MSK网站_msk网站被攻击

紧急发问：请问哪一个网站可以看《哈利波特与魔法石》？

电影

《哈里波特1与魔法石》：

家长下载区/英文经典动画/哈里波特/神秘的魔法石01.rmvb

家长下载区/英文经典动画/哈里波特/神秘的魔法石02.rmvb

《哈里波特2与消失的密室》：

地址1：

家长下载区/英文经典动画/哈里波特/消失的密室01.rmvb

家长下载区/英文经典动画/哈里波特/消失的密室02.rmvb

地址2：

《哈里波特3与阿兹卡班的囚徒》：

家长下载区/英文经典动画/哈里波特/阿兹卡班的囚徒01.rmvb

家长下载区/英文经典动画/哈里波特/阿兹卡班的囚徒02.rmvb

《哈利波特4与火焰杯》：

地址1:

:闪客影院@202.103.219.35/xnvod04/科幻片/哈利波特4/哈利波特401.rm

:闪客影院@202.103.219.35/xnvod04/科幻片/哈利波特4/哈利波特402.rm

地址2 :

哈利波特与火焰杯/mvn-hp401.rm

哈利波特与火焰杯/mvn-hp402.rm

地址3 :

最新影片/11.21哈利波特与火焰杯TS2005/mvn-hp402.rmvb

最新影片/11.21哈利波特与火焰杯TS2005/mvn-hp401.rmvb

地址4：

科幻片/哈利波特4/哈利波特401.rm

科幻片/哈利波特4/哈利波特402.rm

地址5：

科幻片/哈利波特4火焰杯a.rmvb

科幻片/哈利波特4火焰杯b.rmvb

地址6：

科幻片/哈利波特4/哈利波特401.rm

科幻片/哈利波特4/哈利波特402.rm

你看看差不多吧

书

输入书名就行了,全有,还有罗林的自传

罗琳 [哈利波特和魔法石]

在学校，哈利一个朋友都没有。每个人都知道达德里和他的那一帮朋友都讨厌穿着肥大衣服，戴着破烂眼镜的哈利，而他们又不敢得罪达德里和他的一帮朋友。

罗琳 [哈利波特和密室]

哈利设法让自己不要喊出声来，但险些儿就砸了。那个在床上的小精灵长着大大的而且像蝙蝠那样的耳朵，像网球般大小的凸出的绿眼睛。哈利立刻意识到这就是他早上一直盯着的那只在花园篱笆外的东西……

罗琳 [哈利波特和阿兹卡班囚徒]

哈利·波特是一个在很多方面都非常不寻常的男孩。其中，他最讨厌放暑假；还有，他很喜欢做功课，但不得不秘密地进行，通常只能在深夜，因为，他是一个巫士……

罗琳 [哈利波特和火杯]

村里人都认为谜宅令人毛骨悚然。半个世纪以前，那里发生了些稀奇古怪的事情，村里的老人在缺少聊天的话题时都喜欢谈论这件事。故事讲来讲去如此多遍，如此多次，以致于谁也不能确定事实到底是怎样的。但是每个版本的故事都有同样一个开头：五十年前，一个晴朗夏日的早晨，天刚刚亮，那时“谜宅”保养良好，一个女佣进入大堂，结果发现：谜宅的主人——理德一家三口都死了……

罗琳 [哈利波特与凤凰社]

哈利·波特的外表并不受到他那些喜欢看别人被法律制裁的邻居的喜爱，但是当他今天晚上藏在八仙花灌木后时，那些过路人就看不见他了……

1-6中英文都有，可以在线看，不知道能不能下载.

不过肯定不是你想要的版本，如果那个都上了网,谁还买书呢?

熊猫烧香病毒

感染症状：

★打开程序后被关闭

★大多数.exe文件被替换成熊猫烧香病毒图象

★防火墙和杀毒软件打开又关闭

★IE打不开

杀死工具：

超级巡警、HijackFree。

解决办法:

第一步：打开任务管理器，会看到许多名为iexplore的可疑进程和i-exp10re.exe进程。

第二步：打开HijackFree，终止iexp10re.exe、spoclsv.exe、sys-temm.exe、conime.exe进程。

第三步：分析iexplore.exe发现被插入C：\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_ifc8b3b9aiei8e3b_8.0.50727.163_x-ww_68ie29fb\msvcm80.dII（还有同目录的msvcp80.dII、msVCR80.dII）等三个文件运行，显然病毒调用IE下载了更新。接着尝试终止所有的iexplore.exe进程。

第四步：终止后，发现病毒很快重新启动本进程。由此来看该病毒插入了系统进程来守护运行。打开超级巡警，利用超级巡警进程管理功能，把病毒期间创建的文件到DOS环境卸载，然后把病毒启动项目卸载，就清除了。

熊猫烧香!!!!!!!!救命!!!!!

熊猫烧香”，又称“武汉男生”，这是一个感染型

的蠕虫病毒，它能感染系统中exe，com，pif，src，html

，asp等文件，它还能中止大量的反病毒软件进程并且会

删除扩展名为gho的文件，该文件是一系统备份工具GHOST

的备份文件，使用户的系统备份文件丢失。

病毒行为:

这是一个感染型的蠕虫病毒,它能感染系统中

exe,com,pif,src,html,asp等文件,

它还能中止大量的反病毒软件进程

1:拷贝文件

病毒运行后,会把自己拷贝到

C:\WINDOWS\System32\Drivers\spoclsv.exe

2:添加注册表自启动

病毒会添加自启动项

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre

ntVersion\Run

svcshare - C:\WINDOWS\System32

\Drivers\spoclsv.exe

3:病毒行为

a:每隔1秒

寻找桌面窗口,并关闭窗口标题中含有以下字符的程序

QQKav

QQAV

防火墙

进程

VirusScan

网镖

杀毒

毒霸

瑞星

江民

黄山IE

超级兔子

优化大师

木马克星

木马清道夫

QQ病毒

注册表编辑器

系统配置实用程序

卡巴斯基反病毒

Symantec AntiVirus

Duba

esteem proces

绿鹰PC

密码防盗

噬菌体

木马辅助查找器

System Safety Monitor

Wrapped gift Killer

Winsock Expert

游戏木马检测大师

msctls_statusbar32

pjf(ustc)

IceSword

并使用的键盘映射的方法关闭安全软件IceSword

添加注册表使自己自启动

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre

ntVersion\Run

svcshare - C:\WINDOWS\System32

\Drivers\spoclsv.exe

并中止系统中以下的进程:

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

KVXP.kxp

kvMonXP.kxp

KVCenter.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

FrogAgent.exe

Logo1_.exe

Logo_1.exe

Rundl132.exe

b:每隔18秒

点击病毒作者指定的网页,并用命令行检查系统中是否存

在共享

共存在的话就运行net share命令关闭admin$共享

c:每隔10秒

下载病毒作者指定的文件,并用命令行检查系统中是否存

在共享

共存在的话就运行net share命令关闭admin$共享

d:每隔6秒

删除安全软件在注册表中的键值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr

entVersion\Run

RavTask

KvMonXP

kav

KAVPersonal50

McAfeeUpdaterUI

Network Associates Error Reporting Service

ShStartEXE

YLive.exe

yassistse

并修改以下值不显示隐藏文件

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr

entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

CheckedValue - 0x00

删除以下服务:

navapsvc

wscsvc

KPfwSvc

SNDSrvc

ccProxy

ccEvtMgr

ccSetMgr

SPBBCSvc

Symantec Core LC

NPFMntor

MskService

FireSvc

e:感染文件

病毒会感染扩展名为exe,pif,com,src的文件,把自己附加

到文件的头部

并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加

一网址,

用户一但打开了该文件,IE就会不断的在后台点击写入的

网址,达到

增加点击量的目的,但病毒不会感染以下文件夹名中的文

件:

WINDOW

Winnt

System Volume Information

Recycled

Windows NT

WindowsUpdate

Windows Media Player

Outlook Express

Internet Explorer

NetMeeting

Common Files

ComPlus Applications

Messenger

InstallShield Installation Information

MSN

Microsoft Frontpage

Movie Maker

MSN Gamin Zone

g:删除文件

病毒会删除扩展名为gho的文件,该文件是一系统备份工具

GHOST的备份文件

使用户的系统备份文件丢失.

10.怎样预防熊猫烧香

最近那个熊猫烧香病毒让所有用电脑的人很生气，熊

猫这个国宝似乎不再可爱，而成了人人喊打的过街老鼠。

熊猫变种实在太多，中招后的损失很严重，杀毒软件一直

在救火中。以下几招很简单易行，帮你预防熊猫烧香病毒

，至少能明显减少你中招的几率。

1．立即检查本机administrator组成员口令，一定放

弃简单口令甚至空口令，安全的口令是字母数字特殊字符

的组合，自己记得住，别让病毒猜到就行。修改方法，右

键单击我的电脑，选择管理，浏览到本地用户和组，在右

边的窗格中，选择具备管理员权限的用户名，单击右键，

选择设置密码，输入新密码就行。

2．利用组策略，关闭所有驱动器的自动播放功能。

步骤：单击开始，运行，输入gpedit.msc，打开组策

略编辑器，浏览到计算机配置，管理模板，系统，在右边

的窗格中选择关闭自动播放，该配置缺省是未配置，在下

拉框中选择所有驱动器，再选取已启用，确定后关闭。最

后，在开始，运行中输入gpupdate，确定后，该策略就生

效了。

3．修改文件夹选项，以查看不明文件的真实属性，

避免无意双击骗子程序中毒。

步骤：打开资源管理器（按windows徽标键＋E），点

工具菜单下文件夹选项，再点查看，在高级设置中，选择

查看所有文件，取消隐藏受保护的操作系统文件，取消隐

藏文件扩展名。

4．时刻保持操作系统获得最新的安全更新，建议用

毒霸的漏洞扫描功能，汗，很可惜，现在光缆还没修好，

网不通，不好修复。

5．启用windows防火墙保护本地计算机。

2)Logo1_.exe

Logo1_ - Logo1_.exe - 进程信息

进程文件：Logo1_ 或者 Logo1_.exe

进程名称： Worm.Win32.Viking.j

描述：

Logo1_.exe是Worm.Win32.Viking.j木马相关程序，病毒

中文名叫维金。建议立即删除。

相关文件是rundl132.exe，会感染exe文件，杀掉后即使

重装系统点击感染文件也会重生，经常藏在c盘windows目

录下。

被感染的exe文件特征：被更改图标，病毒文件本身也会

改为被感染文件图标。

属于： Worm.Win32.Viking.j

系统进程： 否

后台程序： 否

使用网络： 否

硬件相关： 否

常见错误： 未知N/A

内存使用： 未知N/A

安全等级 (0-5): 2

间谍软件： 否

广告软件： 否

病毒： 是

木马： 是

主要症状:

1、占用大量网速，使机器使用变得极慢。

2、会捆绑所有的exe文件，只要一运用应用程序，在

winnt下的logo1.exe图标就会相应变成应用程序图标。

3、有时还会时而不时地弹出一些程序框，有时候应用程

序一起动就出错，有时候起动了就被强行退出。

4、网吧中只感梁win2k pro版，server版及xp系统都不感

染。

5、能绕过所有的还原软件。

详细技术信息：

病毒运行后，在%windir%生成 logo1_.exe 同时会在

windws根目录生成一个名为virdll.dll的文件。

%windir%virdll.dll

该蠕虫会在系统注册表中生成如下键值：

[hkey_local_machinesoftwaresoftdownloadwww]

auto = 1

盗取密码

病毒试图登陆并盗取被感染计算机中网络游戏传奇2

的密码，将游戏密码发送到该木马病毒的植入者手中。

阻止以下杀毒软件的运行

病毒试图终止包含下列进程的运行，这些多为杀毒软

件的进程。 包括卡八斯基，金山公司的毒霸。瑞星等。

98%的杀毒软件运行。国产软件在中毒后都被病毒杀死，

是病毒杀掉-杀毒软件。如金山，瑞星等。哪些软件可以

认出病毒。但是认出后不久就阵亡了。通过写入文本信息

改变%system%driversetchosts 文件。这就意味着，当受

感染的计算机浏览许多站点时（包括众多反病毒站点），

浏览器就会重定向到66.197.186.149。

病毒感染运行windows操作系统的计算机，并且通过

开放的网络资源传播。一旦安装，蠕虫将会感染受感染计

算机中的.exe文件。该蠕虫是一个大小为82k的windows

pe可执行文件。通过本地网络传播该蠕虫会将自己复制到

下面网络资源：

admin$

ipc$

症状

蠕虫会感染所有.exe的文件。但是，它不会感染路径中包

含下列字符串的文件：

program files

common files

complus applicati

documents and settings

netmeeting

outlook express

recycled

system

system volume information

system32

windows

windows media player

windows nt

windowsupdate

winnt

蠕虫会从内存中删除下面列出的进程：

eghost.exe

iparmor.exe

kavpfw.exe

kwatchui.exe

mailmon.exe

ravmon.exe

z

网吧遭此病毒破坏造成大面积的卡机，瘫痪。危害程

度可以和世界排名前十的爱情后门变种相比。该病毒可以

通过网络传播，传播周期为3分钟。如果是新做的系统处

于中了毒的网络环境内，只要那个机器一上网，3分钟内

必定中招。中招后你安装 rising skynet symantec

mcafee gate rfw.exe ravmon.exe kill nav 等杀

毒软件 都无法补救你的系统，病毒文件 logo1_.exe 为

主体病毒，他自动生成病毒发作所需要的的 sws32.dll

sws.dlll kill.exe 等文件。这些文件一但衍生。他将迅

速感染系统内explore 等系统核心进程 及所以.exe

的可执行文件，外观典型表现症状为 传奇 ，泡泡堂，等

游戏图标变色。 此时系统资源可用率极低，你每重新启

动一次，病毒就会发作一次。

该病毒对于防范意识较弱，还原软件未能及时装到位

的网吧十分致命，其网络传播速度十分快捷有效。旧版的

杀毒软件无法检测，新版的无法彻底根杀。一但网吧内某

台机器中了此病毒，那么该网吧所有未中毒的机器都处于

危险状态。由于病毒发作贮留于内存。且通过

explore.exe 进行传播。因此即使是装了还原精灵，还原

卡的机器也同样会被感染。你重新启动后系统可以还原。

但是你一但开机还是会被感染。病毒发作会生成另外病毒

pwsteal.lemir.gen 和 trojan.psw.lineage 等等。都是

些非常厉害的后门程序。和外挂病毒相似，但是其威力是

外挂病毒的50倍以上。在win98平台下，改病毒威害比较

小。在win2000 /xp/2003平台对于网吧系统是致命的。运

行系统极度卡机。你重新启动后你会发现你所有游戏

的.exe 程序全部都感染了最新杀毒软件杀完后。除了系

统可以勉强运行。其他的你也别想运行了。

病毒清理办法

如果在病毒没有发作情况下杀毒是可以完全搞定的。

如果发作了也不要杀毒了。直接克盘恢复吧。

一、找到注册表中

[hkey_local_machinesoftwaresoftdownloadwww]

auto = 1

删除downloadwww主键

二、找到

[hkey_local_machinesoftwaremicrosoftwindows

ntcurrentversioninifilemappingsystem.iniboot]

winlogo 项

把winlogo 项 后面的c:winntsws32.dll 删掉

接下来把hkey_local_machine]

software/microsoft/windows/currentversi 键中

/runonce/runonceex

两个中其中有个是也是

c:winntsws32.dll

把类似以上的全部删掉 注意不要删除默认的键值（删了

的话后果自负）

如果没有以上键值，则直接跳过此步骤

三 结束进程

按“ctrl+alt+del”键弹出任务管理器，找到logo1_.exe

等进程，结束进程，可以借助绿鹰的进程管理软件处

理更方便。找到expl0rer.exe进程（注意第5个字母是数

字0不是字母o），找到它后选中它并点击“结束进程”

以结束掉（如果expl0rer.exe进程再次运行起来需要重做

这一步）。

四 装杀毒软件

装完后不要重新启动（切记）直接升级病毒库，升级完后

，把c:winnt 目录下所有带毒文件删除。然后运行

杀毒软件开始杀毒。

杀完后。还有几个杀毒软件无法删掉的东西要把名字记下

来。因为不同的系统有不同的名字。所以这里说不清

楚了。自己记下来。,重新启动后再次杀毒。记的把可疑

的进程的结束。否则杀毒软件无法干净杀毒。还有最重

要的一点记的把杀毒软件无法清除的病毒设置为删除文件

。一般要重复杀毒3-5次才能杀干净。

五。看看杀毒后的系统。

缺少的了很多系统文件。系统处于危险状态。如果你

有ghost 备份。这个时候恢复一下。系统可以干净无损。

如果没有请运行 sfc 命令检查文件系统。具体操作为 运

行-输入cmd 命令进入dos 提示符。-输入sfc

/scannow -- 提示放入系统光盘。--放进去吧。然后慢慢

等。看看成果。杀毒效果显著。毒杀干净了。但是杀完毒

后很多游戏都玩不了。忙了一圈都不知道自己在忙什么。

郁闷吧。然后重新做系统吧。谁叫中毒的是网吧的系统杀

毒及重装系统后的防范，有些网友在处理病毒的时候可能

有这样的感觉好不容易清除了，或者没办法重新装了系统

，但是没多长时间有中了同样的病毒，所以说有免疫程序

实最好的了。

回答者：xiayu_xavier - 秀才 三级 4-2 12:59

熊猫烧香!!!!!!!!救命!!!!!

回答者：diaomai123 - 试用期 一级 4-2 16:14

今年1月中旬，湖北省仙桃市公安局网监部门根据公安部公共信息网络

安全监察局及省公安厅的统一部署，对“熊猫烧香”病毒的制作者开展

调查。经查，熊猫烧香病毒的制作者为湖北省武汉市李俊，据李俊交代，

其于2006年10月16日编写了“熊猫烧香”病毒并在网上广泛传播，并且

还以自己出售和由他人代卖的方式，在网络上将该病毒销售给120余人，

非法获利10万余元。经病毒购买者进一步传播，导致该病毒的各种变种

在网上大面积传播，对互联网用户计算机安全造成了严重破坏。李俊还

于2003年编写了“武汉男生”病毒、2005年编写了“武汉男生2005”病

毒及“QQ尾巴”病毒。另外，本案另有几个重要犯罪嫌疑人雷磊（男，

25岁，武汉新洲区人）、王磊（男，22岁，山东威海人）、叶培新（男，

21岁，浙江温州人）、张顺（男，23岁，浙江丽水人）通过改写、传播

“熊猫烧香”等病毒，构建“僵尸网络”，通过盗窃各种游戏和QQ账号

等方式非法牟利。

目前，李俊、雷磊等5名犯罪嫌疑人已被刑事拘留。

由犯罪嫌疑人李俊编写的“熊猫烧香”病毒专杀工具请登陆

下载

昨日，仙桃警方媒体通报：将择日在网站公开“熊猫烧香”杀毒软件，供网民下载。

昨日下午1时30分，记者在仙桃某看守所见到了李俊。据其交待，制作“熊猫烧香”病毒仅用2个月，当初是为“好玩”，现在后悔不已。警方将李俊抓获后，李在看守所里写下杀毒软件程序，交给了警方。经试验，该程序能在几分钟内彻底杀灭“熊猫烧香”病毒。

下载

注：部分安全工具可能提示有病毒，此为误报，可将安全工具暂时关闭，再运行此专杀程序。

回答者：mydream2080 - 试用期 一级 4-5 14:47

1.熊猫烧香病毒：图片就是个熊猫在烧香感觉蛮可爱的！当时并没有很在意！第二天再次打开电脑的时候！几乎电脑所有的EXE文件都成了熊猫烧香图片！这时才有所感觉！

部分EXE文件已经无法正常使用！新加一个AUTORUN.INF的文件！

当初不明白这个文件的作用！在网上查了一些资料表明。才知道。只要用户打开盘符。就会运行这个病毒！用杀毒软件杀毒！没有效果！看来现在的杀毒软件越来越不行了~..

2.想用组合键打开任务管理器！无法打开~失败....想看看注册表有没什么情况。依然失败！奇怪的是：电脑运行正常。也都不卡！难道不是病毒.是系统出了问题？从网上下了第三方工具查看进程！果然看到两个可疑进程！FuckJacks.exe貌似是最可疑的不敢贸然终止！赶快问问白度大叔！

3.大叔告诉我。是熊猫病毒的进程！一切正如我意！懒的装系统了！

4.先结束FuckJacks.exe进程！开始-运行-CMD 输入：ntsd -c q -p 病毒的PID~终于KILL掉了！一切恢复正常了！兴奋ING...赶快打开注册表

突然注册表又关了.看看进程FuckJacks.exe。又出现了~~那应该它还有个守护进程！找找找。无发现....奇怪了。难道他的守护进程插入到系统

进程了？不会吧.....头疼一阵...。

5.算了，去向朋友找个专杀工具。有一个朋友说他写过熊猫的专杀工具！晕~~原来牛人在我身边。我都没发现~赶快想他请教~~才大概的了解了熊猫烧香~ 叫他给了我一个无壳的熊猫自己分析下~（自己动手.丰衣足食嘛~~）

6.用UI32打开熊猫.看到了条用的部分资源！文件执行后。释放到\system32\FuckJacks.exe下。

7.继续象下可以看到熊猫的一些传播过程相当的经典..有扫描同一网段的电脑~自我复制.等等相当强大公能~同时感染所有盘符的EXE文件~却不对一些重要的系统文件和常用文件进行感染！可见并不想早成太大破坏~修改注册表.禁止打开注册表.甚至禁用了部分服务~~

8下面就是重要的时刻了！从后面的代码可以看出！病毒的作者是个非常出色的程序员！有非常好的编程习惯！对病毒的异常运行~进行了很好的定义~都很大段都是作者对病毒运行条件的判断定义~值得注意的一点：在感染EXE文件的同时！感染ASP。HTML文件。会在最后加一段类似挂马的基本代码.~~做到通过第三方尽快传播的办法~（如果被感染者是网站管理人员。后果可想而知了）

病毒程序的运行

在给大家说下病毒的部分运行实现！简单的修改注册表：

有这样一句：WSHELL.REGWIRTE MYREGKEY， MYREGVALUE， MY REGTYPE

第一个是参数的键名：完整路径..

第二个是：键值。。

第三个是：键的类型，

Set wshell=wscript.createobject("wscript.shell")

wshell.regWrite"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows NT\CurrentVersion\Winlogin\shell","eseplorer.exe","REG_SZ"

这就是脚本病毒掼用技术~

通用的解决方法

1、就是要关闭自己的默认共享。

首先运行regedit，找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把

RestrictAnonymous = DWORD的键值改为：00000001。

restrictanonymous REG_DWORD

0x0 缺省

0x1 匿名用户无法列举本机用户列表

0x2 匿名用户无法连接本机IPC

说明:不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server

2、禁止默认共享

1）察看本地共享资源

运行-cmd-输入net share

2）删除共享(每次输入一个）

net share ipc$ /delete

net share admin$ /delete

net share c$ /delete

net share d$ /delete（如果有e,f,……可以继续删除）

3）修改注册表删除共享

运行-regedit

找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]

把AutoShareServer（DWORD）的键值改为0000000。

如果上面所说的主键不存在，就新建(右击-新建-双字节值）一个主健再改键值。??

我们看看这个病毒功能： 瞬间复制整个硬盘、有监视QQ记录的功能、网吧的电脑依然有效！显然有了精灵的转存功能。值得注意的功能：删除GHOST的功能，控制电脑进行集体的DDOS，更出现了KILL掉KV、瑞星和金山的功能！

病毒的特性：网页传播！电脑的弱口令。默认共享传播！在内网的传播速度非常的快！对企业的居于网有很大的杀伤力！病毒瞬间复制整个硬盘。占用内存极小~

熊猫这款病毒虽然不是很新鲜。但是病毒的作者真的很让人佩服~完全的网络高手！超强的优秀程序员！

http://abcdefg.com/xxx/xxx/xxx.htm?4D5kq--www.ljmsk.com.html 请问这种算是外链吗？急

先回答你的问题，这种是不是你从爱站或者中国站长网SEO工具查询到的外链？这种其实算不上外链，即使是外链也几乎没有价值，而且是死链了！

网站想有好的排名，坚持做好以下几个方面：

1、保持网站内容的更新（最好是版面都能更新到）；

2、适当适量的外链（建议不要一次性发太多，坚持每天发四五条足矣，最好去权重高的网站、论坛或者博客去发）；

3、优质适量的友情链接（经常监控，谨防死链接或者对方被K后被牵连）；

4、多些高质量的原创文章等（实在写不出就弄些伪原创，但是会影响阅读的连贯性）；

5、服务器需要稳定（依据网站流量决定是独立服务器还是虚拟主机或者空间）；

6、网站框架不要经常大幅度更改；

7、适当发几篇高质量的软文，并有技巧性的宣传自己的网站；

我是厦门小麦网的站长（域名如知道ID号xmxm.org），希望可以多沟通交流!

熊猫烧香病毒介绍

熊猫烧香病毒介绍：

由于中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为 “熊猫烧香”病毒。但原病毒只会对EXE图标进行替换，并不会对系统本身进行破坏。而大多数是中的病毒变种，用户电脑中毒后可能会出现 蓝屏 、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用。[2]

3中毒症状编辑

除了通过网站带毒感染用户之外，此病毒还会在局域网中传播，在极短时间之内就 可以感染几千台计算机，严重时可以导致网络瘫痪。中毒电脑上会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

4病毒危害编辑

熊猫烧香病毒会删除扩展名为gho的文件，使用户无法使用ghost软件恢复 操作系统 。“熊猫烧香”感染系统的.exe .com. f.src .html.asp文件，添加病毒网址，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe，可以通过U盘和移动硬盘等方式进行传播，并且利用Windows系统的自动播放功能来运行，搜索硬盘中的.exe可执行文件并感染，感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、用户简单密码等多种方式进行传播。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。据悉，多家著名网站已经遭到此类攻击，而相继被植入病毒。由于这些网站的浏览量非常大，致使“熊猫烧香”病毒的感染范围非常广，中毒企业和政府机构已经超过千家，其中不乏金融、税务、能源等关系到国计民生的重要单位。注：江苏等地区成为“熊猫烧香”重灾区。

5传播 方法 编辑

金山分析：这是一个感染型的蠕虫病毒，它能感染系统中exe,com,pif,src,html,asp等文件，它还能中止大量的反病毒软件进程

1拷贝文件

病毒运行后，会把自己拷贝到

C:\WINDOWS\System32\Drivers\spoclsv.exe

2添加注册表自启动

病毒会添加自启动项

svcshare - C:\WINDOWS\System32\Drivers\spoclsv.exe

3病毒行为

a：每隔1秒

寻找桌面窗口，并关闭窗口标题中含有以下字符的程序

QQKav

QQAV

防火墙

进程

VirusScan

网镖

杀毒

毒霸

瑞星

江民

黄山IE

超级兔子

优化大师

木马克星

木马清道夫

QQ病毒

注册表编辑器

系统配置实用程序

卡巴斯基反病毒

Symantec AntiVirus

Duba

熊猫烧香esteem proces

绿鹰PC

密码防盗

噬菌体

木马辅助查找器

System Safety Monitor

Wrapped gift Killer

Winsock Expert

游戏木马检测大师

msctls_statusbar32

pjf(ustc)

IceSword

并使用的键盘映射的方法关闭安全软件IceSword

添加注册表使自己自启动

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

svcshare - C:\WINDOWS\System32\Drivers\spoclsv.exe

并中止系统中以下的进程：

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

熊猫烧香KVXP.kxp

kvMonXP.kxp

KVCenter.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

FrogAgent.exe

Logo1_.exe

Logo_1.exe

Rundl132.exe

b：每隔18秒

点击病毒作者指定的网页，并用命令行检查系统中是否存在共享

共享存在的话就运行net share命令关闭admin$共享

c：每隔10秒

下载病毒作者指定的文件，并用命令行检查系统中是否存在共享

共享存在的话就运行net share命令关闭admin$共享

d：每隔6秒

删除安全软件在注册表中的键值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

RavTask

KvMonXP

kav

KAVPersonal50

McAfeeUpdaterUI

Network Associates Error Reporting Service

ShStartEXE

YLive.exe

yassistse

并修改以下值不显示隐藏文件

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

CheckedValue - 0x00

删除以下服务：

navapsvc

wscsvc

KPfwSvc

SNDSrvc

ccProxy

ccEvtMgr

ccSetMgr

SPBBCSvc

Symantec Core LC

NPFMntor

MskService

FireSvc

e：感染文件

病毒会感染扩展名为exe,pif,com,src的文件，把自己附加到文件的头部

并在扩展名为htm,html,asp,php,jsp,aspx的文件中添加一网址，

用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到

增加点击量的目的，但病毒不会感染以下文件夹名中的文件：

熊猫烧香WINDOW

Winnt

System Volume Information

Recycled

Windows NT

WindowsUpdate

Windows Media Player

Outlook Express

Internet Explorer

NetMeeting

Common Files

ComPlus Applications

Messenger

InstallShield Installation Information

MSN

Microsoft Frontpage

Movie Maker

MSN Gamin Zone

g：删除文件

病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件

使用户的系统备份文件丢失.

瑞星病毒分析 报告 ：“Nimaya(熊猫烧香)”

如何打造安全电脑

防火墙用LNS，查杀病毒，监控系统用麦咖啡8.0i企业版

下面教你如何做一个完美系统!(不占内存,机器配置要求不高,所以说是完美)

1、下载安装麦咖啡8.0及补丁包。

2、打开记事本，将下列信息复制到记事本中并另存为.reg文件（如McAFee.reg）：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\TVD\Shared Components\On Access Scanner\BehaviourBlocking]

"szLogFileName_Ent"="%VSEDEFLOGDIR%\\BufferOverflowProtectionLog.txt"

"FileBlockEnabled_8"=dword:00000001

"FileBlockEnabled_14"=dword:00000001

"FileBlockEnabled_7"=dword:00000001

"FileBlockEnabled_4"=dword:00000001

"FileBlockEnabled_29"=dword:00000001

"FileBlockEnabled_21"=dword:00000001

"LogFileFormat"=dword:00000001

"EnterceptMode"=dword:00000001

"FileBlockEnabled_30"=dword:00000001

"VSIDSendMessage"=dword:00000000

"VSIDBlockTimeout"=dword:0000000a

"VSIDBlock"=dword:00000001

"dwMaxLogSizeMB_Ent"=dword:00000001

"FileBlockEnabled_16"=dword:00000001

"FileBlockEnabled_18"=dword:00000001

"FileBlockEnabled_15"=dword:00000001

"FileBlockEnabled_20"=dword:00000001

"FileBlockEnabled_6"=dword:00000001

"bLogToFile"=dword:00000001

"FileBlockEnabled_25"=dword:00000001

"bLimitSize"=dword:00000001

"FileBlockEnabled_11"=dword:00000001

"FileBlockEnabled_17"=dword:00000001

"FileBlockEnabled_22"=dword:00000001

"FileBlockEnabled_26"=dword:00000001

"FileBlockEnabled_0"=dword:00000001

"FileBlockEnabled_27"=dword:00000001

"FileBlockEnabled_13"=dword:00000001

"FileBlockEnabled_5"=dword:00000001

"PortBlockProcessExclusionList"=hex(7):46,00,72,00,61,00,6d,00,65,00,77,00,6f,\

00,72,00,6b,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,2e,00,65,00,78,00,\

65,00,00,00,41,00,67,00,65,00,6e,00,74,00,6e,00,74,00,2e,00,65,00,78,00,65,\

00,00,00,00,00

"FileBlockEnabled_3"=dword:00000001

"FileBlockEnabled_28"=dword:00000001

"szLogFileName"="%VSEDEFLOGDIR%\\AccessProtectionLog.txt"

"FileBlockEnabled_12"=dword:00000001

"PortBlockReport"=dword:00000001

"bLimitSize_Ent"=dword:00000001

"dwMaxLogSizeMB"=dword:00000001

"LogFileFormat_Ent"=dword:00000001

"FileBlockEnabled_19"=dword:00000001

"FileBlockEnabled_23"=dword:00000001

"FileBlockEnabled_24"=dword:00000001

"EnterceptShowMessages"=dword:00000001

"FileBlockEnabled_1"=dword:00000001

"FileBlockEnabled_9"=dword:00000001

"bLogToFile_Ent"=dword:00000001

"FileBlockEnabled_2"=dword:00000001

"VSIDMessage"=""

"ShareBlockMode"=dword:00000000

"FileBlockEnabled_10"=dword:00000001

"ShareBlockReport"=dword:00000001

"EnterceptEnabled"=dword:00000001

"PortBlockReportMinutes"=dword:00000001

"VSIDBlockOnNonVirus"=dword:00000001

"FileBlockEnabled_31"=dword:00000001

"FileBlockEnabled_32"=dword:00000001

"FileBlockEnabled_33"=dword:00000001

"FileBlockEnabled_34"=dword:00000001

"FileBlockEnabled_35"=dword:00000001

"FileBlockEnabled_36"=dword:00000001

"FileBlockEnabled_37"=dword:00000001

"FileBlockEnabled_38"=dword:00000001

"FileBlockEnabled_39"=dword:00000001

"Fifanluntan x b s"=hex:00

"FileBlockEnabled_40"=dword:00000001

"FileBlockEnabled_41"=dword:00000001

"FileBlockEnabled_42"=dword:00000001

"FileBlockEnabled_43"=dword:00000001

"FileBlockEnabled_44"=dword:00000001

"FileBlockEnabled_45"=dword:00000001

"FileBlockEnabled_46"=dword:00000001

"FileBlockEnabled_47"=dword:00000001

"FileBlockEnabled_48"=dword:00000001

"FileBlockEnabled_49"=dword:00000001

"FileBlockEnabled_50"=dword:00000001

"FileBlockEnabled_51"=dword:00000000

"FileBlockEnabled_52"=dword:00000001

"FileBlockEnabled_53"=dword:00000001

"FileBlockEnabled_54"=dword:00000001

"FileBlockEnabled_55"=dword:00000001

"FileBlockEnabled_56"=dword:00000001

"FileBlockEnabled_57"=dword:00000001

"FileBlockEnabled_58"=dword:00000001

"EnterceptExclusionProcess_0"="explorer.exe"

"EnterceptExclusionModule_0"=""

"EnterceptExclusionAPI_0"="VirtualProtect"

"EnterceptExclusionProcess_1"="WINWORD.EXE"

"EnterceptExclusionModule_1"=""

"EnterceptExclusionAPI_1"="GetProcAddress"

"EnterceptExclusionProcess_2"="WINWORD.EXE"

"EnterceptExclusionModule_2"=""

"EnterceptExclusionAPI_2"="VirtualProtect"

"EnterceptExclusionProcess_3"="IEXPLORE.EXE"

"EnterceptExclusionModule_3"=""

"EnterceptExclusionAPI_3"="GetProcAddress"

"EnterceptExclusionProcess_4"="IEXPLORE.EXE"

"EnterceptExclusionModule_4"=""

"EnterceptExclusionAPI_4"="VirtualProtect"

"EnterceptExclusionProcess_5"="EXCEL.EXE"

"EnterceptExclusionModule_5"=""

"EnterceptExclusionAPI_5"="GetProcAddress"

"EnterceptExclusionProcess_6"="EXCEL.EXE"

"EnterceptExclusionModule_6"=""

"EnterceptExclusionAPI_6"="VirtualProtect"

"EnterceptExclusionProcess_7"="POWERPNT.exe"

"EnterceptExclusionModule_7"=""

"EnterceptExclusionAPI_7"="GetProcAddress"

"EnterceptExclusionProcess_8"="POWERPNT.EXE"

"EnterceptExclusionModule_8"=""

"EnterceptExclusionAPI_8"="VirtualProtect"

"EnterceptExclusionProcess_9"="explorer.exe"

"EnterceptExclusionModule_9"=""

"EnterceptExclusionAPI_9"="GetProcAddress"

"EnterceptExclusionProcess_10"="msimn.exe"

"EnterceptExclusionModule_10"=""

"EnterceptExclusionAPI_10"="GetProcAddress"

"EnterceptExclusionProcess_11"="msimn.exe"

"EnterceptExclusionModule_11"=""

"EnterceptExclusionAPI_11"="VirtualProtect"

"EnterceptExclusionProcess_12"="wmplayer.exe"

"EnterceptExclusionModule_12"=""

"EnterceptExclusionAPI_12"="GetProcAddress"

"EnterceptExclusionProcess_13"="wmplayer.exe"

"EnterceptExclusionModule_13"=""

"EnterceptExclusionAPI_13"="VirtualProtect"

"FileBlockEnabled_59"=dword:00000001

"PortBlockEnabled_0"=dword:00000001

"PortBlockName_0"="禁止大量发送邮件的蠕虫病毒发送邮件"

"PortBlockDirection_0"=dword:00000001

"PortBlockRange_0"="25"

"PortBlockWhiteList_0"="amgrsrvc.exe,tomcat.exe,outlook.exe,msimn.exe,agent.exe,eudora.exe,nlnotes.exe,mozilla.exe,netscp.exe,opera.exe,winpm-32.exe,pine.exe,poco.exe,thebat.exe,thunderbird.exe,ntaskldr.exe,inetinfo.exe,nsmtp.exe,nrouter.exe,tomcat5.exe,tomcat5w.exe,ebs.exe,FireSvc.exe,modulewrapper.exe,MSKSrvr.exe,MSKDetct.exe,mapisp32.exe,Foxmail.exe,DreamMail.exe"

"PortBlockEnabled_1"=dword:00000001

"PortBlockName_1"="禁止 IRC 通讯"

"PortBlockDirection_1"=dword:00000001

"PortBlockRange_1"="6666-6669"

"PortBlockWhiteList_1"=""

"PortBlockEnabled_2"=dword:00000001

"PortBlockName_2"="禁止 IRC 通讯"

"PortBlockDirection_2"=dword:00000000

"PortBlockRange_2"="6666-6669"

"PortBlockWhiteList_2"=""

"PortBlockEnabled_3"=dword:00000000

"PortBlockName_3"="禁止从万维网上下载"

"PortBlockDirection_3"=dword:00000001

"PortBlockRange_3"="80"

"PortBlockWhiteList_3"="outlook.exe,msimn.exe,iexplore.exe,mozilla.exe,netscp.exe,opera.exe,thunderbird.exe,msn6.exe,neo20.exe,mobsync.exe,waol.exe,nlnotes.exe"

"PortBlockEnabled_4"=dword:00000000

"PortBlockName_4"="禁止 FTP 入站通讯（阻止诸如 Nimda 等病毒传播）"

"PortBlockDirection_4"=dword:00000000

"PortBlockRange_4"="20-21"

"PortBlockWhiteList_4"=""

"PortBlockEnabled_5"=dword:00000000

"PortBlockName_5"="禁止 FTP 出站通讯（阻止病毒下载文件）"

"PortBlockDirection_5"=dword:00000001

"PortBlockRange_5"="20-21"

"PortBlockWhiteList_5"=""

"PortBlockEnabled_6"=dword:00000001

"PortBlockName_6"="135-139"

"PortBlockDirection_6"=dword:00000000

"PortBlockRange_6"="135-139"

"PortBlockWhiteList_6"=""

"PortBlockEnabled_7"=dword:00000001

"PortBlockName_7"="445"

"PortBlockDirection_7"=dword:00000000

"PortBlockRange_7"="445-445"

"PortBlockWhiteList_7"=""

"PortBlockEnabled_8"=dword:00000001

"PortBlockName_8"="5000"

"PortBlockDirection_8"=dword:00000000

"PortBlockRange_8"="5000-5000"

"PortBlockWhiteList_8"=""

"FileBlockRuleName_0"="免疫3721上网助手/中文邮"

"FileBlockProcess_0"="*"

"FileBlockWildcard_0"="**\\3721"

"FileBlockWhat_0"=dword:00050000

"FileBlockReport_0"=dword:00000001

"FileBlockRuleName_1"="禁止DUDU"

"FileBlockProcess_1"="*"

"FileBlockWildcard_1"="**\\dudu"

"FileBlockWhat_1"=dword:00050000

"FileBlockReport_1"=dword:00000001

"FileBlockRuleName_2"="禁止网络猪"

"FileBlockProcess_2"="*"

"FileBlockWildcard_2"="**\\网络猪"

"FileBlockWhat_2"=dword:00050000

"FileBlockReport_2"=dword:00000001

"FileBlockRuleName_3"="禁止3721网络实名"

"FileBlockProcess_3"="*"

"FileBlockWildcard_3"="%windir%\\Downloaded Program Files\\cns*.*"

"FileBlockWhat_3"=dword:00050000

"FileBlockReport_3"=dword:00000001

"FileBlockRuleName_4"="禁止划词搜索"

"FileBlockProcess_4"="*"

"FileBlockWildcard_4"="**\\Program Files\\wsearch"

"FileBlockWhat_4"=dword:00050000

"FileBlockReport_4"=dword:00000001

"FileBlockRuleName_5"="禁止baidu"

"FileBlockProcess_5"="*"

"FileBlockWildcard_5"="**\\baidu"

"FileBlockWhat_5"=dword:00050000

"FileBlockReport_5"=dword:00000001

"FileBlockRuleName_6"="禁止360度搜"

"FileBlockProcess_6"="*"

"FileBlockWildcard_6"="**\\360so"

"FileBlockWhat_6"=dword:00050000

"FileBlockReport_6"=dword:00000001

"FileBlockRuleName_7"="禁止Infofo Bar"

"FileBlockProcess_7"="*"

"FileBlockWildcard_7"="**\\Infofo Bar"

"FileBlockWhat_7"=dword:00050000

"FileBlockReport_7"=dword:00000001

"FileBlockRuleName_8"="禁止IInfo"

"FileBlockProcess_8"="*"

"FileBlockWildcard_8"="**\\IInfo"

"FileBlockWhat_8"=dword:00050000

"FileBlockReport_8"=dword:00000001

"FileBlockRuleName_9"="禁止很棒小秘书"

"FileBlockProcess_9"="*"

"FileBlockWildcard_9"="**\\HDP"

"FileBlockWhat_9"=dword:00050000

"FileBlockReport_9"=dword:00000001

"FileBlockRuleName_10"="禁止很棒小秘书"

"FileBlockProcess_10"="*"

"FileBlockWildcard_10"="**\\henbangtemp"

"FileBlockWhat_10"=dword:00050000

"FileBlockReport_10"=dword:00000001

"FileBlockRuleName_11"="禁止青蛙娱乐"

"FileBlockProcess_11"="*"

"FileBlockWildcard_11"="**\\Qyule"

"FileBlockWhat_11"=dword:00050000

"FileBlockReport_11"=dword:00000001

"FileBlockRuleName_12"="禁止一搜"

"FileBlockProcess_12"="*"

"FileBlockWildcard_12"="**\\YiSou"

"FileBlockWhat_12"=dword:00050000

"FileBlockReport_12"=dword:00000001

"FileBlockRuleName_13"="禁止CNNIC"

"FileBlockProcess_13"="*"

"FileBlockWildcard_13"="**\\CNNIC"

"FileBlockWhat_13"=dword:00050000

"FileBlockReport_13"=dword:00000001

"FileBlockRuleName_14"="禁止CNNIC"

"FileBlockProcess_14"="*"

"FileBlockWildcard_14"="**\\cdn*.*"

"FileBlockWhat_14"=dword:00050000

"FileBlockReport_14"=dword:00000001

"FileBlockRuleName_15"="禁止阿里巴巴商机直通车"

"FileBlockProcess_15"="*"

"FileBlockWildcard_15"="**\\alitb*\\**"

"FileBlockWhat_15"=dword:00050000

"FileBlockReport_15"=dword:00000001

"FileBlockRuleName_16"="禁止雅虎助手"

"FileBlockProcess_16"="*"

"FileBlockWildcard_16"="**\\Assistant"

"FileBlockWhat_16"=dword:00050000

"FileBlockReport_16"=dword:00000001

"FileBlockRuleName_17"="禁止 修改创建删除 系统任何文件(重要)"

"FileBlockProcess_17"="*"

"FileBlockWildcard_17"="%windir%\\**\\*"

"FileBlockWhat_17"=dword:00150000

"FileBlockReport_17"=dword:00000001

"FileBlockRuleName_18"="禁止 修改创建删除 系统根目录任何文件(重要)"

"FileBlockProcess_18"="*"

"FileBlockWildcard_18"="%systemdrive%\\*"

"FileBlockWhat_18"=dword:00150000

"FileBlockReport_18"=dword:00000001

3、右击麦咖啡图标→→VirusScan控制台→→双击“访问保护”→→文件、共享资源和文件夹保护：将原有的规则全部删除。

4、双击.reg文件（McAFee.reg），将规则导入注册表，OK。

再查看规则你会发现，有两个很重要的规则被添加进去：

禁止 修改创建删除 系统任何文件

禁止 修改创建删除 系统根目录任何文件

这样一来，任何病毒、木马都无处安身，因为此时系统内是禁止任何文件的增、删操作的，从根本上杜绝了入侵的可能。当然你在安装软件、升级操作系统和升级病毒库的时候必须停用这2个规则.否则不能升级系统和病毒库，也不能安装任何软件。

而且此规则还默认阻挡135 139 445端口，又大大加强了系统的防护。

本人因不堪忍受卡巴斯基和ZoneAlarm的牛速，最终选择了麦咖啡和LNS，感觉速度至少提高了两个数量级，而且自此以后从未中招，极力推荐使用。