以前中过很多次的1KB病毒,这种病毒来源一般都是U盘,就是去打印店插个U盘,回来插自己电脑发现U盘中毒了. 中毒特征就是根目录下的所有文件夹都变成快捷方式,都只有1KB大小,而根目录下的文件和压缩包不会受到影响,实际上是原来的文件夹被隐藏了,只给一个有毒的快捷方式. 删除快捷方式是没用的,刷新一下就又出现了.但是这种病毒其实不是很严重,只是不能像平时那样双击文件夹来访问文件夹,我们可以在文件夹上面的路径地址栏输入我们要访问的文件夹的路径地址就可以访问被隐藏的文件夹. 虽然很麻烦,但是这种方法可以…

病毒症状进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击D:盘打不开,只能通过右击选择打开来打开.用kaspersky扫描可以扫描出来,并且可以杀掉.但是重启后又有两个lsass.exe进程.该病毒是一个木马程序,中毒后会在D盘根目录下产生command.com和autorun.inf两个文件,同时侵入注册表破坏系统文件关联.该病毒修改注册表启动RUN键值,指向LSASS.exe,修改HKEY_CLASSES_ROOT下的.exe,exefil…

症状:计算机里面出现一堆autorun为文件名称的文件,删除后出现找不到autorun.vbs的提示.我就打开当中的一个文件:Autorun.bat,内容例如以下: @echo off  //不显示系统提示符rem autorun风暴   //病毒名称:autorun风暴if exist ./autorun.reg regedit /s ./autorun.reg  //假设存在该文件夹下的autoun.reg注冊表文件写入注冊表if not "%1"=="" go…

病毒表现:网络流量暴满,疯狂地向香港的一个IP发数据,同时在top里面表现为随机的10位字母的进程,看/proc里面的信息,则为ls,cd之类常见的命令,CPU利用率也在top之首.杀死该进程后,会再随机产生一个新的进程. 查找步骤:一./proc/_pid/cmdline里面都是伪造的信息,ps显示的内容也一样,基本上为下面一些常见的命令,混淆管理员眼光查询线索,核验这一个,可以尝试把who等不常见的命令禁用执行权限,但随后却会发现该命令不停地出现在ps -Af里面: gnome-termin…

linux病毒查杀规范 一.病毒发现 1.ps -A.ps -ef.ps -aux查看是否有异常进程 2.last,lastlog命令可查看最近登录的帐户及时间 3.查看/var/log/messages(系统整体信息,包含启动等) , /var/log/secure(安全日志)./var/log/cron(cron定时任务). 二.文件定位 1.查看风险用户任务计划,文件/var/spool/cron/tabs/xx(用户) 2.几个经常被放置木马病毒的目录,/tmp, /var/tmp, /…

一. 病毒样本基本信息 样本名称:kspoold.exe 样本大小: 285184 字节 样本MD5:CF36D2C3023138FE694FFE4666B4B1B2 病毒名称:Win32/Trojan.Spy.a5e 计算机系统中了该病毒一个比较明显的特征就是U盘里的.doc..xls文件会被病毒隐藏起来,变成kspoold.exe病毒的载体文件,误导用户以为是原来的.doc..xls文件达到传播病毒的目的,用户运行该kspoold.exe的载体病毒以后,病毒母体kspoold.exe就会驻留…

前言 上传文件的时候发现总是失败,查看top发现有个进程一直cpu占用80%以上,而且名称还是随机数.kill之后,一会儿又重新生成了.突然发现居然没有在服务端杀毒的经历.在此处补齐. 安装clamav http://www.linuxdiyf.com/linux/18635.html http://www.linuxidc.com/Linux/2013-09/90021.htm http://www.linuxidc.com/Linux/2013-08/88981.htm 扫描 clamsca…

原理: 其实,这个是一种叫1KB病毒(也称之为快捷方式病毒.风暴一号)惹的祸,它是一种恶意的蠕虫病毒,执行以下恶意操作:1.当你的U盘放到一个已经被感染 的主机上时,主机(我的电脑)上的病毒体进程首先扫描你当前U盘分区内的所有文件,并将文件属性设置为隐藏,将病毒本体与U盘建立硬链接:2.建立与隐藏 文件相关的快捷方式,同时快捷方式的软连接也指向病毒本体(.vbs文件):3.在你将U盘放到新的一台主机时,当你打开U盘并点击打开快捷方式的时候. 你是可以打开你的文件,但是同时,这个快捷方式也会唤起病…

通过前面两篇博客,我们介绍了Linux系统的权限管理.Linux权限管理之ACL权限 介绍了通过设定 ACL 权限,我们为某个用户指定某个文件的特定权限,这在Linux只能对于一个文件只能有所有者权限,所属组权限和其他人权限时,设定 ACL 权限,能额外的为某个特定的用户设定权限.然后对于 文件系统系统属性chattr权限和sudo命令 ,chattr 命令能设定文件的系统属性,超级用户也能被限制,这个命令能更好的保护文件和目录不被破坏:而另一个命令 sudo,超级管理员赋予普通用户执行系统命令…

1 发现问题 在腾讯云上购买了一个centos7的服务器,平时用来练手,偶尔也安装一些程序进行测试,上面安装了mysql和redis,前段时间数据库经常掉线,连不上,到腾讯云后台进行查看,通过服务器实例的监控窗口,可以查看服务器的一些指标状态,包括CPU.内存.流量等数据,本来看到CPU使用超过了90%,然后用kill -9 pid,或者重启服务器,问题当时解决了,也就没有太注意,结果第二天发现,CPU的利用率又变成了90%以上,然后再杀进程. 刚杀完就出现新的进程,CPU利用率还是90%以上,…

我不知道你们遇到没,反正我是遇到了,现在我就把解决方法给你们,当然都是从网上整理下来的 这个失去焦点可以分为两种,一种是病毒,一种是系统自带的问题 首先你得知道自己的窗口被什么给挤掉了焦点 先看看这篇文章: 电脑无故失去焦点,罪魁祸首是谁?终极解决办法 里面有两个工具组合使用可以查看你的窗口被什么进程给顶掉了焦点,具体怎么使用里面有说明我就不赘述了. 我这里是一开始查询到到底是什么进程不停的抢我焦点. 开始看着着标题名字很耐人寻味,不是有人在耍我吧~,结果我就放入了ViewWizard (这个是…

概述 Linux环境下处理应急响应事件往往会更加的棘手,因为相比于Windows,Linux没有像Autorun.procexp这样的应急响应利器,也没有统一的应急响应处理流程.所以,这篇文章将会对Linux环境下的应急响应流程进行讲解,并且提供每一个环节中所用到的shell命令,以帮助大家快速.系统化地处理Linux环境下的病毒. 处理Linux应急响应主要分为这4个环节:识别现象-> 清除病毒-> 闭环兜底-> 系统加固. 首先从用户场景的主机异常现象出发,先识别出病毒的可疑现象.…

没办法,还是先打好基础吧 其实在我知道自己面试失败后,第一个想法就是将面试官问我的问题都总结出来,然后通过查权威的资料,找出所有问题的答案,背下所有的答案,大概过一到两个月吧,再面试金山.当时我是这么想,也是这么做的.其实在计算机安全方面,我的藏书还是比较丰富的,不过我藏书确实是在藏书,买了那么多,几乎就没看过,毕竟之前都是在看视频教程.我在总结面试官的问题的时候,惊讶地发现,他问我的那些问题,几乎都能够从书上找到完整的答案.如果我在面试之前,看过这些书,那么估计我通过第一轮的电话面试应该是没问…

博客链接:http://blog.csdn.net/qq1084283172/article/details/52493227 在Android系统的预装apk病毒和elf病毒的清除时,经常需要先获取root权限,再执行 "mount -o remount,rw /system" 命令修改系统分区属性为可写,然后才能将system/xbin.system/bin以及system/app下的病毒清除干净.在清除Android系统病毒的这个过程中,必须涉及到 mount修改Android系…

目录 排查用户相关的信息 排查进程端口相关的信息 查找恶意程序并杀掉 斩草除根 判断入侵方式,修复漏洞 当我们被告知一台Linux服务器被黑客入侵,黑客利用该服务器进行挖矿,并且在该服务器上放置了木马后门.现在我们需要对该服务器做排查,关闭和清除掉挖矿程序以及木马后门,探测出黑客是通过什么方式入侵该服务器的,并且最后要将该漏洞进行修补,以确保服务器的正常运行. 首先,当我们登陆主机后做的第一件事,应该先使用 history 查看主机的历史命令,虽然大部分黑客在入侵后会删除使用过的命令,但是不排除…

常见AutoCAD病毒(acad.fas.acad.lsp)清除方法 acad.fas.acad.lsp这两种病毒是最常见的CAD病毒了,而且往往同一时候出现.因为其本身对系统并不具备危害性,不过恶作剧程序罢了,因此大多数防病毒软件对它们不起作用,以下介绍手动删除方法. 第一步:查找硬盘.U盘内的 acad.fas.lcm.fas.acad.lsp.acadapp.lsp.acadappp.lsp 五个文件并删除干净(查找前请将显示隐藏和系统文件打开,这五个文件不一定同一时候出现.强烈建议使用T…

最近在浏览亚马逊, 京东的时候, 发现会自动弹出很多广告到浏览器, 其实是中了病毒MacOSDefender. 这个病毒非常烦人, 会在你浏览电商网页的时候拼命的打开广告页面, 而且还会弹出一些提示, 骗你授权safari和chrome给MacOSDefender. 清除的方法也比较简单, 不需要装什么杀毒软件, 按照下面的步骤就可以删除 方法: 该病毒的路径在: /Users/用户名/Library/Application Support/.dir/MacOSDefender.app 我们只要…

晚上睡觉之前为了下emule经常使用命令shutdown,最近受一个小程序影响想做个自动关机的批处理文件免的麻烦!网上有高手做了个,不过运行时出 现一个绑定错误,at也不能执行,所以后来自己做了简化版本!还用bat到exe的相关转换工具转换成了exe文件,效果还行! 后来又增加了电脑垃圾文件清除程序!2007-09-03日 把下面程序保存到.txt文件中,再把.txt改成.bat,双击直接运行 源代码: @ECHO offTITLE 操作无忧 Version1.3 作者:Jeffrey(GUET…

注:以下所有操作均在CentOS 7.2 x86_64位系统下完成. 今天突然收到“阿里云”的告警短信: 尊敬的****:云盾云安全中心检测到您的服务器:*.*.*.*(app)出现了紧急安全事件:挖矿程序,建议您立即登录云安全中心控制台-安全告警查看事件详情,并根据事件建议的方案进行处理. 于是登上“云盾云安全中心”查看,发现安全提示: 点进去查看详细信息: 网上查了下,发现这是一款在Linux/Windows双平台的挖矿病毒木马,该木马是通过Redis漏洞传播的挖矿木马DDG的变种,使用Go…

[作者:byeyear    邮箱:byeyear@hotmail.com    转载请注明] 前两天公司信息安全处通知我的计算机存在永恒之蓝漏洞并已被病毒感染,使用多方杀软及专杀工具均无法有效清除,遂设法进行手工清除. 在被感染计算机上进行分析,对比被感染计算机和未感染计算机系统目录内容,初步测试后可确定该病毒较为明显的特征如下: 在Windows目录下建立文件夹NetworkDistribution,该目录下存放的是进行感染所需的文件,感染完成后不再需要: 在Windows\system32…

关于这个explorer.exe病毒.是眼下xp最为常见的一个病毒,会大量的消耗系统资源,造成电脑特别的卡顿. 1.关闭还原(假设没有,则跳过),为的是防止我们改动后,还原之后又回来了. 2.打开注冊表.   win + R 键(或者 点击 開始-->执行) 然 输入regedit 并敲回车.这样就能够打开注冊表了. 3.在注冊表编辑器窗体中,须要将下面的几个路径中的几个文件删除掉:         [HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46…

<Windows Azure Platform 系列文章目录> 1.之前客户遇到了Azure Linux CPU 100%,症状如下: 2.SSH登录到Linux,查看crontab,有从pastebin.com平台下载未知文件的行为 3.查看/usr/sbin目录,查看有可疑的目录 4.查看相关的文档,发现这个是一个比特币挖矿病毒,我们搜索到Github上的杀毒脚本 https://github.com/MoreSecLab/DDG_MalWare_Clean_Tool/blob/maste…

一.服务器感染了kthrotlds挖矿病毒 [root@51yt bin]# cd /bin/ [root@51yt bin]# wget https://busybox.net/downloads/binaries/1.30.0-i686/busybox [root@51yt bin]# busybox 然后使用命令 busybox top 可以查看到 到底是谁在吃服务器资源 [root@51yt bin]# busybox top   二.首先停掉定时服务,不然木马会很快下载复制 servi…

不久前,笔者打开word文件时遇到了一件离奇的怪事,常用的Word文件怎么也打不开,总是出现提示框:"版本冲突:无法打开高版本的word文档".再仔细查看,文件夹里竟然有两个名字一模一样的word文件!试着查看文件的扩展名也不行,看来笔者遭遇了"word文档杀手"病毒. 这个病毒会搜索U盘等移动存储设备和网络驱动器上的Word文档,并试图用自身来覆盖找到的Word文档,以达到传播的目的,同时也破坏了原有文档的数据.当用户误点击经过伪装的病毒后,病毒就会发作,先将硬盘…

1.top查看资源使用情况 看到这些进程一直在变化,但是,主要是由于kswapd0进程在作怪,占据了99%以上的CUP,查找资料后,发现它就是挖矿进程 2.排查kswapd0进程 执行命令netstat -antlp | grep kswapd0 查询该进程的网络信息 netstat -antlp | grep 194.36.190.30 发现只有这一个进程(当然,很有可能还会有其他进程) 3.查找进程的详细信息 我们来到/proc/目录下查找对应的pid号,即/proc/497.可以在这目录下…

android手机作为开源系统非常容易感染病毒,有时候我们会经常遇到手机QQ登录时检测到app被感染,一般情况是由手机感染病毒所引起的,安装腾讯管家后只能检测病毒和卸载感染病毒的软件,不能清除病毒.解决办法:卸载感染的app重新安装.…

不死鸟作为希腊神话中的一种怪物,拥有不断再生的能力,每当寿限将至时,它会在巢穴中自焚,并在三天后重新复活.就在近期,安天AVL移动安全团队和小米MIUI安全中心发现了病毒界的“不死鸟”,其顽固程度之深,用户很难通过常规的卸载手段清除该病毒. 这款病毒名为Fushicho,一旦运行,它首先会通过一系列手段攻击手机的“免疫系统”:联网下载root工具对用户手机进行提权处理,进一步根据文件中的sql语句将自身插入某知名杀毒软件白名单中,并通过“pm disable”命令禁用某知名杀毒软件,致使手机安全…

恶意木马病毒横行,您的钱包还hold得住吗?猎豹移动安全实验室与安天AVL移动安全团队于2015年下半年,共同截获一款名为Client的木马病毒,并且对该病毒进行持续监测.通过进一步关注,我们发现该病毒在2016年1月呈爆发式增长,病毒样本量以及传播范围迅速扩大.截止到目前,仅猎豹移动安全实验室与安天AVL移动安全团队监控到的该病毒样本量已达8万多个,累计感染全国超过7万的用户终端设备! 一.Client病毒发展态势分析 1.1国内感染量超7万(每日活跃设备量),且仍在增长. 1.2 感染范围遍…

计算缓存文件大小 - (void)getCacheSize { // 总大小 unsigned long long size = 0; // 获得缓存文件夹路径 NSString *cachesPath = NSSearchPathForDirectoriesInDomains(NSCachesDirectory, NSUserDomainMask, YES).lastObject; NSString *dirpath = [cachesPath stringByAppendingPathCom…

U盘中的文件都变成.exe可执行文件是怎么回事?告诉你,你的U盘中病毒了,那么如何清除呢?小编现在就告诉你几个简单方法,轻松就能搞定U盘中病毒问题. 方法1: (1)首先使用杀毒软件把U盘杀杀毒,除去电脑中那些.exe执行病毒 (2)用记事本新建一个文本,然后输入Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Fo…