国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

前幾天，在鄉(xiāng)下表哥家玩，農(nóng)村里經(jīng)常停電，好不容易等到來電，迫不急待地打開QQ與MSN，心里直嘀咕：終于可以爽爽了，可把偶給憋壞了。沒想到QQ一開就彈出N個(gè)留言，其中一個(gè)第一句是“唉”一聲嘆息，第二句是“我把ERP服務(wù)器搞倒了”,信息是在廣東一工廠當(dāng)網(wǎng)管的老友發(fā)來的，問情況才知道老友在ERP服務(wù)器上裝了個(gè)WinZip重啟后問題就出來了，所有保存在硬盤上的可執(zhí)行文件無法執(zhí)行，當(dāng)然也包括Windows系統(tǒng)自帶的命令，例如RegEdit,CMD等等。經(jīng)驗(yàn)與直覺告訴我服務(wù)器肯定感染了病毒或木馬，并且修改了注冊(cè)表，限制了一些系統(tǒng)命令的使用。因?yàn)槭荅RP服務(wù)器，熟悉工廠情況的朋友都知道如果ERP服務(wù)器癱瘓將會(huì)給工廠造成多大的影響與損失，情況不太樂觀，看來不能袖手旁觀了，于是決定幫朋友清掉這害群之“馬”。

通過終端服務(wù)遠(yuǎn)程登陸進(jìn)目標(biāo)機(jī)器，發(fā)現(xiàn)是Win2000 Server，點(diǎn)開始菜單運(yùn)行Cmd與RegEdit均無法執(zhí)行，也無法將注冊(cè)表文件導(dǎo)入系統(tǒng)，調(diào)出系統(tǒng)進(jìn)程管理器，不看不知道，一看嚇一跳，可憐這臺(tái)服務(wù)器已然成了規(guī)?？捎^的“世界良種馬養(yǎng)殖基地”，進(jìn)程中有多個(gè)svchost服務(wù)與rundll32，仔細(xì)一看竟然有一個(gè)進(jìn)程叫svchsot.exe，另外發(fā)現(xiàn)有幾個(gè)不正常進(jìn)程，一個(gè)是radmin，一個(gè)是slave.exe，一個(gè)是mscolsrv.exe，還有一個(gè)250.exe?？疵志椭纑admin肯定是世界知名的遠(yuǎn)程控制軟件Remote Administrator，由于是ERP服務(wù)，不敢輕舉妄動(dòng)，于是問朋友radmin與slave.exe是否由他本人裝上的，朋友回答不知道，可能是ERP公司給他們裝的，因?yàn)镋RP服務(wù)器是由那個(gè)公司負(fù)責(zé)維護(hù)的。沒得到什么信息，只有放手一博了。

注：如何判斷進(jìn)程為可疑進(jìn)程？

一、首先你得對(duì)不同操作系統(tǒng)默認(rèn)的進(jìn)程有所了解，不同的操作系統(tǒng)都有其默認(rèn)的進(jìn)程與服務(wù)，如WINNT/2000/2003系統(tǒng)中的svchost.exe，explorer.exe,iexplore.exe等等。你得充分了解這些進(jìn)程的可執(zhí)行文件名，服務(wù)名，功能如何，可執(zhí)行文件存放路徑等信息，這些是基礎(chǔ)，不然后面的判斷方法就沒有參照物。

二、病毒或木馬都喜歡偽裝進(jìn)程名（進(jìn)程注入型的病毒或后門除外）盡量使其名稱看上去像系統(tǒng)中的某個(gè)正常的程序，以致使你感到迷惑而不能區(qū)分。沒有一個(gè)病毒作者會(huì)把自己寫的病毒或后門程序進(jìn)程命名為類似”hack,virus,iamahack,haha”等，除非他腦子進(jìn)了水。所以你得仔細(xì)比較這些進(jìn)程，極有可能把病毒命名為Iexplorer.exe，注意正常的IE瀏覽器的名字為Iexplore.exe，或者把病毒進(jìn)程命名為Explore.exe，正常的資源管理器進(jìn)程是Explorer.exe。

三、有些病毒或木馬喜歡把進(jìn)程名命名為系統(tǒng)正常的程序名，但保存的位置會(huì)改變。你得留意進(jìn)程的路徑位置，比如在進(jìn)程列表里有兩個(gè)Iexplore.exe，說不定一個(gè)文件是位于%windir%，也就是Windows安裝目錄，一個(gè)是位于Program Files\Internet Explorer這個(gè)目錄里，要知道正常的IE執(zhí)行程序是保存在Program Files\Internet Explorer這個(gè)目錄里的。

好了，根據(jù)上面的特點(diǎn)就可以把嫌疑進(jìn)程初步鎖定，svchsot.exe，slave.exe,mscolsrv.exe,250.exe與radmin.exe，于是試著用Windows的進(jìn)程管理器結(jié)束這幾個(gè)程序，發(fā)現(xiàn)這幾個(gè)進(jìn)程均無法結(jié)束掉。打開控制面板-》管理工具-》服務(wù)，發(fā)現(xiàn)了系統(tǒng)中有Remote Aadministrator與MSCoolServ兩個(gè)服務(wù)在運(yùn)行，手工停掉這兩個(gè)服務(wù)，然后把服務(wù)改為禁用狀態(tài)。再調(diào)出進(jìn)程列表，發(fā)現(xiàn)mscolsrv.exe與radmin.exe這兩個(gè)進(jìn)程沒有了，要在要做的就想辦法結(jié)束掉其他的幾個(gè)進(jìn)程，由于剩下的進(jìn)程沒有注冊(cè)為系統(tǒng)服務(wù)，任務(wù)管理器又無法結(jié)束掉進(jìn)程，就只有借用外部的功能更為強(qiáng)勁的進(jìn)程管理工具來殺掉這些頑固進(jìn)程，但是由于病毒修改了注冊(cè)表，致使保存在硬盤中的所有可執(zhí)行文件無法執(zhí)行，那么現(xiàn)在要做的就是如何解除注冊(cè)表鎖定，好讓我能借助工具讓這些系統(tǒng)混混滾出去。

注：如何解除注冊(cè)表鎖定？

一、在線修復(fù)注冊(cè)表鎖定

目前國(guó)內(nèi)的各大反病毒廠商或其他與安全相關(guān)的站點(diǎn)都提供在線注冊(cè)表修復(fù)功能，訪問這些站點(diǎn)，按照提示操作就可以解除注冊(cè)表鎖定。只要你的IE瀏覽器還能正常工作，你就還有希望在線修復(fù)注冊(cè)表鎖定。在選擇修復(fù)站點(diǎn)的時(shí)候盡量選擇國(guó)內(nèi)比較正規(guī)或有名氣的站點(diǎn)，而不要進(jìn)那些所謂的黑客網(wǎng)站或個(gè)人網(wǎng)站提供的修復(fù)功能，以免雪上加霜。

二、用已有的解除注冊(cè)表惡意修改的工具來修復(fù)注冊(cè)表或下載正常的注冊(cè)表導(dǎo)出文件，這些文件是以REG為擴(kuò)展名的文件，可以用用RegEdit /s 文件名.reg來導(dǎo)入正常的注冊(cè)表文件以修復(fù)被惡意修改的地方。但這種方式只有在系統(tǒng)可以執(zhí)行命令的前提條件下才可以進(jìn)行。

言歸正傳，進(jìn)入提供在線修復(fù)功能的網(wǎng)站解除了注冊(cè)表鎖定，現(xiàn)在可以運(yùn)行任何程序了，上傳了3個(gè)小工具：pslist.exe、pskill.exe、srvinstw.exe。第一個(gè)工具是在命令行列出系統(tǒng)進(jìn)程，第二個(gè)根據(jù)進(jìn)程PID殺掉進(jìn)程的工具，
第三個(gè)是安裝或卸載服務(wù)的工具。用pskill殺掉了剩下的頑固進(jìn)程，然后用srvinstw.exe卸載掉系統(tǒng)中的Remote Administrator與MSCoolServ服務(wù)?，F(xiàn)在系統(tǒng)環(huán)境已經(jīng)干凈了。接下來就打開RegEdit命令在注冊(cè)表中查找這些文件名，查到后將鍵值一一刪除。然后在系統(tǒng)安裝盤里點(diǎn)搜索文件，一一搜索這些文件，如果是WinXP系統(tǒng)，注意在搜索高級(jí)選項(xiàng)里設(shè)置搜索子目錄和隱藏文件。找到后把這些病毒文件全部刪除。正常情況下普通的病毒或木馬就這樣徹底地干掉了，滿以為這下完事了，就讓朋友把系統(tǒng)重啟看看有沒有清干凈，結(jié)果系統(tǒng)重啟后發(fā)現(xiàn)注冊(cè)表又被鎖定，無法運(yùn)行程序，進(jìn)程中又出現(xiàn)了svchsot.exe與mscolsrv.exe進(jìn)程，MSCoolServ服務(wù)依然又來了?？磥磉@條馬還是陰魂未散，一定還有其他的激活條件，比如在注冊(cè)表中關(guān)聯(lián)可執(zhí)行文件的調(diào)用，關(guān)聯(lián)IE或其他程序，以致運(yùn)行這些正常程序的時(shí)候又調(diào)用了病毒副本，導(dǎo)致再次感染。由于現(xiàn)在其他進(jìn)程如slave.exe,250.exe,radmin.exe經(jīng)過上面的步驟已從系統(tǒng)中清除，唯獨(dú)剩這兩個(gè)進(jìn)程又再次出現(xiàn)，由此判斷此兩進(jìn)程可能為同一病毒或木馬產(chǎn)生。病毒使用多個(gè)進(jìn)程的情況并不少見，進(jìn)程間互相監(jiān)視，如果一旦發(fā)現(xiàn)進(jìn)程被結(jié)束掉或注冊(cè)表鍵值被改動(dòng)，馬上通過還活著的進(jìn)程或服務(wù)啟動(dòng)被結(jié)束的程序或重新修改注冊(cè)表。看來要徹底把這匹頑劣的野馬馴服非得了解程序的工作流程，感染哪些文件，修改注冊(cè)表中哪些鍵值，再次激活條件是什么。

由于對(duì)此病毒一無所知，所以只有去互聯(lián)網(wǎng)搜索相關(guān)信息，在Google搜關(guān)鍵字svchsot.exe與mscolsrv.exe，發(fā)現(xiàn)確實(shí)有這種病毒，是最近1月份才被國(guó)內(nèi)殺毒軟件廠商查殺的新病毒。由于找了多篇文章都沒有最為詳細(xì)的描述，所以我將結(jié)果綜合了一下：

病毒名：W32/RAHack 或BKDR_RASBA.?（不同廠商命名不同）

病毒通過遠(yuǎn)程破解radmin弱口令的方式或利用遠(yuǎn)程溢出漏洞來攻擊Remote Administrator服務(wù)，弱口令列表如下：

123456789
11111111
12345678
password
qwertyui
00000000
12341234

病毒生成文件：

%System%\mscolsrv.exe
%System%\server.dll
%System%\svchsot.exe
%System%\syshid.exe
%UserProfile%\Start Menu\Programs\Startup\system.vbs

病毒修改的注冊(cè)表鍵值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

增加鍵值:

“sysser” = “%System%\svchsot.exe”

在注冊(cè)表位置：

HKEY_CLASSES_ROOT\exefile\shell\open\command

增加鍵值:

“(Default)”= “syshid.exe “%1″ %*”"

在注冊(cè)表位置：

HKEY_CLASSES_ROOT\CLSID\[random CLSID]

增加鍵值:

“(Default)” = “sysser”
“(Default)” = “[path to executable]”

在注冊(cè)表位置：

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSCoolServ
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSCoolServ

增加如下內(nèi)容： “%SysDir%\mscolsrv.exe -service” ，以將病毒注冊(cè)成為服務(wù)。

另外還修改如下位置：

HKEY_LOCAL_MACHINE\SOFTWARE\RAdmin\v1.1
HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0

The virus scans for .htm files on the local machine. For every .htm file found, the virus copies itself to the directory using the same file name. It overwrites the .htm file with a line of code, that runs the virus when the .htm file is run.

看完這些資料終于明白為什么清除干凈后重啟系統(tǒng)病毒又復(fù)活的根源所在，病毒在感染系統(tǒng)后會(huì)掃描硬盤所有分區(qū)上的擴(kuò)展名為htm的文件，找到一個(gè)htm文件就將自己命名為相同的文件名，但擴(kuò)展名為exe，然后在htm文件里加入代碼，調(diào)用這個(gè)病毒副本。比如在D盤發(fā)現(xiàn)一個(gè)ABC.HTM文件，病毒就將自己的復(fù)制過去，并且命名為ABC.exe，然后修改htm文件調(diào)用ABC.exe，并且每找到一個(gè)這樣的文件就在注冊(cè)表里面加入一個(gè)鍵值指向這個(gè)文件，也就是在上面的HKEY_CLASSES_ROOT\CLSID\[random CLSID]位置加入隨機(jī)的鍵值指向這個(gè)文件，然后在注冊(cè)表里和Shell關(guān)聯(lián)，HKEY_CLASSES_ROOT\exefile\shell\open\command，這樣每執(zhí)行一個(gè)程序或打開一個(gè)HTM文件，病毒就再次激活。

于是再次重復(fù)先前的步聚，解鎖注冊(cè)表-》結(jié)束病毒進(jìn)程-》停掉服務(wù)-》搜索并刪除病毒文件-》卸載病毒服務(wù)，刪除注冊(cè)表中先前已知的關(guān)鍵字。由于考慮到病毒可能在注冊(cè)表中加了太多的隨機(jī) CLSID，用RegEdit一個(gè)一個(gè)刪的話肯定會(huì)“獨(dú)自流淚到天亮”，于是裝上Registry Crawler，這個(gè)工具可以一次性在注冊(cè)表中找出所有含有關(guān)鍵字的鍵值，用此工具再次搜索結(jié)果發(fā)現(xiàn)竟然有600多個(gè)sysser，也就意味著病毒在硬盤里有600多個(gè)副本。然后將先前沒有發(fā)現(xiàn)的與syshid.exe有關(guān)的鍵值全部干掉，然后刪除syshid.exe文件。再裝上卡巴斯基服務(wù)器版，將病毒特征庫(kù)更新，再整個(gè)硬盤徹底查殺。果然不出所料，殺掉幾百個(gè)病毒副本。至此，此活蹦亂跳的劣馬才徹底被轟出系統(tǒng)。

附：殺毒軟件使用經(jīng)驗(yàn)談：

一、有些朋友經(jīng)常抱怨自己的反病毒軟件辦事不力，能查到卻殺不掉，其實(shí)這怨不得反病毒軟件，此種可以查卻殺不掉的情況多半是因?yàn)椴《菊谙到y(tǒng)中運(yùn)行，而運(yùn)行中的進(jìn)程文件是受操作系統(tǒng)保護(hù)不可以刪除的。這時(shí)只要手工用工具結(jié)束掉相關(guān)進(jìn)程就可以殺掉或刪除了。

二、病毒文件可以查殺，每次都可以在硬盤中殺掉一大堆，但無法徹底殺干凈，重啟系統(tǒng)后病毒又如同“特洛伊歸來”般浩浩蕩蕩。如果全怨殺毒軟件也實(shí)屬牽強(qiáng)，畢竟殺毒軟件沒有人工智能，像剛才這種病毒，在注冊(cè)表中到處留下激活機(jī)關(guān)，只要存在漏網(wǎng)之魚就有可能野火燒不盡了。

三、懷疑是病毒或明明知道是病毒，并且覺得殺毒軟件當(dāng)時(shí)的病毒特征庫(kù)已經(jīng)可以查殺該病毒的情況下，殺毒軟件卻無動(dòng)于衷地任系統(tǒng)感染上了病毒。這時(shí)暫且先別抱怨你手中的武器，最好先用殼掃描工具掃描一下病毒文件或可疑文件是否已經(jīng)過改造過或加了殼。如果確實(shí)有加殼，可先用脫殼工具將披在馬身上的羊皮給揭了再用殺毒軟件試試。