本文目录一览:
- 1、病毒随系统自动启动或自动加载的方式还有哪些?
- 2、木马如何实现开机自动运行
- 3、目前大部分木马病毒经常用到的启动加载方式是哪些?
- 4、木马有几种启动方式?
- 5、让电脑自动重启的病毒有哪些,都要怎么解决
- 6、木马病毒得一些启动条件有什么
病毒随系统自动启动或自动加载的方式还有哪些?
我们一起来看看木马常用的激活方式。
在Win.ini中启动
在Win.ini的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果后面跟着程序,比如:
run=c:windowsile.exe
load=c:windowsile.exe
这个file.exe很可能就是木马程序!
修改文件关联
修改文件关联是木马们常用手段(主要是国产木马,老外的木马大都没有这个功能),比方说正常情况下TXT文件的打开方式为 Notepad.exe文件,但一旦中了文件关联木马,则TXT文件打开方式就会被修改为用木马程序打开,如著名的国产木马冰河。“冰河”就是通过修改 HKEY_CLASSES_ROOT xtfileshellopenmmand下的键值,将“C:WINDOWSNOTEPAD.EXE %1”改为“C:WINDOWSSYSTEMSYSEXPLR.EXE %1”,这样当你双击一个TXT文件,原本应用Notepad打开该文件的,现在却变成启动木马程序了,好狠毒哦!请大家注意,不仅仅是TXT文件,其他诸如HTM、EXE、ZIP、COM等都是木马的目标,要小心喽。对付这类木马,只能经常检查HKEY_CLASSES_ROOT文件类型 shellopenmmand主键,查看其键值是否正常。
捆绑文件
实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows 启动均会启动木马。
在System.ini中启动
System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的隐蔽加载之所,木马通常的做法是将该句变为这样:shell=Explorer.exe file.exe,注意这里的file.exe就是木马服务端程序!
另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径程序名”,这里也有可能被木马所利用。
再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,它们起到加载驱动程序的作用,但也是添加木马程序的好场所。
利用注册表加载运行
如下所示的注册表位置都是木马喜好的藏身之处,赶快检查一下,有什么程序在其下:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值;
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值;
HKEY_USERS.DefaultSoftware
MicrosoftWindowsCurrentVersion下所有以“run”开头的键值。
在Autoexec.bat和Config.sys中加载运行
请大家注意,在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽,容易被发现。所以在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心。
在Winstart.bat中启动
Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件,它也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按[F8]键再选择逐步跟踪启动过程的启动方式得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在 Autoexec.bat中那样被加载运行。
“反弹端口”型木马的主动连接方式
什么叫“反弹端口”型木马呢?我经过分析防火墙的特性后发现:大多数的防火墙对于由外面连入本机的连接往往会进行非常严格的过滤,但是对于由本机发出的连接却疏于防范(当然有的防火墙两方面都很严格)。于是,与一般的木马相反,“反弹端口”型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口,当要建立连接时,由客户端通过FTP主页空间告诉服务端:“现在开始连接我吧!”,并进入监听状态,服务端收到通知后,就会开始连接客户端。为了隐蔽起见,客户端的监听端口一般开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似“TCP 服务端的IP地址: 1026,客户端的IP地址:80 ESTABLISHED”的情况,稍微疏忽一点你就会以为是自己在浏览网页。防火墙也会如此认为,大概没有哪个防火墙会不给用户向外连接80端口吧。这类木马的典型代表就是“网络神偷”。由于这类木马仍然要在注册表中建立键值,因此只要留意注册表的变化就不难查到它们。
木马如何实现开机自动运行
你好,木马要实现开机启动,有数种途径,最常见的是注册表,主要涉及到的注册表子键有HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run、RunOnce、RunServices子键右侧窗口中的键值,HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run、RunOnce、RunServices子键右侧窗口中的键值,容易涉及到映像劫持的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options子键下的各个子键,尤其是涉及到杀毒软件名称及重要HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks子键右侧窗口中的键值,及HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon中的Userinit键值也是容易被篡改的对象,如果是XP系统,还要提防HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows右面窗口中的AppInit_Dlls键值内容是否被篡改,这个键值内容默认为空。有些是以驱动程序形式进行加载,不过这些都难不倒腾讯电脑管家,你在“杀毒”选项中点击闪电查杀之时,电脑管家就会自动扫描这些系统关键位置,发现可疑注册表项目就会提示你进行修复。当然,一旦感觉可能中了病毒木马,最好是点击一下全盘查杀,将其它位置的文件也一并检查了。当然,你也可以自行在电脑管家的“电脑加速”中点击启动项查看,发现可疑的可以直接将其设置到已禁用。
还有是加载到服务项中,其实这也是涉及到注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentContrlset\Services子键下的各个子键,只是这里面的东西实在太多,不能随便删除,操作不当的话,你的电脑就瘫痪了。你可以在电脑管家的电脑加速中点击服务项,仔细查看可疑的服务项,将其设置为已禁用。
木马的启动项还可能会加载到计划任务中,你在电脑管家的电脑加速中点击计划任务,也同样可以查看可疑的计划任务项并设置为已禁用。
不过木马的模块也可能会插入到系统进程,如Explorer.exe中以实现自身的自动启动,遇有这种文件,你可以点击右下角的工具箱,选择文件粉碎,点击添加文件按钮,添加木马模块文件,然后点击粉碎按钮。
如果你还有其它电脑问题,欢迎你在电脑管家企业平台提出,我们将尽力为你解答。
目前大部分木马病毒经常用到的启动加载方式是哪些?
木马是随计算机或Windows的启动而启动并掌握一定的控制权的,其启动方式可谓多种多样,通过注册表启动、通过System.ini启动、通过某些特定程序启动等,真是防不胜防。其实只要能够遏制住不让它启动,木马就没什么用了,这里就简单说说木马的启动方式,知己知彼百战不殆嘛。
一、通过"开始\程序\启动"
隐蔽性:2星
应用程度:较低
这也是一种很常见的方式,很多正常的程序都用它,大家常用的QQ就是用这种方式实现自启动的,但木马却很少用它。因为启动组的每人会会出现在 “系统配置实用程序”(msconfig.exe,以下简称msconfig)中。事实上,出现在“开始”菜单的“程序\启动”中足以引起菜鸟的注意,所以,相信不会有木马用这种启动方式。
二、通过Win.ini文件
隐蔽性:3星
应用程度:较低
同启动组一样,这也是从Windows3.2开始就可以使用的方法,是从Win16遗传到Win32的。在Windows3.2中, Win.ini就相当于Windows9x中的注册表,在该文件中的[Windows]域中的load和run项会在Windows启动时运行,这两个项目也会出现在 msconfig中。而且,在Windows98安装完成后这两项就会被Windows的程序使用了,也不很适合木马使用。
三、通过注册表启动
1、通过HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
隐蔽性:3.5星
应用程度:极高
应用案例:BO2000,GOP,NetSpy,IEthief,冰河……
这是很多Windows程序都采用的方法,也是木马最常用的。使用非常方便,但也容易被人发现,由于其应用太广,所以几乎提到木马,就会让人想到这几个注册表中的主键,通常木马会使用最后一个。使用Windows自带的程序:msconfig或注册表编辑器(regedit.exe,以下简称 regedit)都可以将它轻易的删除,所以这种方法并不十分可靠。但可以在木马程序中加一个时间控件,以便实时监视注册表中自身的启动键值是否存在,一旦发现被删除,则立即重新写入,以保证下次Windows启动时自己能被运行。这样木马程序和注册表中的启动键值之间形成了一种互相保护的状态。木马程序未中止,启动键值就无法删除(手工删除后,木马程序又自动添加上了),相反的,不删除启动键值,下次启动Windows还会启动木马。怎么办呢?其实破解它并不难,即使在没有任何工具软件的情况下也能轻易解除这种互相保护。
破解方法:首先,以安全模式启动Windows,这时,Windows不会加载注册表中的项目,因此木马不会被启动,相互保护的状况也就不攻自破了;然后,你就可以删除注册表中的键值和相应的木马程序了。
2、通过HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce,
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce和
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
隐蔽性:4星
应用程度:较低
应用案例:Happy99月
这种方法好像用的人不是很多,但隐蔽性比上一种方法好,它的内容不会出现在msconfig中。在这个键值下的项目和上一种相似,会在 Windows启动时启动,但Windows启动后,该键值下的项目会被清空,因而不易被发现,但是只能启动一次,木马如何能发挥效果呢?
其实很简单,不是只能启动一次吗?那木马启动成功后再在这里添加一次不就行了吗?在Delphi中这不过3、5行程序。虽说这些项目不会出现在msconfig中,但是在Regedit中却可以直接将它删除,那么木马也就从此失效了。
还有一种方法,不是在启动的时候加而是在退出Windows的时候加,这要求木马程序本身要截获WIndows的消息,当发现关闭 Windows消息时,暂停关闭过程,添加注册表项目,然后才开始关闭Windows,这样用Regedit也找不到它的踪迹了。这种方法也有个缺点,就是一旦 Windows异常中止(对于Windows9x这是经常的),木马也就失效了。
破解他们的方法也可以用安全模式。
另外使用这三个键值并不完全一样,通常木马会选择第一个,因为在第二个键值下的项目会在Windows启动完成前运行,并等待程序结束会才继续启动Windows。
四、通过Autoexec.bat文件,或winstart.bat,config.sys文件
隐蔽性:3.5星
应用程度:较低
其实这种方法并不适合木马使用,因为该文件会在Windows启动前运行,这时系统处于DOS环境,只能运行16位应用程序,Windows下的32位程序是不能运行的。因此也就失去了木马的意义。不过,这并不是说它不能用于启动木马。可以想象,SoftIce for Win98(功能强大的程序调试工具,被黑客奉为至宝,常用于破解应用程序)也是先要在Autoexec.bat文件中运行然后才能在Windows中呼叫出窗口,进行调试的,既然如此,谁能保证木马不会这样启动呢?到目前为止,我还没见过这样启动的木马,我想能写这样木马的人一定是高手中的高手了。
另外,这两个BAT文件常被用于破坏,它们会在这个文件中加入类似"Deltree C:\*.*"和"Format C:/u"的行,这样,在你启动计算机后还未启动Windows,你的C盘已然空空如也。
五、通过System.ini文件
隐蔽性:5星
应用程度:一般
事实上,System.ini文件并没有给用户可用的启动项目,然而通过它启动却是非常好用的。在System.ini文件的[Boot]域中的 Shell项的值正常情况下是"Explorer.exe",这是Windows的外壳程序,换一个程序就可以彻底改变Windows的面貌(如改为 Progman.exe就可以让Win9x变成Windows3.2)。我们可以在"Explorer.exe"后加上木马程序的路径,这样 Windows启动后木马也就随之启动,而且即使是安全模式启动也不会跳过这一项,这样木马也就可以保证永远随Windows启动了,名噪一时的尼姆达病毒就是用的这种方法。这时,如果木马程序也具有自动检测添加Shell项的功能的话,那简直是天衣无缝的绝配,我想除了使用查看进程的工具中止木马,再修改Shell项和删除木马文件外是没有破解之法了。但这种方式也有个先天的不足,因为只有Shell这一项嘛,如果有两个木马都使用这种方式实现自启动,那么后来的木马可能会使前一个无法启动,呵呵以毒攻毒啊。
六、通过某特定程序或文件启动
1、寄生于特定程序之中
隐蔽性:5星
应用程度:一般
即木马和正常程序捆绑,有点类似于病毒,程序在运行时,木马程序先获得控制权或另开一个线程以监视用户操作,截取密码等,这类木马编写的难度较大,需要了解PE文件结构和Windows的底层知识(直接使用捆绑程序除外)。
2、将特定的程序改名
隐蔽性:5星
应用程度:常见
这种方式常见于针对QQ的木马,例如将QQ的启动文件QQ2000b.exe,改为QQ2000b.ico.exe(Windows默认是不显示扩展名的,因此它会被显示为QQ2000b.ico,而用户会认为它是一个图标),再将木马程序改为QQ2000b.exe,此后,用户运行QQ,实际是运行了 QQ木马,再由QQ木马去启动真正的QQ,这种方式实现起来要比上一种简单的多。
3、文件关联
隐蔽性:5星
应用程度:常见
通常木马程序会将自己和TXT文件或EXE文件关联,这样当你打开一个文本文件或运行一个程序时,木马也就神不知鬼不觉的启动了。
这类通过特定程序或文件启动的木马,发现比较困难,但查杀并不难。一般地,只要删除相应的文件和注册表键值即可。
木马有几种启动方式?
键盘记录木马
这个特洛伊木马很简单。他们只做一件事,那就是记录受害者的键盘击键,并在LOG文件中找到密码,然后由Windows启动来启动它。他们具有在线和离线记录选项,当您在在线和离线状态下敲击键盘时,可以记录击键,以便您可以按一下按钮,黑客就可以从记录中知道,并且很容易就可以将您从它。有用的信息,例如密码,甚至您的信用卡帐户!当然,对于这种类型的特洛伊木马,许多都具有邮件发送功能,它将自动将密码发送到黑客指定的邮箱。
DoS攻击木马
当黑客入侵计算机并向其发出DoS攻击木马时,此计算机将不会反映在受感染的计算机中,而不是计算机中。受攻击控制的肉鸡数量越多,发起Dos攻击的可能性就越大。黑客使用它来攻击一台计算机,从而对网络造成巨大的破坏和损失。
还有一个类似DoS的木马,称为邮件炸弹木马。一旦机器被感染,特洛伊木马程序将随机生成各种主题的信件,并将继续向特定的邮箱发送电子邮件,直到对方感到尴尬并且无法接受邮件为止。
FTP木马
该木马可能是最简单,最古老的木马。它的唯一功能是打开21入口并等待用户连接。现在,新的FTP木马还增加了密码功能,以便只有攻击者才能知道正确的密码并进入另一台计算机。
反弹端口型木马
在分析了防火墙的特征之后,特洛伊木马开发人员发现防火墙通常对连接的链接执行非常严格的过滤,但是撤离了所连接的链接。与典型的Trojan相比,退回端口Trojan的服务器(控制台)使用主动端口,而客户端(控制台)使用被动端口。通常在80时开放,即使用户使用扫描软件检查自己的端口,他们也会发现类似的TCPUserIP:1026控制器IP:80ESTABLISHED的情况,有点疏忽,会认为他们正在浏览Web,因为正在浏览网络将打开80。
特洛伊木马
对于黑客而言,在入侵时掩盖自己的足迹非常重要。防止发现其身份非常重要。因此,代理特洛伊木马程序最重要的任务是为受控肉鸡种下特洛伊木马并将其转变为攻击者。。通过代理特洛伊木马,攻击者可以在匿名情况下使用Telnet,ICQ,IRC等隐藏自己的踪迹。
程序杀手木马
尽管以上木马的功能多种多样,但既要在另一台机器上发挥自己的作用,又要防范木马软件。常见的反木马软件是ZoneAlarm,NortonAnti-Virus等。程序杀手Trojan的功能是关闭在另一台计算机上运行的此类程序,以便其他Trojans可以更好地工作。
扩展资料:
检测和寻找木马隐藏的位置
木马侵入系统后,需要找一个安全的地方选择适当时机进行攻击,了解和掌握木马藏匿位置,才能最终清除木马。木马经常会集成到程序中、藏匿在系统中、伪装成普通文件或者添加到计算机操作系统中的注册表中,还有嵌入在启动文件中,一旦计算机启动,这些木马程序也将运行。
安装防火墙
防火墙在计算机系统中起着不可替代的作用,它保障计算机的数据流通,保护着计算机的安全通道,对数据进行管控可以根据用户需要自定义,防止不必要的数据流通。安装防火墙有助于对计算机病毒木马程序的防范与拦截。
让电脑自动重启的病毒有哪些,都要怎么解决
导致电脑自动重启的不一定只有病毒。以前情况都会导致电脑自动重启:
一、软件方面
1、病毒 “冲击波”病毒发作时还会提示系统将在60秒后自动启动。 木马程序从远程控制你计算机的一切活动,包括让你的计算机重新启动。 清除病毒,木马,或重装系统。
2、系统文件损坏 系统文件被破坏,如Win2K下的KERNEL32.DLL,Win98 FONTS目录下面的字体等系统运行时基本的文件被破坏,系统在启动时会因此无法完成初始化而强迫重新启动。 解决方法:覆盖安装或重新安装。
3、定时软件或计划任务软件起作用如果你在“计划任务栏”里设置了重新启动或加载某些工作程序时,当定时时刻到来时,计算机也会再次启动。对于这种情况,我们可以打开“启动”项,检查里面有没有自己不熟悉的执行文件或其他定时工作程序,将其屏蔽后再开机检查。当然,我们也可以在“运行”里面直接输入“Msconfig”命令选择启动项。
二、硬件方面
1、机箱电源功率不足、直流输出不纯、动态反应迟钝。 用户或装机商往往不重视电源,采用价格便宜的电源,因此是引起系统自动重启的最大嫌疑之一。
(1)电源输出功率不足,当运行大型的3D游戏等占用CPU资源较大的软件时,CPU需要大功率供电时,电源功率不够而超载引起电源保护,停止输出。电源停止输出后,负载减轻,此时电源再次启动。由于保护/恢复的时间很短,所以给我们的表现就是主机自动重启。
(2)电源直流输出不纯,数字电路要求纯直流供电,当电源的直流输出中谐波含量过大,就会导致数字电路工作出错,表现是经常性的死机或重启。
(3)CPU的工作负载是动态的,对电流的要求也是动态的,而且要求动态反应速度迅速。有些品质差的电源动态反应时间长,也会导致经常性的死机或重启。
(4)更新设备(高端显卡/大硬盘/视频卡),增加设备(刻录机/硬盘)后,功率超出原配电源的额定输出功率就会导致经常性的死机或重启。 解决方法:现换高质量大功率计算机电源。
2、内存热稳定性不良、芯片损坏或者设置错误 内存出现问题导致系统重启致系统重启的几率相对较大。
(1)内存热稳定性不良,开机可以正常工作,当内存温度升高到一定温度,就不能正常工作,导致死机或重启。
(2)内存芯片轻微损坏时,开机可以通过自检,也可以进入系统,当运行一些吞吐量大的软件时就会重启或死机。 解决办法:更换内存。
(3)把内存的CAS值设置得太小也会导致内存不稳定,造成系统自动重启。一般最好采用BIOS的缺省设置,不要自己改动。
3、CPU的温度过高或者缓存损坏
(1)CPU温度过高常常会引起保护性自动重启。温度过高的原因基本是由于机箱、CPU散热不良,CPU散热不良的原因有:散热器的材质导热率低,散热器与CPU接触面之间有异物(多为质保帖),风扇转速低,风扇和散热器积尘太多等等。 还有P2、P3主板CPU下面的测温探头损坏或P4 CPU内部的测温电路损坏,主板上的BIOS有BUG在某一特殊条件下测温不准,CMOS中设置的CPU保护温度过低等等也会引起保护性重启。
(2)CPU内部的一、二级缓存损坏是CPU常见的故障。损坏程度轻的,还是可以启动,进入系统,当运行一些吞吐量大的软件(媒体播放、游戏、平面3D绘图)时就会重启或死机。
解决办法:在CMOS中屏蔽二级缓存(L2)或一级缓存(L1),或更换CPU排除。
4、AGP显卡、PCI卡(网卡、猫)引起的自动重启
(1)外接卡做工不标准或品质不良,引发AGP/PCI总线的RESET信号误动作导致系统重启。
(2)还有显卡、网卡松动引起系统重启的事例。
5、并口、串口、USB接口接入有故障或不兼容的外部设备时自动重启
(1)外设有故障或不兼容,比如打印机的并口损坏,某一脚对地短路,USB设备损坏对地短路,针脚定义、信号电平不兼容等等。
(2)热插拔外部设备时,抖动过大,引起信号或电源瞬间短路。
6、光驱内部电路或芯片损坏
光驱损坏,大部分表现是不能读盘/刻盘。也有因为内部电路或芯片损坏导致主机在工作过程中突然重启。光驱本身的设计不良,FireWare有Bug。也会在读取光盘时引起重启。
7、机箱前面板RESET开关问题机箱前面板RESET键实际是一个常开开关,主板上的RESET信号是+5V电平信号,连接到RESET开关。当开关闭合的瞬间,+5V电平对地导通,信号电平降为0V,触发系统复位重启,RESET开关回到常开位置,此时RESET信号恢复到+5V电平。如果RESET键损坏,开关始终处于闭合位置, RESET信号一直是0V,系统就无法加电自检。当RESET开关弹性减弱,按钮按下去不易弹起时,就会出现开关稍有振动就易于闭合。从而导致系统复位重启。
解决办法:更换RESET开关。 还有机箱内的RESET开关引线短路,导致主机自动重启。
8、主板故障
主板导致自动重启的事例很少见。一般是与RESET相关的电路有故障;插座、插槽有虚焊,接触不良;个别芯片、电容等元件损害。
三、其他原因
1、市电电压不稳
(1)计算机的开关电源工作电压范围一般为170V-240V,当市电电压低于170V时,计算机就会自动重启或关机。 解决方法:加稳压器(不是UPS)或130-260V的宽幅开关电源。
(2)电脑和空调、冰箱等大功耗电器共用一个插线板的话,在这些电器启动的时候,供给电脑的电压就会受到很大的影响,往往就表现为系统重启。
解决办法就是把他们的供电线路分开。
2、强磁干扰不要小看电磁干扰,许多时候我们的电脑死机和重启也是因为干扰造成的,这些干扰既有来自机箱内部CPU风扇、机箱风扇、显卡风扇、显卡、主板、硬盘的干扰,也有来自外部的动力线,变频空调甚至汽车等大型设备的干扰。如果我们主机的搞干扰性能差或屏蔽不良,就会出现主机意外重启或频繁死机的现象。
3、交流供电线路接错 有的用户把供电线的零线直接接地(不走电度表的零线),导致自动重启,原因是从地线引入干扰信号。
4、插排或电源插座的质量差,接触不良。 电源插座在使用一段时间后,簧片的弹性慢慢丧失,导致插头和簧片之间接触不良、电阻不断变化,电流随之起伏,系统自然会很不稳定,一旦电流达不到系统运行的最低要求,电脑就重启了。
解决办法,购买质量过关的好插座。
5、积尘太多导致主板RESET线路短路引起自动重启。
四、部分实例
1、CPU二级缓存坏的实例
一台865PE-Neo2,P4 2.8c,KingMax DDR400,Windows XP系统。在玩游戏时自动重启,更换内存、显卡、电源故障依旧。在BIOS里关闭二级缓存,运行很慢,但不自动重启,后更换CPU(P4 3.0e)故障排除。最后该CPU返厂。 一台KT4AV,AMD XP1800+,DDR333,Windows XP系统。不能进入系统,一到XP开机画面就自动重启,更换内存、显卡、电源故障依旧。进入BIOS并将CPU二级缓存关闭,保存退出后重启,可以正常进入系统。最后换CPU故障排除。
2、电源故障的实例
两台兼容机,一台CPU为Athlon XP 1800+,一台CPU为P4 2.0GHz,电源为世纪之星电源。当计算机处于满负荷状态运行一段时间后,经常性地自动重启。平时用于文档编辑、上网等一般工作时正常,只有进行大量计算时才出问题。怀疑过是CPU温度过高,检测表明温度正常。更换内存、显卡故障依旧。另外检查硬盘发现,其中一块硬盘出现了坏道,更换硬盘重装系统后故障依旧。硬盘出现坏道基本是电源不良导致。于是更换成航嘉冷静王后,故障消失。
3、显卡接触不良的实例
一台配置为 845PE Neo-L主板、P4 2.0G CPU、80G硬盘、小影霸5200显卡兼容机,因为搬家挪动,重新接好后,开机自检正常,闪过主板LOGO后,出现WINDOWS XP启动画面,接着光标闪动,一切很正常,可是约摸着快要进入系统的时候,电脑突然“嘀”的一声重启动了,重新启动几次都是这样。检查电脑接线,没有问题。启动时选安全模式能进入系统,运行也正常,重启后进入BIOS里查看CPU温度,在正常范围内,排除因CPU过热导致的重启。因为搬家挪动之前是正常的,考虑是否搬运过程中震动是接插件松动。打开机箱,检查显卡,发现没有插紧,重新插紧卡牢,重启故障排除件故障,而大费周折。
4、内存不匹配的实例 865PE、K7N2、K8N的主板在使用200MHz的前端总线时,最好使用CL=2.5的DDR400。使用CL=3的DDR400经常出现自动重启的故障,此时把内存降为DDR333,故障消失。这种实例太多了。建议各位用户还是用CL=2.5的DDR400。
5、零线接地的实例
有一家装修设计公司20台电脑经常性自动重启,而且越演越烈,最后达到不能正常工作的地步。请笔者去看看。
故障现象:20多台电脑在2楼的一间大工作室,每隔三两分钟就自动重启,有时是全部电脑同时重启,有时是一台一台顺序重启,有时是每隔1台/2台顺序重启,很有韵律。
故障分析:用户反映这种现象已经有一周,开始不严重,近两天严重,已经不能工作。同时在1楼有一台电脑没有自动重启的现象。笔者分析,1、不太可能是电脑自身的问题,2、如此有韵律,一定是外界干扰,干扰最大来源是电源线,于是检查供电线路,查到配电箱,发现2楼供电线在电度表处的零线断开,改为直接接大地地线。1楼那台不自动重启的电脑是接的照明线路,零线正常。同时了解到一周前附近有一建筑工地开工,与用户同在一个电网线路内,建筑工地的吊车等各种用电设备产生的干扰信号通过地线串入。
木马病毒得一些启动条件有什么
一、通过"开始\程序\启动" 隐蔽性:2星 应用程度:较低 这也是一种很常见的方式,很多正常的程序都用它,大家常用的QQ就是用这种方式实现自启动的,但木马却很少用它。因为启动组的每人会会出现在“系统配置实用程序”(msconfig.exe,以下简称msconfig)中。事实上,出现在“开始”菜单的“程序\启动”中足以引起菜鸟的注意,所以,相信不会有木马用这种启动方式。 二、通过Win.ini文件 隐蔽性:3星 应用程度:较低 同启动组一样,这也是从Windows3.2开始就可以使用的方法,是从Win16遗传到Win32的。在Windows3.2中,Win.ini就相当于Windows9x中的注册表,在该文件中的[Windows]域中的load和run项会在Windows启动时运行,这两个项目也会出现在msconfig中。而且,在Windows98安装完成后这两项就会被Windows的程序使用了,也不很适合木马使用。 三、通过注册表启动 1、通过HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 隐蔽性:3.5星 应用程度:极高 应用案例:BO2000,GOP,NetSpy,IEthief,冰河…… 这是很多Windows程序都采用的方法,也是木马最常用的。使用非常方便,但也容易被人发现,由于其应用太广,所以几乎提到木马,就会让人想到这几个注册表中的主键,通常木马会使用最后一个。使用Windows自带的程序:msconfig或注册表编辑器(regedit.exe,以下简称regedit)都可以将它轻易的删除,所以这种方法并不十分可靠。但可以在木马程序中加一个时间控件,以便实时监视注册表中自身的启动键值是否存在,一旦发现被删除,则立即重新写入,以保证下次Windows启动时自己能被运行。这样木马程序和注册表中的启动键值之间形成了一种互相保护的状态。木马程序未中止,启动键值就无法删除(手工删除后,木马程序又自动添加上了),相反的,不删除启动键值,下次启动Windows还会启动木马。怎么办呢?其实破解它并不难,即使在没有任何工具软件的情况下也能轻易解除这种互相保护。 破解方法:首先,以安全模式启动Windows,这时,Windows不会加载注册表中的项目,因此木马不会被启动,相互保护的状况也就不攻自破了;然后,你就可以删除注册表中的键值和相应的木马程序了。 2、通过HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce和 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 隐蔽性:4星 应用程度:较低 应用案例:Happy99月 这种方法好像用的人不是很多,但隐蔽性比上一种方法好,它的内容不会出现在msconfig中。在这个键值下的项目和上一种相似,会在Windows启动时启动,但Windows启动后,该键值下的项目会被清空,因而不易被发现,但是只能启动一次,木马如何能发挥效果呢? 其实很简单,不是只能启动一次吗?那木马启动成功后再在这里添加一次不就行了吗?在Delphi中这不过3、5行程序。虽说这些项目不会出现在msconfig中,但是在Regedit中却可以直接将它删除,那么木马也就从此失效了。 还有一种方法,不是在启动的时候加而是在退出Windows的时候加,这要求木马程序本身要截获WIndows的消息,当发现关闭Windows消息时,暂停关闭过程,添加注册表项目,然后才开始关闭Windows,这样用Regedit也找不到它的踪迹了。这种方法也有个缺点,就是一旦Windows异常中止(对于Windows9x这是经常的),木马也就失效了。 破解他们的方法也可以用安全模式。 另外使用这三个键值并不完全一样,通常木马会选择第一个,因为在第二个键值下的项目会在Windows启动完成前运行,并等待程序结束会才继续启动Windows。 四、通过Autoexec.bat文件,或winstart.bat,config.sys文件 隐蔽性:3.5星 应用程度:较低 其实这种方法并不适合木马使用,因为该文件会在Windows启动前运行,这时系统处于DOS环境,只能运行16位应用程序,Windows下的32位程序是不能运行的。因此也就失去了木马的意义。不过,这并不是说它不能用于启动木马。可以想象,SoftIce for Win98(功能强大的程序调试工具,被黑客奉为至宝,常用于破解应用程序)也是先要在Autoexec.bat文件中运行然后才能在Windows中呼叫出窗口,进行调试的,既然如此,谁能保证木马不会这样启动呢?到目前为止,我还没见过这样启动的木马,我想能写这样木马的人一定是高手中的高手了。 另外,这两个BAT文件常被用于破坏,它们会在这个文件中加入类似"Deltree C:\*.*"和"Format C:/u"的行,这样,在你启动计算机后还未启动Windows,你的C盘已然空空如也。 五、通过System.ini文件 隐蔽性:5星 应用程度:一般 事实上,System.ini文件并没有给用户可用的启动项目,然而通过它启动却是非常好用的。在System.ini文件的[Boot]域中的Shell项的值正常情况下是"Explorer.exe",这是Windows的外壳程序,换一个程序就可以彻底改变Windows的面貌(如改为Progman.exe就可以让Win9x变成Windows3.2)。我们可以在"Explorer.exe"后加上木马程序的路径,这样Windows启动后木马也就随之启动,而且即使是安全模式启动也不会跳过这一项,这样木马也就可以保证永远随Windows启动了,名噪一时的尼姆达病毒就是用的这种方法。这时,如果木马程序也具有自动检测添加Shell项的功能的话,那简直是天衣无缝的绝配,我想除了使用查看进程的工具中止木马,再修改Shell项和删除木马文件外是没有破解之法了。但这种方式也有个先天的不足,因为只有Shell这一项嘛,如果有两个木马都使用这种方式实现自启动,那么后来的木马可能会使前一个无法启动,呵呵以毒攻毒啊。 六、通过某特定程序或文件启动 1、寄生于特定程序之中 隐蔽性:5星 应用程度:一般 即木马和正常程序捆绑,有点类似于病毒,程序在运行时,木马程序先获得控制权或另开一个线程以监视用户操作,截取密码等,这类木马编写的难度较大,需要了解PE文件结构和Windows的底层知识(直接使用捆绑程序除外)。 2、将特定的程序改名 隐蔽性:5星 应用程度:常见 这种方式常见于针对QQ的木马,例如将QQ的启动文件QQ2000b.exe,改为QQ2000b.ico.exe(Windows默认是不显示扩展名的,因此它会被显示为QQ2000b.ico,而用户会认为它是一个图标),再将木马程序改为QQ2000b.exe,此后,用户运行QQ,实际是运行了QQ木马,再由QQ木马去启动真正的QQ,这种方式实现起来要比上一种简单的多。 3、文件关联 隐蔽性:5星 应用程度:常见 通常木马程序会将自己和TXT文件或EXE文件关联,这样当你打开一个文本文件或运行一个程序时,木马也就神不知鬼不觉的启动了。 这类通过特定程序或文件启动的木马,发现比较困难,但查杀并不难。一般地,只要删除相应的文件和注册表键值即可。
求采纳