勾选“隐藏已认证的微软项目”--->选择要删除的驱动程序--->选择删除服务--->点击设置--->出现提示里选择No(否)，确认删除。）
[Bluesky002 / Bluesky002]

在“启动项目/服务/win32服务应用程序”中，删除如下项目：
（运行SRENG--->启动项目--->服务--->win32服务应用程序--->勾选“隐藏已认证的微软项目”--->选择要删除的服务--->选择删除服务--->点击设置--->出现提示里选择No(否)，确认删除。）
[1DCC7DF0 / 1DCC7DF0]
[GlbkBPv / GlbkBPv]
[GPPxtrE / GPPxtrE]
[quJToiq / quJToiq]
[Windows DHCP Service / WinDHCPsvc]

在“启动项目/注册表”中，删除如下项目：
<svc>
<rxsa>
<ztsa>
<wlsa>
<wgsa>
<TIMHost>
<tlsa>
<wdsa>
<zxsa>
<qjsa>
<KVP>
<UnlockerAssistant>
<{0EA66AD2-CF26-2E23-532B-B292E22F3266}><C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll> []
<{813AF41A-21B1-131B-1BFC-D2A90DF4A2B8}><C:\WINDOWS\system32\xygpri.dll> []
<{22311A42-AC1B-158F-FD32-5674345F23A2}><C:\WINDOWS\system32\dhbpri.dll> []
<{40117B96-998D-4D80-8F89-5E9DBD9F3460}><C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys> []

将如下项目改为空：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><xygpri.dll> []
将如下项目改为logonui.exe
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<UIHost><C:\WINDOWS\Resources\Themes\Login\logonui-3.1.exe> [Microsoft Corporation]

4、重新启动，还是到安全模式，将第2步没有粉粹掉的文件粉粹了，用你的瑞星再扫描一遍。

Author: Sanluxia
Aug. 1, 2007
Blog: http://hi.baidu.com/sanluxia/blog
This document is written by Sanluxia, all rights reserved. You may copy it to other place, but you must reserve this copyright information.

         到www.360safe.com下载360安全卫士，安装后在360界面点杀毒，就可以看到卡巴“半年激活码”的链接，点击就可以了。(http://www.360safe.com/codehelp.htm?uid=1&pid=updated)

         首先说明，本人跟他们没有任何关系，不是在做广告。本人经过较长时间的试用，发现卡巴+360是一个比较好的反病毒、木马和流氓软件（包括浏览器的相关问题）安全配置。上面所送的授权可以享受卡巴正版的一切功能和升级服务。由于是免费，所以隆重推荐。遗憾的是这款配置中不包含个人防火墙，不过XP以上的系统可以开Windows自带的防火墙。

         如果原来装有某款到期的杀毒软件，建议先卸载了再装卡巴，不推荐同时使用两款杀毒软件。另外，不能升级的杀毒软件就是个摆设，不如卸载了。

        另一款推荐的配置是瑞星杀毒+瑞星防火墙+瑞星卡卡。不过前两个目前都是收费的。

Author: Sanluxia
Jul. 31, 2007
Blog: http://hi.baidu.com/sanluxia/blog
This document is written by Sanluxia, all rights reserved. You may copy it to other place, but you must reserve this copyright information.

      一、基本的安全意识
      二、关于系统
      三、安全工具的概念
      四、基本安全工具的使用
      五、推荐的安全配置

一、基本的安全意识

1、威胁来自何方？
      在当前的环境下，最主要的威胁来自互联网。没有防卫的系统浏览网页、使用QQ、Email、下载软件都可能染上病毒；价值高的系统还可能受到来自黑客的主动攻击。
      其次的威胁来自局域网。内部的人员更可能方便地盗取你电脑系统的资料，有意无意的在你的电脑上传播病毒和木马。
     再次的威胁来自通过移动存储工具的信息交换——U盘、MP3、MP4、移动硬盘、光盘等都可以成为恶意软件的载体。

2、不注意安全可能会遭受哪些损失？
      a 系统受到影响，速度减慢；
      b 一些应用软件不能正常工作；
      c 系统受到损害，不能正常启动；
      d 存储在硬盘上的文件等信息受到损坏；
      e 重要文件信息、QQ号、网络游戏账号及虚拟财产等被盗；
      f 股票、银行等账号被盗；
      g 企业服务器业务系统被迫停止，造成企业重大损失；
      h 关乎国计民生的重要系统遭受破坏，比如电力调度系统、机场运营系统，造成重大社会损失；
      ... ...

3、什么是病毒、木马和流氓软件？还有哪些恶意软件？
      病毒、木马和流氓软件都是一种计算机程序，只不过它们是出于某种恶意的目的而设计的，会给我们电脑系统及信息带来危害。

     目前，病毒、木马、流氓软件等技术在逐渐融合，它们之间已经没有严格的区分界线。病毒着重于传播和感染；木马则着重于在被感染系统上实现某种功能；流氓软件本身不具备自动传播能力，但是它们在我们的系统中不经我们的许可利用我们的电脑资源执行某些东西，限制我们的使用方式，侵犯我们自主拥有自己系统的权利。

     除了病毒、木马、流氓软件外，还有一些恶作剧程序、广告程序等恶意的软件。

4、恶意软件是怎样入侵我们的系统的？
     a、通过我们系统的漏洞自动渗入并安装上的；
     b、通过Email、及时聊天工具发送过来，并通过某种欺骗手段使得我们自己运行并安装上的；
     c、通过U盘等移动存储工具自动运行的；
     d、附加在某个软件安装包上被一并安装的；
     e、通过某个已经被感染的软件（或文件）运行（或打开）时，恶意代码被执行并安装到我们的系统上的；

5、恶意软件会长期存在吗？
      会。不仅在我们通常使用的Windows系统，其它的Linux系统、Mac OS系统、Unix系统，以及手持信息设备（手机、掌上电脑）、其它信息终端（机顶盒），恶意软件都会长期伴随我们的信息创造、传播与消费的全过程。
     这种必然性来自于信息系统固有的特征，以及人类社会的纷繁复杂。

6、什么是漏洞？漏洞会长期存在吗？
      漏洞就是信息系统中可能被恶意的攻击者利用来危害系统的设计缺陷。有的甚至都说不上是设计缺陷，根源在于系统的易用性和安全性很多情况是相互矛盾的。一间没有门四壁封闭的铁屋子是很安全，但是我们没法使用它；开了门的屋子使得我们能够使用它，但是会带来某种程度的不安全。
      由于软件系统的复杂性，现代商业竞争的激烈，以及上面所说设计时易用性和安全性之间矛盾，使得信息系统的漏洞将长期存在。这是我们信息生活的现实。

7、什么是黑客？他们为什么要攻击我们的系统？他们怎样攻击的？
      黑客就是利用网络，通过某种手段试图获得我们电脑系统某种不被许可的访问及控制权，以获取我们电脑的信息，利用电脑资源的人。其攻击的目的就是为了获得我们的某些信息，比如隐私信息、商业秘密等，或者控制我们的电脑，利用我们电脑的资源来做某些事。

     当前面向个人电脑用户，黑客攻击的手段主要是通过某种途径在个人电脑中种上病毒和木马。价值高的系统可能受到基于直接网络攻击的入侵和渗透。

8、对安全应该有多大的信任度？
      现实环境是威胁无处不在，但是社会法律、信息系统的制造商、信息安全界已经做出了并正在做出巨大的努力，无论对某一级别的信息系统，都能够找到足够安全的防护措施。

      因此，正确的观点是不要因为威胁的存在而放弃信息系统可能给我们带来的便利、潜在机会和价值，但是我们要为这种价值付出我们相映的资源及努力。

      我们对信息系统的信任程度跟自己相关的知识密切相关。所谓“艺高人胆大”。掌握的知识越多，我们的把握就越大。这种把握体现在对风险的了解和为风险的存在而准备的保险措施上。

9、应该付出多大努力来保护系统的安全？
      付出多少跟我们系统的价值密切相关。除了对安全防护工具经济上的投入外（这个投入是基本固定的），最重要的是我们应当花多少的时间和精力来学习正确的使用这些工具，并利用这些工具来进行何种级别的防护。

      对于个人电脑用户的系统，按用途和存储信息的重要性大致可分为如下几个类别：
      a 只用来上上网，浏览一下网页的系统；
      b 将电脑作为重要的学习工具的系统；
      c 主要用来娱乐，但是保存有QQ帐号、网游帐号等虚拟财产的系统；
      d 用来进行工作，并保存有自己工作成果的系统；
      e 用来进行炒股、或使用网银的系统；
      f 保存某些重要隐私信息，或者重要商业秘密的系统；

      基本来说，a、b两类系统因为安全风险的损失在几百元以内；c、d两类安全风险的损失大部分在几千元以内；e、f两类系统安全风险的损失就可能达到上万元甚至更多。安全防范的真谛就在于采取一定的措施，在自己能够付出的有限经济资源、时间和精力范围内，将可能存在的损失降到自己能够承受的范围内。

      而对这种风险的评估和防范措施的有效性可能需要专业的服务。特别是价值越大的系统需求的强烈度越高。

10、依靠什么来保障系统的安全？
      这里只能概要的说一下——
      a 一定的安全意识及安全相关知识；
      b 相应的安全工具；
      c 正确使用安全工具的能力；
      d 一定的时间和精力来进行安全防护操作；

菜鸟要保障自己系统的安全需要知道的一些基本知识(二)

Author: Sanluxia
Jul. 28, 2007
Blog: http://hi.baidu.com/sanluxia/blog
This document is written by Sanluxia, all rights reserved. You may copy it to other place, but you must reserve this copyright information.

对于中了毒的朋友，建议还是先参照如下的资料用瑞星（或者其它的杀毒软件）解决——
http://hi.baidu.com/sanluxia/blog/item/014c59243535bd29d40742ee.html
实在无法解决时再参照如下的解决办法。

手工解决办法步骤：

（针对其它网友的实际情况，可能如下部分文件或服务驱动项不存在，操作时可不必理会）

1、到www.360safe.com下载文件粉粹工具：http://bbs.360safe.com/viewthread.php?tid=164748&extra=page%3d1
或者PowerRMV:
http://www.down911.com/SoftView/SoftView_4227.html

2、重新启动，到安全模式，运行360文件粉粹工具，导入并粉粹如下文件：
      C:\Windows\System32\DRIVERS\clandt.sys
      C:\Windows\system32\drivers\cnprov.sys
      C:\Windows\SystemRoot\System32\drivers\kbpenen.sys
      C:\Windows\System32\DRIVERS\mpajed08.sys
      C:\Windows\System32\DRIVERS\nqpqpqtz.sys
      C:\Windows\System32\DRIVERS\6tp586j.sys
      C:\WINDOWS\system32\drivers\yp7s.sys
      C:\WINDOWS\system32\mpajed08.dll
      C:\WINDOWS\system32\ht00rk.dll
      C:\WINDOWS\system32\SysTdSvr.dll
      c:\windows\system32\cwebpage.dll
      C:\WINDOWS\system32\SysTdSvr.dll
      C:\Program Files\OCINS\idnsvr.exe
      C:\WINDOWS\system32\wbdics.dll

3、还是在安全模式，运行SRE，在“启动项目/服务/驱动程序”中，删除如下项目：
（运行SRENG--->启动项目--->服务--->驱动程序--->勾选“隐藏已认证的微软项目”--->选择要删除的驱动程序--->选择删除服务--->点击设置--->出现提示里选择No(否)，确认删除。）
[6tp586 / 6tp586j]
[cland / clandt]
[cnprov / cnprov]
[kbpenen / kbpenen]
[mpajed0 / mpajed08]
[nqpqpqtz / nqpqpqtz]
[npkcrypt / npkcrypt]
[yp7s / yp7s]

在“启动项目/注册表”中，删除如下项目：
        <IdnSvr>
        <Sysmppcv>

在“系统修复/浏览器加载项”中，删除如下项目：
[sosHlpr Class]      BHO
[sosHlpr Class]      ActiveX

4、重新启动，还是到安全模式，用瑞星再扫描一遍.

Author: Sanluxia
Jul. 25, 2007
Blog: http://hi.baidu.com/sanluxia/blog
This document is written by Sanluxia, all rights reserved. You may copy it to other place, but you must reserve this copyright information.