本文目录一览:
哪些后缀名是可能有病毒的?哪些是肯定无毒的?
1、系统病毒 系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。 2、蠕虫病毒 蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件)等。 3、木马病毒、黑客病毒 木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如Trojan.LMir.PSW.60 。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。 4、脚本病毒 脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)——可不是我们的老大代码兄。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。 5、宏病毒 其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,依此类推。该类病毒的公有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。 6、后门病毒 后门病毒的前缀是:Backdoor。该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。 7、病毒种植程序病毒 这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。 8.破坏性程序病毒 破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。 9.玩笑病毒 玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。 10.捆绑机病毒 捆绑机病毒的前缀是:Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。 以上为比较常见的病毒前缀,有时候我们还会看到一些其他的,但比较少见,这里简单提一下: DoS:会针对某台主机或者服务器进行DoS攻击; Exploit:会自动通过溢出对方或者自己的系统漏洞来传播自身,或者他本身就是一个用于Hacking的溢出工具; HackTool:黑客工具,也许本身并不破坏你的机子,但是会被别人加以利用来用你做替身去破坏别人。
有哪些后缀名可能是病毒或木马?
这个很简单,一般的病毒都是exe格式的。有些脚本病毒是写在网页等文件里的。。但那些一般都不是最危险的。
一般要防范exe的病毒,他们运行后会产生动态链接库,复制自身,改名字,删除原文件等。
不过只要平时养成一定习惯就可以很好得防御:
1。系统一直保持能查看所有隐藏文件,包括系统文件夹内容,可以看到文件扩展名。
2。在刚装好系统后,
去windows或system32看看有哪几个是隐藏文件,把他们记录下来,如果以后有增加就小心了。因为一般很少增加隐藏文件,非隐藏文件的增加一般比较常见。
去C:\program files文件夹下看。记录那些文件夹名字。以后如果有增加就小心了。(前提是你的软件不装在系统盘建议你不要装在系统盘。)
3。随时去看看系统文件夹下的文件。有什么可疑的文件都不要轻视。
4。保证每个文件夹下或盘内都没autorun.inf或类似exeplorer.exe等文件,注意后缀是exe,但图标是文件夹的图标或是文本文档或图片的图标等。这些都是非常可疑的。一般都是病毒来了。
5。准备一些必备工具,比如autorun.exe,icesword等。
不管什么方法都要装一个防火墙和一个能在线升级的杀毒软件(也可以经常手动更新)。
说到底。要养成这种习惯,形成这种防毒意识。
绝大部分的病毒扩展名是exe,有的脚本病毒的扩展名为VBS、VBE、JS、JSE、WSH、WSF。还有WORD文件(以DOC作为扩展名)也会携带病毒。
但其实很多病毒会在它真正的扩展名前添加其他的后缀来迷惑用户,如.jpg,.txt等,稍不注意就会中招,防范这招的方法就是使文件显示真正的扩展名,具体方法是:打开任意一个文件夹,选择“工具--文件夹选项--查看”,把“隐藏已知文件类型的扩展名”前的钩去掉。
哪些类型的文件会带病毒?
1、首先可能性最大的就是 .exe .bat .pif .com .scr 这些可执行文件,它们自身可以独立运行,因此可以达到运行病毒的目的.2、进程插入技术,通过修改注册表感染系统进程,当系统启动时会自动加载,从而达到运行目的,它们以 .dll 扩展名.3、黑客也可以通过"WMA插马器","Office文档捆绑器"等工具或编写特殊的宏来感染 office文档(如:.doc .xls)和大部分的音乐与视频文件,帮助文件也有可能(如:.mp3 .wma .rm .rmvb).4、通过编写特殊的图片或网页,可以让用户的计算机自动下载并运行病毒.
以上方法最常用的是前两种,平时只要注意 .exe .com .dll 这些文件就可以了.第四种常在浏览网页才会中招。
还有要注意的是,.txt .reg .inf .ini 文件虽然本身不带毒,但黑客可以通过修改注册表,让用户试图打开它们时,调用病毒文件解读,文件是否打开不重要,重要的是病毒运行.有程序试图更改文件关联时要注意了!
随着技术研究的深入,黑客用来运行病毒的方法也越来越多,几乎所有文件都可能被黑客利用.在平时用电脑时,要警惕来历不明的文件!
一般什么扩展名的文件容易是病毒或者木马
一般都是以下四种,下面我分别加以介绍并简要说明以下清除的方法:
一、EXE后缀型病毒文件
这类病毒一般是以进程的方式运行,这类病毒一般是比较好被发现的。下边先说下这类病毒,是在哪里启动的。
1.注册表
如果发现计算机有不名的进程和异常情况请在注册表内下列地方进行核实找住可以的程序进行删除:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER/Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/brExplorer/ShellFolders
Startup="C:/windows/start menu/programs/startup
2.系统WIN.INI文件内
在win.ini文件中,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动件。也许你会问了我是XP系统啊 怎么没有这个呢?不必担心给你个正确的你参考下就知道有没有可疑程序了。下边就是正常的WIN.INI(XP):
; for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1
CMCDLLNAME32=mapi32.dll
CMCDLLNAME=mapi.dll
CMC=1
MAPIX=1
MAPIXVER=1.0.0.1
OLEMessaging=1
[MCI Extensions.BAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideo
asf=MPEGVideo2
asx=MPEGVideo2
au=MPEGVideo
m1v=MPEGVideo
m3u=MPEGVideo2
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo2
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo2
wm=MPEGVideo2
wma=MPEGVideo2
wmv=MPEGVideo2
wmx=MPEGVideo2
wvx=MPEGVideo2
wpl=MPEGVideo
3.SYSTEM.INI文件中
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。又会有人问了,我是XP系统怎么又不一样呢?给你个正常的XP系统的SYSTEM.INI,请大家可以参考下正常的SYSTEM.INI文件:
; for 16-bit app support
[drivers]
wave=mmdrv.dll
timer=timer.drv
[mci]
[driver32]
[386enh]
woafont=app936.FON
EGA80WOA.FON=EGA80WOA.FON
EGA40WOA.FON=EGA40WOA.FON
CGA80WOA.FON=CGA80WOA.FON
CGA40WOA.FON=CGA40WOA.FON
4.在Config.sys内
这类加载方式比较少见,但是并不是没有。如果上述方法都找不到的话,请来这里也许会有收获的。
5.在Autuexec.bat内
这类加载方式也是比较少见,建议跟Config.sys方法一样。
4和5的加载方式建议大家先必须确定计算机有病毒,并且上边的方法都找不到后,最后来这里进行查找。
总结:这类病毒是比较容易暴露的,建议手动删除时最好进入安全模式下,因为安全模式只运行WINDOWS必备的系统进程,EXE型病毒很容易暴露出来的,下边附上一张WINDOWS安全模式的必须进程表:
smss.exe Session Manager
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) 产生
会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务) -netlogon
svchost.exe 包含很多系统服务 !!!-eventsystem,(SPOOLSV.EXE 将文件加载到内存中以便迟后打
印。)
explorer.exe 资源管理器 (internat.exe 托盘区的拼音图标)
system
System Idle Process 这个进程是不可以从任务管理器中关掉的。这个进程是作为单线程运行在每个处
理器上,并在系统不处理其他线程的时候分派处理器时间
taskmagr.exe 就是任务管理器了
二、DLL型后缀病毒
这类病毒大多是后门病毒,这类病毒一般不会把自己暴露在进程中的,所以说特别隐蔽,比较不好发现。启动DLL后门的载体EXE是不可缺少的,也是非常重要的,它被称为:Loader。如果没有Loader,那DLL后门如何启动呢?因此,一个好的DLL后门会尽力保护自己的Loader不被查杀。Loader的方式有很多,可以是为我们的DLL后门而专门编写的一个EXE文件;也可以是系统自带的Rundll32.exe和Svchost.exe,即使停止了Rundll32.exe和Svchost.exeDLL后门的主体还是存在的。现在大家也许对DLL有了个初步的了解了,但是不是后缀是DLL就是病毒哦,也不要因为系统有过多的Rundll32.exe和Svchost.exe进程而担心,因为他们不一定就是病毒,所以说这个病毒比较隐蔽,下边来介绍几种判别办法
1.Svchost.exe的键值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Current
Version\Svchost”每个键值表示一个独立的Svchost.exe组。微软还为我们提供了一种察看系统正在运行在Svchost.exe列表中的服务的方法。以Windows XP为例:在“运行”中输入:cmd,然后在命令行模式中输入:tasklist /svc。如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令替换为:“tlist -s”即可。如果你怀疑计算机有可能被病毒感染,Svchost.exe的服务出现异常的话通过搜索 Svchost.exe文件就可以发现异常情况。一般只会找到一个在:“C:\Windows\System32”目录下的Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话,那很可能就是中毒了。
2.还有一种确认Svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在Windows系统自带的任务管理器不能察看进程路径,所以要使用第三方的进程察看工具。比如Windows优化大师中的Windows 进程管理 2.5。这样,可以发现进程到底调用了什么DLL文件.
3.普通后门连接需要打开特定的端口,DLL后门也不例外,不管它怎么隐藏,连接的时候都需要打开端口。我们可以用netstat –an来查看所有TCP/UDP端口的连接,以发现非法连接。大家平时要对自己打开的端口心中有数,并对netstat –an中的state属性有所了解。当然,也可以使用Fport来显示端口对应的进程,这样,系统有什么不明的连接和端口,都可以尽收眼底。
4.最关键的方法,对比法。安装好系统和所有的应用程序之后,备份system32目录下的EXE和DLL文件:打开CMD,来到WINNTsystem32目录下,执行:dir *.exeexe.txt dir *.dlldll.txt,这样,就会把所有的EXE和DLL文件备份到exe.txt和dll.txt文件中;日后,如发现异常,可以使用相同的命令再次备份EXE和DLL文件(这里我们假设是exe0.txt和dll0.txt),并使用:
fc exe.txt exe0.txtexedll.txt fc dll.txt dll0.txtexedll.txt
其意思为使用FC命令比较两次的EXE文件和DLL文件,并将比较结果保存到exedll.txt文件中。通过这种方法,我们就可以发现多出来的EXE和DLL文件,并通过文件大小,创建时间来判断是否是DLL后门。
DLL型病毒的清除
1.在确定DLL病毒的文件的话请尝试下边的移除方法:
a. 开始——运行——输入"Regedit" ;
b. 搜索“*.dll” ;
c. 删除搜索到的键值;
d. 重启;
e. 转到C:\Windows\System32\;
f. 删除*.dll;
2.到注册表下列地方寻找DLL的踪迹
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/Currentversion/Svchost
3.如果上边的地方都找不到的话建议使用优化大势进程显示工具对RUNDLL32.EXE和SVCHOST.EXE里边运行的DLL程序进行核实找到病毒文件对其进行结束,然后在对他进行删除。建议使用第1种方法是非常有效的。
三、$NtUninstallQxxxxxxx$(x代表数字)型病毒
这个属于恶意脚本文件病毒。C盘下生成文件夹:$NtUninstallQxxxxxxx$(x代表数字)冒充微软更新补丁的卸载文件夹,并且在Win2000/XP下拥有系统文件级隐藏属性。下边说下清楚方法:
注册表手动删除启动项,参考:
HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run
删除:regedit -s C:\$NtUninstallQxxxxxxx$\WINSYS.cer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
删除:Sys32,值为:C:\$NtUninstallQxxxxxxx$\WINSYS.vbs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除:Sys32,值为:regedit -s C:\$NtUninstallQxxxxxxx$\WINSYS.cer
删除:internat.exe,值为:internat.exe
删除整个$NtUninstallQxxxxxxx$ 目录
补充说明
系统文件夹(\WINNT或\Windows)下出现的如$NtUninstallQ823980$ 、$NtUninstallQ814033$ 这类文件夹是Windows Update 或安装微软补丁程序留下的卸载信息,用来卸载已安装的补丁,按补丁的编号如Q823980、Q814033 可以在微软的网站查到相应的说明。请注意与恶意代码建立的文件夹区分。
四、压缩文件杀毒工具对其不能删除
这类病毒大多是在IE临时文件里的,请对临时文件进行清除即可清楚此类病毒,建议定时清理IE临时文件。
木马病毒藏在电脑的哪个盘里?
你好,C盘当然是病毒木马的主要据点,尤其容易出现在C:\Windows、C:\Windows\System32、C:\Windows\System32\Drivers及C:\Program Files\Common Files等文件夹中,因为系统运行过程中非常容易调用到这些文件夹中的文件。但是现在很多病毒木马并局限于在C盘中,硬盘的所有分区,甚至包括U盘、移动硬盘、MP3播放器、手机存储卡等都是病毒入侵的对象,这样如果你仅仅重装系统,只要你一点击其它分区,病毒就可以再次被激活。不少病毒是通过在各分区及U盘根目录中创建autorun.if及病毒激活文件来达到目的,有的病毒是将真实的文件夹隐藏起来,然后创建虚假的带有.exe的文件夹,让你只要双击文件夹,就运行一次病毒。遇有这种情况,你只需运行腾讯电脑管家,在“杀毒”选项中点击全盘查杀链接,电脑管家将会利用其自带的4+1核心杀毒引擎,并运用CPU虚拟执行技术对系统关键位置以及硬盘上的所有文件进行扫描,其病毒检出率还是挺高的,发现病毒木马之后也会立即予以根除。
遇上还会将文件夹隐藏的病毒,你可以运行CMD,在弹出的命令提示符窗口中输入attrib -h -s x:\*.* /S /D,请用分区或移动磁盘的实际盘符代替命令行中的X,这个命令行的意思就是去除相应磁盘分区所有文件及文件夹,包括子文件夹的隐藏和系统属性。
有些病毒甚至还会改写硬盘主引导扇区,因为那个地方是最容易逃避杀毒软件的地方,哪怕你重新分区并重装系统也不能解决。这时你可以试试下载专杀工具进行修复。或者在电脑管家的软件管理中搜索DiskGenius,运行后在硬盘菜单中选择重建主引导扇区(MBR),以恢复硬盘主引导扇区的正常代码,不过建议你操作之前先将文件备份到网络硬盘,如微云中。
如果你还有其它电脑问题,欢迎你在电脑管家企业平台提出,我们将尽力为你解答。