教你对流氓软件流氓网站说不!
现在很多朋友上网都很怕,进一些就弹出一堆垃圾出来,然后你的系统就给强奸了,包括很多站长朋友,都不敢乱上其他人的站,这是什么世道?连全国最牛的草根站长集中地的站长也不敢乱上网了。文章很长,但你看完我保证你不再怕所谓的木马病毒。
你是不是动不动就ghost恢复系统呢?没有必要怕到这个程度吧,其实学下一些基本的软件知识就可以不用惧怕大部分的恶意软件的破坏和威胁的。
先来分析流氓,现在的流氓有3大类:
1,大站背景流氓,利用自己的后台,钻法律空白,明目张胆强奸广大网友:比如3721,猫扑,网络猪(中搜),百度搜霸,搜狗搜索,金山的豆豆,9991(51.com的庞某)....这些站利用类似病毒传销的方法推广,为其网站获得资本的原始积累,这类虽然可恶,但还不至于危害你的电脑,只是在系统里加些垃圾,当然,值得一提的是千橡集团(猫扑那家人)的超级播霸,clinch就因为曾经在服务器上运行了个小软件后,同时中了10多个垃圾,那就是超级播霸,由于它自动播放,又弹广告,把带宽吃光了,服务器中这个等于自杀...远程连接不上,一连接就断了,最后找机房的人员杀掉了。人在异地可惜不能亲自干掉这个垃圾,解剖之,鞭打其尸体呵呵。
2,软件作者和插件开发商。软件作者大家熟悉的就是人可以无耻到这个地步的水晶情缘工作室,他靠写垃圾为生,天空和华军也极力配合它为互联网产生垃圾。这样的人不少,暴风影音的作者也是这样,结果据说因为和某某大软件站利益分配不平均而遭到封杀,可怜啊,但是这个家伙还是死性不改,新版本照样出垃圾。插件开发商有很多种,他们最终表现在寻找垃圾下载站合作,用诱人的价格让站长和他同流合污,把下载地址变成他们的下载地址,还害网友。曾经有数不清的人找绿盟站长要放插件,要求在下载地址后面加“电信高速下载”(所以大家以后看见地址是这个要小心点) 再高的价格也别想收买到我们,宁愿用自己的工资来养几个服务器。还有提醒下大家,下载的时候把鼠标放上去,先别下载,然后看地址是怎么样的,如果是setup.exe之类的固定地址就别点,这个站以后也别去。
3,挂木马的人。挂木马的站有两种,一种就是他自愿的,或许给人高价诱惑了,绿盟曾经有很多人出价一天300,一天200,一天100,挂木马,当然没有答应他们,绿盟最鄙视的就是这样的垃圾站。想想,如果这些人一起投放,一天收入大概1千多了,什么都不用干了,但人不能这样做。这样的站长的灵魂给撒旦买了,等你死的那天你会不会和浮士德一样后悔,会不会感叹说,这个世界多么美好,请停一停,让你享受下...我想这些站长应该没有这样的素质,连浮士德最窝囊的时候还不如。另外一种就是所谓的黑客,他们到处黑站,然后挂木马,上有木马的站你的qq,或其它账号就有可能给偷,实在是可恶,这些人是最该死的。我后面将重点说明如何应对这些人的破坏。
前2种我们很好搞定,用些傻瓜工具就能清掉,或者你洁身自好也不会中毒的。第三种比较麻烦,也是我们网友目前普遍中招的方式。其实这个很好对付的,以下是本人的方案,可以参考下:
1,首先,你的电脑要开自动升级,打补丁,打了补丁后,即使你访问有木马的站也不会中毒,只是你的防火墙告诉你有病毒在门口而已。当然除非有新的漏洞出现而微软没有来的及发布新补丁,这样就没有办法了。我是站长,我明白网页如何编程,本身也是web程序员,对代码比较熟悉,所以相信我,如果你打了补丁,目前任何网页代码都拿你没有办法,除非你亲自开门让他们进来,比如亲自安全提示的类似网上银行的证书那样的方式(ActiveX安全性问题),网上银行是可以信任的,所以你放心装没有事情,但是如果是其它站那就要小心了,最好什么程序都别装,它要求装的话,你就看他可信不可信。最保险就禁用ActiveX和flash就安全多了...但这样就不方便。合理限制就可以了,设置运行时要让你通过。
2,一个可以升级的杀毒软件,随便,最好是麦咖啡,卡巴,nod32,瑞星这些之一吧;加一个防火墙,什么都行。但我推荐用木马清道夫的防火墙(下载:http://www.li20.net/viewthread.php?tid=523274),因为它可以监视系统的修改,比如某时,访问某站,给写了注册表啊,系统多了东西啊,可以马上删除,当然za也可以,也是不错。
3,增强手工杀毒能力,推荐用HijackThis+killbox+IceSword。再牛的杀毒软件也有“视病毒木马于无物”的时候,哈哈,比如说卡巴,非常好的杀毒,够强悍够粗犷我喜欢,但是国内一些玩的软件高手,稍微修改下病毒的特征代码就能通过卡巴了,well,最好的方案是你和你的附近的电脑装不同的杀毒软件,当你们交流软件的时候也许会发现一些,然后自己要善于观察系统,稍微有点异常状况就出动上面所说的组合,当然有其它的,本人自用这个组合。
首页绑架克星 HijackThis V1.99 绿色汉化,它能够将绑架您浏览器的程序揪出来!并且删除之!或许您只是浏览某个网站、安装了某个软件,就发现浏览器设定已经被绑架了,一般常见的绑架方式莫过于强制窜改您的浏览器首页设定、搜寻页设定,现在有了这个工具,可以将所有可疑的程序全抓出来,再让您判断哪个程序是肇祸者!把它给杀了!
上面是介绍,语气比较难接受,我用自己的话说下,这个东西能搞定你浏览器ie上的插件,垃圾,比如弹出广告啊,多了个图标啊,多了个工具条啊,用它,可以搞定!这个工具你可以慢慢学着用,非常强大,可以搜索别人的报告,来分析你的。比如你用它查出,02项bho有个叫alexa的dll,其实就是alexa工具条,想去掉它的话,直接选中alexa相关名字然后修复,你的ie就干净了。它还可以修复启动项和服务,所以,一些和流氓有关的都在它的列表中,剩下的是你自己的判断了。当然除了2种情况,那就是病毒写了服务,有时候修复不了这个服务,只能先自己去禁用这个服务;还有就是dll线程插入,比如灰鸽子,线程插入它是藏在别正常的程序里,表面看不出来。那就要用到IceSword等工具了。
反黑利刃 IceSword 冰刃 V1.18 绿色汉化版 IceSword是一斩断黑手的利刃(所以取这土名,有点搞e,呵呵)。它适用于Windows 2000/XP/2003操作系统,用于查探系统中的幕后黑手(木马后门)并作出处理,当然使用它需要用户有一些操作系统的知识。 IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件,比如一些进程工具、端口工具,但是现在的系统级后门功能越来越强,一般都可轻而易举地隐藏进程、端口、注册表、文件信息,一般的工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内核技术,使得这些后门躲无所躲。
这个东西可以查看进程的模块信息,看有没有给可疑的木马线程插入。具体操作是:点进程,列出一堆,比如看ie有没有中----》选iexplore.exe----》右键---》进程模块信息------》比如灰鸽子2006dll插入版,会有类似的g_server2006key.dll 在里面,你可以选中然后干掉他们,当然这样的事情最好用杀毒来做,但万一杀毒,比如麦咖啡就和灰鸽子这个版本友好共存,我们只能扮演高手来手工清了。
Pocket KillBox V2.0.0.881 删除硬盘中任意文件的小工具 绿色特别版 这个就是等发现后,把病毒删除的工具,当然有其它好的工具就不一一介绍了。它能杀一般正占用的程序,但如果那程序的系统“地位”比较高级的时候就杀不了,只能等你停了这个程序或服务后才能删除。
好了总结下,一个常规杀毒软件可以对付一般的垃圾,一个木马清道夫可以实时发现系统的修改,并修复,一个hijackthis可以进一步手工检测可疑的敌人,一个IceSword可以更高级分析系统的进程情况,一切从进程出发,即使你的c盘躺着若干个没有发作的病毒而给你的杀毒扫描到,别怕,那些没有危害到你。而且杀毒喜欢误报或报的东西很无关紧要,比如杀毒会报弹出页面的网页代码是病毒,当然你看了这个网页,当然会存在临时文件里(如果当时杀毒没有发现的话),还有软件补丁,经常为了打击破解,杀毒会“伸张正义”,列补丁为某个病毒的头衔,还有bat文件的exe格式。等都是无害的,都报告为病毒。再强调下,即使有真正的病毒,通过以上的几个工具如果没有发现它在作用着(比如劫持了浏览器,或插入到ie的线程里,或关联了记事本程序),它就够不成威胁,不用重装系统了。
你是不是动不动就ghost恢复系统呢?没有必要怕到这个程度吧,其实学下一些基本的软件知识就可以不用惧怕大部分的恶意软件的破坏和威胁的。
先来分析流氓,现在的流氓有3大类:
1,大站背景流氓,利用自己的后台,钻法律空白,明目张胆强奸广大网友:比如3721,猫扑,网络猪(中搜),百度搜霸,搜狗搜索,金山的豆豆,9991(51.com的庞某)....这些站利用类似病毒传销的方法推广,为其网站获得资本的原始积累,这类虽然可恶,但还不至于危害你的电脑,只是在系统里加些垃圾,当然,值得一提的是千橡集团(猫扑那家人)的超级播霸,clinch就因为曾经在服务器上运行了个小软件后,同时中了10多个垃圾,那就是超级播霸,由于它自动播放,又弹广告,把带宽吃光了,服务器中这个等于自杀...远程连接不上,一连接就断了,最后找机房的人员杀掉了。人在异地可惜不能亲自干掉这个垃圾,解剖之,鞭打其尸体呵呵。
2,软件作者和插件开发商。软件作者大家熟悉的就是人可以无耻到这个地步的水晶情缘工作室,他靠写垃圾为生,天空和华军也极力配合它为互联网产生垃圾。这样的人不少,暴风影音的作者也是这样,结果据说因为和某某大软件站利益分配不平均而遭到封杀,可怜啊,但是这个家伙还是死性不改,新版本照样出垃圾。插件开发商有很多种,他们最终表现在寻找垃圾下载站合作,用诱人的价格让站长和他同流合污,把下载地址变成他们的下载地址,还害网友。曾经有数不清的人找绿盟站长要放插件,要求在下载地址后面加“电信高速下载”(所以大家以后看见地址是这个要小心点) 再高的价格也别想收买到我们,宁愿用自己的工资来养几个服务器。还有提醒下大家,下载的时候把鼠标放上去,先别下载,然后看地址是怎么样的,如果是setup.exe之类的固定地址就别点,这个站以后也别去。
3,挂木马的人。挂木马的站有两种,一种就是他自愿的,或许给人高价诱惑了,绿盟曾经有很多人出价一天300,一天200,一天100,挂木马,当然没有答应他们,绿盟最鄙视的就是这样的垃圾站。想想,如果这些人一起投放,一天收入大概1千多了,什么都不用干了,但人不能这样做。这样的站长的灵魂给撒旦买了,等你死的那天你会不会和浮士德一样后悔,会不会感叹说,这个世界多么美好,请停一停,让你享受下...我想这些站长应该没有这样的素质,连浮士德最窝囊的时候还不如。另外一种就是所谓的黑客,他们到处黑站,然后挂木马,上有木马的站你的qq,或其它账号就有可能给偷,实在是可恶,这些人是最该死的。我后面将重点说明如何应对这些人的破坏。
前2种我们很好搞定,用些傻瓜工具就能清掉,或者你洁身自好也不会中毒的。第三种比较麻烦,也是我们网友目前普遍中招的方式。其实这个很好对付的,以下是本人的方案,可以参考下:
1,首先,你的电脑要开自动升级,打补丁,打了补丁后,即使你访问有木马的站也不会中毒,只是你的防火墙告诉你有病毒在门口而已。当然除非有新的漏洞出现而微软没有来的及发布新补丁,这样就没有办法了。我是站长,我明白网页如何编程,本身也是web程序员,对代码比较熟悉,所以相信我,如果你打了补丁,目前任何网页代码都拿你没有办法,除非你亲自开门让他们进来,比如亲自安全提示的类似网上银行的证书那样的方式(ActiveX安全性问题),网上银行是可以信任的,所以你放心装没有事情,但是如果是其它站那就要小心了,最好什么程序都别装,它要求装的话,你就看他可信不可信。最保险就禁用ActiveX和flash就安全多了...但这样就不方便。合理限制就可以了,设置运行时要让你通过。
2,一个可以升级的杀毒软件,随便,最好是麦咖啡,卡巴,nod32,瑞星这些之一吧;加一个防火墙,什么都行。但我推荐用木马清道夫的防火墙(下载:http://www.li20.net/viewthread.php?tid=523274),因为它可以监视系统的修改,比如某时,访问某站,给写了注册表啊,系统多了东西啊,可以马上删除,当然za也可以,也是不错。
3,增强手工杀毒能力,推荐用HijackThis+killbox+IceSword。再牛的杀毒软件也有“视病毒木马于无物”的时候,哈哈,比如说卡巴,非常好的杀毒,够强悍够粗犷我喜欢,但是国内一些玩的软件高手,稍微修改下病毒的特征代码就能通过卡巴了,well,最好的方案是你和你的附近的电脑装不同的杀毒软件,当你们交流软件的时候也许会发现一些,然后自己要善于观察系统,稍微有点异常状况就出动上面所说的组合,当然有其它的,本人自用这个组合。
首页绑架克星 HijackThis V1.99 绿色汉化,它能够将绑架您浏览器的程序揪出来!并且删除之!或许您只是浏览某个网站、安装了某个软件,就发现浏览器设定已经被绑架了,一般常见的绑架方式莫过于强制窜改您的浏览器首页设定、搜寻页设定,现在有了这个工具,可以将所有可疑的程序全抓出来,再让您判断哪个程序是肇祸者!把它给杀了!
上面是介绍,语气比较难接受,我用自己的话说下,这个东西能搞定你浏览器ie上的插件,垃圾,比如弹出广告啊,多了个图标啊,多了个工具条啊,用它,可以搞定!这个工具你可以慢慢学着用,非常强大,可以搜索别人的报告,来分析你的。比如你用它查出,02项bho有个叫alexa的dll,其实就是alexa工具条,想去掉它的话,直接选中alexa相关名字然后修复,你的ie就干净了。它还可以修复启动项和服务,所以,一些和流氓有关的都在它的列表中,剩下的是你自己的判断了。当然除了2种情况,那就是病毒写了服务,有时候修复不了这个服务,只能先自己去禁用这个服务;还有就是dll线程插入,比如灰鸽子,线程插入它是藏在别正常的程序里,表面看不出来。那就要用到IceSword等工具了。
反黑利刃 IceSword 冰刃 V1.18 绿色汉化版 IceSword是一斩断黑手的利刃(所以取这土名,有点搞e,呵呵)。它适用于Windows 2000/XP/2003操作系统,用于查探系统中的幕后黑手(木马后门)并作出处理,当然使用它需要用户有一些操作系统的知识。 IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件,比如一些进程工具、端口工具,但是现在的系统级后门功能越来越强,一般都可轻而易举地隐藏进程、端口、注册表、文件信息,一般的工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内核技术,使得这些后门躲无所躲。
这个东西可以查看进程的模块信息,看有没有给可疑的木马线程插入。具体操作是:点进程,列出一堆,比如看ie有没有中----》选iexplore.exe----》右键---》进程模块信息------》比如灰鸽子2006dll插入版,会有类似的g_server2006key.dll 在里面,你可以选中然后干掉他们,当然这样的事情最好用杀毒来做,但万一杀毒,比如麦咖啡就和灰鸽子这个版本友好共存,我们只能扮演高手来手工清了。
Pocket KillBox V2.0.0.881 删除硬盘中任意文件的小工具 绿色特别版 这个就是等发现后,把病毒删除的工具,当然有其它好的工具就不一一介绍了。它能杀一般正占用的程序,但如果那程序的系统“地位”比较高级的时候就杀不了,只能等你停了这个程序或服务后才能删除。
好了总结下,一个常规杀毒软件可以对付一般的垃圾,一个木马清道夫可以实时发现系统的修改,并修复,一个hijackthis可以进一步手工检测可疑的敌人,一个IceSword可以更高级分析系统的进程情况,一切从进程出发,即使你的c盘躺着若干个没有发作的病毒而给你的杀毒扫描到,别怕,那些没有危害到你。而且杀毒喜欢误报或报的东西很无关紧要,比如杀毒会报弹出页面的网页代码是病毒,当然你看了这个网页,当然会存在临时文件里(如果当时杀毒没有发现的话),还有软件补丁,经常为了打击破解,杀毒会“伸张正义”,列补丁为某个病毒的头衔,还有bat文件的exe格式。等都是无害的,都报告为病毒。再强调下,即使有真正的病毒,通过以上的几个工具如果没有发现它在作用着(比如劫持了浏览器,或插入到ie的线程里,或关联了记事本程序),它就够不成威胁,不用重装系统了。
