男性hvp病毒有什么症状 Trojan Horse病毒的危害是什么?怎么感染上的呢?

Trojan Horse病毒的危害是什么?怎么感染上的呢?  

Trojan Horse病毒的危害是什么?怎么感染上的呢?

检测和删除系统中的木马（Trojan Horse）教程
作者：陈昀/太平洋网路学院
一、木马（Trojan Horse）介绍
木马全称为特洛伊木马（Trojan Horse，英文则简称为Trojan）。此词语来源于古希腊的神话故事，传说希腊人围攻特洛伊城，久久不能得手。后来想出了一个木马计，让士兵藏匿于巨大的木马中。大部队假装撤退而将木马摈弃于特洛伊城下，让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来，与城外的部队里应外合而攻下了特洛伊城。
在电脑保安学中，特洛伊木马是指一种计算机程式，表面上或实际上有某种有用的功能，而含有隐藏的可以控制使用者计算机系统、危害系统安全的功能，可能造成使用者资料的泄漏、破坏或整个系统的崩溃。在一定程度上，木马也可以称为是计算机病毒。
由于很多使用者对电脑保安问题了解不多，所以并不知道自己的计算机是否中了木马或者如何删除木马。虽然现在市面上有很多新版防毒软体都称可以自动清除木马病毒，但它们并不能防范新出现的木马病毒（哪怕宣传上称有查杀未知病毒的功能）。而且实际的使用效果也并不理想。比如用某些防毒软体解除安装木马后，系统不能正常工作，或根本发现不了经过特殊处理的木马程式。本人就测试过一些经程式设计人员改装过的著名木马程式，新的查防毒软体是连检查都检测不到，更不用说要删除它了（哪怕是使用的是最新的病毒库）。因此最关键的还是要知道特洛伊木马的工作原理，由其原理着手自己来检测木马和删除木马。用手工的方法极易发现系统中藏匿的特洛伊木马，再根据其藏匿的方式对其进行删除。
二、木马工作的原理
在Windows系统中，木马一般作为一个网路服务程式在种了木马的机器后台执行，监听本机一些特定埠，这个埠号多数比较大（5000以上，但也有部分是5000以下的）。当该木马相应的客户端程式在此埠上请求连线时，它会与客户程式建立一TCP连线，从而被客户端远端控制。
既然是木马，当然不会那么容易让你看出破绽，对于程式设计人员来说，要隐藏自己所设计的视窗程式，主要途径有：在工作列中将视窗隐藏，这个只要把Form的Visible属性调整为False，ShowInTaskBar也设为False。那么程式执行时就不会出现在工作列中了。如果要在工作管理员中隐身，只要将程式调整为系统服务程式就可以了。
好了，现在我们对木马的执行有了大体了解。让我们从其执行原理着手来看看它藏在哪。既然要作为后台的网路伺服器执行，那么它就要乘计算机刚开机的时候得到执行，进而常驻记忆体中。想一想，Windows系统刚启动的时候会通过什么专案装入而执行一些程式呢？你可能会想到“开始->程式->启动”中的专案！没错，这是Windows启动时要执行的东西，但要是木马伺服器程式明显地放在这就不叫木马了。
木马基本上采用了Windows系统启动时自动载入应用程式的方法，包括有win.ini、system.ini和登录档等。
在win.ini档案中，[WINDOWS]下面，“run=”和“load=”行是Windows启动时要自动载入执行的程式专案，木马可能会在这现出原形。必须要仔细观察它们，一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与档名不是你熟悉的或以前没有见到过的启动档案专案，那么你的计算机就可能中上木马了。当然你也得看清楚，因为好多木马还通过其容易混淆的档名来愚弄使用者。如AOL Trojan，它把自身伪装成mand.exe档案，如果不注意可能不会发现它，而误认它为正常的系统启动档案项。
在system.ini档案中，[BOOT]下面有个“shell=Explorer.exe”项。正确的表述方法就是这样。如果等号后面不仅仅是explorer.exe，而是“shell=
Explorer.exe 程式名”，那么后面跟着的那个程式就是木马程式，明摆着你已经中了木马。现在有些木马还将explorer.exe档案与其进行系结成为一个档案，这样的话，这里看起来还是正常的，无法瞧出破绽。
隐蔽性强的木马都在登录档中作文章，因为登录档本身就非常庞大、众多的启动专案及易掩人耳目。
HKEY-LOCAL-MACHINESofareMicrosoftWindowsCurrentVersionRun
HKEY-LOCAL-MACHINESofareMicrosoftWindowsCurrentVersionRunOnce
HKEY-LOCAL-MACHINESofareMicrosoftWindowsCurrentVersionRunOnceEx
HKEY-LOCAL-MACHINESofareMicrosoftWindowsCurrentVersionRunServices
HKEY-LOCAL-MACHINESofareMicrosoftWindowsCurrentVersionRunServicesOnce
上面这些主键下面的启动专案都可以成为木马的容身之处。如果是Windows NT，那还得注意HKEY-LOCAL-MACHINESofareSAM下的东西，通过regedit等登录档编辑工具检视SAM主键，里面下应该是空的。
木马驻留计算机以后，还得要有客户端程式来控制才可以进行相应的“黑箱”操作。要客户端要与木马伺服器端进行通讯就必须得建立一连线（一般为TCP连线），通过相应的程式或工具都可以检测到这些非法网路连线的存在。具体如何检测，在第三部分有详细介绍。
三、检测木马的存在
知道木马启动执行、工作的原理，我们就可以着手来看看自己的计算机有没有木马存在了。
首先，检视system.ini、win.ini、启动组中的启动专案。由“开始->执行”，输入msconfig，执行Windows自带的“系统配置实用程式”。
1、检视system.ini档案
选中“System.ini”标签，展开[boot]目录，检视“shell=”这行，正常为“shell=Explorer.exe”，如果不是这样，就可能中了木马了。下图所示为正常时的情况：
2、检视win.ini档案
选中win.ini标签，展开[windows]目录项，检视“run=”和“load=”行，等号后面正常应该为空，如下图所示：
3、检视启动组
再看看启动标签中的启动专案，有没有什么非正常专案？要是有象bus、spy、bo等关键词，极有可能就是木马了。本人一般都将启动组中的专案保持在比较精简的状态，不需要或无大用途的专案都遮蔽掉了。如下图，只是选中了与登录档检查、音量控制、输入法和能源保护相关的启动栏。到时要是有木马出现，自是一目了然。
4、检视登录档
由“开始->执行”，输入regedit，确定就可以执行登录档编辑器。再展开至：“HKEY-LOCAL-MACHINESofareMicrosoftWindowsCurrentVersionRun”目录下，检视键值中有没有自己不熟悉的自动启动档案专案，比如bus、spy、server等的单词。注意，有的木马程式生成的伺服器程式档案很像系统自身的档案，想由此伪装蒙混过关。比如Acid Battery木马，它会在登录档项“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下加入
Explorer=“C:WINDOWSexpiorer.exe”，木马伺服器程式与系统自身的真正的Explorer之间只有一个字母的差别！
通过类似的方法对下列各个主键下面的键值进行检查：
HKEY-LOCAL-MACHINESofareMicrosoftWindowsCurrentVersionRunOnce
HKEY-LOCAL-MACHINESofareMicrosoftWindowsCurrentVersionRunOnceEx
HKEY-LOCAL-MACHINESofareMicrosoftWindowsCurrentVersionRunServices
HKEY-LOCAL-MACHINESofareMicrosoftWindowsCurrentVersionRunServicesOnce
如果作业系统是Windows NT，还得注意HKEY-LOCAL-MACHINESofareSAM下面的内容，如果有专案，那极有可能就是木马了。正常情况下，该主键下面是空的。
当然在登录档中还有很多地方都可以隐藏木马程式，上面这些主键是木马比较常用的隐身之处。除此之外，象HKEY-CURRENT-USERSofareMicrosoftWindowsCurrentVersionRun、HKEY-USERS****SofareMicrosoftWindowsCurrentVersionRun的目录下都有可能成为木马的藏身之处。最好的办法就是在HKEY-LOCAL-MACHINESofareMicrosoftWindowsCurrentVersionRun或其它主键下面找到木马程式的档名，再通过其档名对整个登录档进行全面搜寻就知道它有几个藏身的地方了。
如果有留意，登录档各个主键下都会有个叫“（预设）”名称的注册项，而且资料显示为“（未设定键值）”，也就是空的。这是正常现象。如果发现这个预设项被替换了，那么替换它的就是木马了。
4、其它方法
上网过程中，在进行一些计算机正常使用操作时，发现计算机速度明显起了变化、硬碟在不停的读写、滑鼠不听使唤、键盘无效、自己的一些视窗在未得到自己允许的情况下被关闭、新的视窗被莫名其妙地开启.....这一切的不正常现象都可以怀疑是木马客户端在远端控制你的计算机。
如果怀疑你现在正在被木马控制，那么不要慌张地去拔了网线或抽了Modem上的电话线。有可能的话，最好可以逮到“黑”你的那个家伙。下面就介绍一下相应的方法：
由“开始->执行”，输入mand，确定，开一个MS-DOS视窗。或者由“开始->程式->MS-DOS”来开启它。在MS-DOS视窗的命令列键入“stat”检视目前已与本计算机建立的连线。如下图所示：
显示出来的结果表示为四列，其意思分别为Proto：协议，Local Address：本地地址，Foreign Address：远端地址，State：状态。在位址列中冒号的后面就是埠号。如果发现埠号码异常（比如大于5000），而Foreign Address中的地址又不为正常网路浏览的地址，那么可以判断你的机器正被Foreign Address中表示的远端计算机所窥视著。在对应行的Foreign Address中显示的IP地址就是目前非法连线你计算机的木马客户端。
当网路处于非活动状态，也就是目前没什么活动网路连线时，在MS-DOS视窗中用stat命令将看不到什么东西。此时可以使用“stat -a”,加了常数“-a”表示显示计算机中目前处于监听状态的埠。对于Windows98来说，正常情况下，会出现如下的一些处于监听状态的埠（安装有NETBEUI协议）：
如果出现有不明埠处于监听（LISTENING）状态，而目前又没有进行任何网路服务操作，那么在监听该埠的就是特洛伊木马了！如下图所示的23456和23457埠都处于监听状态，很明显是木马造成的。
注意，使用此方法查询处于监听状态的埠，一定要保证在短时间内（最好5分钟以上）没有执行任何网路冲浪软体，也没有进行过任何网路操作，比如浏览网页，收、发信等。不然容易混淆对结果的判断。
四、删除木马
好了，用上面的一些方法发现自己的计算机中了木马，那怎么办？当然要将木马删除了，难道还要保留它！首先要将网路断开，以排除来自网路的影响，再选择相应的方法来删除它。
1、由木马的客户端程式
由先前在win.ini、system.ini和登录档中查询到的可疑档名判断木马的名字和版本。比如“bus”、“spy”等，很显然对应的木马就是NETBUS和NETSPY。从网上找到其相应的客户端程式，下载并执行该程式，在客户程式对应位置填入本地计算机地址：127.0.0.1和埠号，就可以与木马程式建立连线。再由客户端的卸除木马伺服器的功能来卸除木马。埠号可由“stat -a”命令查出来。
这是最容易，相对来说也比较彻底载除木马的方法。不过也存在一些弊端，如果木马档名给另外改了名字，就无法通过这些特征来判断到底是什么木马。如果木马被设定了密码，既使客户端程式可以连线的上，没有密码也登陆不进本地计算机。当然要是你知道该木马的通用密码，那就另当别论了。还有，要是该木马的客户端程式没有提供解除安装木马的功能，那么该方法就没什么用了。当然，现在多数木马客户端程式都是有这个功能的。
2、手工
不知道中的是什么木马、无登陆的密码、找不到其相应的客户端程式、......，那我们就手工慢慢来删除这该死的木马吧。
用msconfig开启系统配置实用程式，对win.ini、system.ini和启动专案进行编辑。遮蔽掉非法启动项。如在win.ini档案中，将将[WINDOWS]下面的“run=xxx”或“load=xxx”更改为“run=”和“load=”；编辑system.ini档案，将[BOOT]下面的“shell=xxx”，更改为：“shell=Explorer.exe”。
用regedit开启登录档编辑器，对登录档进行编辑。先由上面的方法找到木马的程式名，再在整个登录档中搜索，并删除所有木马专案。由查询到的木马程式注册项，分析木马档案在硬碟中的位置（多在C:WINDOWS和C:WINDOWSCOMMAND目录下）。启动到纯MS-DOS状态（而不是在Windows环境中开个MS-DOS视窗），用del命令将木马档案删除。如果木马档案是系统、隐藏或只读档案，还得通过“attrib -s -h -r”将对应档案的属性改变，才可以删除。
为保险起见，重新启动以后再由上面各种检测木马的方法对系统进行检查，以确保木马的确被删除了。
目前也有一些木马是将自身的程式与Windows的系统程式进行了系结（也就是感染了系统档案）。比如常用到的Explorer.exe，只要Explorer.exe一得到执行，木马也就启动了。这种木马可以感染可执行档案，那就更象病毒了。由手工删除档案的方法处理木马后，一执行Explorer.exe，木马又得以复生！这时要删除木马就得连Explorer.exe档案也给删除掉，再从别人相同作业系统版本的计算机中将该档案Copy过来就可以了。
五、结束语
Inter上每天都有新的木马冒出来，所采取的隐蔽措施也是五花八门。在资讯社会里，计算机使用者对自己的资料进行保密、防止泄漏也变得越来越重要。防范木马袭击也只是提高电脑保安性的一个方面。技术的发展，本文所讲述的检测、删除木马方法也总有一天会失效，最主要还是要靠使用者提高警惕，防范所有的不安全事件于未然。

4199病毒是怎么感染上的

4199病毒彻底解决办法
第一步重新启动进入安全模式 (在正常进入的时候按F8进入安全模式)
第二步搜寻三个档案(在开始选单中找到搜寻-〉然后档案或资料夹-〉所有档案和资料夹-〉然后输入下面的)
1.rscs.dll
2.qqst.dll
3 host
把前两个给删拉
把C:WINDOWSsystem32driversetc中的Hosts
用记事本开启改成
127.0.0.1 localhost
第三步
再登录档执行输入regedit
查询
1.rscs.dll
2.qqst.dll
找到相关的就删除
然后搜寻4199.
然后找到4199.COM后替换为about:blank
重启就能解决拉主页的问题
然后在执行中
输入regsvr32 msxml3.dll确定
这样就能解决QQ空间提示的对不起你的浏览器不支援Q-Zone的某些特征
HOHO~~~
大功告成

HACK.EXPLOIT SWF.A这是什么病毒？有什么危害？这个毒一般是怎么感染上的？

Flash漏洞攻击器
该病毒利用Flash漏洞攻击你的系统。请尽快更新你的Flash播放软体。

女人怎么感染上hpv病毒的

感染HPV病毒主要是通过性传播的，还有就是平时不注意个人卫生，所以女性朋友一定要爱护自己，阿sa和郑伊健代言的HPV疫苗不知道听过没，接种疫苗可以避免感染HPV病毒。美亚预约祝你生活愉快。

Trojan.DL.DKing.a病毒的危害

建议您先用木马克星彻底清除病毒然后打上作业系统的补丁！
木马克星下载地址：:kuaisha./iparmor/iparmor.htm
建议您升级作业系统的补丁集合：
:202.114.103.41/down/anquanxiangguan/shengjibuding/xpsp2__20060913.rar

人是怎么感染上HPV病毒的？

感染途径
1、性传播途径；
2、密切接触；
3、间接接触：通过接触感染者的衣物、生活用品、用具等；
4、医源性感染：医务人员在治疗护理时防护不好，造成自身感染或通过医务人员传给患者；
5、母婴传播：是由婴儿通过孕妇产道的密切接触。

Trojan.PSW.ZhengTu.akb病毒的危害

呵呵,盗取征途密码的木马,你玩么,不玩就没关系.

熊猫烧香病毒是怎么感染上的？

据分析，伪装成“熊猫烧香”图案的“威金”蠕虫病毒感染计算机系统后，电脑中所有exe档案都变成了一种怪异的“熊猫烧香”图案，档案将不可执行。其他中毒症状表现为系统蓝屏、频繁重启、硬碟资料被破坏等等。
据悉，由于受台湾地区地震影响，一部分使用国外防病毒软体的计算机使用者无法顺利升级其病毒程式码库，致使“威金”蠕虫病毒新变种更加猖獗。针对这一突发情况，国内的防病毒厂商，包括瑞星公司、江民公司、金山公司分别推出一个月免费版本的防病毒软体供计算机使用者下载使用，来应对这次突发事件。
病毒名：
中文：熊猫烧香病毒（又称武汉男生）
英文：Worm.WhBoy
目前发现的变种数已超过50个
典型表现：
感染病毒后发现较多的.EXE档案图示变成点着香的熊猫，这也是该病毒命名的由来。现在发现的部分变种已经不再使用这个广为人知的图示了。部分变种可以直接通过网际网路更新版本，部分变种可以感染htm、、asp、php、jsp、aspx等网页格式档案。一段web伺服器被感染，将意味着所有浏览这些网页的计算机可能会自动下载并感染上熊猫烧香病毒。
该系列变种会释放以下几个典型档案
分割槽根目录下：setup.exe、autorun.inf、%System%Fuckjacks.exe、%System%Driversspoclsv.exe
区域网环境下：GameSetup.exe
病毒行为：
1、删除常用防毒软体在登录档中的启动项或服务，终止防毒软体的程序，几乎涉及目前所有防毒软体
2、终止部分安全辅助工具的程序，如IceSword，工作管理员taskmon。
3、终止维金的相关程序Logo1_.exe、Logo_1.exe、Rundl123.exe。
4、弱口令破解区域网其他电脑的Administror帐号，并用GameSetup.exe进行复制传播。
5、修改登录档键值，导致不能检视隐藏档案和系统档案。
6、除C盘如下目录外，病毒会尝试破坏其它分割槽下的部分.exe、.、.gho、.pif、.scr档案，病毒不会去感染以下目录中的档案（给我们解决此病毒留下机会了，请看下文中的有关描述）。
WINDOW，Winnt，System Volume Information，Recycled，Windows NT，Windows Update，Windows MediaP，Outlook Express，Inter Explorer，NetMeeting，Common Files，ComPlus Applications，Messenger，InstallShield Installation Information，MSN，Microsoft Frontpage，MovieMaker，MSN GaminZone
7、病毒会删除副档名为gho的档案，该档案是一系统备份工具GHOST的备份档案，使使用者的系统备份档案丢失。
解决办法：
1、首选专杀工具
专杀工具是效能最好的方案，能处理已知变种，缺点是有新变种后，专杀也需要更新。推荐去xiongmaoshaoxiang.下载专杀。
2、线上防毒
因为熊猫烧香病毒的特殊性，防毒软体本身可能会被感染，病毒还会尝试结束防毒软体程序和服务，但病毒不感染IE浏览器，用浏览器载入线上防毒控制元件来清除病毒可以收到奇效。已经中招的，可以去shadu.duba.试试。
3、重启系统到带网路连线的安全模式，升级防毒软体后防毒。可单击开始，执行，输入msconfig，开启系统配置实用程式，点选BOOT.INI标签，作如图修改，重启即可进入带网路连线的安全模式。
4、手工清除
因为熊猫烧香病毒是感染型的病毒，手工清除相当麻烦，网友公布的手工清除方案只能手工结束病毒程序，一段运行了感染过熊猫烧香病毒的程式，还会再中招。以下简单介绍手工结束病毒程序，修复登录档项的步骤：
a.断开网路，禁用网络卡或拔掉网线就行；
b.结束病毒程序，因为工作管理员、IcdSword已无法执行，已感染病毒的机器上很难实现。建议去:microsoft./tech/sysinternals/ProcessesAndThreads/ProcessExplorer.mspx下载一个Process Explorer备用，郁闷的是光缆没修好，官网下载速度巨慢。可以百度一下，到新浪、华军、天空去下载。如果在程序中发现FuckJacks.exe、setup.exe、spoclsv.exe（注意和正常的列印服务就差一个字母，列印服务档名为spoolsv.exe），就用这个工具结束掉。
c.在本地计算机上搜索并删除以下病毒执行档案：
分割槽根目录下：setup.exe、autorun.inf（这个本身不是病毒，但它的存在是为了双击磁碟自动呼叫病毒程式，建议删了吧）
%System%Fuckjacks.exe；%System%Driversspoclsv.exe
区域网环境下：GameSetup.exe
d. 开始-->执行—>输入regedit，确定后，开启登录档编辑器，删除病毒建立的启动项：
[HKEY_CURRENT_USER＼Sofare＼Microsoft＼Windows＼CurrentVersion＼Run]
"FuckJacks"="%System%＼FuckJacks.exe
[HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run]
"svohost"="%System%＼FuckJacks.exe"
浏览到〔HKEY_LOCAL_MACHINESofareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL〕，单击右键，点新建——Dword值——命名为CheckedValue（如果已经有，可以删除后重建），修改它的键值为1,为十六进位制，按确定后，退出登录档编辑器。以恢复资料夹选项中的“显示所有隐藏档案”和“显示系统档案”
e.修复或重新安装反病毒软体，以恢复被病毒删除的注册键值，恢复防毒软体的功能。
f.最后，还是要更新反病毒软体全盘扫描，把感染的EXE程式、网页格式的档案修复。特别提醒网页编辑，一定要保护好自己编辑的Web文件，保护好自己的Web伺服器，如果发现网站上传档案带毒，应该及时删除，重新上传。
有关该病毒的预防，请参考xiongmaoshaoxiang.上介绍的方法，或者看这里:duba./zt/panda/ 。特别提示一下，今天更新的金山毒霸已经集成了针对熊猫烧香病毒的免疫功能，对预防熊猫烧香病毒会起到遏制作用。
参考资料：腾讯安全病毒

怎么感染7939病毒的呢?

在网上搜下7393 就有解觉办法,得手动干掉它,祝你好运

这个病毒的危害是什么Trojan-PSW.Win32.LdPinch.xuh

盗号木马，窃取对方QQ等密码。
。。。我的也中过此病毒，建议用瑞星正版防毒查杀。