电脑中了zpx520怎么办

　　最近很多网友举报http://www.zpx520.com散播病毒，用户中招后极难清除，反复感染。整个浏览器都被劫持，严重影响系统的正常运行。

　　恶意链接：http:// www.zpx520.com/0.htm
　　投诉人数：519
　　危害程度 ★★★★★
　　IP地址： 60.190.118.7
　　树树随后展开调查，输入http://www.zpx520.com 后出现403错误，该页无法显示，然而这往往是流氓网站惯用的“障眼法“。直接敲入www.zpx520.com/0.htm 防毒软件报警，查看源代码发现调用了http://q.zpx520.com/1.htm ，于是来到该页又发现病毒，查看源码调用了http://w.zpx520.com/0.exe，下载后杀毒软件检测为Win32.HTML.Autoruner。
　　深入调查后发现感染此病毒后会劫持IE浏览器并实施ARP攻击，致使打开任何网页前都会先加载该恶意页面重新被挂马。这也就是为什么很多读者反映每开启一个网页杀毒软件都会报警的原因。
　　解决方法：处于局域网中的用户先安装MS07-017补丁，屏蔽此域名及IP地址。然后断开各自网线，进入安全模式，清空临时文件夹用杀毒软件全盘查杀，再用360安全卫士全面修复系统及浏览器。wWw.ItCompuTer.cOm.cn
本周其他流氓网站
12706.com
　　恶意链接：http://down.12706.com/soft/Install.exe
　　投诉人数：340
　　危害程度：★★★★
　　IP地址：222.73.246.50
　　该网站是流氓软件仓库，首页无法访问却在网站目录中存放流氓软件。
　　解决方法：在IE受限访问地址中屏蔽此域名及IP地址，使它无法向此地址更新恶意插件。
新人类影院
　　恶意链接：http://laji.xrlyy.com
　　举报人数：269
　　危害程度：★★★☆
　　IP地址：60.175.162.13
　　利用MS07-017系统漏洞，攻击系统。同时弹出大量广告窗口。
　　解决方法：安装MS07-017补丁，屏蔽此域名及IP地址。删除IE临时文件夹，进入安全模式用杀毒软件查杀。

 
电脑自动倒计时关机

　　读者来信：这两天我的系统不知道是什么原因，常常会不定时地弹出一个Limit计时器，倒数15分钟就自动关机。其间任务管理器和注册表编辑器都打不开，杀毒软件也查不出是什么病毒。冲击波、震荡波的专杀工具我也用了，同样没有解决问题。
　　最后没有办法了，只得重装操作系统。可是每次重装后又出现倒计时，请问《电脑报》的安全专家，是什么原因造成15分钟倒计时关机的？为什么重装系统后又很快出现了？

　　安全专家：从读者来信中我们知道，他碰到了15分钟倒计时关机的情况，这是因为操作系统受到了“五月莉娜”计算机病毒的侵害。“五月莉娜”病毒因为很多人对它都不甚了解，网上也只有很少的介绍，所以用户很难找到它的清除方法，更不用说有什么专杀工具可以使用。
　　一旦中了“五月莉娜”病毒，系统目录中的一些重要文件就会被替换，比如任务管理器、注册表管理器、系统配置程序，以及命令提示符等等。其实该病毒还是属于现在非常流行的闪存盘病毒这一个大类，通过闪存、移动硬盘等移动设备来进行传播。
　　不过本报第31期讲的闪存盘病毒通用解决方案在这里就不完全有用了，因为该病毒除了可以利用移动设备进行传播外，还可以利用网页木马等其他方式来进行传播。再加上其他磁盘目录里面“五月莉娜”残留的病毒存在，因此用户很容易在重新安装系统后再次被感染。
　　另外，“五月莉娜”病毒和其他的闪存盘病毒还有所差别的是，该病毒并不会在右键菜单多出一个“Auto”命令，因此也很难让用户发现隐藏在该目录下的病毒文件。正是这样的原因造成了上面那位读者多次重装系统，才勉强将病毒从系统成功清除。
“五月莉娜”完全清除方案
方法一：菜鸟清除法
　　首先重新安装系统，完成后不要立即打开任何磁盘。点击开始菜单中的“运行”命令输入“CMD”，然后在弹出的命令提示符窗口中执行“attrib autorun.inf -s -h -r”，这样做是为了去除该文件的隐藏等属性内容。
　　最后再在窗口中执行“del autorun.inf”和“del limit.exe”就可以了（图1）。需要特别注意的是，对所有的磁盘分区都要这样操作，要不然病毒又会自动感染其他的磁盘分区。

方法二：老鸟操作法
　　首先重新启动系统(该方法不用重装系统)，并按F8进入安全模式。接着利用《冰刃》等安全工具删除所有磁盘分区下的autorun.inf和Limit.exe等病毒文件，删除c:\windows下的regedit.exe文件夹和图标为批处理的一个可执行文件MSCONFIG.EXE（图2）。

　　删除c:\windows\system32下的cmd.exe文件夹、command.exe文件夹、taskmgr.exe文件夹，删除c:\windows\system32\dllcache下生成的cmd.com、cmd.exe、regedit.com、regedit.exe、command.com、command.exe等文件夹，这种对系统重要文件进行替换正是很多系统工具无法使用的原因。
　　再打开注册表编辑器，先在启动项中删除空白的项目MSCONFIG.EXE，接着在注册表中分别搜索msconfig、Limit等关键字，然后将查找到的所有可疑的注册表项目和它对应键值统统删除。
　　然后从其他干净的操作系统中复制regedit.exe、taskmgr.exe、msconfig.exe、cmd.exe等文件到系统中，再利用Copy命令复制到以前的位置，例如copy c:\cmd.exe c:\winedows\system32。
　　最后重新正常启动后发现系统已经恢复正常，有时系统会跳出Windows修复程序，将系统安装盘插入到光驱后即可自动修复。
编辑观点：安装闪存病毒防御软件
　　由于“五月莉娜”病毒清理起来还是比较棘手的，所以这里用户可以根据自己的实际情况来选择一种清除方法。如果你对系统操作不熟，就通过第一种方法来解决；如果你对系统操作很熟练，第二种方法应该更适合你。
　　此外，还需要为操作系统安装MS06014和MS07017两个漏洞补丁。建议安装闪存病毒防御安全工具。例如《Autorun病毒防御者》（下载地址：http://www.cpcw.com/bzsoft/），具体工具选择可以参考《电脑报》第32期《4款闪存杀毒软件综合能力测试》。

 
如何删除电脑中隐藏的木马

　　木马在互联网上肆虐，我们一不小心就会成为黑客手中的肉鸡。到时自己的电脑成为被黑客控制的傀儡，而且自己的个人隐私也完全暴露。拒绝黑客控制，我的电脑我做主。在五一节后这一黑客大肆捕获肉鸡的时段开始了，我们针对木马特点，用4招自检避免成为黑客肉鸡。
　　小知识：肉鸡实际上就是中了黑客的木马，或者被安装了后门程序的电脑。黑客可以像计算机管理员一样对肉鸡进行所有操作。现在许多人把有WEBSHELL权限的远程主机也叫做肉鸡。
第一招：系统进程辨真伪
　　当前流行的木马，为了更好地对自身加以隐藏，使用了很多方法进行自身隐蔽，其中最常见的就是进程隐藏。这种方法不仅让人很难通过常见的检查手法查找到，如果用户操作不当的话还可能将系统进程删除，造成系统不稳定甚至崩溃。常见的这类木马程序包括灰鸽子、守望者、上兴木马等。
自检方法
　　黑客为了对木马进行更好的伪装，常常将木马名称设置得和系统进程名称十分相似。通常系统进程都是有System用户加载的，如果我们发现某个“系统进程”是由当前用户加载的，那么这个“系统进程”一定有问题。
　　另外我们也可以从系统进程的路径来进行分辨，比如正常的系统进程svchost.exe应该在“c:\Windows\system32”目录下，如果用户发现它的路径在其他目录下就表明该进程有问题。
　　除此以外，现在的木马很注意对自身服务端程序的保护，我们通过“任务管理器”很可能查看不到木马的服务端进程，因为木马程序通过线程插入等技术对服务端程序进行了隐藏。
　　在这里树树建议大家使用IceSword（下载地址：http://download.cpcw.com）对进程进行管理。它除了可以查看各种隐藏的木马后门进程，还可以非常方便地终止采用多线程保护技术的木马进程。
　　进入IceSword点击“文件→设置”命令，去掉对话框中的“不显示状态为Deleting的进程”选项。点击程序主界面工具栏中的“进程”按钮，在右边进程列表中就可以查看到当前系统中所有的进程，隐藏的进程会以红色醒目地标记出（图1）。　　
　　另外，如果发现多个IE进程、Explore进程或者Lsass进程，那么我们就要留意了。因为很多木马都会伪装成这几个进程访问网络。
应对方法
　　在IceSword的进程列表中选择隐藏的木马程序，点击鼠标右键中的“强行结束”命令即可结束这个进程。然后点击IceSword的“文件”按钮，通过程序模拟的资源管理器命令，找到并删除木马程序的文件即可。]
第二招：启动项中细分析
　　一些木马程序通过系统的相关启动项目，使得相关木马文件也可以随机启动，这类木马程序包括TinyRAT、Evilotus、守望者等。
检方法
　　运行安全工具SysCheck（下载地址：http://download.cpcw.com），点击“服务管理”按钮后即可显示出当前系统中的服务信息，如果被标注为红色的就是增加的非系统服务。通过“仅显示非微软”选项就可以屏蔽系统自带的服务，这样恶意程序添加的服务项就可以立刻现形。
　　点击“修改时间”或“创建时间”选项，就可以让用户马上查看到新建的系统服务（图2）。从图中我们可以看到一个被标注为红色、名称为Windows Media Player的系统服务，该服务所指向的是一个不明程序路径。因此可以确定该服务就是木马程序的启动服务。
　　通过安全工具SysCheck的“活动文件”项目，可以显示出包括启动项等信息在内的、容易被恶意程序改写的系统注册表键值。比如现在某些恶意程序，通过修改系统的“load”项进行启动，或者修改系统的BITS服务进行启动。由于SysCheck程序只是关注改写了的键值，所以在不同的系统上显示的内容并不一样。
应对方法
　　进入SysCheck点击鼠标右键中的“中止服务”选项，中止该木马程序的启动服务，接着点击“删除服务”命令删除指定的服务键值。然后点击“文件浏览”按钮，由于SysCheck采用了反HOOK手段，所以内置的资源管理器可以看到隐藏的文件或文件夹，这样就方便了我们进行隐藏文件的删除工作。按照木马服务所指的文件路径，找到文件后点击鼠标右键中的“删除”按钮即可。
第三招：系统钩子有善恶
　　木马程序之所以能成功地获取用户账号信息，就是通过钩子函数对键盘以及鼠标的所有操作进行监控，在辨别程序类型后盗取相应的账号信息。也就是说，只要拥有键盘记录功能的木马程序，就肯定会有系统钩子存在。
自检方法
　　通过游戏木马检测大师（下载地址：http://download.cpcw.com）的“钩子列表”功能，可以显示系统已经安装的各种钩子，这样可以显示出当前网络中流行的主流木马。
　　点击“钩子列表”标签进行钩子信息的查看，并且不时点击鼠标右键中的“刷新”命令对系统钩子进行刷新。因为木马程序只有在键盘记录的时候才会启用钩子，如果大家中了木马，那么很快就会在列表中有所发现了。在本例中一个名为WH_JOURNALRECORD可疑的钩子被程序以显著颜色标记出来（图3）。
　　这个钩子是用来监视和记录输入事件的，黑客可以使用这个钩子记录连续的鼠标和键盘事件。在此时，我们就应该引起重视，不要再使用QQ等需要输入密码的程序。
应对方法
　　清除方法比较简单，只要记录下动用系统钩子的进程PID，通过PID值找到该木马程序的进程后结束该进程，再输入“Regedit”打开注册表编辑器，并点击“编辑”菜单中的“查找”命令，在此窗口搜索该木马程序进程的相关消息，将找到的所有信息全部删除。
　　重新启动计算机，只要在安全模式下删除系统目录中的木马文件信息即可。当然也可以通过前面几种方式进行相互检测，这样可以更加有效地清除系统中的木马程序。
第四招：数据包里藏乾坤
　　现在，越来越多的木马程序利用了Rootkit技术。Rootkit是一种集合了系统间谍程序、病毒以及木马等特性的一种恶意程序，它利用操作系统的模块化技术，作为系统内核的一部分进行运行，有些Rootkits可以通过替换DLL文件或更改系统来攻击Windows平台。
自检方法
　　同样我们还是使用游戏木马检测大师这款程序，利用它的“发信检测”功能来判断自己的系统中是否被安装了木马程序。在使用该功能以前，首先需要判断系统的网卡是否工作正常。
　　我们关闭其他一切会扰乱网络数据捕捉的程序，然后去除“只捕获smtp发信端口（25）和Web发信端口（80）”选项，点击“开始”按钮就可以进行数据包的捕捉。如果这时捕捉到有数据包发出，就证明自己的系统中存在木马程序。
　　根据木马程序连接方式的不同，捕捉到的数据信息也不尽相同，但是捕捉到客户端程序的IP地址还是没有问题的（图4）。用过嗅探器的朋友都知道，我们可以通过设置过滤病毒特征数据包来发现蠕虫病毒，当然这种方法需要一定的相关知识，这里就不再叙述了。
应对方法
　　对于这种利用Rootkit技术的木马程序，可以直接通过一些Rootkit检测工具进行查看。比如检测工具Rootkit Detector（下载地址：http://download.cpcw.com），它通过程序内置的MD5数据库，来比较所检测到的Windows 2000/XP/2003 系统全部服务和进程的MD5校验值，这样就可以检测出系统下的Rootkit程序。
　　在命令提示符窗口运行命令：rd.exe，程序会自动对当前系统进行检测。程序首先会统计出系统中服务的数目、当前的进程，以及被隐藏的进程，并且将系统当前的进程用列表显示出来，然后进入安全模式进行删除即可。
常见木马以及病毒专杀工具
　　在这里，我们向大家提供能速杀流行木马以及病毒的专杀工具。我们可以根据需要，搭配使用这些专杀工具，让自己的电脑更加安全。