- 第 3 页 -
ntvdm.exe
进程文件: ntvdm 或者 ntvdm.exe
进程名称: Windows 16-bit Virtual Machine
描述:
ntvdm.exe是Windows 16位虚拟机的一部分。该进程用于使16位的进程能够运行在32位的系统环境下。这个程序对你系统的正常运行是非常重要的。
出品者: Microsoft Corp.
属于: Windows
系统进程: 是
后台程序: 是
使用网络: 否
硬件相关: 否
常见错误: 未知N/A
内存使用: 未知N/A
安全等级 (0-5): 0
间谍软件: 否
Adware: 否
广告软件: 否
木马: 否
进程文件: ntvdm 或者 ntvdm.exe
进程名称: Windows 16-bit Virtual Machine
描述:
ntvdm.exe是Windows 16位虚拟机的一部分。该进程用于使16位的进程能够运行在32位的系统环境下。这个程序对你系统的正常运行是非常重要的。
出品者: Microsoft Corp.
属于: Windows
系统进程: 是
后台程序: 是
使用网络: 否
硬件相关: 否
常见错误: 未知N/A
内存使用: 未知N/A
安全等级 (0-5): 0
间谍软件: 否
Adware: 否
广告软件: 否
木马: 否
有一些它显示隔离,意思是删不掉的木马还是怎么一回事?
有一些木马就显示可以删掉
开始进行全盘扫描:...
系统事件:已发现木马!
木马名称:GateCrasher v1.0 - 1.2.95
木马路径:C:\Program Files\Magix\Samplitude_V8_professional\explore.exe
处理方式:隔离 成功
发现日期:2006年7月24日
系统事件:已发现木马!
木马名称:Adware.Yassist.18424
木马路径:C:\Program Files\浩方对战平台\cga2_cns_yassist.exe
处理方式:删除 成功
发现日期:2006年7月24日
系统事件:已发现木马!
木马名称:HackerTool.Killapp.B.5167
木马路径:C:\WINDOWS\system32\KILLAPPS.EXE
处理方式:删除 成功
发现日期:2006年7月24日
有一些木马就显示可以删掉
开始进行全盘扫描:...
系统事件:已发现木马!
木马名称:GateCrasher v1.0 - 1.2.95
木马路径:C:\Program Files\Magix\Samplitude_V8_professional\explore.exe
处理方式:隔离 成功
发现日期:2006年7月24日
系统事件:已发现木马!
木马名称:Adware.Yassist.18424
木马路径:C:\Program Files\浩方对战平台\cga2_cns_yassist.exe
处理方式:删除 成功
发现日期:2006年7月24日
系统事件:已发现木马!
木马名称:HackerTool.Killapp.B.5167
木马路径:C:\WINDOWS\system32\KILLAPPS.EXE
处理方式:删除 成功
发现日期:2006年7月24日
艾挖,先问你一个问题是否忽略了一个问题:
当EWIDO扫描后,会列出所有查到的木马,而每个木马后面都有操作方式给你选择:清除、删除、隔离、忽略等...
你的那些木马默认选项就是隔离,而你自己可以更改为其他操作方式。选择完毕后,一定要点“应用所有操作(Apply All Actions )”这个按钮,按了之后,木马操作才会被处理(对应的项目会标示“已处理(Done)”),只有打钩了才是真正的操作。如果你直接关闭界面而忘记按了“应用所有操作”按钮,EWIDO根本不会进行任何处理,这样你下次扫描会再次查出木马。
接下来的问题,我们再慢慢来,别急,我们会尽量帮你想办法....
[ 本帖最后由 elunxp 于 2006-9-29 04:02 编辑 ]
当EWIDO扫描后,会列出所有查到的木马,而每个木马后面都有操作方式给你选择:清除、删除、隔离、忽略等...
你的那些木马默认选项就是隔离,而你自己可以更改为其他操作方式。选择完毕后,一定要点“应用所有操作(Apply All Actions )”这个按钮,按了之后,木马操作才会被处理(对应的项目会标示“已处理(Done)”),只有打钩了才是真正的操作。如果你直接关闭界面而忘记按了“应用所有操作”按钮,EWIDO根本不会进行任何处理,这样你下次扫描会再次查出木马。
接下来的问题,我们再慢慢来,别急,我们会尽量帮你想办法....
[ 本帖最后由 elunxp 于 2006-9-29 04:02 编辑 ]
关于杀毒软件或者杀木马软件,都有清除、删除、隔离、忽略等等关键选项,这些选项的意思是:
清除:当病毒感染了你的正常文件(就是你有用的文件被鬼上身了)后,杀毒软件会试图从正常文件中抽取里面的病毒代码,然后除掉那个“多余的”代码,那个文件就恢复了正常。但是,并不是所有东西都能这样修复的,一旦不能修复,杀毒软件会推荐隔离整个文件到隔离区以便日后等待你的其他处理。
删除:这个操作是直接删除被感染的文件,也就是野蛮方式,采取这种方式的结果就是你那个染毒的正常文件连同病毒都会直接被杀毒软件干掉,如果那个文件是非常重要的系统文件,系统将出错甚至崩溃;如果那个文件是你的珍贵资料(如财务资料),一定要谨慎使用那个删除功能。
隔离:前面我已经说明了“删除”是野蛮操作,如果删了重要文件,会出严重后果,比如正常的系统目录下的explorer.exe是资源管理器以及任务栏,如果它被删除了,你将打开不了“我的电脑”以及任务栏消失。所以,杀毒软件会提供隔离功能,这个功能是把这个被感染的文件移动并改名到隔离区,这样就暂时保住你的资料(连同病毒),这样你还有还原资料的机会,至于病毒,日后再想办法处理。
忽略:这种操作就是,你如果觉得杀毒软件是误判的话,你就使用忽略操作,杀毒软件将放过这个被“冤枉”的文件。
对于,你提到的
C:\Program Files\Magix\Samplitude_V8_professional\explore.exe
我发现这个东西看起来很像是资源管理器,但是仔细一看对比:资源管理器正确的应该是explorer.exe,并且应该在系统盘的system32目录内,而你的那个少了一个字母变成了explore.exe,伪装得太那个了... 我记得explore.exe应该是“灰鸽子”的一个特征,不会是你被黑客直接把灰鸽子藏在你的Samplitude目录内了吧?
灰鸽子本身是一种远程控制服务软件,但在某些人改装后就成一个非常危险的服务端之一,一旦植入你的系统并运行了就可以释放木马,窃取资料是很容易的事情。
当然我的判断也是业余的,你最好用“灰鸽子专杀”工具来扫描一下看看....
[ 本帖最后由 elunxp 于 2006-9-28 23:10 编辑 ]
清除:当病毒感染了你的正常文件(就是你有用的文件被鬼上身了)后,杀毒软件会试图从正常文件中抽取里面的病毒代码,然后除掉那个“多余的”代码,那个文件就恢复了正常。但是,并不是所有东西都能这样修复的,一旦不能修复,杀毒软件会推荐隔离整个文件到隔离区以便日后等待你的其他处理。
删除:这个操作是直接删除被感染的文件,也就是野蛮方式,采取这种方式的结果就是你那个染毒的正常文件连同病毒都会直接被杀毒软件干掉,如果那个文件是非常重要的系统文件,系统将出错甚至崩溃;如果那个文件是你的珍贵资料(如财务资料),一定要谨慎使用那个删除功能。
隔离:前面我已经说明了“删除”是野蛮操作,如果删了重要文件,会出严重后果,比如正常的系统目录下的explorer.exe是资源管理器以及任务栏,如果它被删除了,你将打开不了“我的电脑”以及任务栏消失。所以,杀毒软件会提供隔离功能,这个功能是把这个被感染的文件移动并改名到隔离区,这样就暂时保住你的资料(连同病毒),这样你还有还原资料的机会,至于病毒,日后再想办法处理。
忽略:这种操作就是,你如果觉得杀毒软件是误判的话,你就使用忽略操作,杀毒软件将放过这个被“冤枉”的文件。
对于,你提到的
C:\Program Files\Magix\Samplitude_V8_professional\explore.exe
我发现这个东西看起来很像是资源管理器,但是仔细一看对比:资源管理器正确的应该是explorer.exe,并且应该在系统盘的system32目录内,而你的那个少了一个字母变成了explore.exe,伪装得太那个了... 我记得explore.exe应该是“灰鸽子”的一个特征,不会是你被黑客直接把灰鸽子藏在你的Samplitude目录内了吧?
灰鸽子本身是一种远程控制服务软件,但在某些人改装后就成一个非常危险的服务端之一,一旦植入你的系统并运行了就可以释放木马,窃取资料是很容易的事情。
当然我的判断也是业余的,你最好用“灰鸽子专杀”工具来扫描一下看看....
[ 本帖最后由 elunxp 于 2006-9-28 23:10 编辑 ]
原帖由 恋 于 2006-9-28 11:50 发表
还有个问题就是我现在已经中了木马,这时候在打补丁还有用吗?
比如说楼上的朋友说,假如中了魔鬼波,不打补丁也会被侵入.哪怕不浏览网页.可是现在已经侵入我了,我在打上微软的一些补丁,还好用吗?
我记得VOL版是可以在线升级的,只是不许手动.为了速度.
微软的所有关键更新补丁都是至关重要的补丁,这些一定要打!那些说打安全补丁系统会不稳定的人就是胡扯,请不要相信那些屁话。我和马老师(mjmidi)一直都是全部打补丁,马老师已经靠他的电脑制作了很多优秀作品,从来都没有出现任何问题。为了测试软件,我安装了几乎所有音频工作站软件和插件,正版的有(10%),盗版的也有(90%
),声卡有好几块,完全都没有任何问题,如果你的系统已经是SP2,那么,你还要打的补丁至少还有超过67个以上(太多了,我眼花数不过来),如果不够67个关键安全更新,就请全部补齐。关键更新一般用KBXXXXX的方式来命名的。这些补丁安装后都放在系统目录内,同时也备份副本在C:\WINDOWS\目录下,每个副本都有一个以$开头的隐藏属性文件夹进行保存(比如:$NtUninstallKB921883$ 文件夹就是KB921883针对魔鬼波的补丁备份副本)。这些副本提供更新反悔或者重新进行修补的功能。
当然,有些盗版(零售版的破解盗版)在在线更新后的结果:就是被提示重新激活同时激活过期很久了,系统被锁。这种盗版是不能使用更新的,如果你还在用这种类型的盗版,请把那张光盘给丢出窗口(别砸到人挖
)。只有VOL批量授权版(不论正版还是盗版)才可以放心使用自动更新功能,而且不管你的批量许可密钥匙是否是微软的封杀范围,都可以使用自动更新功能。所谓自动更新是指:你在控制面版内选择“自动更新”,然后选择绿色的盾牌,这样系统会启用Auto Update服务,这个服务是后台的,当系统在微软网站发现了关键更新,系统会自动下载,任务栏托盘会出现黄色盾牌。当然,更新服务还有一种方式是:Windows Update,这种服务是提供给正版操作系统的用户使用的,只要你的VOL系统的批量许可密钥匙(VLK)被微软判定为合法的序列号,就能使用 Windows Update服务,这种服务可以手动选择更新关键更新以及免费的增值服务(如:播放器、编码器等)。但如果你的VOL系统的批量许可密钥匙(VLK)被微软判定为盗版序列号(一般是那些网上大量泄露的VLK序列号),将无法使用Windows Update,但是可以使用Auto Update服务。
魔鬼波、冲击波、振荡波,这些都是利用漏洞入侵的蠕虫,如果这些蠕虫检测到有漏洞的电脑,将试图入侵攻击,攻击成功后就有植入木马的机会,但是如果攻击失败,也可能会强制导致关闭你的某个服务(如:冲击波)导致你对应功能的服务失效而出现形如“倒计时关机”等问题。
如果你打了魔鬼波、冲击波(SP2自带)、振荡波(SP2自带)对应的补丁,漏洞被修补,这些蠕虫就无法攻击你的这些漏洞,自然就失效了,无需担心。
再次声明:我是业余的,我的观点仅仅为一个参考。
..
[ 本帖最后由 elunxp 于 2006-9-29 00:00 编辑 ]