http://www.benfei.com/index.php zh-cn http://www.benfei.com/read.php/628.htm flycn <sed@133.net> Mon, 25 Jan 2010 15:11:11 +0000 http://www.benfei.com/read.php/628.htm 晚上一打开博客，卡巴斯基Kav2009就频繁弹出报警窗口，检测到威胁，木马程序Trojan.js.Redirector.ar，经过分析发现病毒来源于http://pagead2.googlesyndi...。从网址上看，这分明就是Google Adsense，也就是Google的广告，难道Google的广告代码被挂马了？还是卡巴的又一次误报？


Tags - google广告病毒 ]]> http://www.benfei.com/read.php/617.htm flycn <sed@133.net> Mon, 04 Jan 2010 02:44:46 +0000 http://www.benfei.com/read.php/617.htm 昨晚下载一个播放器，文件很小，几秒钟就下载完成了。点击程序图标运行，卡巴立刻不停弹出报警，却没能顺利拦截恶意程序，桌面上多了3个图标，都是浏览器的。点击后打开的主页指向dao234.com，而且删除不掉（右键只有打开和创建桌面快捷方式)。马上查杀病毒，也使用了360安全卫士的文件粉碎机，安全模式也试过，可根本没用。遇到这种流氓软件，到底怎么办呢？

首先在桌面的空白处右键-属性-桌面-自定义桌面-清理桌面-勾选需要清理的桌面图标，然后根据向导提示完成即可。

如何修复本来的IE图标？

1.单击“开始”\“运行”，在“打开”中键入“regedit”，运行注册表编辑器；2.依次展开注册表至：HKEY＿CURRENT＿USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ NewStartPanel；3.在右窗格中，右键单击“ {871C5380-42A0-1069-A2EA-08002B30309D} ”DWORD值，然后选择“修改”； 4.在“数值数据”框中，键入数值“0”，然后单击“确定”； 5.退出注册表编辑器。刷新下桌面现在原来的IE就回来了

Tags - 桌面上图标删除不掉 , 清理桌面图标 , 修复ie图标 ]]> http://www.benfei.com/read.php/602.htm flycn <sed@133.net> Mon, 22 Dec 2008 13:34:04 +0000 http://www.benfei.com/read.php/602.htm


在我找到了超级巡警以后，我毫不犹豫的把360扔进了垃圾箱！
Tags - 360安全卫士vs超级巡警 ]]> http://www.benfei.com/read.php/569.htm flycn <sed@133.net> Mon, 28 Apr 2008 18:36:51 +0000 http://www.benfei.com/read.php/569.htm
朋友甲的电脑只有在第一次打开IE浏览器的时候可以正常浏览网页，关闭浏览器窗口后就再也无法打开网页;QQ可以始终正常在线使用，但聊天信息发送速度极为缓慢。解决过程:既然打开过IE浏览器并能正常上网，说明IE浏览器的设置没问题。用朋友装的江民KV2007查杀病毒木马，提示没有病毒。打开Hosts文件，发现里面很正常。难道是江民KV2007的网页监控设置问题?打开江民KV2007的设置页面，也没发现异常。奇怪，这到底是什么问题哪?难道是系统文件受损，非要重装系统吗？这时，我突然灵光一闪，试着关闭了KV2007，看是否可以打开IE上网，没想到，还真可以正常浏览网页了。反复打开、关闭IE，上网一点问题也没有。现在问题清楚了，都是江民KV2007惹得祸。于是把江民KV2007删除，然后再重装KV2007，故障排除。

朋友乙的电脑中了300多个病毒，用KV2007杀不掉，总是提示重启后删除，可重启后病毒依旧在。解决过程:用Sreng在注册表里发现很多红色和蓝色标注的可疑文件，无法正常删除。朋友装的360安全卫士也不能正常打开，将360安全卫士改名后可以正常打开，但也有很多可疑文件删不掉。无奈，只有重启进入安全模式，再次启动360安全卫士查毒，将所有可疑文件统统消灭了。重启电脑后，再用江民KV2007查杀病毒和未知病毒检测，均没再发现病毒，故障排除。
Tags - 江民kv2007使用 ]]> http://www.benfei.com/read.php/553.htm flycn <sed@133.net> Mon, 14 Apr 2008 03:18:13 +0000 http://www.benfei.com/read.php/553.htm

传统的卡巴激活KEY文件我一般都是在中天论坛、卡饭等一些专业论坛寻找，这些论坛要么长期关闭注册，要么需要注册id才可以进入，相对于普通朋友来说有些麻烦。今天我找到了一个超强的卡巴激活KEY网站http://www.kavkiskey.com/，只要进入这个网站，所有的卡巴KEY文件都一目了然，分类详细，总共有100多个不同版本的KEY文件，随便点击就可以下载，非常方便。这个网站显示最后更新的时间是08年4月9号，我随便下载了一个KIS7.0的激活KEY文件，显示激活成功，证明这些KEY的可信度还是很高的。
Tags - 卡巴激活key网站 ]]> http://www.benfei.com/read.php/552.htm flycn <sed@133.net> Thu, 10 Apr 2008 16:54:23 +0000 http://www.benfei.com/read.php/552.htm
他怀疑竞争对手在软件里做了手脚。我建议他先查毒木马，他说查过了没有。于是我让他下载了Sreng，并把扫描报告发给了我，我仔细看了一下，发现有很多不明程序在运行。我让他逐一用Sreng禁用那些陌生进程进行测试，终于在禁用一个[Internetsvr / Internetsvr][Running/Auto Start] 时，网站可以打开了，如下图所示。



他希望我帮忙从软件里剔除这个恶意插件，我尝试用eXeScope对那个物流软件脱壳查看，可失败了。只有建议他用Sreng对那个可疑文件进行禁用处理，虽然麻烦了点，但很管用。而且建议他不要对那个INETSVRE.EXE删除或改名，因为这个文件是嵌入到软件程序里的模块，删除或改名都可能会使物流软件无法运行。他不听，试了一次就明白我的意思了，哈哈哈。
Tags - inetsvre.exe ]]> http://www.benfei.com/read.php/550.htm flycn <sed@133.net> Sat, 05 Apr 2008 12:56:38 +0000 http://www.benfei.com/read.php/550.htm


首先我直接将其删除，但提示文件正在使用，无法删除。我知道肯定是这个cnnic.dll正在运行，于是我用Unlock对它进行了解锁。然后再次删除，提示删除成功。我并没有就此罢手，因为我深知这个病毒的可再生性。于是，在C:\WINDOWS\Downloaded Program Files下新建了一个文件，命名为cnnic.dll。之所以新建一个同名文件，是利用了同一目录下带毒的cnnic.dll文件无法再次生成的原理。然后重启电脑。本以为平安无事了，可重新后卡巴仍然报警，这时候我突然意识到我犯了一个小小的错误，就是没有给新建的cnnic.dll文件添加“只读”属性，所以导致病毒再次重生。于是再次重复上述的步骤，只是在新建完那个cnnic.dll文件后，右键点击选择属性，勾上“只读”属性前面的勾，确定后重启电脑。卡巴终于停止了喧嚣和示威，经过扫描确认，终于彻底干掉了cnnic.dll病毒。
Tags - cnnic.dll病毒 ]]> http://www.benfei.com/read.php/548.htm flycn <sed@133.net> Thu, 03 Apr 2008 15:56:40 +0000 http://www.benfei.com/read.php/548.htm

本次VB100评测采用的是Windows Vista SP1 Business Edition平台，国外著名的杀软厂商卡巴、AVG、NOD32、小红伞AviraSymantec、F-Secure等都顺利通过严格评测，而McAfee、BitDefender等倒在门外。

VB100介绍

VB100Award奖项是英国著名的独立病毒测试中心Bulletin（www.virusbtn.com）对世界各国的防病毒软件进行测试后，诊断率100%、误诊率0%时赋予的奖项.因为经济独立、观点独到，VB的测评获得了专业的口碑。其中立、公平、专业的定位使得它很快在反病毒安全领域获得了权威地位。

通过VB100认证，要求参加该认证的反病毒产品必须完全杀除"WildList"里登记的所有病毒样本，并可以对计算机进行实时防病毒监控，防止病毒侵入。检验时使用的WildList样本由各国的WildList报告成员提交，并每月添加到病毒库内。因而VB100认证是全球反病毒领域内极难通过，而且非常有公信力的认证。


Tags - vb100评测报告 ]]> http://www.benfei.com/read.php/545.htm flycn <sed@133.net> Mon, 31 Mar 2008 05:56:12 +0000 http://www.benfei.com/read.php/545.htm
　　1.打开windows任务管理器，察看是否有可疑的进程(可以根据杀软的报告或者百度搜索相关信息来判定)在运行，如果有把它结束。

　　由于windows 任务管理器不能显示进程的路径，因此建议使用杀毒软件自带的进程察看或辅助软件(360安全卫士、Sreng等)来查找并中止可疑进程。然后设法找到病毒程序文件(主要是你所中止的病毒进程文件，另外先在资源管理器的文件夹选项中，设置显示所有文件和文件夹、显示受保护的文件，再察看如system32文件夹中是否有不明dll或exe文件，C:\Program Files、C:\Documents and Settings\用户名\Local Settings\Temporary Internet Files、C:\Documents and Settings\用户名\Local Settings\Temp等处是否有不明文件或病毒程序文件)，搞清楚是否是系统文件后再动手删除。

　　2.有些病毒进程终止不了，提示“拒绝访问”，或者出现“屡禁不止”的情况。根据我的经验，有三种办法供尝试：

　　A.可能是某些木马病毒、流氓软件等注册为系统服务了。办法是：察看控制面板/管理工具〉服务，看有没有与之相关的服务(特别是“描述”为空的)在运行，把它停止。再试著中止病毒进程并删除。

　　B.你可以尝试安全模式下(开机后按F8选安全模式)用杀毒软件处理，不行则再按步骤1和2A试一试。

　　C.使用冰刃等工具，察看病毒进程的线程信息和模块信息，尝试结束线程和解除模块，再试著删除病毒进程文件和相应的模块。

　　3.如果稍微懂得注册表使用的，可以再把相关的注册表键值删除。一般方法：开始/运行，输入regedit，确定，打开注册表编辑器，选择编辑/查找，查找目标为病毒进程名，在搜索结果中将与之有关的键值删除。有时这样做不能遏止病毒，还应尝试使用步骤2中方法。

　　4.某些病毒会劫持IE浏览器，导致乱弹网页的状况。建议用360安全卫士，看浏览器辅助对象BHO是否有可疑项目，有没有没恶意插件或者木马。有就修复它。

　　5.其他提示：为了更好的操作，请先用超级兔子清理所有临时文件和上网时的缓存文件。一般病毒往往在临时文件夹Temp中，这样做可以帮你更快找到病毒文件。 开始/运行，输入msconfig，确定，可以打开“系统配置实用程序”。选择“启动”，察看开机时加载的程序，如果在其中发现病毒程序，可以禁止它在开机时加载。不过此法治标不治本，甚至对某些程序来说无效。还是要按步骤1、2办。

　　6.说了这么多，不过有时还是不能解决。只好请教高人或格式化重做系统了，当然不推荐后者。

Tags - 木马病毒查杀 ]]> http://www.benfei.com/read.php/542.htm flycn <sed@133.net> Thu, 27 Mar 2008 06:52:42 +0000 http://www.benfei.com/read.php/542.htm
目前用得比较多的免杀方法有加壳、修改特征码和加花指令三种，通常黑客们会针对不同的情况来运用不同的免杀方法。相对于滞后的杀软病毒库反应时间而言，免杀病毒的变种速度之快、数量之多都是前所未有的，网络用户面临着越来越严重的安全危机。

免杀病毒常用的手段有:

一.加壳
如果说程序是一张烙饼，那壳就是包装袋，可以让你发现不了包装袋里的东西是什么。口香糖一般至少有两层包装，所以壳也可以加多重壳，让杀毒软件看不懂。如果你看到一个袋子上面写着干燥剂、有毒之类的字你也许就不会对他感兴趣了吧，这就是伪装壳，把一种壳伪装成其他壳，干扰杀毒软件正常的检测。

二.修改特征码
如果程序是一张烙饼，那特征码就像上面的芝麻，每一张饼上面的芝麻位置是不同的，所以每个程序包括病毒特定位置上面的字符也是不同，这粒用来识别是不是病毒的“芝麻”就是特征码。要修改特征码，就要先定位杀毒软件的病毒库所定位的特征码，这个有一定难度，需要有经验的黑客才能做到。但是现在网络上有很多现成的工具可以定位出特征码，黑客们只需简单的修改就可以完成免杀病毒的制作了。

三.加花指令
加花的原理就是通过添加加花指令（一些垃圾指令，类型加1减1之类的无用语句）让杀毒软件检测不到特征码，加花以后，一些杀毒软件就检测不出来了。
Tags - 免杀病毒 ]]>