怎么找木马网 站

关于已经中了木马的网站，

相关处理办法，如果你发现你网站已经中招（大部分表现为被人插入iframe代码，首页或者每个页面），可以参照以下办法进行处理：

1、官方网站下载安装最新的安全补丁

2、对比动易所有的文件，发现多出来的文件，立即下载备份（供分析用）然后从站点中删除！如果是文件大小、日期不一致的，编辑该文件，看是否有不良代码。黑客比较喜欢在conn.asp和config.asp里面放不良代码。如果发现有，先删除。最近还发现很多木马代码被插入到了JS文件中，建议直接用动易程序原JS目录覆盖一次网站的JS目录。然后上传动易官方最新文件替换。conn.asp上传后，记得将数据库路径修改正确。

3、查看所有的JPG,GIF文件名，凡是发现带asp文件名的，立即下载备份（供分析用）然后从站点中删除！（黑客比较喜欢在admin/image/......这种地方藏木马，曾经有一位站长的站就被人在这个目录下建立了一个.asp的目录，里面再放一个JPG木马文件。

4、以上2、3步骤是检查木马程序文件，完成后，就该检查后台模板了。首先当然是立刻修改管理员密码（能动你模板说明就能进你后台了），接着查看站内日志是否有非法登陆或者是日志被删除了，然后在模板管理中，用查找替换模板的方法，查询你网站页面被插入的那个iframe代码。

5、停止网站所有的上传功能，检查所有会员名，发现带asp的(包括*.asa、*.cdx、*.cer)，全部删除（请自行斟酌，为了网站安全，损失点也没办法），同时，在网站选择题那设定禁止注册：asp 这样的会员。

6、如果你网站的数据库使用的是默认的Database/PowerEasy2006.mdb数据库路径和文件名，请立即更改！切记！

7、登陆后台后网页一片空白的处理方法，用对应版本原始的admin文件夹覆盖你的管理目录中的文件，并将目录中多出来的文件删除掉。如果后台菜单栏点不开的，请重新上传文件/JS/prototype.js。

8、登陆时提示验证码不正确的，一般表现为验证码多了下划线。请用原始的动易文件覆盖你网站根目录上的images文件夹下面的几个后缀为fix文件，以及/inc/checkcode.asp文件。

9、最好重新生成所有的HTML文件以及所有的JS文件。

10、以上方法都试了还不行，那就备份数据库，然后删除全站，再重新上传。对于我司用户，可以在主机控制面板，设置执行权限中，取消上传目录的ASP执行权限，这样即使上传了木马在上传目录，也无法运行木马程序

建议用别的杀毒软件 卡巴会误报的 我以前用的就是卡巴 经常出现这个问题

下个瑞星 在从网上找个序列号http://go.rising.com.cn/download/index.htm

产品序列号VUSBRC-FMES6J-3UIFS6-PT5200

ID:W2PC4VRZFZ4D

产品序列号：RIUEKR-EKNBL6-JLE9S0-9QD200

ID:4AJRY64DNA4G

.......................................

瑞星杀毒2005序列号 附激活ID

序列号：RIUEKR-EKNBL6-JLE950-9QD200

用户ID：4AJRY64DNA4G (任意填写)

可升级2005瑞星杀毒软件和防火墙的安装序列号及ID

安装序列号：52LDJG-Q9LBCT-6ACQS2-R30800

ID:RCHVB6NM

RCERCJ7U

RCVXD94A

RCEXB8IS

M1XERFIS

UAMVB9XQ

UAGZBGMG

RCQVDI4U

UARVCHXG

RCQVDA49

UA27G8SD

RBHVAZHP

M1E3AQ1I

RCQXB7C5

M1B3FP4T

UAJSCGGN

UAGVCA3H

RCESBD7Q

RCCWD7QV

RCVXE19F

UAGZC86B

RCHVF64Q

UAGVAS1G

EBEH3YT5

EBEH44XP

UAGUAHJV

RCQVD7II

UA27HICS

RCHVEEGH

UAGVD1UE

UAERC3IG

RCHVCZAD

UAGVBKR7

UAJSANET

EBEH3KFR

RCQXAHJX

M1B3CWCU

RCQSADRR

UAJSCY85

RCCWCG7H

UARVB3AL

RCQSADRR

RCVXE8F1

UAWUQESQ

UA27FEAN

然后按要求安装升级..搞定.. 看看我的效果图升到最新版了..哈哈,真爽...

序列号与id不匹配的解决方法：

1、将c:\windows(98/me/xp)，c:\winnt(2000)目录中rav.ini打开，把[ravsetting]中的items修改为items=sv2$&6m01-*s7m-vu%`6m2.trpp，就不会提示序列号与id不配了

2、重装RAV2005 :(

产品序列号：7JE9R9-QTSIEI-EFF4SB-EJ5200

产品序列号：52LDJG-Q9LBCT-6ACQX2-R38200

产品序列号：52LDJG-Q9LBCT-6ACQ52-R35400

产品序列号：52LDJG-Q9LBCT-6ACQS2-R35200

用户安装ID：4AJRY64DNA4G

产品序列号：77PUHE-QPV6KB-ME6JS3-KM5200

用户安装ID：W28CYL3L84PR

产品序列号：V6LGRK-FGLDVL-3T49RL-V15200

用户安装ID：W15CF5MCFWRQ

产品序列号：TV3MI2-N6GTCG-LQL8S5-7L5200

用户安装ID：W1QC96MXA8L4

产品序列号：V5V0WL-NGFHWU-DT2VRM-N45200

用户安装ID：W15CV5M3GF6Q

瑞星序列号大放送: 瑞星杀毒软件2004序列号：

52LDJG-Q9LBCT-7ACQS2-R35200 用户安装ID：4AJRY64DNA4G

4A7I9W-92HTIF-R8UWSM-FK5200

用户安装ID：W2PC4VRZFZ4D

W13KIE-NP8U4J-LV82S3-VH5200

用户安装ID：W15CF5MCFWRQ TV3MI2-N6GTCG-LQL8S5-7L5200(OEM版)

用户安装ID：W1QC96MXA8L4

77PUHE-QPV6KB-ME6JS3-KM5200(下载版)

用户安装ID：W28CYL3L84PR 瑞星杀毒软件2004序列号： U0I26A-W84GHI-NR8KSB-SU5200

网站授权ID：W15CV5M3GF6Q AQPDTU-INE2N7-CLQWS9-N15200

用户安装ID：W242YECZ28JF FS971I-3WR80C-GWTUSN-G55200

用户安装ID：W2Q26CGX7UYP 92Q40U-R9M8P7-EIFUSA-PI5200

用户安装ID：W232L1MQXHQA 5EPEUT-1EMRNF-0AKSS2-WR5200

用户安装ID：W2X2E2GPQ9Q1

2003正式版序列号：

36RDFV-PQMJ3W-M65EGV-RN4200

HWGQTQ-KATWF6-D3NQDL-R04200

HNTQPT-4AWW67-13718L-HC4200

JUQVN2-CWEFLP-J7JAC3-Q23200

AKSDFF-76DSSF-672742-ME1300

111111-222222-333333-440200

V0S09D-Q2TUd3-IA2Td1-620000

PLJKAB-FLI8d3-EJBBd1-020000

69282O-MTVF38-285KA5-440200

安装序列号：

VV4NG7-6O31d3-LGLFd1-A20000

DW1264-YGAGd3-P81Vd1-420000

8M4J93-S38Xd3-H9K0d1-220000

OJ7LS2-Y1TTd3-RQCCd1-X20000

KHLBWV-H0VCd3-QGAYd1-K20000

0HM282-5BC8d3-U5MMd1-I20000

60FRJI-HPAXd3-2GHKd1-920000

YV6JII-0P53d3-RSXNd1-020000

3PVQNT-5JP184-9R8IJB-1F9108

如何获得瑞星 2004 正版序列号：

大家都知道用瑞星试用版序列号 52LDJG-Q9LBCT-6ACQS2-R35200 安装后会出现ID与序列号不匹配的问题，其实

可以把安装序号改为 52LDJG-Q9LBCT-6ACQS2-R36200 或 52LDJG-Q9LBCT-6ACQ52-R35200 即可。

请看第四段 -R36200，5可改成6、7、8、9；

还有第三段 -6ACQS2 的S改成其它数字或字母，一样可以通过安装，安装后只要用可以升级的ID升就是，不会

有不匹配的现象。呵呵，大家不用再去修改rav.ini或者用那些免验证补丁了！

以上面序号在瑞星2004版、2.1防火墙试验通过。

瑞星升级ID大放送: ◆如果想自己用智能升级功能，下面提供千个ID供选，但请注意： 1、不要上瑞星网站进

行测试或下载，用软件的智能升级测试； 2、不能升级的并不代表已经作废，下个版本升级时可能就可以用了

； 3、若提示使用次数太多不能用，在瑞星版本进行一次升级后，就又可用了； 4、瑞星同一ID的升级限制为2

次！请不要随便公布，以防被封锁.

T1IM4V9M、M183C4TP M1MHZVC9 UAA6HBUC UAA6HD7N UAA6HEHG UAA6HF6Z UAA6HI3B UAA6HWZM UAA6HY71

UAB6G5HL 更多id 瑞星2004升级新招！

瑞星2004版用户升级方式:

1.手中拥有本站瑞星正式版升级ID(2004版ID均可)用户 请用瑞星2004版安装程序直接安装瑞星杀毒软件和瑞

星个人防火墙 产品序列号：52LDJG-Q9LBCT-6ACQS2-R35400 用户ID：4AJRY64DNA4G 完成安装后打开系统目

录并修改系统目录中Rav.ini文件 Win98/98se/Me/XP C:\Windows\Rav.ini&D:\Windows\Rav.ini

WinNT/2000 C:\Winnt\Rav.ini&D:\Winnt\Rav.ini 查找以下字段： [RavSetting]

Items=UR,$*'M1Y,"#4MV!#13RM2SURPP

修改为： [RavSetting] Items=SV2$&6M01-*S7M-VU%`6M2.TRPP(注：使用复制、粘贴，请勿手工输入！)

保存退出，请在瑞星主程序选项中设置“网络设置”、“用户ID设置”点升级即可！

分类: 电脑/网络 >>反病毒

问题描述:

在安全模式下扫描没有出现

解析:

backdoor.win32. 顾名思义即“灰鸽子后门木马”，制作者把此木马的终端文件制作成一个大小仅为270-280k的自释放安装的压缩包，而恶意散布者则通常将其夹在某些文件、电影或程序的压缩包内以达到掩盖的目的，这样的“大压缩包”通常形式也是一个【自释放压缩包】，但它与一般的自释放压缩包不同在于——散步者在压缩包的〖注释〗里加入了这样几行命令参数：

下面的注释包含自解压脚本命令

Setup=XXX.exe

Silent=1

Overwrite=1

（XXX表示“灰鸽子”木马真实文件的伪装名称，通常会是诸如“某某软件名”、“ *** 密码”等等诱惑性名称，大家务必自省自制！！！）

注意：就是这样几行脚本命令，使得你在警惕性不高的情况下、随意自解压【大压缩包】的同时，真正的“灰鸽子”木马注入文件即“XXX.exe”将在电脑后台以完全静默方式完成“注入”！！！——之所以你察觉不到它注入的过程，就是“Silent=1”这条命令产生的效果。于是，“灰鸽子”木马便这样悄然地进驻你的电脑 里。

从这个注入过程的分析，大家可以看出，防止“Backdoor.GPigeon.uac”即“灰鸽子”木马进驻电脑的最主动措施是大家自己平日里使用电脑时多访问正当、有益的网站或网页，即便为了获取软件注册工具（当然我还是希望大家尊重知识产权，积极付费使用正当软件）也要到诸如“华军”、“太平洋”等大站去，不要轻易相信网络上由不明身份的小网页、黑网页提供的所谓“软件注册机”，更不要相信所谓的“成人资讯网站免费会员帐号/破解密码”之类的网络垃圾信息。

一旦Backdoor.GPigeon.uac被注入你的电脑，一般情况下最近的各种杀毒软件是能够截杀它，但是不能完全、彻底地清除木马的“毒根”，究其原是因为“灰鸽子”的的*.exe文件不能被各杀毒软件查到——“灰鸽子”不属于定时发作型木马，只在每次电脑启动到系统正常这一段很短的时间内发作，主文件被注册成一个服务，每次正常启动将释放*.dll和*_hook.dll病毒体，把他们注入像explorer.exe,iexplore.exe,csrss.exe,lsass.exe等系统进程，因此各种杀毒软件可以查出并及时截杀，但总不能找到“毒根”。有的朋友常会误认为安全模式下可以用杀毒软件杀掉它，但事实上是安全模式下不启动服务，因此所有的*.exe没有被激活，当然病毒体也不例外，那么它注入病毒体的过程也不发作，而多数杀毒软件引擎以病毒运行特征为监视手段，没了“注入”这一特征性动作，杀毒软件又从何发现病毒呢？所以安全模式下多数杀毒软件也不能捉到病毒。

但这并不意味着无法根本、彻底地清除“毒根”，在此以我个人的一次清除过程为例给大家推荐一种方式，彻底地清除“灰鸽子”：

1）启动电脑前先完全断开网络，并安装一套最新的“木马克星”（我安装的是V5.50版本）

2）正常启动电脑，正常后运行“木马克星”，程序将会在系统内找到Backdoor.GPigeon.uac木马的可疑文件，我这次发现的是在c:\windows文件夹下的“win32.exe”文件,木马克星会提醒你是否删除此文件，结果是不能被删除，为什么呢？我就在“文件夹选项”的“查看”面板中勾选“显示系统文件夹内容”、“显示所有文件及文件夹”两个选项，按“确定”按钮。电脑内的所有文件就能完全显示，我再访问c:\windows文件夹，果然在其中找到“win32.exe”文件——文件图标是一个很普通、很不起眼的图标，它被设置成“指读”、“系统”、“存档”文件而起掩饰作用。我尝试直接将其删除，结果仍是无法删除，提示是“系统正在使用，文件处于保护状态”。

3）重启电脑，并按F8进入安全模式，再进入该文件，这时大家将能看到“win32.exe”文件的真实面目——它正是那个大小为260-280k的文件的复本，仍是一个自释放型压缩包，也就是它，每次电脑启动时它均会将内含的病毒注入explorer.exe,iexplore.exe,csrss.exe,lsass.exe等系统进程。最后，当然是删除此文件！

4）再次重启，在安全模式下，点“运行”，输入“regedit”,进入注册表，在“查找”项内输入病毒文件名，这里是“win32.exe”，经过搜索，将所有相关的注册表键值删除。

5）重启电脑，在正常情况下，运行“木马克星”，扫描结果是：无可疑木马。结果证明了我们采取的手段没有错。

另外，对于使用瑞星杀毒软件的朋友，通常在中毒之后，在完全断开网络的情况下启动电脑，如果您打开了瑞星的“开机扫描”功能，那么瑞星是能够截杀被注入后的病毒的，但也同样需要经过上述手法彻底清除病毒。而且在彻底清除后，再次断网启动，您会发现病毒没有了，截杀病毒的通报也不会出现了！

---