如何用網路命令查看蠕蟲

Ⅰ 什麼是ping和蠕蟲病毒

ping命令大多是黑客的攻擊性行為之一,使用一些掃描器PING一個網段內的IP只是一般的常見行,你用防火牆一般反回去的信息是time out,一般會阻擋了,2003蠕蟲是一個常見的自動向外發送感染的病毒,已經很老了,不過一些機器里還依然存在,那是這個病毒向外擴張的表現,你有防火牆並提示的這兩個問題都不會對你的計算機有任何影響,放心用吧,這是正常的現象,只是一般常見的攻擊掃描行為和病毒傳播行為,定時更新瑞星防火牆和殺毒軟體,這不是你機器中毒的!另外不要亂裝什麼優化軟體搞不好系統給弄完蛋了,想學點知識就別老用第三方的工具,優化大師/360一類的東西能做的我們手工都能做,我們手工能做的他們卻做不了,這類工具只做一般常規的系統清理用,沒什麼大的作用!

Ⅱ 如何查看區域網內每台機器發包情況以此判斷是否有機器感染蠕蟲病毒

裝個網管軟體就可以輕松搞定了，隨便到哪個網站去下個吧，下載後設定每台機器的IP及伺服器或路由IP，開啟監控就可以看到了。

Ⅲ 區域網查殺蠕蟲病毒的方法（不能斷開內網，要求整體的解決方法）

不知道你為什麼不能斷網，但是根據我的經驗，凡是感染病毒的電腦必須斷網！斷網後要麼殺毒（麻煩）、要麼恢復備份（最快，但須全盤殺毒，360殺毒不挺好用嗎）、要麼格式化重裝系統（仍然要全盤殺毒）。總之斷開的機器必須在處理後保證徹底干凈無毒並打好最新補丁裝好殺軟防護軟體（360殺毒+衛士即可）以免重新感染！另外，最好在中毒電腦上用netstat -a -n命令查看下該機器的外部連接，若判斷是可疑連接，則在網關路由器上封掉該可疑地址，斷絕從該地址持續下載病毒。如何判斷呢：關掉所有可能連接網路的程序，再使用該命令，則很清楚了。
該方法本人曾成功應對過區域網大面積感染燒香病毒和未知病毒問題。

Ⅳ 蠕蟲病毒如何才能徹底清除

一台計算機通常只使用一個IP地址，但卻運行著各種程序。要實現和不同的程序進行通信，就需要對運行的程序進行邏輯編號，這樣計算機就能很好地區分它們了。這種邏輯編號就是埠。

計算機可分配的埠范圍為1~65535，一個服務通常情況下默認對應一個埠。而一個軟體通常情況下會存在多個服務，所以一個軟體可能包含多個使用埠。特定服務的埠號默認是固定的，如web服務的默認埠是80埠。

當然也可以修改服務的默認埠號，如將遠程連接服務默認的3389埠修改為47554埠，這樣就能規避一些不懷好意的人對埠掃描的風險。而如果我們將某個埠關閉，就能阻止外部程序訪問對應的服務。下面給大家列出一些常見的容易被惡意利用的埠。

蠕蟲病毒徹底清除的方法：

關閉危險埠

windows worms doors cleaner是由微軟員工針對蠕蟲病毒而開發的一款圖形化防護工具，它的防蠕蟲原理是直接關閉常見危險埠和服務，從而達到避免感染的目的。此軟體就只有一個運行程序，使用非常簡單，只需要雙擊圖標即可啟動。啟動後的界面如圖所示。

至此關閉危險埠的操作就全部完成了，我們可以通過dos命令來驗證埠是否處於關閉狀態。使用netstat –a就可以在命令行下對系統開啟的埠進行查看。

總結

目前網上流行的關閉埠的方式是批量腳本加系統設置的方法。但是經過這一系列流程下來步驟會顯得十分繁瑣，耗時也較長。圖形化工具為問題提供了系統解決方案，使用起來非常簡單快捷，省時省力。有時解決問題的方法可能有多種，而最簡單的方法往往是最好的方法。

Ⅳ 關於蠕蟲病毒

SVCHOST.EXE是系統自帶的。。。當然不排除有什麼別的可能.
svchost.exe是nt核心系統的非常重要的進程，對於2000、xp來說，不可或缺。很多病毒、木馬也會調用它。所以，深入了解這個程序，是玩電腦的必修課之一。

大家對windows操作系統一定不陌生，但你是否注意到系統中「svchost.exe」這個文件呢？細心的朋友會發現windows中存在多個 「svchost」進程（通過「ctrl+alt+del」鍵打開任務管理器，這里的「進程」標簽中就可看到了），為什麼會這樣呢？下面就來揭開它神秘的面紗。

發現

在基於nt內核的windows操作系統家族中，不同版本的windows系統，存在不同數量的「svchost」進程，用戶使用「任務管理器」可查看其進程數目。一般來說，win2000有兩個svchost進程，winxp中則有四個或四個以上的svchost進程（以後看到系統中有多個這種進程，千萬別立即判定系統有病毒了喲），而win2003 server中則更多。這些svchost進程提供很多系統服務，如：rpcss服務（remote procere call）、dmserver服務（logical disk manager）、dhcp服務（dhcp client）等。

如果要了解每個svchost進程到底提供了多少系統服務，可以在win2000的命令提示符窗口中輸入「tlist -s」命令來查看，該命令是win2000 support tools提供的。在winxp則使用「tasklist /svc」命令。

svchost中可以包含多個服務

深入

windows系統進程分為獨立進程和共享進程兩種，「svchost.exe」文件存在於「%systemroot% system32」目錄下，它屬於共享進程。隨著windows系統服務不斷增多，為了節省系統資源，微軟把很多服務做成共享方式，交由 svchost.exe進程來啟動。但svchost進程只作為服務宿主，並不能實現任何服務功能，即它只能提供條件讓其他服務在這里被啟動，而它自己卻不能給用戶提供任何服務。那這些服務是如何實現的呢？

原來這些系統服務是以動態鏈接庫（dll）形式實現的，它們把可執行程序指向 svchost，由svchost調用相應服務的動態鏈接庫來啟動服務。那svchost又怎麼知道某個系統服務該調用哪個動態鏈接庫呢？這是通過系統服務在注冊表中設置的參數來實現。下面就以rpcss（remote procere call）服務為例，進行講解。

從啟動參數中可見服務是靠svchost來啟動的。

實例

以windows xp為例，點擊「開始」/「運行」，輸入「services.msc」命令，彈出服務對話框，然後打開「remote procere call」屬性對話框，可以看到rpcss服務的可執行文件的路徑為「c:\windows\system32\svchost -k rpcss」，這說明rpcss服務是依靠svchost調用「rpcss」參數來實現的，而參數的內容則是存放在系統注冊表中的。

在運行對話框中輸入「regedit.exe」後回車，打開注冊表編輯器，找到[hkey_local_machine ]項，找到類型為「reg_expand_sz」的鍵「magepath」，其鍵值為「%systemroot%system32svchost -k rpcss」（這就是在服務窗口中看到的服務啟動命令），另外在「parameters」子項中有個名為「servicedll」的鍵，其值為「% systemroot%system32rpcss.dll」，其中「rpcss.dll」就是rpcss服務要使用的動態鏈接庫文件。這樣 svchost進程通過讀取「rpcss」服務注冊表信息，就能啟動該服務了。

解惑

因為svchost進程啟動各種服務，所以病毒、木馬也想盡辦法來利用它，企圖利用它的特性來迷惑用戶，達到感染、入侵、破壞的目的（如沖擊波變種病毒「w32.welchia.worm」）。但windows系統存在多個svchost進程是很正常的，在受感染的機器中到底哪個是病毒進程呢？這里僅舉一例來說明。

假設windows xp系統被「w32.welchia.worm」感染了。正常的svchost文件存在於「c:\windows\system32」目錄下，如果發現該文件出現在其他目錄下就要小心了。「w32.welchia.worm」病毒存在於「c:\windows\system32wins」目錄中，因此使用進程管理器查看svchost進程的執行文件路徑就很容易發現系統是否感染了病毒。windows系統自帶的任務管理器不能夠查看進程的路徑，可以使用第三方進程管理軟體，如「windows優化大師」進程管理器，通過這些工具就可很容易地查看到所有的svchost進程的執行文件路徑，一旦發現其執行路徑為不平常的位置就應該馬上進行檢測和處理。

由於篇幅的關系，不能對svchost全部功能進行詳細介紹，這是一個windows中的一個特殊進程，有興趣的可參考有關技術資料進一步去了解它。

Ⅵ 如果被感染了蠕蟲病毒，怎麼在進程分析和網路網路分析中發現他呢

蠕蟲病毒是一種通過網路傳播的惡性病毒，它除具有病毒的一些共性外，同時具有自己的一些特徵，如不利用文件寄生（有的只存在於內存中），對網路造成拒絕服務，以及與黑客技術相結合等等。蠕蟲病毒主要的破壞方式是大量的復制自身，然後在網路中傳播，嚴重的佔用有限的網路資源，最終引起整個網路的癱瘓，使用戶不能通過網路進行正常的工作。每一次蠕蟲病毒的爆發都會給全球經濟造成巨大損失，因此它的危害性是十分巨大的；有一些蠕蟲病毒還具有更改用戶文件、將用戶文件自動當附件轉發的功能，更是嚴重的危害到用戶的系統安全。

傳播方式：

蠕蟲病毒常見的傳播方式有2種：

1.利用系統漏洞傳播——蠕蟲病毒利用計算機系統的設計缺陷，通過網路主動的將自己擴散出去。

2.利用電子郵件傳播——蠕蟲病毒將自己隱藏在電子郵件中，隨電子郵件擴散到整個網路中，這也是是個人計算機被感染的主要途徑。

感染對象：

蠕蟲病毒一般不寄生在別的程序中，而多作為一個獨立的程序存在，它感染的對象是全網路中所有的計算機，並且這種感染是主動進行的，所以總是讓人防不勝防。在現今全球網路高度發達的情況下，一種蠕蟲病毒在幾個小時之內蔓延全球並不是什麼困難的事情。

病毒典型代表——震盪波

震盪波（Worm.Sasser）病毒僅感染Windows 2000,Windows XP操作系統。病毒發作時，在本地開辟後門，監聽TCP 5554埠，做為FTP伺服器等待遠程式控制制命令，黑客可以通過這個埠偷竊用戶機器的文件和其他信息。同時，病毒開辟128個掃描線程，以本地IP地址為基礎，取隨機IP地址，瘋狂的試探連接445埠，試圖利用windows的LSASS 中存在一個緩沖區溢出漏洞進行攻擊，一旦攻擊成功會導致對方機器感染此病毒並進行下一輪的傳播，攻擊失敗也會造成對方機器的緩沖區溢出,導致對方機器程序非法操作,以及系統異常等。