tcpip名词解释(tcpip协议名词解释)
最后更新:2022-11-11 22:34:36 手机定位技术交流文章
最好的xpd版系统是什么?
推荐番茄花园的系统``美观大方还可以通过正版的认证 =================================================== 番茄花园 Windows XP Pro SP2 美化版 V 6.1 ===================================================一、 软件介绍本安装程序是ISO可启动映像文件,推荐下载以后直接用NERO刻录映像文件,然后用光盘安装,当然也可以硬盘安装,DOS下执行SYSTEMTVOL(SVOL)winnt16.bat即可,PE修护盘下可以执行SYSTEMTVOL(SVOL)winnt32.bat即可二、番茄花园系统特点番茄花园系统=原版美化+补丁+必要优化+可选自动安装+可选主题美化+增强功能为什么选番茄花园+可以通过正版验证+破解了 TCPIP.SYS 连接数到1000+破解了 uxtheme.dll,装StyleXP也可以用第三方主题+集合所有补丁+添加漂亮的可选主题+进行必要的优化+多版本可选+无人值守安装+实用的增强软件三、具体修改明细+ 替换了桌面墙纸跟用户头像+ 修正了新建用户后部份美化软件无法启动+ 修正了快捷方式图标,默认去掉快捷方式图标+ 添加 SATA/RAID/SCSI 等驱动包(DPs_BAS7.06.2)+ 集合 到目前为止的所有 XP 关键补丁程序(2007-08-06)+ 集合 Flash Player AX 9.0.45.0 插件+ 集合 Flash Player 播放器 9.0.45.0+ 集合 最新 Internet Explorer 7.0 正式版+ 集合 MS JAVA 虚拟机,支持163聊天室+ 集合 绿色浏览器(GreenBrowser)+ 添加 番茄吧3.2部分优化列表:Internet Explorer-将 IE 网址访问历史记录天数改为-0 天Internet Explorer-禁用 '下载完成' 通知Internet Explorer-禁止记住密码Internet Explorer-令 Internet Explorer 可同时接受 10 个连接开始菜单-减小菜单弹出延迟时间开始菜单-禁用个性化菜单开始菜单-禁止突出显示新安装的程序开始菜单-控制面板-显示为链接开始菜单-图片收藏-显示为链接开始菜单-网络连接-显示 '连接到' 菜单开始菜单-网上邻居-显示为链接开始菜单-我的电脑-显示为链接开始菜单-我的文档-显示为链接开始菜单-我的音乐-显示为链接开始菜单-移除 Windows Catalog 快捷方式开始菜单-移除 '设定程序访问和默认值'开始菜单-展开网络连接开始菜单-注销时清理 '我最近打开的文档'任务栏-禁用 Windows 漫游弹出的窗口任务栏-禁用分组相似任务栏按钮任务栏-禁用气球提示任务栏-锁定任务栏-允许视觉效果-菜单样式-标准视觉效果-窗口标题栏的标题栏颜色呈渐变效果-禁用视觉效果-动画显示组合框-禁用视觉效果-滑动任务栏按钮-禁用视觉效果-键盘快捷方式字母的下划线-禁用视觉效果-平滑滚动列表框-禁用视觉效果-平滑屏幕字体边缘-标准视觉效果-鼠标激活窗口-禁用视觉效果-鼠标激活窗口速度-快速视觉效果-提示信息动画效果-禁用视觉效果-拖拉时显示窗口内容-禁用视觉效果-为每种文件夹类型使用一种背景图像-禁用视觉效果-显示半透明的选择长方形-禁用视觉效果-选择效果淡入淡出-禁用视觉效果-在菜单下显示阴影-禁用视觉效果-在单击后淡出菜单-禁用视觉效果-在鼠标指针下显示阴影-禁用视觉效果-在桌面上为图标标签使用阴影-启用视觉效果-在最大化和最小化时动画窗口-禁用网络-禁止自动搜索网络文件夹和网络打印机性能-在独立的进程中运行 16 位 Windows 应用程序隐私-禁用 Internet 驱动更新提示隐私-禁用错误报告桌面, 开始菜单和任务栏-'Internet Explorer' 图标-显示桌面, 开始菜单和任务栏-'网上邻居' 图标-显示桌面, 开始菜单和任务栏-'我的电脑' 图标-显示桌面, 开始菜单和任务栏-'我的文档' 图标-显示资源管理器-禁用 '快捷方式 到' 前缀资源管理器-显示受保护的操作系统文件资源管理器-显示系统文件夹的内容资源管理器-显示已知文件类型的扩展名资源管理器-显示隐藏文件和文件夹资源管理器-在所有的窗口上显示状态栏资源管理器-在文件夹关联菜单上添加 'Command Prompt' 命令四、WINDOWS目录中文件包说明番茄花园 Windows XP Pro SP2 美化版 系列(全部都集合补丁及优化)1. SYSTEMTVOA --- 番茄花园 Windows XP Pro SP2 美化版 V6.1 + 自动安装2. SYSTEMSVOL --- 番茄花园 Windows XP Pro SP2 美化版 V6.1 + DPS驱动包五、安装说明1.光盘安装(推荐)请用刻录软件,选择 映像刻录 方式来刻录ISO文件,刻录之前请先校验一下文件的准确性,刻录速度推荐24X!a.自动安装安装请设置光盘启动,然后选择第1个就可以自动安装!b. 手动安装安装请设置光盘启动,然后选择第2个就可以手动安装!2. 硬盘安装(支持自动无人职守安装)a.自动安装请提取ISO中SYSTEMTVOL(SVOL)中的所有内容到硬盘根目录,比如D:,然后运行D:winnt16.bat就可以安装 。b. 手动安装请提取ISO中SYSTEMTVOL(SVOL)中的所有内容到硬盘根目录,比如D:,然后运行D:I386winnt.exe就可以安装。安装之前需要先加载smartdrv.exe(I386中有)六、问题和设置1.局域网访问问题可以查看光盘下TOOLS下的解决XP专业版局域网访问故障十八招!2.名词解释《番茄吧》番茄吧是番茄花园自主推出的多功能增强工具,提供搜索网页,图片,MP3等功能!七、关于番茄花园-番茄的含义任何东西的存在都会有属于它自己的含义,所以番茄也不例外。很久以前我就知道了它的意义,当时有一种特别的感动,于是就有了“番茄花园”的存在。番茄拥有漂亮鲜艳的外表,但有多少人曾经注意过这样一件事实,番茄的外在和内在,永远都是一个颜色,红番茄外面是红色,里面也是红色的,而青番茄的外面是青色的,里面呢,也是青色。如果用四个字来形容番茄,很简单,那就是“表里如一”。番茄的含义让我联想到做人的道理,“表里如一”也正是番茄花园的理念,代表了真诚的心意。我也很希望每一位看过番茄含义的朋友们都能像番茄的颜色一样,做个表里如一的人。让我们的网络生活中的每个角落里,都充满关心和爱心。八、注意事项本站提供的各类软件,仅提供一个观摩学习的环境,本站不承担任何技术及版权问题,且不对任何资源负法律责任。所有资源请在下载后24小时内删除。如果您觉得满意,请购买正版! 番茄花园 2007-08
帮忙解释一下名词解释Tcpip协议
Transmission Control Protocol/Internet Protocol的简写,中译名为传输控制协议/因特网互联协议,又名网络通讯协议,是Internet最基本的协议、Internet国际互联网络的基础,由网络层的IP协议和传输层的TCP协议组成。TCP/IP 定义了电子设备如何连入因特网,以及数据如何在它们之间传输的标准。协议采用了4层的层级结构,每一层都呼叫它的下一层所提供的协议来完成自己的需求。通俗而言:TCP负责发现传输的问题,一有问题就发出信号,要求重新传输,直到所有数据安全正确地传输到目的地。而IP是给因特网的每一台电脑规定一个地址。 http://baike.baidu.com/view/7649.htm
TCP/IP是什么意思?
TCP/IP协议(传输控制协议/互联网协议)不是简单的一个协议,而是一组特别的协议,包括:TCP,IP,UDP,ARP等,这些被称为子协议。在这些协议中,最重要、最著名的就是TCP和IP。因此,大部分网络管理员称整个协议族为“TCP/IP”。TCP/IP始于美国国防部,美国国防部于20世纪60年代末为高级研究计划局网络(ARPAnet,Intermet的前身)开发了TCP/IP。TCP/IP的迅速流行要归功于它的低成本、可在不同的平台间进行通信的能力和它开放的特性。“开放”的意思是软件开发人员可以自由地使用和修改TCP/IP的核心协议。TCP/IP是Internet实际采用的标准。UNIX和Linux一直都使用TCP/IP,Windows网络操作系统也以TCP/IP作为默认的协议。扩展资料:TCP/IP特点:1、协议标准是完全开放的,可以供用户免费使用,并且独立于特定的计算机硬件与操作系统。2、独立于网络硬件系统,可以运行在广域网,更适合于互联网。3、网络地址统一分配,网络中每一设备和终端都具有一个唯一地址。4、高层协议标准化,可以提供多种多样可靠网络服务。参考资料来源:百度百科-TCP/IP
就像人类的语言一样,要使计算机连成的网络能够互通信息,需要有一组共同遵守的通信标准,这就是网络协议,不同的计算机之间必须使用相同的通讯协议才能进行通信。在Internet中TCP/IP协议是使用最为广泛的通讯协议。TCP/IP是英文Transmission Control Protocol/Internet Protocol的缩写,意思是“传输控制协议/网际协议”。 TCP/IP是Internet使用的一组协议(Protocol)。 在Internet上传输控制协议和网际协议是配合进行工作的。网际协议(IP)负责将消息从一个主机传送到另一个主机。为了安全消息在传送的过程中被分割成一个个的小包。传输控制协议(TCP)负责收集这些信息包,并将其按适当的次序放好传送,在接收端收到后再将其正确地还原。传输协议保证了数据包在传送中准确无误。http://site.dcjy.net/qise/6/jxzyk/My%20Webs/z4.htm尽管计算机通过安装IP软件,从而保证了计算机之间可以发送和接收数据,但IP协议还不能解决数据分组在传输过程中可能出现的问题。因此,若要解决可能出现的问题,连上 Internet 的计算机还需要安装TCP协议来提供可靠的并且无差错的通信服务。TCP协议被称作一种端对端协议。这是因为它为两台计算机之间的连接起了重要作用:当一台计算机需要与另一台远程计算机连接时,TCP协议会让它们建立一个连接、发送和接收数据以及终止连接。传输控制协议TCP协议利用重发技术和拥塞控制机制,向应用程序提供可靠的通信连接,使它能够自动适应网上的各种变化。即使在 Internet 暂时出现堵塞的情况下,TCP也能够保证通信的可靠。众所周知, Internet 是一个庞大的国际性网络,网路上的拥挤和空闲时间总是交替不定的,加上传送的距离也远近不同,所以传输数据所用时间也会变化不定。TCP协议具有自动调整"超时值"的功能,能很好地适应 Internet 上各种各样的变化,确保传输数值的正确。因此,从上面我们可以了解到:IP协议只保证计算机能发送和接收分组数据,而TCP协议则可提供一个可靠的、可流控的、全双工的信息流传输服务。 综上所述,虽然IP和TCP这两个协议的功能不尽相同,也可以分开单独使用,但它们是在同一时期作为一个协议来设计的,并且在功能上也是互补的。只有两者的结合,才能保证 Internet 在复杂的环境下正常运行。凡是要连接到 Internet 的计算机,都必须同时安装和使用这两个协议,因此在实际中常把这两个协议统称作TCP/IP协议。
TCP/IP整体构架概述 TCP/IP协议并不完全符合OSI的七层参考模型。传统的开放式系统互连参考模型,是一种通信协议的7层抽象的参考模型,其中每一层执行某一特定任务。该模型的目的是使各种硬件在相同的层次上相互通信。这7层是:物理层、数据链路层、网路层、传输层、话路层、表示层和应用层。而TCP/IP通讯协议采用了4层的层级结构,每一层都呼叫它的下一层所提供的网络来完成自己的需求。这4层分别为:应用层:应用程序间沟通的层,如简单电子邮件传输(SMTP)、文件传输协议(FTP)、网络远程访问协议(Telnet)等。传输层:在此层中,它提供了节点间的数据传送服务,如传输控制协议(TCP)、用户数据报协议(UDP)等,TCP和UDP给数据包加入传输数据并把它传输到下一层中,这一层负责传送数据,并且确定数据已被送达并接收。互连网络层:负责提供基本的数据封包传送功能,让每一块数据包都能够到达目的主机(但不检查是否被正确接收),如网际协议(IP)。网络接口层:对实际的网络媒体的管理,定义如何使用实际网络(如Ethernet、Serial Line等)来传送数据。TCP/IP中的协议以下简单介绍TCP/IP中的协议都具备什么样的功能,都是如何工作的:1. IP网际协议IP是TCP/IP的心脏,也是网络层中最重要的协议。IP层接收由更低层(网络接口层例如以太网设备驱动程序)发来的数据包,并把该数据包发送到更高层---TCP或UDP层;相反,IP层也把从TCP或UDP层接收来的数据包传送到更低层。IP数据包是不可靠的,因为IP并没有做任何事情来确认数据包是按顺序发送的或者没有被破坏。IP数据包中含有发送它的主机的地址(源地址)和接收它的主机的地址(目的地址)。高层的TCP和UDP服务在接收数据包时,通常假设包中的源地址是有效的。也可以这样说,IP地址形成了许多服务的认证基础,这些服务相信数据包是从一个有效的主机发送来的。IP确认包含一个选项,叫作IP source routing,可以用来指定一条源地址和目的地址之间的直接路径。对于一些TCP和UDP的服务来说,使用了该选项的IP包好象是从路径上的最后一个系统传递过来的,而不是来自于它的真实地点。这个选项是为了测试而存在的,说明了它可以被用来欺骗系统来进行平常是被禁止的连接。那么,许多依靠IP源地址做确认的服务将产生问题并且会被非法入侵。2. TCP如果IP数据包中有已经封好的TCP数据包,那么IP将把它们向‘上’传送到TCP层。TCP将包排序并进行错误检查,同时实现虚电路间的连接。TCP数据包中包括序号和确认,所以未按照顺序收到的包可以被排序,而损坏的包可以被重传。TCP将它的信息送到更高层的应用程序,例如Telnet的服务程序和客户程序。应用程序轮流将信息送回TCP层,TCP层便将它们向下传送到IP层,设备驱动程序和物理介质,最后到接收方。面向连接的服务(例如Telnet、FTP、rlogin、X Windows和SMTP)需要高度的可靠性,所以它们使用了TCP。DNS在某些情况下使用TCP(发送和接收域名数据库),但使用UDP传送有关单个主机的信息。3.UDPUDP与TCP位于同一层,但对于数据包的顺序错误或重发。因此,UDP不被应用于那些使用虚电路的面向连接的服务,UDP主要用于那些面向查询---应答的服务,例如NFS。相对于FTP或Telnet,这些服务需要交换的信息量较小。使用UDP的服务包括NTP(网落时间协议)和DNS(DNS也使用TCP)。欺骗UDP包比欺骗TCP包更容易,因为UDP没有建立初始化连接(也可以称为握手)(因为在两个系统间没有虚电路),也就是说,与UDP相关的服务面临着更大的危险。4.ICMPICMP与IP位于同一层,它被用来传送IP的的控制信息。它主要是用来提供有关通向目的地址的路径信息。ICMP的‘Redirect’信息通知主机通向其他系统的更准确的路径,而‘Unreachable’信息则指出路径有问题。另外,如果路径不可用了,ICMP可以使TCP连接‘体面地’终止。PING是最常用的基于ICMP的服务。5. TCP和UDP的端口结构TCP和UDP服务通常有一个客户/服务器的关系,例如,一个Telnet服务进程开始在系统上处于空闲状态,等待着连接。用户使用Telnet客户程序与服务进程建立一个连接。客户程序向服务进程写入信息,服务进程读出信息并发出响应,客户程序读出响应并向用户报告。因而,这个连接是双工的,可以用来进行读写。两个系统间的多重Telnet连接是如何相互确认并协调一致呢?TCP或UDP连接唯一地使用每个信息中的如下四项进行确认:源IP地址发送包的IP地址。目的IP地址 接收包的IP地址。源端口 源系统上的连接的端口。目的端口目的系统上的连接的端口。 端口是一个软件结构,被客户程序或服务进程用来发送和接收信息。一个端口对应一个16比特的数。服务进程通常使用一个固定的端口,例如,SMTP使用25、Xwindows使用6000。这些端口号是‘广为人知’的,因为在建立与特定的主机或服务的连接时,需要这些地址和目的地址进行通讯。
就像人类的语言一样,要使计算机连成的网络能够互通信息,需要有一组共同遵守的通信标准,这就是网络协议,不同的计算机之间必须使用相同的通讯协议才能进行通信。在Internet中TCP/IP协议是使用最为广泛的通讯协议。TCP/IP是英文Transmission Control Protocol/Internet Protocol的缩写,意思是“传输控制协议/网际协议”。 TCP/IP是Internet使用的一组协议(Protocol)。 在Internet上传输控制协议和网际协议是配合进行工作的。网际协议(IP)负责将消息从一个主机传送到另一个主机。为了安全消息在传送的过程中被分割成一个个的小包。传输控制协议(TCP)负责收集这些信息包,并将其按适当的次序放好传送,在接收端收到后再将其正确地还原。传输协议保证了数据包在传送中准确无误。http://site.dcjy.net/qise/6/jxzyk/My%20Webs/z4.htm尽管计算机通过安装IP软件,从而保证了计算机之间可以发送和接收数据,但IP协议还不能解决数据分组在传输过程中可能出现的问题。因此,若要解决可能出现的问题,连上 Internet 的计算机还需要安装TCP协议来提供可靠的并且无差错的通信服务。TCP协议被称作一种端对端协议。这是因为它为两台计算机之间的连接起了重要作用:当一台计算机需要与另一台远程计算机连接时,TCP协议会让它们建立一个连接、发送和接收数据以及终止连接。传输控制协议TCP协议利用重发技术和拥塞控制机制,向应用程序提供可靠的通信连接,使它能够自动适应网上的各种变化。即使在 Internet 暂时出现堵塞的情况下,TCP也能够保证通信的可靠。众所周知, Internet 是一个庞大的国际性网络,网路上的拥挤和空闲时间总是交替不定的,加上传送的距离也远近不同,所以传输数据所用时间也会变化不定。TCP协议具有自动调整"超时值"的功能,能很好地适应 Internet 上各种各样的变化,确保传输数值的正确。因此,从上面我们可以了解到:IP协议只保证计算机能发送和接收分组数据,而TCP协议则可提供一个可靠的、可流控的、全双工的信息流传输服务。 综上所述,虽然IP和TCP这两个协议的功能不尽相同,也可以分开单独使用,但它们是在同一时期作为一个协议来设计的,并且在功能上也是互补的。只有两者的结合,才能保证 Internet 在复杂的环境下正常运行。凡是要连接到 Internet 的计算机,都必须同时安装和使用这两个协议,因此在实际中常把这两个协议统称作TCP/IP协议。
TCP/IP整体构架概述 TCP/IP协议并不完全符合OSI的七层参考模型。传统的开放式系统互连参考模型,是一种通信协议的7层抽象的参考模型,其中每一层执行某一特定任务。该模型的目的是使各种硬件在相同的层次上相互通信。这7层是:物理层、数据链路层、网路层、传输层、话路层、表示层和应用层。而TCP/IP通讯协议采用了4层的层级结构,每一层都呼叫它的下一层所提供的网络来完成自己的需求。这4层分别为:应用层:应用程序间沟通的层,如简单电子邮件传输(SMTP)、文件传输协议(FTP)、网络远程访问协议(Telnet)等。传输层:在此层中,它提供了节点间的数据传送服务,如传输控制协议(TCP)、用户数据报协议(UDP)等,TCP和UDP给数据包加入传输数据并把它传输到下一层中,这一层负责传送数据,并且确定数据已被送达并接收。互连网络层:负责提供基本的数据封包传送功能,让每一块数据包都能够到达目的主机(但不检查是否被正确接收),如网际协议(IP)。网络接口层:对实际的网络媒体的管理,定义如何使用实际网络(如Ethernet、Serial Line等)来传送数据。TCP/IP中的协议以下简单介绍TCP/IP中的协议都具备什么样的功能,都是如何工作的:1. IP网际协议IP是TCP/IP的心脏,也是网络层中最重要的协议。IP层接收由更低层(网络接口层例如以太网设备驱动程序)发来的数据包,并把该数据包发送到更高层---TCP或UDP层;相反,IP层也把从TCP或UDP层接收来的数据包传送到更低层。IP数据包是不可靠的,因为IP并没有做任何事情来确认数据包是按顺序发送的或者没有被破坏。IP数据包中含有发送它的主机的地址(源地址)和接收它的主机的地址(目的地址)。高层的TCP和UDP服务在接收数据包时,通常假设包中的源地址是有效的。也可以这样说,IP地址形成了许多服务的认证基础,这些服务相信数据包是从一个有效的主机发送来的。IP确认包含一个选项,叫作IP source routing,可以用来指定一条源地址和目的地址之间的直接路径。对于一些TCP和UDP的服务来说,使用了该选项的IP包好象是从路径上的最后一个系统传递过来的,而不是来自于它的真实地点。这个选项是为了测试而存在的,说明了它可以被用来欺骗系统来进行平常是被禁止的连接。那么,许多依靠IP源地址做确认的服务将产生问题并且会被非法入侵。2. TCP如果IP数据包中有已经封好的TCP数据包,那么IP将把它们向‘上’传送到TCP层。TCP将包排序并进行错误检查,同时实现虚电路间的连接。TCP数据包中包括序号和确认,所以未按照顺序收到的包可以被排序,而损坏的包可以被重传。TCP将它的信息送到更高层的应用程序,例如Telnet的服务程序和客户程序。应用程序轮流将信息送回TCP层,TCP层便将它们向下传送到IP层,设备驱动程序和物理介质,最后到接收方。面向连接的服务(例如Telnet、FTP、rlogin、X Windows和SMTP)需要高度的可靠性,所以它们使用了TCP。DNS在某些情况下使用TCP(发送和接收域名数据库),但使用UDP传送有关单个主机的信息。3.UDPUDP与TCP位于同一层,但对于数据包的顺序错误或重发。因此,UDP不被应用于那些使用虚电路的面向连接的服务,UDP主要用于那些面向查询---应答的服务,例如NFS。相对于FTP或Telnet,这些服务需要交换的信息量较小。使用UDP的服务包括NTP(网落时间协议)和DNS(DNS也使用TCP)。欺骗UDP包比欺骗TCP包更容易,因为UDP没有建立初始化连接(也可以称为握手)(因为在两个系统间没有虚电路),也就是说,与UDP相关的服务面临着更大的危险。4.ICMPICMP与IP位于同一层,它被用来传送IP的的控制信息。它主要是用来提供有关通向目的地址的路径信息。ICMP的‘Redirect’信息通知主机通向其他系统的更准确的路径,而‘Unreachable’信息则指出路径有问题。另外,如果路径不可用了,ICMP可以使TCP连接‘体面地’终止。PING是最常用的基于ICMP的服务。5. TCP和UDP的端口结构TCP和UDP服务通常有一个客户/服务器的关系,例如,一个Telnet服务进程开始在系统上处于空闲状态,等待着连接。用户使用Telnet客户程序与服务进程建立一个连接。客户程序向服务进程写入信息,服务进程读出信息并发出响应,客户程序读出响应并向用户报告。因而,这个连接是双工的,可以用来进行读写。两个系统间的多重Telnet连接是如何相互确认并协调一致呢?TCP或UDP连接唯一地使用每个信息中的如下四项进行确认:源IP地址发送包的IP地址。目的IP地址 接收包的IP地址。源端口 源系统上的连接的端口。目的端口目的系统上的连接的端口。 端口是一个软件结构,被客户程序或服务进程用来发送和接收信息。一个端口对应一个16比特的数。服务进程通常使用一个固定的端口,例如,SMTP使用25、Xwindows使用6000。这些端口号是‘广为人知’的,因为在建立与特定的主机或服务的连接时,需要这些地址和目的地址进行通讯。
什么是熊猫病毒?
病毒名称:Worm.WhBoy.h 病毒中文名:熊猫烧香(武汉男生)病毒类型:蠕虫危险级别:★★★★★影响平台:Win 9x/ME,Win 2000/NT,Win XP,Win 2003专杀工具:金山专杀工具 安天专杀工具 江民专杀工具 安博士专杀工具 赛门铁克专杀工具病毒描述:“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。1:拷贝文件病毒运行后,会把自己拷贝到C:WINDOWSSystem32Driversspoclsv.exe2:添加注册表自启动病毒会添加自启动项HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun svcshare -> C:WINDOWSSystem32Driversspoclsv.exe3:病毒行为a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序:QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword并使用的键盘映射的方法关闭安全软件IceSword添加注册表使自己自启动 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun svcshare -> C:WINDOWSSystem32Driversspoclsv.exe并中止系统中以下的进程:Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exeb:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享d:每隔6秒删除安全软件在注册表中的键值并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL CheckedValue -> 0x00删除以下服务:navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvce:感染文件病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zoneg:删除文件病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。参考资料:http://shadu.baidu.com/sitenews/rank.jsp?id=171
熊猫烧香自网络下载的木马名称多种,注意识别。alga.exe,zaq10.exe,wanmei.exe,windds32.dll等都是新面孔。其他的mhs2.exe,iexp1ore.exe等本博文章有说明,不再赘述。另外,发现此案例有LSP劫持。可以用最新版本的SRENG2.3的重置WINSOCK为默认来解决! Winsock 提供者MSAFD Tcpip [TCP/IP]C:WINDOWSsystem32WSD_SOCK32.dll(N/A, N/A)MT-TcpFilterC:WINDOWSsystem32WSD_SOCK32.dll(N/A, N/A)一、问题的提出:提问地址:http://zhidao.baidu.com/question/18323172.html报告地址:(2页)http://hi.baidu.com/sessoso/blog/item/754e1655fbde7ec4b645ae23.htmlhttp://hi.baidu.com/sessoso/blog/item/4077720670529f7b03088123.html二、分析1. 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。关闭QQ等应用程序。2.用强制删除工具 PowerRMV 下载地址:http://post.baidu.com/f?kz=158203765分别填入下面的文件(包括完整的路径) ,勾选“抑止杀灭对象再次生成”,点杀灭【如提示文件找不到,忽略错误】C:WINDOWSsystem32driversspoclsv.exeC:WINDOWSsystem32iexp1ore.exeC:WINDOWSsystem32iexpl0re.exeC:WINDOWSzaq10.exeC:WINDOWSmhs2.exeC:WINDOWSalga.exeC:WINDOWSwls3.exeC:WINDOWSwinlog0n.exeC:WINDOWSiexp1ore.exeC:WINDOWSwanmei.exeC:WINDOWSsystem32twunk32.exeC:Program FilesCommon FilesMicrosoft SharedMSINFOWinInfo.rxkC:WINDOWSsystem32Security.exeC:WINDOWSsystem32windds32.dllC:WINDOWSsystem32windhcp.ocx重启计算机 然后再进入安全模式执行如下的操作--------------------------------------------------------------以下的操作都要求安全模式下进行。[安全模式?重启电脑时按住F8 选择进入安全模式]--------------------------------------------------------------3. 用工具 SREng 删除如下各项下载及其使用方法看下面的链接,看懂再下手操作!http://hi.baidu.com/teyqiu/blog/item/f706213fc52346ec54e72351.html【如下操作有风险,必须看懂上面的方法再操作。】【打开SREng后提醒“函数的内容与预期值不符他们可能被一些恶意的软件所修改”的错误请忽略,装杀软后的正常修改。】启动项目 -->注册表 的如下项 [N/A] [N/A] [N/A] [N/A] [N/A] [N/A] [N/A] [N/A] [N/A] [N/A] [N/A]<{06A48AD9-FF57-4E73-937B-B493E72F4226}> [N/A]==================================启动项目 -->服务-->Win32服务应用程序 的如下项[Server Advance / ServerAC][Stopped/Auto Start][Win32 Display Driver / Win32DDS][Stopped/Auto Start][Windows DHCP Service / WinDHCPsvc][Stopped/Auto Start]4、SREng 系统修复-->修复 winSock供应者 点“重置所有内容为默认值”或者用如下的方法开始菜单 运行 输入cmd输入如下命令netsh winsock reset 回车手动删除文件 C:WINDOWSsystem32WSD_SOCK32.dll5. 用下文推荐的专杀工具清理其他受到感染的EXE文件Viking专杀http://hi.baidu.com/teyqiu/blog/item/bd8aa97731568f1bb051b928.html注意里面的360SAFE的帖子链接里的工具都用一下 交叉检查。熊猫专杀:http://hi.baidu.com/teyqiu/blog/item/6369ddc4c3dc03cb39db496a.html6. 最后用 下文推荐的工具清理(第四个) 把能检测到的全选后点清理(删除)参考http://post.baidu.com/f?kz=149133630
PS: 复制的:自去年11月初次现身,“熊猫烧香”迅速化身数百种,不断入侵个人电脑,感染门户网站,病毒作者将信息留言在病毒源代码中的古怪行为,更引发了一场虚拟世界里“道”与“魔”之间的激烈较量。1月19日,一个最新的“熊猫烧香”变种病毒出现。病毒作者宣称,这将是“熊猫烧香”最后一次更新。然而,隐藏在“熊猫”身后的利益集团开始浮出水面,据江民反病毒工程师向媒体报料,已发现产销一条龙盗窃销售网游设备的产业链,而这位“熊猫烧香”的作者,“只要他愿意,一年收入可赚一座别墅”。“熊猫烧香”变体达400余个2004年11月,熊猫第一次来袭。“最开始‘尼姆亚’(反病毒工程师们最初将‘熊猫烧香’命名为‘尼姆亚’)不算厉害。”瑞星病毒组工程师史瑀说,随着病毒作者的不断更新,它的破坏力和传染力也随之上升。2006年11月底,“尼姆亚”只有不到十个变种,12月开始,病毒从数日一更新,变为一日数更新,变种数量成倍上升。这时候,“熊猫烧香”已经取代了“尼姆亚”这个名字。12月中旬,“熊猫烧香”进入急速变种期,在几次大面积爆发之后,“熊猫烧香”成为众多电脑用户谈之色变的词汇。圣诞节过后,“熊猫烧香”版本已达到近百个。1月9日,“熊猫烧香”迎来了一次全国性的大规模爆发,它的变种数量定格在306个。金山毒霸客服中心有关“熊猫烧香”的日咨询量高达73%,感染用户以北京、广州、上海等大型城市为主。截至目前,“熊猫烧香”病毒变种已达416个,受感染电脑用户达到数百万台。“熊猫烧香”因何难退史瑀说,传统蠕虫病毒通过一台中毒电脑传至局域网内其他电脑,而“熊猫烧香”还可以通过网站传播。感染“熊猫烧香”电脑,会在硬盘所有网页文件上附加病毒。“如果被感染的是网站编辑和记者的电脑,那么通过中毒网页,‘熊猫烧香’可附身在网站的所有网页上。”史瑀说,访问这种中毒的网站时,网民就会感染“熊猫烧香”病毒。从传统的“点对点”,到现在的“点对面”,“熊猫烧香”借助中毒网站的访问量传播。据工程师们称,他们曾监控到,“熊猫烧香”感染过天涯社区、硅谷动力、pconline等门户网站,在暴风影音等知名软件的下载链接中也曾有“熊猫烧香”附身的痕迹。同时,“熊猫烧香”还可借助搜索引擎进行传播。病毒内部列出“鸣谢单位”mopery是卡卡社区反病毒论坛的版主,也是一名反病毒高手。2006年10月中,mopery接到网友求助。在帮忙解决电脑故障的过程中,他拿到了一个病毒样本,它就是“熊猫烧香”的原始版本。在繁复的程序代码中,mopery看到了一段与程序无关的信息,其中有一行字母——whboy。“whboy”这个名字,对于病毒研究者有着不一般的含义。2004年,whboy发布了其创作的病毒“武汉男孩”,那是一种通过QQ传播的盗号木马,因为其变种的疯狂和传播的广泛,一年后,被江民反病毒中心列入2005年十大病毒之列。此后,whboy还在一些病毒论坛和黑客论坛发帖,表示可以提供盗取QQ号服务,但不久后便销声匿迹,直至“熊猫”出现。2006年12月初,“熊猫烧香”变种加速。随着变种增多,代码内附带信息也越来越多。随后,武汉男孩似乎迷恋上了这种病毒内部列出“鸣谢单位”的模式,在1月5日的病毒留言中,感谢名单上添加了艾玛的名字。1月9日,感谢名单中又多了杀毒高手“海色之月”的名字,文末还添加了一句“服了……艾玛……”此后,武汉男孩开始频繁用这种方式与对手“交流”。1月15日,武汉男孩还在留言中和反毒者taylor77打起了招呼:“我制作的病毒已经‘满城尽烧国宝香’。”在“熊猫烧香”的最后一个版本中,武汉男孩写下了临别赠语,“在此对各位中过木马的网友和各位网管人员表示深深的歉意!对不起,你们辛苦了!”一场未结束的战争对于“武汉男孩”的身份有着很多猜测,民间反毒高手Mopery及瑞星反毒工程师史瑀均表示,“从留言的内容和程序代码来看,武汉男孩是一位有丰富病毒编写经验的熟手”,“武汉男孩本身精通网络技术和入侵技术,通过他上网的痕迹追查真身很难实现。1月19日,“熊猫烧香”发布了一个新的变种,病毒作者宣称,这将是“熊猫烧香”最后一次更新。1月24日下午,反病毒工程师们又发现了一种新型病毒,这种病毒和“熊猫烧香”十分相似,工程师怀疑它是“熊猫烧香”作者创作的新版本病毒。这种病毒会把受感染用户电脑上的所有图标换成一个男子的头像,在头像的眼睛位置是两个电灯泡。反病毒工程师们担心的是,“灯泡男子”会成为“熊猫烧香”的接班人。病毒作者的真正目的“熊猫烧香”的作者自称whboy——“武汉男孩”,对于这位神秘的杀手,网友对其制造病毒的目的有三种猜测:其一,武汉男孩是一名武汉少年,电脑知识了得,堪称神童,制造“熊猫烧香”及其变种的目的乃出于挑战和成就感。其二,制造者是国内杀毒软件公司的员工,故意编写病毒,促销相应的杀毒产品。其三,制造者的背后是产销一条龙盗窃销售网游设备的产业链,病毒作者以获取经济利益为目标,与之前出现的网银大盗、证券大盗、游戏大盗、QQ大盗等类似。从目前国内网络安全机构的调查初步来看,第三种可能性最大,几大国内杀毒软件厂商已严正否认了第二种说法。- 名词解释“熊猫”,香是怎么烧起来的?“熊猫烧香”病毒是能在Windows 98/2000/XP/2003系统上运行的蠕虫病毒,它至今已衍生出上百个变种病毒。刚开始时,它采用一个颇为常见的熊猫举着三根香的头像,诱使计算机用户运行,它能感染系统中exe、com、pif、src、html、asp等文件,它还能中止一些反病毒软件进程,并且会删除扩展名为gho的文件,使用户系统备份文件丢失。最典型的病毒感染征象是被感染的用户系统中所有.exe文件标签全部被改成“熊猫烧香”的头像。受感染PC还会出现蓝屏、频繁重启以及硬盘中数据文件被破坏等现象。病毒能通过局域网、网页、移动存储设备进行传播。“熊猫烧香”引发网友两大争论杀毒软件是国内的好还是国外的好?消费者在杀毒软件的使用选择上,究竟是国内厂商的瑞星、金山毒霸、江民好,还是选择国外大名鼎鼎的卡巴斯基、诺顿、McAfee?最近爆发的“熊猫烧香”,引发了网友激烈争论。有网友认为,国外杀毒软件技术力量雄厚、产品更可靠,更新至最新版本后基本可获得各种病毒的免疫能力。有网友认为,国内厂商如瑞星、金山反应更快,针对热门病毒提供了专杀工具,台湾地震导致最近国外杀毒软件更新受阻、从而遭受“熊猫烧香”的攻击,因此,立足本土的杀毒软件更有保障。感染后要不要重装系统?不少用户在感染病毒后,往往将C盘格式化后重新安装干净的操作系统。然而,这一办法在目前行不通。刚刚装好的Windows XP存在严重安全漏洞、需要补装很多安全更新,存在较多的安全风险,补丁修复必须访问微软服务器,受光缆损坏的影响,访问下载速度非常慢,修复补丁需要很长时间,新装好的系统来不及安全更新就再次感染“熊猫烧香”。“台湾地震”助纣为虐?大部分感染“熊猫烧香”的用户,只能被动下载一些杀毒软件进行查杀,由于变种多、传播速度快,一旦用户没能及时升级杀毒软件或专杀工具,查杀效果将大打折扣。最近的台湾外海地震,多组通信光缆受损导致亚洲用户的互联网通信受阻,不少国内用户的操作系统来不及更新、反病毒软件没有及时升级到最新版本,给了病毒肆虐的机会。“熊猫烧香”四大变种“熊猫烧香”已衍生出上百个变种病毒,总体分为四大类。变种1,就是FuckJacks.exe进程,将自身复制到系统文件夹,然后感染文件夹中的.exe文件,将图标改为“熊猫烧香”。变种2,就是spoclsv.exe进程,感染时在C盘根目录下生成感染标记文件,将图标改为“熊猫烧香”。变种3,不再感染用户系统中的.exe文件,而是感染用户系统中的脚本病毒,而且在文件夹中写下感染标记文件。对抗杀毒软件及专杀工具,令系统自动关闭反病毒软件。变种4,最近才出现的一个变种,用户可执行文件时与A和B版本有所不同,用户中毒后的.exe文件的图标不改变,还有其他一些变种,基本都是为了躲避查杀。危害与症状1、感染硬盘中的其他应用程序的.exe文件,程序图标变成“熊猫烧香”图标,系统速度异常缓慢,出现蓝屏、频繁重启。2、拷贝自身到所有驱动器根目录,生成setup.exe和auturun.inf文件,使得用户打开受感染驱动器运行病毒。3、修改注册表,自行加载启动病毒程序、禁用杀毒工具运行,并禁止用户修改系统注册表。4、局域网用户会共享跨机传染,造成其他电脑受感染,占用带宽导致网络瘫痪。5、最可怕而且最特别之处是,病毒会在电脑中所有的网页文件尾部添加病毒代码。一些网站工作人员的PC如果被感染,则导致用户浏览这些网站时也被感染。感染后的对策方法一:这种方法比较简单,用户可以利用金山毒霸、瑞星等提供的专杀工具进行搜索和杀灭病毒。缺点是有新变种后,专杀工具也需更新。用户可以到下列网站下载最新工具,注意选择不同工具进行多次查杀。http://www.xiongmaoshaoxiang.com、http://tool.duba.net/zhuansha/253.shtml、http://it.rising.com.cn/Channels/Service/2006-11/1163505486d38734.shtml方法二:此外,可通过修复注册表等操作进行彻底查杀:1、断开网络。2、结束病毒进程,如果在进程中发现FuckJacks.exe、setup.exe、spoclsv.exe,将其结束掉,也可以下载Process Explorer程序将病毒进程结束掉。3、在计算机上搜索并删除以下病毒执行文件:setup.exe、autorun.inf、%System%Fuckjacks.exe、%System%Driversspoclsv.exe、GameSetup.exe。4、开始-〉运行-〉输入regedit,确定后,打开注册表编辑器,删除病毒创建的启动项。注册表信息如下:〔HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun〕“FuckJacks”=“%System%FuckJacks.exe〔HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun〕“svohost”=“%System%FuckJacks.exe”5、修复或重新安装反病毒软件,以恢复杀毒软件的功能。6、最后,将反病毒软件更新到最新版本,进行全盘扫描,杀毒,并把感染文件修复。预防方法对于主要通过互联网进行传播的病毒,用户在上网中最重要的是注意网络安全。1、确保windows防火墙处于开启状态、及时进行Windows Update;同时设立或修改系统管理员administrator用户口令,避免过于简单的密码。2、关闭自动播放功能,“熊猫烧香”很多是通过插入U盘这样一个简单的动作入侵系统的。 3、开启反病毒软件的实时监控功能,并定期(3天至7天内)在线升级病毒库,保持反病毒软件的%B
病毒名称:Worm.WhBoy.h 病毒中文名:熊猫烧香(武汉男生)病毒类型:蠕虫危险级别:★★★★★影响平台:Win 9x/ME,Win 2000/NT,Win XP,Win 2003专杀工具:金山专杀工具 安天专杀工具 江民专杀工具 安博士专杀工具 赛门铁克专杀工具病毒描述:“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。1:拷贝文件病毒运行后,会把自己拷贝到C:WINDOWSSystem32Driversspoclsv.exe2:添加注册表自启动病毒会添加自启动项HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun svcshare -> C:WINDOWSSystem32Driversspoclsv.exe3:病毒行为a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序:QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword并使用的键盘映射的方法关闭安全软件IceSword添加注册表使自己自启动 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun svcshare -> C:WINDOWSSystem32Driversspoclsv.exe并中止系统中以下的进程:Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exeb:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享d:每隔6秒删除安全软件在注册表中的键值并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL CheckedValue -> 0x00删除以下服务:navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvce:感染文件病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zoneg:删除文件病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。参考资料:http://shadu.baidu.com/sitenews/rank.jsp?id=171
熊猫烧香自网络下载的木马名称多种,注意识别。alga.exe,zaq10.exe,wanmei.exe,windds32.dll等都是新面孔。其他的mhs2.exe,iexp1ore.exe等本博文章有说明,不再赘述。另外,发现此案例有LSP劫持。可以用最新版本的SRENG2.3的重置WINSOCK为默认来解决! Winsock 提供者MSAFD Tcpip [TCP/IP]C:WINDOWSsystem32WSD_SOCK32.dll(N/A, N/A)MT-TcpFilterC:WINDOWSsystem32WSD_SOCK32.dll(N/A, N/A)一、问题的提出:提问地址:http://zhidao.baidu.com/question/18323172.html报告地址:(2页)http://hi.baidu.com/sessoso/blog/item/754e1655fbde7ec4b645ae23.htmlhttp://hi.baidu.com/sessoso/blog/item/4077720670529f7b03088123.html二、分析1. 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。关闭QQ等应用程序。2.用强制删除工具 PowerRMV 下载地址:http://post.baidu.com/f?kz=158203765分别填入下面的文件(包括完整的路径) ,勾选“抑止杀灭对象再次生成”,点杀灭【如提示文件找不到,忽略错误】C:WINDOWSsystem32driversspoclsv.exeC:WINDOWSsystem32iexp1ore.exeC:WINDOWSsystem32iexpl0re.exeC:WINDOWSzaq10.exeC:WINDOWSmhs2.exeC:WINDOWSalga.exeC:WINDOWSwls3.exeC:WINDOWSwinlog0n.exeC:WINDOWSiexp1ore.exeC:WINDOWSwanmei.exeC:WINDOWSsystem32twunk32.exeC:Program FilesCommon FilesMicrosoft SharedMSINFOWinInfo.rxkC:WINDOWSsystem32Security.exeC:WINDOWSsystem32windds32.dllC:WINDOWSsystem32windhcp.ocx重启计算机 然后再进入安全模式执行如下的操作--------------------------------------------------------------以下的操作都要求安全模式下进行。[安全模式?重启电脑时按住F8 选择进入安全模式]--------------------------------------------------------------3. 用工具 SREng 删除如下各项下载及其使用方法看下面的链接,看懂再下手操作!http://hi.baidu.com/teyqiu/blog/item/f706213fc52346ec54e72351.html【如下操作有风险,必须看懂上面的方法再操作。】【打开SREng后提醒“函数的内容与预期值不符他们可能被一些恶意的软件所修改”的错误请忽略,装杀软后的正常修改。】启动项目 -->注册表 的如下项
PS: 复制的:自去年11月初次现身,“熊猫烧香”迅速化身数百种,不断入侵个人电脑,感染门户网站,病毒作者将信息留言在病毒源代码中的古怪行为,更引发了一场虚拟世界里“道”与“魔”之间的激烈较量。1月19日,一个最新的“熊猫烧香”变种病毒出现。病毒作者宣称,这将是“熊猫烧香”最后一次更新。然而,隐藏在“熊猫”身后的利益集团开始浮出水面,据江民反病毒工程师向媒体报料,已发现产销一条龙盗窃销售网游设备的产业链,而这位“熊猫烧香”的作者,“只要他愿意,一年收入可赚一座别墅”。“熊猫烧香”变体达400余个2004年11月,熊猫第一次来袭。“最开始‘尼姆亚’(反病毒工程师们最初将‘熊猫烧香’命名为‘尼姆亚’)不算厉害。”瑞星病毒组工程师史瑀说,随着病毒作者的不断更新,它的破坏力和传染力也随之上升。2006年11月底,“尼姆亚”只有不到十个变种,12月开始,病毒从数日一更新,变为一日数更新,变种数量成倍上升。这时候,“熊猫烧香”已经取代了“尼姆亚”这个名字。12月中旬,“熊猫烧香”进入急速变种期,在几次大面积爆发之后,“熊猫烧香”成为众多电脑用户谈之色变的词汇。圣诞节过后,“熊猫烧香”版本已达到近百个。1月9日,“熊猫烧香”迎来了一次全国性的大规模爆发,它的变种数量定格在306个。金山毒霸客服中心有关“熊猫烧香”的日咨询量高达73%,感染用户以北京、广州、上海等大型城市为主。截至目前,“熊猫烧香”病毒变种已达416个,受感染电脑用户达到数百万台。“熊猫烧香”因何难退史瑀说,传统蠕虫病毒通过一台中毒电脑传至局域网内其他电脑,而“熊猫烧香”还可以通过网站传播。感染“熊猫烧香”电脑,会在硬盘所有网页文件上附加病毒。“如果被感染的是网站编辑和记者的电脑,那么通过中毒网页,‘熊猫烧香’可附身在网站的所有网页上。”史瑀说,访问这种中毒的网站时,网民就会感染“熊猫烧香”病毒。从传统的“点对点”,到现在的“点对面”,“熊猫烧香”借助中毒网站的访问量传播。据工程师们称,他们曾监控到,“熊猫烧香”感染过天涯社区、硅谷动力、pconline等门户网站,在暴风影音等知名软件的下载链接中也曾有“熊猫烧香”附身的痕迹。同时,“熊猫烧香”还可借助搜索引擎进行传播。病毒内部列出“鸣谢单位”mopery是卡卡社区反病毒论坛的版主,也是一名反病毒高手。2006年10月中,mopery接到网友求助。在帮忙解决电脑故障的过程中,他拿到了一个病毒样本,它就是“熊猫烧香”的原始版本。在繁复的程序代码中,mopery看到了一段与程序无关的信息,其中有一行字母——whboy。“whboy”这个名字,对于病毒研究者有着不一般的含义。2004年,whboy发布了其创作的病毒“武汉男孩”,那是一种通过QQ传播的盗号木马,因为其变种的疯狂和传播的广泛,一年后,被江民反病毒中心列入2005年十大病毒之列。此后,whboy还在一些病毒论坛和黑客论坛发帖,表示可以提供盗取QQ号服务,但不久后便销声匿迹,直至“熊猫”出现。2006年12月初,“熊猫烧香”变种加速。随着变种增多,代码内附带信息也越来越多。随后,武汉男孩似乎迷恋上了这种病毒内部列出“鸣谢单位”的模式,在1月5日的病毒留言中,感谢名单上添加了艾玛的名字。1月9日,感谢名单中又多了杀毒高手“海色之月”的名字,文末还添加了一句“服了……艾玛……”此后,武汉男孩开始频繁用这种方式与对手“交流”。1月15日,武汉男孩还在留言中和反毒者taylor77打起了招呼:“我制作的病毒已经‘满城尽烧国宝香’。”在“熊猫烧香”的最后一个版本中,武汉男孩写下了临别赠语,“在此对各位中过木马的网友和各位网管人员表示深深的歉意!对不起,你们辛苦了!”一场未结束的战争对于“武汉男孩”的身份有着很多猜测,民间反毒高手Mopery及瑞星反毒工程师史瑀均表示,“从留言的内容和程序代码来看,武汉男孩是一位有丰富病毒编写经验的熟手”,“武汉男孩本身精通网络技术和入侵技术,通过他上网的痕迹追查真身很难实现。1月19日,“熊猫烧香”发布了一个新的变种,病毒作者宣称,这将是“熊猫烧香”最后一次更新。1月24日下午,反病毒工程师们又发现了一种新型病毒,这种病毒和“熊猫烧香”十分相似,工程师怀疑它是“熊猫烧香”作者创作的新版本病毒。这种病毒会把受感染用户电脑上的所有图标换成一个男子的头像,在头像的眼睛位置是两个电灯泡。反病毒工程师们担心的是,“灯泡男子”会成为“熊猫烧香”的接班人。病毒作者的真正目的“熊猫烧香”的作者自称whboy——“武汉男孩”,对于这位神秘的杀手,网友对其制造病毒的目的有三种猜测:其一,武汉男孩是一名武汉少年,电脑知识了得,堪称神童,制造“熊猫烧香”及其变种的目的乃出于挑战和成就感。其二,制造者是国内杀毒软件公司的员工,故意编写病毒,促销相应的杀毒产品。其三,制造者的背后是产销一条龙盗窃销售网游设备的产业链,病毒作者以获取经济利益为目标,与之前出现的网银大盗、证券大盗、游戏大盗、QQ大盗等类似。从目前国内网络安全机构的调查初步来看,第三种可能性最大,几大国内杀毒软件厂商已严正否认了第二种说法。- 名词解释“熊猫”,香是怎么烧起来的?“熊猫烧香”病毒是能在Windows 98/2000/XP/2003系统上运行的蠕虫病毒,它至今已衍生出上百个变种病毒。刚开始时,它采用一个颇为常见的熊猫举着三根香的头像,诱使计算机用户运行,它能感染系统中exe、com、pif、src、html、asp等文件,它还能中止一些反病毒软件进程,并且会删除扩展名为gho的文件,使用户系统备份文件丢失。最典型的病毒感染征象是被感染的用户系统中所有.exe文件标签全部被改成“熊猫烧香”的头像。受感染PC还会出现蓝屏、频繁重启以及硬盘中数据文件被破坏等现象。病毒能通过局域网、网页、移动存储设备进行传播。“熊猫烧香”引发网友两大争论杀毒软件是国内的好还是国外的好?消费者在杀毒软件的使用选择上,究竟是国内厂商的瑞星、金山毒霸、江民好,还是选择国外大名鼎鼎的卡巴斯基、诺顿、McAfee?最近爆发的“熊猫烧香”,引发了网友激烈争论。有网友认为,国外杀毒软件技术力量雄厚、产品更可靠,更新至最新版本后基本可获得各种病毒的免疫能力。有网友认为,国内厂商如瑞星、金山反应更快,针对热门病毒提供了专杀工具,台湾地震导致最近国外杀毒软件更新受阻、从而遭受“熊猫烧香”的攻击,因此,立足本土的杀毒软件更有保障。感染后要不要重装系统?不少用户在感染病毒后,往往将C盘格式化后重新安装干净的操作系统。然而,这一办法在目前行不通。刚刚装好的Windows XP存在严重安全漏洞、需要补装很多安全更新,存在较多的安全风险,补丁修复必须访问微软服务器,受光缆损坏的影响,访问下载速度非常慢,修复补丁需要很长时间,新装好的系统来不及安全更新就再次感染“熊猫烧香”。“台湾地震”助纣为虐?大部分感染“熊猫烧香”的用户,只能被动下载一些杀毒软件进行查杀,由于变种多、传播速度快,一旦用户没能及时升级杀毒软件或专杀工具,查杀效果将大打折扣。最近的台湾外海地震,多组通信光缆受损导致亚洲用户的互联网通信受阻,不少国内用户的操作系统来不及更新、反病毒软件没有及时升级到最新版本,给了病毒肆虐的机会。“熊猫烧香”四大变种“熊猫烧香”已衍生出上百个变种病毒,总体分为四大类。变种1,就是FuckJacks.exe进程,将自身复制到系统文件夹,然后感染文件夹中的.exe文件,将图标改为“熊猫烧香”。变种2,就是spoclsv.exe进程,感染时在C盘根目录下生成感染标记文件,将图标改为“熊猫烧香”。变种3,不再感染用户系统中的.exe文件,而是感染用户系统中的脚本病毒,而且在文件夹中写下感染标记文件。对抗杀毒软件及专杀工具,令系统自动关闭反病毒软件。变种4,最近才出现的一个变种,用户可执行文件时与A和B版本有所不同,用户中毒后的.exe文件的图标不改变,还有其他一些变种,基本都是为了躲避查杀。危害与症状1、感染硬盘中的其他应用程序的.exe文件,程序图标变成“熊猫烧香”图标,系统速度异常缓慢,出现蓝屏、频繁重启。2、拷贝自身到所有驱动器根目录,生成setup.exe和auturun.inf文件,使得用户打开受感染驱动器运行病毒。3、修改注册表,自行加载启动病毒程序、禁用杀毒工具运行,并禁止用户修改系统注册表。4、局域网用户会共享跨机传染,造成其他电脑受感染,占用带宽导致网络瘫痪。5、最可怕而且最特别之处是,病毒会在电脑中所有的网页文件尾部添加病毒代码。一些网站工作人员的PC如果被感染,则导致用户浏览这些网站时也被感染。感染后的对策方法一:这种方法比较简单,用户可以利用金山毒霸、瑞星等提供的专杀工具进行搜索和杀灭病毒。缺点是有新变种后,专杀工具也需更新。用户可以到下列网站下载最新工具,注意选择不同工具进行多次查杀。http://www.xiongmaoshaoxiang.com、http://tool.duba.net/zhuansha/253.shtml、http://it.rising.com.cn/Channels/Service/2006-11/1163505486d38734.shtml方法二:此外,可通过修复注册表等操作进行彻底查杀:1、断开网络。2、结束病毒进程,如果在进程中发现FuckJacks.exe、setup.exe、spoclsv.exe,将其结束掉,也可以下载Process Explorer程序将病毒进程结束掉。3、在计算机上搜索并删除以下病毒执行文件:setup.exe、autorun.inf、%System%Fuckjacks.exe、%System%Driversspoclsv.exe、GameSetup.exe。4、开始-〉运行-〉输入regedit,确定后,打开注册表编辑器,删除病毒创建的启动项。注册表信息如下:〔HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun〕“FuckJacks”=“%System%FuckJacks.exe〔HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun〕“svohost”=“%System%FuckJacks.exe”5、修复或重新安装反病毒软件,以恢复杀毒软件的功能。6、最后,将反病毒软件更新到最新版本,进行全盘扫描,杀毒,并把感染文件修复。预防方法对于主要通过互联网进行传播的病毒,用户在上网中最重要的是注意网络安全。1、确保windows防火墙处于开启状态、及时进行Windows Update;同时设立或修改系统管理员administrator用户口令,避免过于简单的密码。2、关闭自动播放功能,“熊猫烧香”很多是通过插入U盘这样一个简单的动作入侵系统的。 3、开启反病毒软件的实时监控功能,并定期(3天至7天内)在线升级病毒库,保持反病毒软件的%B
病毒名称:Worm.WhBoy.h 病毒中文名:熊猫烧香(武汉男生)病毒类型:蠕虫危险级别:★★★★★影响平台:Win 9x/ME,Win 2000/NT,Win XP,Win 2003专杀工具:金山专杀工具 安天专杀工具 江民专杀工具 安博士专杀工具 赛门铁克专杀工具病毒描述:“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。1:拷贝文件病毒运行后,会把自己拷贝到C:WINDOWSSystem32Driversspoclsv.exe2:添加注册表自启动病毒会添加自启动项HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun svcshare -> C:WINDOWSSystem32Driversspoclsv.exe3:病毒行为a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序:QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword并使用的键盘映射的方法关闭安全软件IceSword添加注册表使自己自启动 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun svcshare -> C:WINDOWSSystem32Driversspoclsv.exe并中止系统中以下的进程:Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exeb:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享d:每隔6秒删除安全软件在注册表中的键值并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL CheckedValue -> 0x00删除以下服务:navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvce:感染文件病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zoneg:删除文件病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。参考资料:http://shadu.baidu.com/sitenews/rank.jsp?id=171
TCP/IP的名词解释是什么
传输控制协议/网际协议(Transmission Control Protocol/Internet Protocol,TCP/IP) 协议栈是一系列网络协议的总和,是构成网络通信的核心骨架,它定义了电子设备如何连入因特网,以及数据如何在它们之间进行传输。
本文由 在线网速测试 整理编辑,转载请注明出处。
