博文
灰鸽子手动查杀(2006-08-13 12:45:00)
摘要:今天开机发现KV报在WINDOWS 下杀到 灰鸽子 郁闷啊 KV显示已经查杀成功 但是系统重起后再次生成。。后来发现被查杀到的是日子文件(log)和2个不痛不痒的东西 病毒在完成安装后 竟然释放出日子文件。。(天啊 太嚣张了,KV也只杀到了这3个文件,哎 现在的杀毒软件和现在的社会一样,只能抓小的 大的照样逍遥法外)
此病毒做了壳,使得杀毒软件对它的本体起不了作用。。。
还有现在的专杀工具真的是有愧“专杀”这两个字,不是杀不了,就是自己都带毒。
灰鸽子相关资料
灰鸽子木马分为两部分。客户端和服务端,当然这个也是其他许多木马的基本结构,其实木马也
是一种变相的C/S模式服务软件程序。客户端配置生成一个服务端程序,服务端文件的名称默认
为*.exe。然后通过各种渠道传播木马。
传播木马的手段很多,所以请大家务必留神。
木马栽培技术~:
其与一张图片绑定,然后通过各种诱人的手段用QQ把绑定木马的图片发送与对方,骗你运行。
还有就是建立起一个个人主页,诱骗你点击,在利用IE漏洞把木马下载到你的机子上并运行。
还有的将文件上传到某个软件下载网站,冒充成一个有趣的软件诱骗用户下载(现在的很多不正
规软件网站被着良心让访问着下木马。。听万博的兄弟也经常抱怨说到正规的网站下的软件竟然
也带有病毒,,,)
予以以上的栽培技术不难看出,木马都是经过诱骗手段进行种植的,所以警告那些意志不坚定的
同志格外小心,别当养虫专业户
当木马注入成功后,*.exe文件就开始发标了,它将自己拷贝到windows目录下(%SystemRoot%)
,然后从本体释放*.dll *_server *_hook.dll *key_dll四个文件相互配合组成了灰鸽子服务端
。
我所感染的灰鸽子病毒
病毒本体:
服务:windows_system_update
文件: c:/
windows/win_update_hook.dll
win_updatekey.dll //经过查找资料 发现这个文件是个用于键盘记忆的文件
win_update.dll
win_update.exe
此病毒将自己注册成服务,每次开机都能自动运行,运行后启动......
Tsshutdn(2006-08-06 12:34:00)
摘要:
Tsshutdn
允许管理员远程关闭或重新启动终端服务器。如果计算机支持对交流电源的软件控制,也可以选择关闭服务器的电源。
语法
Tsshutdn [WaitTime] [/server:ServerName] [/reboot] [/powerdown] [/delay:LogOffDelay] [/v]
参数
WaitTime
在通知了用户之后,指定在从用户的会话中注销所有用户之前等待的时间(以秒计算)。默认值是 60 秒。
/server:ServerName
指定要关闭的终端服务器。如果未指定,则关闭当前终端服务器。
/reboot
在用户会话结束后重新启动终端服务器。
/powerdown
如果计算机支持通过软件控制交流电源,则关闭终端服务器。
/delay:LogOffDelay
指定当用户从其会话中注销后,结束所有进程并关闭终端服务器之前等待的时间。默认值是 30 秒。
/v
显示关于要执行的操作的信息。
/?
在命令提示符下显示帮助。
注释
•
必须具有管理凭据才能运行 tsshutdn。
•
不建议使用“开始”菜单上的“关机”命令关闭终端服务器。这种方式在结束用户的会话之前不通知用户。
•
在关闭之前所有连接的会话都将得到通知。如果会话中的应用程序具有打开的文件,会话将提示用户保存文件。启动注销命令之后,tsshutdn 在结束所有进程之前等待指定的时间间隔(默认值是 30 秒,通过 /delay 设置)。
•
除非指定 /reboot 选项,否则 Tsshutdn 不重新启动终端服务器。
示例
要关闭名为 TerminalServer1 的计算机,请键入:
tsshutdn /server:TerminalServer1
要重新启动名为 TerminalServer1 的计算机,请键入:
tsshutdn /server:TerminalServer1 /reboot
返回页首
格式图例
格式
意义
斜体
用户必须提供的信息
粗体
用户必须像显示的一样准确键入的元素
省略号 (...)
......
NSlookup命令使用浅析(2006-08-06 12:21:00)
摘要:Nslookup 是一个监测网络中DNS服务器是否能正确实现域名解析的命令行工具。它在 Windows NT/2000/XP 中均可使用,但在Windows 98中却没有集成这一个工具。
Nslookup 必须要安装了TCP/IP 协议的网络环境之后才能使用。
现在网络中已经架设好了一台 DNS 服务器,主机名称为 linlin ,它可以把域名 www.company.com 解析为 192.168.0.1 的IP地址,这是我们平时用得比较多的正向解析功能。
检测步骤如下:
在 Windows 2000 中单击“开始”->“程序”->“附件”->“命令提示符”,在 C:\> 的后面键入 Nslookup www.company.com ,“回车”之后即可看到如下结果:
Server: linlin
Address: 192.168.0.5
Name: www.company.com
Address: 192.168.0.1
以上结果显示,正在工作的 DNS 服务器的主机名为 linlin ,它的 IP 地址是192.168.0.5 ,而域名www.company.com 所对应的 IP 地址为 192.168.0.1 。那么,在检测到 DNS 服务器 linlin 已经能顺利实现正向解析的情况下,它的反向解析是否正常呢? 也就是说,能否把IP地址192.168.0.1反向解析为域名www.company.com ?我们在命令提示符C:\>的后面键入 Nslookup 192.168.0.1 ,得到结果如下:
Server: linlin
Address: 192.168.0.5
Name: www.company.com
Address: 192.168.0.1
这说明,DNS 服务器 linlin 的反向解析功能也正常。
然而,有的时候,我们键入Nslookup www.company.com ,却出现如下结果:
Server: linlin
Address: 192.168.0.5
*** linlin can't find www.company.com: ......
winlogon.exe病毒的查杀方法(2006-08-06 12:19:00)
摘要:winlogon.exe病毒的查杀方法这个进程是不是一个传奇世界程序的图标使用51破解版传家宝会生产一个WINLOGON.EXE进程
正常的winlogon系统进程,其用户名为“SYSTEM” 程序名为小写winlogon.exe。
而伪装成该进程的木马程序其用户名为当前系统用户名,且程序名为大写的WINLOGON.exe。
进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程,其用户名为“SYSTEM”。如果出现了两个winlogon.exe,且其中一个为大写,用户名为当前系统用户的话,表明可能存在木马。
这个木马非常厉害,能破坏掉木马克星,使其不能正常运行。目前我使用其他杀毒软件未能查出。
那个WINDOWS下的WINLOGON.EXE确实是病毒,但是,她不过是这个病毒中的小角色而已,大家打开D盘看看是否有一个pagefile的DOS指向文件和一个autorun.inf文件了,呵呵,当然都是隐藏的,删这几个没用的,因为她关联了很多东西,甚至在安全模式都难搞,只要运行任何程序,或者双击打开D盘,她就会重新被安装了,呵呵,这段时间很多人被盗就是因为这个破解的传家宝了,而且杀毒软件查不出来,有人叫这个病毒为 ”落雪“ 是专门盗传奇传奇世界的木马,至于会不会盗其他帐号如QQ,网银 就看她高兴了,呵呵,估计也都是一并录制。不怕毒和要减少损失的最好开启防火墙阻止除了自己信任的几个常用任务出门,其他的全部阻挡,当然大家最好尽快备份,然后关门杀毒
包括方新等修改过的51pywg传家宝,和他们破解的其他一切外挂,这次嫌疑最大的是51PYWG,至于其他合作网站估计也逃不了关系,特别是方新网站,已经被证实过多次在网站放木马,虽然他解释是被黑了,但是不能排除其他可能,特别小心那些启动后连接网站的外挂,不排除启动器本身就有毒,反正一句话,这种启动就连接某网站的破解软件最容易放毒,至于什么时候放,怎么方,比如一天放几个小时,都要看他怎么爽,用也尽量用那种完全本地破解验证版的,虽然挂盟现在好像还没发现被放马或者自己放,但是千万小心,,最近传奇世界传奇N多人被盗号,目标直指这些网站,以下是最近特别毒的WINLOGON.EXE盗号病毒清除方法,注意这个假的WINLOGON.EXE是在WIN......
美女冲击波(2006-08-06 12:09:00)
摘要:这个绝对经典 收藏的速度了
◆下载“曹操完整版”到手机◆
◆下载“曹操完整版”到手机◆
◆下载“曹操完整版”到手机◆
◆下载“曹操完整版”到手机◆
◆下载“曹操完整版”到手机◆
◆下载“曹操完整版”到手机◆
◆下载“曹操完整版”到手机◆
◆下载“曹操完整版”到手机◆
◆下载“曹操完整版”到手机◆
◆下载“曹操完整版”到手机◆
◆下载“曹操完整版”到手机◆
◆下载“曹操完整版”到手机◆
◆下载“曹操完整版”到手机◆
◆下载“曹操完整版”到手机◆
◆下载“曹操完整版”到手机◆
◆下载“曹操完整版”到手机◆
◆下载“曹操完整版”到手机◆
◆下载“曹操完整版”到手机◆
......
操作系统windowsXP网络应用技巧集锦(2006-08-05 21:42:00)
摘要:操作系统windowsXP网络应用技巧集锦
1、五步轻松解决Windows XP互访问题
曾经遇到很多用户抱怨,在局域网内安装了Windows XP的电脑不能与安装了Windows 98的电脑互相访问,安装了Windows XP的电脑与安装了Windows XP的电脑也不能互相通信。见过很多高手提供的高招,归纳起来有以下4点:一是开启GUEST账号;二是安装NetBEUI协议;三是查看本地安全策略设置是否禁用了GUEST账号;四是设置共享文件夹。然而,即便把这4点都做到了,有时也仍然解决不了Windows XP的互访问题。因为在Windows XP中要想实现互访,还需设置这一步:在Windows桌面上用右击“我的电脑”,选择“属性”,然后单击“计算机名”选项卡,看看该选项卡中有没有出现你的局域网工作组名称,如“Works”等。然后单击“网络ID”按钮,开始“网络标识向导”:单击“下一步”,选择“本机是商业网络的一部分,用它连接到其他工作着的计算机”;单击“下一步”,选择“公司使用没有域的网络”;单击“下一步”按钮,然后输入你的局域网的工作组名,如“Works”,再次单击“下一步”按钮,最后单击“完成”按钮完成设置。重新启动计算机后,局域网内的计算机就应该可以互访了。
2、取消Win2000/XP每次开机的默认共享(如:C$、D$等)
Win2000/XP为了网络管理需要,默认设置了磁盘共享,如:C$、D$等。即使你去掉,但下次开机后又会自动共享。这样会给机器带来一定的安全隐患,那如何去除它呢?跟我来吧!
对于服务器而言在
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
下,增加一个名为“AutoShareServer”的双字节值,设为“0”。然后去掉共享,重新启动。
对于工作站而言在
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters下,增加一个名为“AutoSh......
文件类型(再续)(2006-08-05 21:42:00)
摘要:R Pegasus邮件资源文件
RA RealAudio声音文件
RAM RealAudio元文件
RAR RAR压缩档案(Eugene Roshall格式)
RAS Sun光栅图像位图
RAW RAW文件格式(位图);Raw标识的PCM数据
RBH 由RoboHELP维持的RBH文件,它加入到一个帮助工程文件的信息中
RDF 资源描述框架文件(涉及XML和元数据)
RDL Descent注册水平文件
REC 录音机宏;RapidComm声音文件
REG 注册表文件
REP Visual dBASE报表文件
RES Microsoft Visual C++资源文件
RFT 可修订的表单文本(IBM的DCA一部分或文档内容框架结构一部分)
RGB,SGI Silicon图形RGB文件
RLE Run-Length编码的位图
RL2 Descent2注册水平文件
RM RealAudio视频文件
RMD Microsoft RegMaid文档
RMF Rich Map格式(3D游戏编辑器使用它来保存图)
RMI M1D1音乐
ROM 基于盒式磁带的家庭游戏仿真器文件(来自Atari 2600、Colecovision、Sega、Nintendo等盒式磁带里的ROM完全拷贝,在两个仿真器之间不可互修改)
ROV Rescue Rover数据文件
RPM RedHat包管理器包(用于Linux)
RPT Microsoft Visual Basic Crystal报表文件
RRS Ace game Road Rash保存的文件
RSL Borland的Paradox 7报表
RSM WinWay Resume Writer恢复文件
RTF Rich Text格式文档
RTK RoboHELP使用的用来模拟Windows帮助的搜索功能
RTM Real Tracker音乐模块(MOD)文件
RTS RealAudio的RTSL文档;RoboHELP对复杂**作进行加速
RUL InstallShield使用的扩展名
......
文件类型(续)(2006-08-05 21:41:00)
摘要:H C程序头文件
HCM IBM HCM配置文件
HCOM 声音工具HCOM格式
HCR IBM HCD/HCM产品配置文件
HDF 高级计算机应用程序本地中心(NCSA) geospatial Hierarchial数据格式文件
HED HighEdit文档
HEL Microsoft Hellbender格式保存的游戏文件
HEX Macintosh BinHex2.0文件
HGL HP图形语言绘图文件
HH 映射文件,包括一些话题ID和在帮助文件系统中话题的映射数字—允许运行中应用程序发送给用户合适的上下文帮助话题
HLP 帮助文件;Date CAD Windows帮助文件
HOG Lucas Arts的Dark Forces WAD文件
HPJ Visual Basic帮助工程
HPP C++程序头文件
HQX Macintosh BinHex 4.0文件
HST 历史文件
HT HyperTerminal(超级终端)
HTM,HTML 超文本文档
HTT Microsoft超文本模板
HTX 扩展HTML模板
HXM Descent2 HAM文件扩展
ICA Citrix文件
ICB Targa位图文件
ICC Kodak打印机格式文件
ICL 图标库文件
ICM 图形颜色匹配配置文件
ICO Windows图标
IDB MSDev中间层文件
IDD MIDI设备定义
IDF MIDI设备定义(Windows 95需要的文件)
IDQ Internet数据查询文件
IDX Microsoft FoxPro相关数据库索引文件;Symantec Q&A相关数据库索引文件;Microsoft Outlook Express文件
IFF 交换格式文件;Amiga ILBM
IGES 初始图形交换说明文件
IGF 插入系统元文件
IIF QuickBooks for Windows交换文件
ILBM 位图图形文件
IMA WinImage磁盘映像文件
IMG ......
常见文件扩展名和它们的说明(2006-08-05 21:40:00)
摘要:常见文件扩展名和它们的说明
A 对象代码库文件
AAM Authorware shocked文件
AAS Authorware shocked包
ABF Adobe二进制屏幕字体
ABK CorelDRAW自动备份文件
ABS 该类文件有时用于指示一个摘要(就像在一篇有关科学方面的文章的一个摘要或概要,取自abstract)
ACE Ace压缩档案格式
ACL CorelDRAW 6键盘快捷键文件
ACM Windows系统目录文件
ACP Microsoft office助手预览文件
ACR 美国放射医学大学文件格式
ACT Microsoft office助手文件
ACV OS/2的驱动程序,用于压缩或解压缩音频数据
AD After Dark屏幕保护程序
ADA Ada源文件(非-GNAT)
ADB Ada源文件主体(GNAT);HP100LX组织者的约定数据库
ADD OS/2用于引导过程的适配器驱动程序
ADF Amiga磁盘文件
ADI AutoCAD设备无关二进制绘图仪格式
ADM After Dark多模块屏幕保护;Windows NT策略模板
ADP FaxWork用于传真调制解调器的交互安装文件;Astound Dynamite文件
ADR After Dark随机屏幕保护;Smart Address的地址簿
ADS Ada源文件说明书(GNAT)
AFM Adobe的字体尺度
AF2,AF3 ABC的FlowChat文件
AI Adobe Illustrator格式图形
AIF,AIFF 音频互交换文件,Silicon Graphic and Macintosh应用程序的声音格式
AIFC 压缩AIF
AIM AOL即时信息传送
AIS ACDSee图形序列文件;Velvet Studio设备文件
AKW RoboHELP的帮助工程中所有A-关键词
ALAW 欧洲电话音频格式
ALB JASC Image Commander相册
ALL 艺术与书信库
AMS Ve......