电脑里突然有Sys 开头的文件夹,删不掉!是什么?
系统有毒:“苏拉克”木马详细分析来源:本站整理 作者:佚名 时间:2016-01-02 TAG: 我要投稿刚重装的系统就中毒了,这是很多网友常常遇到的事,难道是中了引导区木马?甚至bios中毒?其实没那么复杂,很可能是你安装的系统自带了木马。
一、“苏拉克”木马简介:“苏拉克”木马是2015下半年来持续爆发的木马,该木马感染了大量的计算机,其主要传播释放是直接在ghost镜像中植入木马,然后将ghost镜像上传到大量网站提供给用户下载,此外,近期也发现该木马的win8、win10版本通过oem激活工具植入用户电脑中。
由于该木马的主要模块名为“surak.sys”,且通过分析得知该木马的项目名称即为“surak”,因此将其取名“苏拉克”木马。
二、“苏拉克”木马特点:1、传播渠道隐蔽,由于该木马被直接植入到ghost镜像中,用户一安装系统就自带该木马,而此时尚未安装任何安全软件,因此木马的传播过程完全不在监控中。
2、影响用户多,由于大量网站传播该类ghost镜像,且此类网站投入了大量推广费进行推广,普通用户通过搜索引擎找到的镜像下载站几乎全是带木马的。
此类镜像涵盖了“雨林木风”、“深度技术”、“电脑公司”、“萝卜家园”、“番茄花园”等主流ghost。
3、难以清除,由于木马进入系统时间比安全软件早,掌握了主动权,对其后安装的安全软件做了大量的功能限制,使其大量功能无法正常使用,如安全防护无法开启、信任列表被恶意操作等,导致难以检测和清除木马。
4、对用户电脑安全威胁大,“苏拉克”木马除了锁定浏览器主页获利外,还会实时连接云端获取指令,能够下载其它木马到本地执行,给系统安全造成了极大的威胁。
此外,针对64位系统,该木马还会修改系统内核文件,使得64位系统自带的驱动签名校验、内核防钩子等安全机制全部失效。
开机后360总会出现srv.sys和 http.sys的加载,而且一开始不会出现宽...
srv.sys ----是存放在目录 C:\Windows\System32\drivers。
srv.sys 是 Windows 系统文件。
应用程序没有可视窗口。
这个文件是由 Microsoft 所签发。
srv.sys 似乎是被压缩过的文件 总结在技术上威胁的危险度是 0% 。
切记: srv.sys 也可能是恶意软件所伪装,尤其是当它们存在于 c:\windows 或 c:\windows\system32 目录。
建议使用 Security Task Manager 来检查电脑的安全状况,以便进一步查看 srv.sys 进程是否真的有害。
一般情况下不影响使用,你就不要管它了 如果有影响,建议你重装一下系统http.sys简介http.sys 是一个位于Win2003和WinXP SP2中的操作系统核心组件,能够让任何应用程序通过它提供的接口,以http协议进行信息通讯。
温馨提示:如果用户不慎删除了该驱动文件,不用担心,该驱动会在下次系统启动时重建。
是一个删不掉的系统核心组件!实用程序结束该驱动,该驱动也会马上重新创建(只有粉碎文件才不能马上重建,但粉碎后,下次启动会重建)。
微软在Windows 2003 Server里引进了新的HTTP API和kernel mode driver Http.sys,目的是使基于Http服务的程序更有效率。
这个改变的直接收益者就是IIS 6.0和ASP.NET。
其实在Windows XP安装SP2后,Http.sys已经出现在系统里了,但事实上,操作系统并没有真的使用这个内核级驱动,而XP上自带的IIS 5.1也没有使用HTTP API。
新的HTTP API里最核心的变化都封装在Http.sys这个kernel mode driver里了。
在此之前,基于HTTP协议的程序都是在User mode下运行的,而且必须自己处理诸如软件中断、context switch、线程调度等等问题,并且往往无法自由接触系统资源。
过去,HTTP服务器,如IIS, Apache等都是利用Winsock API来创建一个User mode下的network listener。
Network listener通常独自(i.e.: per application or per thread basis)占用一个IP端口。
通俗点说,就是在同一时间只有一个应用程序可以监听一个端口,这在有些时候是一个不太令人舒服的限制。
编辑本段http.sys的好处新的Http.sys带来的好处大致有如下一些: 1. 缓存 - 静态的内容现在被缓存于内核模式下,这使服务响应速度更快 2. 记录 (Log)-IIS的log功能更快且标准化了 3. 带宽控制 - greater scalability control and throttling 4. 可靠性 - 所有的服务请求会在Http.sys里暂存入队列,而不是由服务程序本身来处理,这样,即使服务程序重启,尚未被处理的请求也不会丢失了 5. IP端口重用 - 现在,只要是通过Http.sys管理的端口(基本包括了那些著名的端口,比如80),都可以同时允许多个程序同时监听了。
建议重装系统试试
求助GMSYS软件
一、0X0000000A这个蓝屏代码和硬件无关,是驱动和软件有冲突造成的,最早发现这个代码是因为公司的DELL机器的USB键盘和QQ2007的键盘加密程序有冲突发现的这个问题。
也在IBM T系列笔记本上装驱动失误产生过。
如果您的机器蓝屏了,而且每次都是这个代码请想一想最近是不是更新了什么软件或者什么驱动了,把它卸载再看一下。
一般情况下就能够解决,如果实在想不起来,又非常频繁的话,那么没办法,重新做系统吧。
二、0X0000007B这个代码和硬盘有关系,不过不用害怕,不是有坏道了,是设置问题或者病毒造成的硬盘引导分区错误。
如果您在用原版系统盘安装系统的时候出这个问题,那说明您的机器配置还是比较新的,作为老的系统盘,不认这么新的硬盘接口,所以得进BIOS把硬盘模式改成IDE兼容模式。
当然了,现在人们都用ghost版的操作系统,比较新的ghost盘是不存在这个问题的。
如果您的操作系统使用了一段时间了,突然有一天出现这个问题了,那么对不起,病毒造成的,开机按F8,选择最后一次正确的配置,恢复不到正常模式的话那么请重新做系统吧。
三、0X000000ED这个故障和硬盘有关系,系统概率比较大,硬盘真坏的概率比较小。
我弄过不下二十个这个代码的蓝屏机器了,其中只有一个是硬盘真的有坏道了。
剩下的都是卷出了问题,修复即可,这也是为数不多的可以修复的蓝屏代码之一。
修复方法是找原版的系统安装盘(或者金手指V6那个pe启动界面里就带控制台修复)。
这里说用系统盘的方法,把系统盘放入光驱,启动到安装界面,选择按R进入控制台修复,进入控制台后会出现提示符C:\ 大家在这里输入 chkdsk -r 然后它就会自动检测并修复问题了,修复完成之后重新启动计算机就可以进入系统了,进入系统之后最好先杀毒,然后再重新启动一下试一下,如果正常了那就没问题了,如果还出这个代码,那就说明硬盘有问题了,需要更换,或者把有问题的地方单独分区,做成隐藏分区,用后面的空间来装系统。
四、0X0000007E、0X0000008E这俩代码多是病毒造成的,杀毒即可。
正常模式进不去可以开机按F8进安全模式。
当然也有可能是内存造成的,可以尝试重新插拔内存,一般这代码内存损坏概率不大。
五、0X00000050硬件故障,硬盘的可能性很大。
如果每次都出这一个代码,首先换一块硬盘试一下机器能不能正常启动,如果测试硬盘没问题,再试内存,内存也试过的话,换CPU,总之这必是硬件故障。
六、coooo21aC开头的故障,它报的错很邪乎,报未知硬件故障,不过出这类C开头的代码多半与硬件无关。
基本是与系统同时启动的一些驱动!或者服务的问题,举一个例子,一次我给一个笔记本的F盘改成了E盘,结果再启动就出这类C开头的代码,最后发现插上一个U盘就能正常启动,因为插上U盘系统里就有F盘了,然后我发现了隐藏的文件,是开机的时候系统写入的。
我拔掉这个U盘这问题就又出现,后来把E盘改回F问题就没有了,想来是什么和系统一起启动的软件留在F盘一些文件,没有了它就会自己建,但是连F盘都没有了,也就只能报错了,所以看到这类蓝屏可以照比。
七、每次蓝屏的代码都不一样这样的问题,基本上是硬件造成的,尤其以内存为第一个需要怀疑的对象,更换内存尝试,第二可能性是CPU虽然这东西不爱坏,可是从06年到现在我也遇到俩了,其他硬件基本上不会造成蓝屏代码随便变的情况。
八、偶尔蓝屏,而且代码一闪而过重新启动的问题这个是有有两种可能1、以XP为例,在我的电脑上点击鼠标右键选择属性,找到高级选项卡,找到下面的启动和故障修复项,点击设置。
再弹出的窗口里找到中间‘系统失败’处有三个选项,第三项自动重新启动,把这项的勾选取消掉,以后再出问题蓝屏就会停住了。
2、已经做过上面的设置,但是还是会一闪而过重新启动的,那就是显卡或者CPU过热造成的,打开机箱查看散热风扇和散热器的状态吧。
另外开机就蓝屏看不见代码一闪而过然后自己重新启动的情况。
这个时候已经不可能在系统里进行第一步的设置了,那么就要在机器启动的时候按F8,选择启动失败后禁用重新启动这项,选择之后启动失败了,系统就会停在蓝屏代码那里了,这样大家就可以照着蓝屏代码来查看问题了。
九、其他蓝屏代码参考第七项,一般首先做系统确认是不是系统的问题,然后以以下顺序测试硬件,首先是内存可能性最大,然后是CPU,之后是硬盘,最后是显卡,主板基本不会蓝屏。
sys.exe的病毒怎末删除不了?我的朋友的电脑没有杀毒软件,谢谢
你重起机器,按F5进入安全模式,找到那个病毒文件,就可以删除,既然知道中毒,就不要双击打开,请右键打开.也可以进如注册表里进行删除, 运行/redejit/找到那个...不过有点麻烦.还可以找个杀毒软件,如:卡巴斯基/瑞星SYS.EXE是一个木马程序,该病毒主要表现为: 1. 系统启动时自动加载; 2. 关闭诺顿、等知名杀毒软件的监控功能; 3. 无法使用CMD命令行、任务管理器以及注册表编辑器; 4. 向网络中大量发送数据包,导致网络瘫痪; 5. 自动调用%SystemDir%目录下FTP.EXE,下载新的病毒; 解决办法: 1. 使用PSKILL或其它进程查看工具终止SYS.EXE的运行;(ctrl+alt+delete 打开) 2. 安装金山网镖或天网防火墙等网络防火墙软件,并添加规则,禁止SYS.EXE访问网络,以免造成更多的计算机被感染; 3. 删除%SystemDir%下SYS.EXE文件; 4. 在注册表编辑器中以SYS.EXE为关键字进行搜索,而后删除所有搜索结果项; 5. 为系统帐号与MS SQL SERVER 2000的用户设置强口令,并安装最新的补丁; 6. 重新启动计算机,并使用更新至最新版本的杀毒软件进行全面的扫描既然没杀毒软件,就一定要小心你的u盘,是主要传播途径.!!