下了个XP 镜像包,360报告I386/DSOFT.EXE是木马,请问这个文件真的是木马吗?
有可能是别人把系统加上木马再做成系统镜像。还有可能就是报毒的那个是一个壳,文件没问题,但是由于那款壳常用在木马上,为了节约查杀时间,杀软看到壳就不分析文件直接杀,所以报毒了。
如何清除xp中的特洛伊木马
特洛伊木马一个远程控制的黑客工具,它的隐藏性和危害性不是一般的大。在xp系统中,是一个比较背容易盯上的系统,所以xp系统的用户们就要学会自己来手动清除这个特洛伊木马了。
木马藏身地及通用排查技术
●在Win.ini中启动木马:
在Win.ini的[Windows]小节中有启动命令“load=”和“run=”,在一般的情况下“=”后面是空的,如果后面跟有程序,比如:
run=C:Windows ile.exe
load=C:Windows ile.exe
则这个file.exe很有可能就是木马程序。
●在Windows XP注册表中修改文件关联:
修改注册表中的文件关联是木马常用的手段,如何修改的方法已在本系列的前几文中有过阐述。举个例子,在正常情况下txt文件的打开方式为Notepad.exe(记事本),但一旦感染了文件关联木马,则txt文件就变成条用木马程序打开了。如著名的国产木马“冰河”,就是将注册表HKEY_CLASSES_ROOT xtfileshellopencommand子键分支下的键值项“默认”的键值“C:Windows otepad.exe %1”修改为“C:WindowsSystemSysexplr.exe”,这样,当你双击一个txt文件时,原本应该用记事本打开的文件,现在就成了启动木马程序了。当然,不仅是txt 文件,其它类型的文件,如htm、exe、zip、com等文件也都是木马程序的目标,要小心。
对这类木马程序,只能检查注册表中的HKEY_CLASSES_ROOT中的文件类型shellopencommand子键分支,查看其值是否正常。
●在Windows XP系统中捆绑木马文件:
实现这种触发条件首先要控制端和服务端已通过木马建立连接,控制端用户使用工具软件将木马文件和某一应用程序捆绑在一起,上传到服务端覆盖原有文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被重新安装了。如果捆绑在系统文件上,则每次Windows XP启动都会启动木马。
●在System.ini中启动木马:
System.ini中的[boot]小节的shell=Explorer.exe是木马喜欢的藏身之所,木马通常的做法是将该语句变为这样:
Shell=Explorer.exe file.exe
这里的file.exe就是木马服务端程序。
另外,在[386enh]小节,要注意检查在此小节的“driver=path程序名”,因为也有可能被木马利用。[mic]、[drivers]、[drivers32]这三个小节也是要加载驱动程序的,所以也是添加木马的理想场所。
●利用Windows XP注册表加载运行:
注册表中的以下位置是木马偏爱的藏身之所:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。
HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。
●在Autoexec.bat和Config.sys中加载运行木马:
要建立控制端与服务端的连接,将已添置木马启动命令的同名文件上传到服务端覆盖着两个文件才能以这种方式启动木马。不过不是很隐蔽,所以这种方式并不多见,但也不能掉以轻心。
●在Winstart.bat中启动木马:
Winstart.bat也是一个能自动被Windows XP加载运行的文件,多数时由应用程序及Windows自动生成,在执行了Win.com或者Kernel386.exe,并加载了多数驱动程序之后开始执行(这可以通过在启动时按F8选择逐步跟踪启动过程的启动方式得知)。由于Autoexec.bat的功能可以由 Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行。
木马病毒的通用排查技术
现在,我们已经知道了木马的藏身之处,查杀木马自然就容易了。如果您发现计算机已经中了木马,最安全最有效的方法就是马上与网络段开,防止计算机骇客通过网络对您进行攻击,执行如下步骤:
l 编辑Win.ini文件,将[Windows]小节下面的“run=木马程序”或“load=木马程序”更改为“run=”,“load=”。
l 编辑System.ini文件,将[boot]小节下面的“shell=木马文件”更改为“shell=Explorer.exe”。
l 在Windows XP注册表中进行修改:先在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支下找到木马程序的文件名删除,并在整个注册表中查找木马程序,将其删除或替换。但可恶的是,并不是所有的木马程序都只要删除就能万事大吉的,有的木马程序被删除后会立即自动添上,这时,您需要记下木马的位置,即它的路径和文件名,然后退到DOS系统下,找到这个文件并删除。重启计算机,再次回到注册表中,将所有的木马文件的键值项删除。
木马在无形中进入系统,很多用户都是无法察觉的,再加上它神秘的隐身地,更是难上加难,用户们只有花更多的时间和耐心去排查,将这个隐藏在系统内的地雷排扫掉,保障系统的安全性。
为什么从电脑上下载的镜像系统文件(xp)用360扫描时会报毒
GHOST版本都会有如QQ、MSN、REALPLAY等必备的软件,但其主要的驱动可能就是问题的所在,因为当一台电脑的主板品牌不同,其驱动程序也不同,而GHOST只能是原系统的驱动,因而,当主板不一致时,会报错。所以会被排斥。
答案补充,如还有问题,可以加我百度hi在线交流:
因为GHOST是非常简单的事情,这个基本有点电脑常识的朋友都会操作.问题是出现GHOST后,无法进行GHOST的情况,归类了以下几种情况:
1.兼容机无法GHOST,表现为在ghost进行一开始时便提示无法进行ghost,提示XXXX错误.这个时候一定要记住那几个英文字母.这样才可以了解是什么问题.那么对于不懂计算机英文的朋友,可以查字典进行翻译.
兼容机不能GHOST的故障,可能是由于物理内存,硬盘,硬件损坏比如主板电容爆裂造成的不稳定的情况下也会不让ghost,或者ghost到一半死机.如果您的机器是3年前的老机器这时最好打开机箱,观察主板上的电容有没有鼓起现象,如果有鼓起,更换主板或更换电容后故障消失,这是最简单的用肉眼排除的方法.
解决方案替换系统内存进行测试,硬盘可以简单用 HDTUNE PRO快速扫描下有没有坏块.笔者曾经测试过,拿一块有物理坏道的硬盘,用效率源可以测试出坏道,故障表现就是无法GHOST,GHOST到一半自动退出.拿HDTUNE PRO这个软件也可以测试出坏块的存在.遇到坏道,可以尝试HDDREG进行修复,实在是修复不了的,可以用专门的软件把坏道屏蔽掉即可顺利安装.
软件方面,分区表错误,可以用DISKGEN修复分区表.如果遇到系统不能引导,可以用它来修复启动菜单.有些情况,无法完成ghost是由于先前安装了类似于备份还原功能一样的软件.请先卸载再进行安装.
2.品牌机不能顺利ghost的情况,LENOVO,DELL,HP的机器我都遇到过,好几次都无法正常ghost,先在主板BIOS里设置硬盘为ATA模式,或者IDE模式,也有的主板显示的是兼容模式,千万不要选择AHCI模式,因为大多数的系统盘都不支持这种模式,设置为兼容即可.
品牌机比如DELLSTUDIO系列笔记本,默认是2个主分区,一个系统分区,一个隐藏的备份分区,千万不要运行PQ(魔术分区大师),即使运行了也没关系,因为它显示的是错误的分区表.这个不管它,解决方案很简单,1,设置硬盘的兼容模式.你这时拿一张安装盘,用安装盘格式化C盘,格式化之后再用GHOST盘中的DISKGEN设置启动分区为激活即可,最后直接进行GHOST就OK了.
还有个最简单的方法,如果你不怕麻烦的话用随机附带的系统盘自己慢慢装吧.呵呵
另外,如果您的磁盘经常遇到开机要自检,如果上次正常关机的话那么它每次都自检肯定有问题,可以用硬件替换法逐一排除测试.不用每次都按ESC取消磁盘扫描,这类故障大多数都出在硬盘坏道上,其表现为频繁提示XXX交叉链错误,CHKDSK发现问题等.
如果想取消那烦人的开机磁盘自检 开始-----运行-----regedit------按回车 用注册表编辑器编辑定位到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager”子键,然后在右侧窗口中找到“BootExecute”键值项并将其数值清空,退出重新启动即可.
顺面说说另一种情况,就是GHOST完100%后重新启动提示XX文件丢失,在排除了病毒,光驱读牒能力,数据线,光盘本身的问题后,反复进行GHOST后,还是提示XXX文件找不到.一般是c:\windows\system32下 XXX.DLL文件丢失,系统无法启动这样的提示.如果是品牌机,请先用纯净安装版进行安装,我们的目的不是安装系统,而是检测硬件,安装过程中如果频繁提示XX文件无法复制的话,可考虑2方面因素,要么内存有问题要么硬盘有问题,如果您的机器是兼容机,并且里面有2条内存的时候,请先插一条内存进行安装测试,如果是品牌机,找条内存来测试即可.的确,替换法是最好的良药.
在我们使用机器的过程中,一定会出现不少的问题.如何解决问题是每次值得深思的,同时也是经验积累的过程,今天随手写了这篇文章,希望对电脑新手能够提供点帮助.
XP镜像文件有病毒?怎么解决?
我觉得你重新下载一个,不要用了
那个被人做了手脚
最好去买电脑的地方让他们给你做系统,做完之后你最好备份一下,还有一个方法就是你自己去买张正版的系统盘,那样你以后就不用愁这种事情了
哈哈
为什么用u盘装完XP系统下载360杀毒软件时总有病毒木马出现?
如果你安装的是ghost版,那么也不排除系统镜像里面本来就已经包含了病毒,因为ghost是直接从其他电脑硬盘上直接复制过来的系统,是纯粹的复制安装,没有解压安装包的,所以容易带病毒,如想有这些红情况出现,建议另外下载一个ghost系统重新制作U盘启动,或者直接使用安装版系统光盘进行安装。
xp系统c盘一直有木马病毒怎么办
试试腾讯电脑管家XP专版查杀,和微软合作关系,兼容XP
腾讯电脑管家引进国际领先的本地查杀引擎,大大提高木马查杀能力。您在安装完电脑管家后,即默认开启了双引擎模式,在您杀毒的时候您来决定是升级双引擎,如果愿意,轻轻松松就能体验强大的木马双引擎查杀能力。
您可以在电脑管家木马查杀主界面下方的双引擎区域找到一些操作方法,您可以自由的开启或关闭双引擎,也可以手动的检查病毒库的更新。
为什么电脑店里卖的xp系统gho 克隆光盘有木马病毒,是人为有意识安植进去,方便在互联网上做坏事吗?
一:会因为类似于利益上的,而放进木马病毒。
二:里面打包进一些破解软件,而破解软件里带有恶意插件或者其他的,杀毒软件也会报。
三:ghost的系统都是经过修改,而且精简过,杀毒软件发现发现系统有异,也报。
建议直接用原安装盘进行一步一步安装,安装好后立即进行更新,这样的系统才是完整并安全的。
在使用精简系统的过程中,因系统文件不完整,会遇到各种奇怪的问题。