如何用网络命令查看蠕虫

Ⅰ 什么是ping和蠕虫病毒

ping命令大多是黑客的攻击性行为之一,使用一些扫描器PING一个网段内的IP只是一般的常见行,你用防火墙一般反回去的信息是time out,一般会阻挡了,2003蠕虫是一个常见的自动向外发送感染的病毒,已经很老了,不过一些机器里还依然存在,那是这个病毒向外扩张的表现,你有防火墙并提示的这两个问题都不会对你的计算机有任何影响,放心用吧,这是正常的现象,只是一般常见的攻击扫描行为和病毒传播行为,定时更新瑞星防火墙和杀毒软件,这不是你机器中毒的!另外不要乱装什么优化软件搞不好系统给弄完蛋了,想学点知识就别老用第三方的工具,优化大师/360一类的东西能做的我们手工都能做,我们手工能做的他们却做不了,这类工具只做一般常规的系统清理用,没什么大的作用!

Ⅱ 如何查看局域网内每台机器发包情况以此判断是否有机器感染蠕虫病毒

装个网管软件就可以轻松搞定了，随便到哪个网站去下个吧，下载后设定每台机器的IP及服务器或路由IP，开启监控就可以看到了。

Ⅲ 局域网查杀蠕虫病毒的方法（不能断开内网，要求整体的解决方法）

不知道你为什么不能断网，但是根据我的经验，凡是感染病毒的电脑必须断网！断网后要么杀毒（麻烦）、要么恢复备份（最快，但须全盘杀毒，360杀毒不挺好用吗）、要么格式化重装系统（仍然要全盘杀毒）。总之断开的机器必须在处理后保证彻底干净无毒并打好最新补丁装好杀软防护软件（360杀毒+卫士即可）以免重新感染！另外，最好在中毒电脑上用netstat -a -n命令查看下该机器的外部连接，若判断是可疑连接，则在网关路由器上封掉该可疑地址，断绝从该地址持续下载病毒。如何判断呢：关掉所有可能连接网络的程序，再使用该命令，则很清楚了。
该方法本人曾成功应对过局域网大面积感染烧香病毒和未知病毒问题。

Ⅳ 蠕虫病毒如何才能彻底清除

一台计算机通常只使用一个IP地址，但却运行着各种程序。要实现和不同的程序进行通信，就需要对运行的程序进行逻辑编号，这样计算机就能很好地区分它们了。这种逻辑编号就是端口。

计算机可分配的端口范围为1~65535，一个服务通常情况下默认对应一个端口。而一个软件通常情况下会存在多个服务，所以一个软件可能包含多个使用端口。特定服务的端口号默认是固定的，如web服务的默认端口是80端口。

当然也可以修改服务的默认端口号，如将远程连接服务默认的3389端口修改为47554端口，这样就能规避一些不怀好意的人对端口扫描的风险。而如果我们将某个端口关闭，就能阻止外部程序访问对应的服务。下面给大家列出一些常见的容易被恶意利用的端口。

蠕虫病毒彻底清除的方法：

关闭危险端口

windows worms doors cleaner是由微软员工针对蠕虫病毒而开发的一款图形化防护工具，它的防蠕虫原理是直接关闭常见危险端口和服务，从而达到避免感染的目的。此软件就只有一个运行程序，使用非常简单，只需要双击图标即可启动。启动后的界面如图所示。

至此关闭危险端口的操作就全部完成了，我们可以通过dos命令来验证端口是否处于关闭状态。使用netstat –a就可以在命令行下对系统开启的端口进行查看。

总结

目前网上流行的关闭端口的方式是批量脚本加系统设置的方法。但是经过这一系列流程下来步骤会显得十分繁琐，耗时也较长。图形化工具为问题提供了系统解决方案，使用起来非常简单快捷，省时省力。有时解决问题的方法可能有多种，而最简单的方法往往是最好的方法。

Ⅳ 关于蠕虫病毒

SVCHOST.EXE是系统自带的。。。当然不排除有什么别的可能.
svchost.exe是nt核心系统的非常重要的进程，对于2000、xp来说，不可或缺。很多病毒、木马也会调用它。所以，深入了解这个程序，是玩电脑的必修课之一。

大家对windows操作系统一定不陌生，但你是否注意到系统中“svchost.exe”这个文件呢？细心的朋友会发现windows中存在多个 “svchost”进程（通过“ctrl+alt+del”键打开任务管理器，这里的“进程”标签中就可看到了），为什么会这样呢？下面就来揭开它神秘的面纱。

发现

在基于nt内核的windows操作系统家族中，不同版本的windows系统，存在不同数量的“svchost”进程，用户使用“任务管理器”可查看其进程数目。一般来说，win2000有两个svchost进程，winxp中则有四个或四个以上的svchost进程（以后看到系统中有多个这种进程，千万别立即判定系统有病毒了哟），而win2003 server中则更多。这些svchost进程提供很多系统服务，如：rpcss服务（remote procere call）、dmserver服务（logical disk manager）、dhcp服务（dhcp client）等。

如果要了解每个svchost进程到底提供了多少系统服务，可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看，该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。

svchost中可以包含多个服务

深入

windows系统进程分为独立进程和共享进程两种，“svchost.exe”文件存在于“%systemroot% system32”目录下，它属于共享进程。随着windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由 svchost.exe进程来启动。但svchost进程只作为服务宿主，并不能实现任何服务功能，即它只能提供条件让其他服务在这里被启动，而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢？

原来这些系统服务是以动态链接库（dll）形式实现的，它们把可执行程序指向 svchost，由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢？这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss（remote procere call）服务为例，进行讲解。

从启动参数中可见服务是靠svchost来启动的。

实例

以windows xp为例，点击“开始”/“运行”，输入“services.msc”命令，弹出服务对话框，然后打开“remote procere call”属性对话框，可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost -k rpcss”，这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的，而参数的内容则是存放在系统注册表中的。

在运行对话框中输入“regedit.exe”后回车，打开注册表编辑器，找到[hkey_local_machine ]项，找到类型为“reg_expand_sz”的键“magepath”，其键值为“%systemroot%system32svchost -k rpcss”（这就是在服务窗口中看到的服务启动命令），另外在“parameters”子项中有个名为“servicedll”的键，其值为“% systemroot%system32rpcss.dll”，其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取“rpcss”服务注册表信息，就能启动该服务了。

解惑

因为svchost进程启动各种服务，所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的（如冲击波变种病毒“w32.welchia.worm”）。但windows系统存在多个svchost进程是很正常的，在受感染的机器中到底哪个是病毒进程呢？这里仅举一例来说明。

假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下，如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中，因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径，可以使用第三方进程管理软件，如“windows优化大师”进程管理器，通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径，一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。

由于篇幅的关系，不能对svchost全部功能进行详细介绍，这是一个windows中的一个特殊进程，有兴趣的可参考有关技术资料进一步去了解它。

Ⅵ 如果被感染了蠕虫病毒，怎么在进程分析和网络网络分析中发现他呢

蠕虫病毒是一种通过网络传播的恶性病毒，它除具有病毒的一些共性外，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务，以及与黑客技术相结合等等。蠕虫病毒主要的破坏方式是大量的复制自身，然后在网络中传播，严重的占用有限的网络资源，最终引起整个网络的瘫痪，使用户不能通过网络进行正常的工作。每一次蠕虫病毒的爆发都会给全球经济造成巨大损失，因此它的危害性是十分巨大的；有一些蠕虫病毒还具有更改用户文件、将用户文件自动当附件转发的功能，更是严重的危害到用户的系统安全。

传播方式：

蠕虫病毒常见的传播方式有2种：

1.利用系统漏洞传播——蠕虫病毒利用计算机系统的设计缺陷，通过网络主动的将自己扩散出去。

2.利用电子邮件传播——蠕虫病毒将自己隐藏在电子邮件中，随电子邮件扩散到整个网络中，这也是是个人计算机被感染的主要途径。

感染对象：

蠕虫病毒一般不寄生在别的程序中，而多作为一个独立的程序存在，它感染的对象是全网络中所有的计算机，并且这种感染是主动进行的，所以总是让人防不胜防。在现今全球网络高度发达的情况下，一种蠕虫病毒在几个小时之内蔓延全球并不是什么困难的事情。

病毒典型代表——震荡波

震荡波（Worm.Sasser）病毒仅感染Windows 2000,Windows XP操作系统。病毒发作时，在本地开辟后门，监听TCP 5554端口，做为FTP服务器等待远程控制命令，黑客可以通过这个端口偷窃用户机器的文件和其他信息。同时，病毒开辟128个扫描线程，以本地IP地址为基础，取随机IP地址，疯狂的试探连接445端口，试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击，一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播，攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。