木马专杀网

picasa简体中文版官方免费下载

huacunbook@163.com (木马专杀) — Thu, 15 Mar 2018 21:50:43 +0800

下载地址：

Picasa(皮擦撒/皮擦洒/劈叉撒) 是一款可帮助您在计算机上立即找到、修改和共享所有图片的软件。每次打开 Picasa 时，它都会自动查找所有图片（甚至是那些您已经遗忘的图片），并将它们按日期顺序放在可见的相册中，同时以您易于识别的名称命名文件夹。您可以通过拖放操作来排列相册，还可以添加标签来创建新组。Picasa 保证您的图片从始至终都井井有条。

Picasa中文原本是一款收费的图像浏览软件，浏览图片文件的速度比ACDSee要快出不少，被Google收归旗下后不仅更名为GooglePicasa，而且还被大方地更改为免费软件。当然，Google收购Picasa公司并非心血来潮，其主要目的是希望依靠其技术增强博客方面的服务，使用户在上传或管理相片时更为轻松简捷，加上去年收购了PyraLabs公司，Google的目的是希望进一步巩固在博客服务方面的地位。所以推荐您下载google picasa 下载

Google picasa 图片软件的功能：

查找您已经遗忘的图片。

当您在计算机上查看、扫描图片时，Picasa 会整理整个图片集并按照日期将所有图片自动排序。

添加标签。

在 Picasa 中使用标签来标记照片以快速创建照片组。查看和共享通过标签分组的照片非常容易。这些照片可以制作成精美的幻灯片演示和电影，或者，您可以通过电子邮件将它们发送给亲朋好友。

添加星级。

给您最喜爱的照片添加金星：一眼就可认出您最喜欢的图片。Picasa 甚至还具有星标搜索功能，可在 1 秒钟之内找出整个照片集里那些好上加好的照片。

受密码保护的图片集。

有没有想要自己独享的照片？您可以给任何一个 Picasa 图片集添加密码（这不会影响您和他人可在您的计算机硬盘上看到的图片）。

基本修正就是反复修正，然后效果更好。

Picasa 的基本修正就是使用一些按钮，快速轻松完成这些工作：裁减、消除红眼、修正对比度和颜色以及增强您的数码照片的效果。

让效果平常的图片变成令人惊叹的艺术品。

您会看到 Picasa 的 12 项新的视觉效果如何在数秒钟之内（而不是数小时）改变您的照片效果。变成褐色、暖化、使照片呈现流行的色彩，或使用单纯的黑白色。尝试使用简单的一次单击或可精细调整的滑块，在您需要的地方更自如地调整。当然，在整个过程中，您可以在任何一步撤消修改。

缩放、平移、倾斜、获取您需要的角度。

您还没有拍到好照片吗？有了 Picasa，这就不会是最终结果。靠近一点，稍稍关注一下左侧。您的相机拍出的照片质量欠佳？这有什么关系？反正无论如何，您都会得到完美的相片。

目前，Google Picasa更新版本 Google Picasa 2.7（build36.36）已经可以下载使用了。

“大话西游和梦幻西游”木马专杀工具

huacunbook@163.com (木马专杀) — Mon, 31 Mar 2008 16:43:08 +0800

软件版本： 2006.9.28.11

软件大小： 515 KB

软件性质：免费

应用平台： WinNT/2000/XP/2003

更新时间： 2006-09-28

简要介绍：
　　该类病毒为盗取大话西游、梦幻西游网络游戏的游戏账号、密码、角色及游戏角色装备信息的一类木马，中毒后的的计算机会导致用户机器不稳定，系统重要文件关联被修改、无法正常使用反病毒软件、用户上网速度变慢等。病毒盗取用户游戏相关信息给用户带来一定的经济损失。

梦幻西游盗号木马和广告病毒特征

huacunbook@163.com (木马专杀) — Mon, 31 Mar 2008 16:39:18 +0800

　　“梦幻之盗”(Win32.PSWTroj.OnlineGames.14848)这是一个木马病毒，主要盗取“梦幻西游”的帐号和密码。“广告下载器”(Win32.Adware.Navi.394615)这是一个广告类病毒。

　　一、“梦幻之盗”(Win32.PSWTroj.OnlineGames.14848) 威胁级别：★

　　该病毒主要作用是盗取"梦幻西游"的帐号信息。

　　1、病毒生成的“LYMANGR.dll”文件会枚举客户计算机上的进程，查找网络游戏“梦幻西游”的进程 my.exe 。再枚举该进程的模块，如没有发现另一个文件 MSDEG32.dll 则通过写内存的方式把该病毒文件注入到 my.exe 里。

　　2、在客户计算机上创建了socket并绑定到“2*2.1*9.2*4.1*3”。

　　3、指定的接收网址：
　　hxxp://www.5151la.com/mh2007/post2007kj.asp/?server=xx&gameid=xx&pass=xx&pin=xx&wupin=xx&role=xx&equ=现金:xx 存银:xx&other=Build:xx
　　hxxp://www.raceswd.com/cs03/post.asp/?server=xx&gameid=xx&pass=xx&pin=xx&wupin=xx&role=xx&equ=现金:xx 存银:xx&other=Build:xx

　　二、“广告下载器”(Win32.Adware.Navi.394615) 威胁级别：★

　　病毒运行后会释放文件到系统文件夹，并生成注册表项，BHO浏览器，根据sqlite的搜索结果在后台弹广告，影响用户正常上网。另外，该病毒使用sqlite来管理和更新自身数据库文件。

　　1、修改win.ini文件，插入以下内容
    [svrhost]
    vercheck=1188957373
    sqlcheck=1188957373
    install=1188957373

　　2、使用sqlite来管理和更新自身数据库文件
hxxp://bar6.old5.com

　　3、BHO浏览器，根据sqlite的搜索结果在后台弹广告，影响用户正常上网
    hxxp://www.100x10000.com/xxxx.html
    hxxp://baidu.3628.com
    hxxp://www.xc100.com

　　金山反病毒工程师建议

　　1、最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、内存监控等，遇到问题要上报，这样才能真正保障计算机的安全。
　　2、玩网络游戏、利用QQ聊天的用户会有所增多，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2007年9月7日的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2007或使用金山毒霸在线杀毒来防止病毒入侵，拨打金山毒霸反病毒急救电话010—82331816反病毒专家将为您提供帮助。

2008十大流行木马病毒与防范措施

huacunbook@163.com (木马专杀) — Tue, 04 Mar 2008 10:04:07 +0800

流行木马病毒排行榜NO.6：Worm.Autorun.c.17463

流行木马病毒排行榜NO.8：Win32.Troj.Renos.a

流行病毒排行榜NO.10：Win32.PSWTroj.OnLineGames.53248

huacunbook@163.com (木马专杀) — Tue, 04 Mar 2008 10:02:38 +0800

病毒名称(中文):Win32.PSWTroj.OnLineGames.53248
威胁级别:★☆☆☆☆
病毒类型:偷密码的木马
病毒长度:53248
影响系统:Win9x Win2000 WinXP

病毒行为:
该病毒是一个网络游戏<彩虹岛>的盗号木马，（貌似彩虹岛的玩家并不多，中毒的人却不少）
病毒运行后会衍生病毒文件至系统目录下.并把DLL文件注入到进程当中.
1.生成文件.
%Windir%\AVPSrv.exe（明显是假冒卡巴）
%sys32dir%\AVPSrv.dll
2.添加注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
AVPSrv ="C:\WINDOWS\AVPSrv.exe"
3.病毒木马通过读取内存的方式盗取用户的游戏账号和密码,并把相关资料以网页提交的方式发送到以下网站:
"http://jt1.*****jj.com/cchh/lin.asp"
4.病毒运行之后会删除病毒源文件.

解决方案：
1.升级杀毒软件查杀
2.手工解决：只需要删除这两个文件
%Windir%\AVPSrv.exe（指c:\windows目录）
%sys32dir%\AVPSrv.dll（指c:\windows\system32目录）

防范措施：
1.建议网游玩家，小心使用游戏外挂，尽量不去接收非官方提供的程序，避免木马入侵。
2.建议参考金山清理专家2.1的安全建议，加固你的系统.

流行病毒排行榜NO.9：Win32.Troj.Unknown.b.81920

huacunbook@163.com (木马专杀) — Tue, 04 Mar 2008 10:01:28 +0800

病毒名称(中文):Win32.Troj.Unknown.b.81920（这种恶心人的病毒太多了，自动分析系统用unknown来命名）
威胁级别:★☆☆☆☆
病毒类型:木马下载器（又是下载器）
病毒长度:81920
影响系统:WinNT Win2000 WinXP

病毒行为:
这是一个下载者病毒，病毒会把客户计算机里的安全软件警告都关闭掉，使客户计算机里的安全软件失去作用，病毒在客户计算机上的每个盘下生成 AutoRun.inf 和Dser.exe 文件，病毒会读取木马种植者指定的其它木马下载地址并下载保存到客户计算机上运行。

病毒成功在客户计算机上运行后把自身复制到客户计算机的%SystemRoot%\system32\ 文件夹下

病毒会注册表服务项以达到开机自启动的作用

病毒通过查找窗口的方法关闭安全软件的警告窗口,如发现客户计算机上安装了指定的杀软,会修改系统时间导致杀软失效.
（又是和AV终结者用相同的手法）

病毒生成的文件:
%SystemRoot%\system32\Dser.exe
病毒添加的注册表项:
Key:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN
Key:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinServerDown
ImagePath:"%SystemRoot%\system32\Dser.exe"

病毒会从以下指定的木马下载地址下载木马程序至客户计算机:
hxxp://www.**ba*ba*mm.**.cn/123.exe
hxxp://www.**ba*ba*mm.**.cn/124.exe
hxxp://www.**ba*ba*mm.**.cn/125.exe
hxxp://www.**ba*ba*mm.**.cn/126.exe
hxxp://www.**ba*ba*mm.**.cn/127.exe
hxxp://www.**ba*ba*mm.**.cn/128.exe

解决方案：
该病毒关闭杀毒软件，并下载更多木马，下载器本身只有一个文件。中毒后，应该全面查杀，将所有已经下载的木马清除干净。
手工查找%SystemRoot%\system32\Dser.exe（缺省是c:\windows\system32目录）
使用金山清理专家直接粉碎这个文件，然后尝试升级毒霸杀毒。

防范手段：
1.启用网络防火墙软件，拦截病毒通过网络攻击传播；
2.使用漏洞修复软件或windows update及时修补系统漏洞，特别需要注意升级IE浏览器。
3.及时升级杀毒软件，开启实时监控，可有效阻止已知的病毒入侵
4.关闭windows的自动播放功能，阻止病毒通过U盘传播。可以使用金山清理专家2.1实现，安全百宝箱中有自动运行管理器，将所有驱动器的自动播放关闭就可以。

流行病毒排行榜NO.8：Win32.Troj.Renos.a

huacunbook@163.com (木马专杀) — Tue, 04 Mar 2008 09:58:24 +0800

病毒名称(中文):Win32.Troj.Renos.a
威胁级别:★☆☆☆☆
病毒类型:广告流氓程序
病毒长度:29596
影响系统:Win9x WinMe WinNTWin2000 WinXP Win2003

病毒行为:
这是一个恶意广告软件，病毒采用进程互锁，并定时弹出虚假警告，诱惑用户点击安装其它软件，显然是开发这些软件的无良商人购买了这种流氓软件的服务。

1. 病毒将自身拷贝两份到%WinDir%目录下，分别命名为wupdmgr.exe和osaupd.exe。（文件名和系统文件名很相似，以迷惑用户）
2. 病毒的进程一旦运行，通过检查互斥体，互相启动进程，形成进程互锁，普通方法很难将其终止。简单的结束进程会无效的，可使用金山清理专家的文件粉碎器，将这两个文件同时添加到彻底删除的列表，一次将两个恶意软件彻底删除。
3. 病毒在注册表中添加如下键值，作为感染标志，并以此实现开机自启：
[HKEY_CLASSES_ROOT\Balloon.Application]
默认 ="Balloon.Application"
[CLSID]
默认 ="1CA7DBAF-B066-4554-977E-5CEBB7FA59C8"
[HKEY_CLASSES_ROOT\CLSID\{1CA7DBAF-B066-4554-977E-5CEBB7FA59C8}]
默认 ="Balloon.Application"
[InproHandler32]
默认 ="ole32.dll"
[LocalServer32]
默认 ="%WinDir%\wudpmgr.exe"
[ProgramId]
默认 ="Balloon.Application"
4. 病毒会定时弹出下面的虚假警告，诱惑用户点击以安装其它广告软件：
"Yourcomputer is infected with malicious ware, what can cause serious riskfor your system security!"
"Malicious programscan change, damage and delete important system components, what can cause slower performance, valuable data loss,unstable system operation, irritating pop-ups rushing out and yourpasswords and credit card information may be stolen!"
"Click"OK" to get software and special offers on antivirus software.
Security systemdetected that your PC is seriously infected with spyware.Spyware typically refers to virus-like software which performs hiddentasks on your PC without your consent, bringing annoyingpopups, collecting personal information or causing sluggish performance. Itis highly advised that you use anti-spyware tools to
prevent dataloss and system crashes."
"Protect your PC now?download anti-spyware tools that will scan your system forinfections and remove them."
"Click"OK" to get special offers and download links on anti-spyware tools. Spywareinfection detected! Windows has detected spyware in your system. Itis strongly recommended that you stop working with valuable dataand proceed to using special antispyware programs to to prevent data loss."

解决方案：
前面已经提到了解决办法，使用金山清理专家2.1，启动安全百宝箱，将%WinDir%目录（缺省为c:\windows目录），下的wupdmgr.exe和osaupd.exe，添加到彻底删除的列表。
流氓软件修改的注册键值，可以在彻底删除流氓软件后重启，再手动运行regedit，打开注册表编辑器，将病毒添加的如下键删除。

[HKEY_CLASSES_ROOT\Balloon.Application]
默认 ="Balloon.Application"
[CLSID]
默认 ="1CA7DBAF-B066-4554-977E-5CEBB7FA59C8"
[HKEY_CLASSES_ROOT\CLSID\{1CA7DBAF-B066-4554-977E-5CEBB7FA59C8}]
默认 ="Balloon.Application"
[InproHandler32]
默认 ="ole32.dll"
[LocalServer32]
默认 ="%WinDir%\wudpmgr.exe"
[ProgramId]
默认 ="Balloon.Application"

防范措施：
流氓软件往往是随着不少免费的共享软件捆绑安装的，在安装这些软件的时候，不要随意点“下一步”按钮，最好注意看清楚安装过程中的对话框。推荐去大的下载站点下载软件，不要在小站下载软件。

流行病毒排行榜NO.7：Win32.Troj.Autorun.go.15173

huacunbook@163.com (木马专杀) — Tue, 04 Mar 2008 09:57:43 +0800

病毒名称(中文):Win32.Troj.Autorun.go.15173

威胁级别:★☆☆☆☆
病毒类型:木马程序
病毒长度:15173
影响系统:WinNT Win2000 WinXP

病毒行为:
病毒把本身复制到%SystemRoot%\system32\dllcache\svchost.exe 覆盖原来的svchost.exe 。
创建系统服务使病毒自身能达到开机自动运行。
结束以下进程:（这个木马专门针对金山清理专家和金山网镖）
KASMain.exe
kpfwsvc.exek
添加文件:
%SystemRoot%\system32\dllcache\svchost.exe
%SystemRoot%\system32\dllcache\1028\svchost.exe
%SystemDrive%\auto.exe（每个磁盘根目录都会多出一个auto.exe)
添加注册表:
键名:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\svchost
键名:HKEY_CURRENT_USER\System\CurrentControlSet\Services\svchost

解决方案：
这个病毒比较简单，解决它很容易，重启到带命令安全模式删除这三个文件（或者，安全模式下用金山清理专家的文件粉碎器干掉它们），最简单的就是装毒霸08升级后，扫描以下位置，发现病毒要求重启清除时，按提示重启计算机就可以了。
%SystemRoot%\system32\dllcache\svchost.exe
%SystemRoot%\system32\dllcache\1028\svchost.exe
%SystemDrive%\auto.exe（每个磁盘根目录都会多出一个auto.exe)

防范措施：
1.启用网络防火墙软件，拦截病毒通过网络攻击传播；
2.使用漏洞修复软件或windows update及时修补系统漏洞，特别需要注意升级IE浏览器。
3.及时升级杀毒软件，开启实时监控，可有效阻止已知的病毒入侵
4.关闭windows的自动播放功能，阻止病毒通过U盘传播。可以使用金山清理专家2.1实现，安全百宝箱中有自动运行管理器，将所有驱动器的自动播放关闭就可以。

流行病毒排行榜NO.6：Worm.Autorun.c.17463

huacunbook@163.com (木马专杀) — Tue, 04 Mar 2008 09:56:33 +0800

病毒名称(中文):Worm.Autorun.c.17463（AUTO病毒）

威胁级别:★★☆☆☆
病毒类型:蠕虫病毒
病毒长度:17463
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:
这是一个AUTO病毒。该病毒运行后，会立即修改系统时间，使依赖时间的杀毒软件立即失效。并且会在各盘中生成AUTO病毒文件。当用户鼠标左键双击进入AUTO病毒的盘时，病毒则触发运行。
1.病毒运行后，生成以下病毒文件
%system32%\C4393B08.DLL
%system32%\ED9825C0.EXE
%system32%\llk1131786170.h
%system32%\n1131786173k.exe
并且在各盘中生成AUTO病毒文件
2.病毒运行成功后会自删除，使用户无法找到病毒源文件。
3.病毒成功运行后，会修改系统时间为2005年，使杀软卡巴斯基的激活码失效，导致用户系统的安全性能大大降低，病毒
可以肆意在机器中进行任何操作。
4.在任务管理器中可以看到病毒进程已经在执行操作，每隔一段时间将会使桌面图标消失，然后再显示出来。
5.打开浏览器时，占用的内存非常高。
6.在各盘中产生的AUTO病毒分别为:autorun.inf和auto.exe，这两个病毒文件都具有隐藏属性，其中auto.exe还有伪装微
软系统文件的属性。当用户左键双击有AUTO病毒的盘时，则会触发病毒且运行起来。
7.当鼠标左键双击进入盘符的时候，会等待一会才进入，而且可以发现进入的时候是另外弹出一个窗口进入的，此时证明
已经触发AUTO病毒，再仔细观察，隐藏文件的属性已经被修改，无法显示隐藏文件。
8.查看启动项，已经被病毒添加了许多的病毒启动项，都随着系统的启动而运行。
9.病毒还会尝试把其他的病毒文件进行复制，当复制到系统盘内则可进行病毒操作。
10.最后导致不段的弹窗口，由于系统资源严重被占用，关闭窗口速度缓慢，所以造成系统严重瘫痪。

解决方案：
该病毒采用和AV终结者类似的手法，改系统时间令卡巴失效，利用移动存储设备的自动播放功能启动。病毒还会释放很多个文件名随机的DLL文件和EXE文件，注入正常程序进程，下载其它木马或安装流氓软件。

因病毒变种较多，手工查杀不易，应优先使用杀毒软件完成清除。当毒霸提示需要重启清除时，一定要重启。毒霸2008的抢先杀毒技术会在重启电脑过程中，将病毒彻底清除。

防范措施：
1.启用网络防火墙软件，拦截病毒通过网络攻击传播；
2. 使用漏洞修复软件或windows update及时修补系统漏洞，特别需要注意升级IE浏览器。
3. 及时升级杀毒软件，开启实时监控，可有效阻止已知的病毒入侵
4. 关闭windows的自动播放功能，阻止病毒通过U盘传播。可以使用金山清理专家2.1实现，安全百宝箱中有自动运行管理器，将所有驱动器的自动播放关闭就可以。

流行病毒排行榜NO.5：Win32.Troj.OnlineGamesT.nf.94208

huacunbook@163.com (木马专杀) — Tue, 04 Mar 2008 09:54:40 +0800

病毒名称(中文):Win32.Troj.OnlineGamesT.nf.94208

病毒别名:盗号木马已经多到没办法命名的地步，大部分盗号木马没有详细分析，只用自动分析流程提取了病毒特征

威胁级别:★☆☆☆☆
病毒类型:木马程序
病毒长度:38032
影响系统:Win9x WinNT Win2000WinXP Win2003

病毒行为:
这是一个盗号木马。病毒运行后，释放病毒文件至"NetMeeting"文件夹，修改注册表启动项。病毒通过注入桌面进程，监控网络游戏魔域窗口，并盗取用户帐号、密码、密保等信息，发送给远程盗号者，损害用户利益。
1.复制自身至（木马最重要的特征是伪装，通常会把自身伪装为正常文件，创建的木马程序通常在系统文件夹下）
%programfiles%\NetMeeting\ravmymon.exe
然后释放文件
%programfiles%\NetMeeting\ravmymon.cfg
%programfiles%\NetMeeting\ravmymon.dat
最后使用批处理删除自身
2.生成启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runravmymon "%programfiles%\NetMeeting\ravmymon.exe"
3.注入桌面进程，监控网络游戏魔域窗口，盗取用户帐号、密码、密保等信息，并发送至远程服务器
hxxp://www.abcdf.cn/my7570/lin.asp?a=%s&s=%s&u=%s&p=%s&pin=%s&r=%s&l=%d&m=%d&mb=%s

解决方案：
这个木马并不复杂，木马注入了explorer进程，监控游戏客户端盗号。
中毒后，启动到安全模式下病毒也会执行，金山毒霸2008（2007近期也已经更新）的抢先杀毒功能（bootclean)，可以一次重启将病毒清除。

通用的防木马原则：
1.木马大多数情况下使用社会工程学欺骗，来入侵电脑，用户应对小心浏览一些看起来不太正规的网站。
2.使用漏洞扫描修复工具防止病毒因为系统漏洞入侵
3.安装杀毒软件，并保持监控有效。