| DDuP's profile淡水小筑BlogLists |  Tools  Help |
淡水小筑September 01 McAfee8.5i.Patch1.vHF348674+5200engine+Spyware8.5+Dat5105+HIPS6.01全集成版 此mcafee8.5I全集成版.安装包共59.5MB,总共安装完毕不过2分钟多.无须断线安装. 集成如下(五个组件) 杀软 McAfee.VirusScan.Enterprise.v8.5.0i.Patch1.Incl.Hotfix.vHF348674 反间谍 ASEM850LALL(Antispware) 防火墙 MDF850_RTW_LTW(Firewa8.5)----还可选择HIP601LCT 最新引擎5200eng 最新病毒库 5105 (DAT2007年8月24日) 程序只有一个,只须一路点击选择就OK. 1.点击安装包里的setupvse.exe.如图一,以下所有均在其内安装了.  2.提示先安装”杀软 McAfee.VirusScan.Enterprise.v8.5.0i.Patch1.Incl.Hotfix.vHF348674” ,一路安装下来,过程如图二.  三.  四.  五.  六.  七  .八.  3.提示再到安装”最新引擎5200eng”,过程如图九.  十.  4.提示再到安装” 最新病毒库 5105 (DAT2007年8月24日)”,过程如图十一.  十二.  5.提示再到安装” ASEM850LALL(Antispware)”,过程如图十三.  十四.  十五.  先不要”立即更新”和”运行按需扫描”,直接完成.如图十六.  6.此时安装成功”杀软 McAfee.VirusScan.Enterprise.v8.5.0i.Patch1.Incl.Hotfix.vHF348674”,点击右下角的8.5I图标,可以查看到:引擎是5200:2160(最新的).而且也已打上补丁了,如图:十七.  现在在选择”立即更新”一分钟不到就升级完成.(因为已是2007年8月24日的病毒库5105)相比网上的其它集成版.此处升级至少要十几分钟才成功. 7.不要马上重启,等一会,程序会再自动提示安装” 防火墙 MDF850_RTW_LTW”,这里比较快,无须点击”下一步”就搞定.最后可以看到桌面右下角,同时显现8.5I杀软和防火墙的图标. 如图十八  .右键防火墙图标可以看到版本是591:101,如图十九.  Mcafee已停止升级防火墙,所以建立日期都是2006年7月20日.不过防火墙我觉得挺厉害的,特别是对入侵信息的.可以查到IP地址及人名,和电话,及所在地.不过不知道是不是真实的.所以我觉得挺有必要的,可是经常查看谁来入侵. 另外还可以在8.5I防火墙基础上,在安装包里找到”HIP601LCT”,打开点击”MCAFEEHIP”. 如图二十  可安装HIPS6.01.成功后桌面右下角防火墙图标会改成有两面旗的. 如图:二十一  .(我自己还装有小红伞,切图一下切过来了.)这个HIPS6.01自带防火墙的.版本是116:525, 如图二十二  . HIPS6.01功能强大. 如图:二十三  .二十四  .二十五  .还有个问题.要解锁密码 如图二十六  .,只须在系统管理员密码处打勾,如图二十七  .确定就即可解锁. (还有HIPS6.1版本的,但解锁密码不好找.没有集成,网友们另行安装.) 8.大功告成吧!!还有一点小细节要提醒下:杀软8.5I安装成功后右键桌面右下角图标:如图二十八  .那”禁用按访问扫描”是不可使用的??? 如图二十九  .在那个”禁止mcafee服务被停止”打勾”应用确定.再看如 图三十  , 那”禁用按访问扫描”不是就可以使用了!!! 这mcafee8.5I全集成版,只占内存40MB不到.如 图三十一  .怕麻烦的人,可以试试这个全集成版,一次搞定五个组件.而且永久免费.不必一个个找来再一个个安装. 下载地址:http://www.live-share.com/files/259940/mcafee8.5I____.rar.html August 13 你们聊,我先走了小兔说:“我妈妈叫我小兔兔,好听!” 小猪说:“我妈妈叫我小猪猪,也好听!” 小狗说:“我妈妈叫我小狗狗,也很好听!” 小鸡说:“你们聊,我先走了!” E说:“我妈妈叫我小E,好听!” D说:“我妈妈叫我小D,也好听!” C说:“我妈妈叫我小C,也很好听!” B说:“你们聊,我先走了!” 王家老五说:“外面的人叫我王五,好听!” 王家老六说:“外面的人叫我王六,也好听!” 王家老七说:“外面的人叫我王七,也很好听!” 王家老八说:“你们聊,我先走了!” 小兔说:“ 我是兔娘养的! ” 小猪说:“ 我是猪娘养的! ” 小鸡说:“ 我是鸡娘养的! ” 小狗说:“ 你们聊,我先走了! ” 0号陪练说:“外人叫我零陪,好听! ” 1号陪练说:“ 外人叫我一陪,也好听!” 2号陪练说:“外人叫我二陪,也很好听!” 3号陪练说:“你们聊,我们先走了!” 猫对我说: “我是你奶奶的猫,好听!” 狗对我说:“我是你奶奶的狗,也好听! ” 鱼对我说:“ 我是你奶奶的鱼,也很好听!” 熊说: “你们聊,我先走了!” 浪客说:“人们叫我浪人,好听! ” 武士说:“ 人们叫我武人,也好听!” 高手说: “人们叫我高人,也很好听!” 剑客说:“你们聊,我先走了!” 张靓颖说:“崇拜我的歌迷都说:偶的偶像叫颖” 何洁说:“崇拜我的歌迷都说:偶的偶像叫洁” 周笔畅说“崇拜我的歌迷都说:偶的偶像叫畅” 李宇春说:“你们聊,我先走了! 高等数学老师说:这学期我教高数, 大学物理老师说:这学期我教大物, 模拟电子老师说:这学期我教模电, 社会主义经济老师说:你们聊,我先走了。 北京大学的说:我是北大的。 天津大学的说:我是天大的。 上海大学的说:我是上大的。 厦门大学的说:你们聊,我先走了! 李宗仁将军说:我这人,有仁! 傅作义将军说:我这人,有义! 左权将军说:我这人,有权! 霍去病将军说:你们聊,我先走了! 美能达的用户说:我们是美人! 佳能的用户说:我们是佳人! 华光的用户说:我们是华人! 尼康的用户说:你们聊,我先走了! 老张家的门是柳木做的,老张说:我家的门是木门 老李家的门是塑料做的,老李说:我家的门是塑门 老王家的门是砖头做的,老王说:我家的门是砖门 老刘家的门是钢做的,老刘说:你们聊,我先走了! 白色的玉说:我叫白玉。 碧绿色的玉说:我叫碧玉。 红色的玉说:我叫红玉。 杏色的玉说:你们聊,我先走了! 师范学院的学生说:我是“师院 ”的 铁道学院的学生说:我是 “铁院” 的 职业学院的学生说:我是“ 职院 ”的 技术学院的学生说:你们聊,我先走了! 小猫说:村里人叫我小猫崽子,好听 小牛说:村里人叫我小牛崽子,也好听 小马说:村里人叫我小马崽子,也很好听 小兔说:你们聊,我先走了! 老龟说:外人叫我龟太爷,好听 大龟说:外人叫我龟爷爷,也好听 中龟说:外人叫我龟老子,也很好听 小龟和小小龟说:你们聊,我们先走了! 小兔说:人们叫我开的酒吧为兔吧,好听 小龟说:人们叫我开的酒吧为龟吧,也好听 小羊说:人们叫我开的酒吧为羊吧,也很好听 小鸡说:你们聊,我先走了! 师父说:李××,我就叫你小李吧 张××,我就叫你小张吧 马××,我就叫你小马吧 王××说:我有事先走了 王明,李明,陈明说:老师叫我们小明们,好听! 王红,李红,陈红说:老师叫我们小红们,也好听! 王强,李强,陈强说:老师叫我们小强们,也很好听! 王刚,李刚,陈刚说:你们聊,我们先走了! 森林里开动物选美大会,于是: 小孔雀说:大家来看我的孔雀毛,漂亮~ 小天鹅说:大家来看我的天鹅毛,华丽! 小仙鹤说:大家来看我的仙鹤毛,脱俗% 小鹰说:你们聊,我先走了 老师点名要求谁在的要说自己的姓加上一个到字 老师点到小王,小王说:王到 老师点到小李,小李说:李到 老师刚要点小殷,小殷说:你们先点,我出去一下 产房外几个爸爸正在给自己的儿子取名字 老李说:我让儿子叫李伟,好听 老刘说:我让儿子叫刘伟,也好听 老赵说:我让儿子叫赵伟,也好听 老杨说:你们聊,我先走了! 三个女生小刘,小陈,小王,小焦在一起玩 小刘说:我和爸爸姓刘,我爱爸爸 小陈说:我和爸爸姓陈,我爱爸爸 小王说:我和爸爸姓王,我爱爸爸 小焦说:你们聊,我先走了 大学几个女生谈专业 政治经济学的女生说:我们的系简称政经,很不错 西方经济学的女生说:我们的系简称西经,也不错 宏观经济学的女生说:我们的系简称宏经,还不错 社会经济学的女生说:你们聊,我先走了 三个女员工去交款 第一个违约。。收款员说 :交出你的违约金 第二个买保险。。收款员说 :交出你的保险金 第三个被罚款因为卫生不合格。。收款员刚要叫她。 她说。不好意思我还有事。以后再交 富商请了三个保镖守护他的粮库和金库和银库。 甲说:我守粮。 乙说:我守金。 丙说:我不干了。 在线自动生成图片,印章,Logo等粉丝身份证:http://id.igogo8.com/ 制作印章:http://www.makepic.com/print.php 邮址图片生成:http://www.makepic.com/email.php 条形码生成:http://www.makepic.com/barcode.php Kiss学堂 颁发结业证:http://www.makepic.com/kiss/cert.php 生成头像:http://www.eoool.com/ImageDIY/DIYChooseImg.aspx?ImgSize=96x96x1 邮件:http://www.eoool.com/Sevice.aspx?TypeID=1 聊天图标:http://www.eoool.com/Sevice.aspx?TypeID=2 博客图标:http://www.eoool.com/Sevice.aspx?TypeID=3 网络书签:http://www.eoool.com/Sevice.aspx?TypeID=5 朋友圈:http://www.eoool.com/Sevice.aspx?TypeID=4 按扭:http://www.eoool.com/Sevice.aspx?TypeID=11 生成拼凑图:http://blog.outer-court.com/letters/ 一个日本武士刀劈出你需要的字: http://tools.fodey.com/generators/animated/ninjatext.asp 生成几种卡通人物对话动态图片: http://tools.fodey.com/generators/animated/talking_squirrel.asp 香烟盒生成,可以做警告图片:http://tools.fodey.com/generators/cigarette_packet/generator.cig 支持多种域名的Email图标的生成: http://www.nhacks.com/email/ 两个地址支持两种风格任意文本的Email图标的生成: http://sagittarius.dip.jp/~toshi ... ail/designmail.html http://sagittarius.dip.jp/~toshi/cgi-bin/catmark/catmark.html 在线favicon生成器: http://www.html-kit.com/e/favicon.cgi 支持各种类型图片的生成,可以选择设置的条件非常灵活: http://www.abi-station.com/tchinese/ 支持大量中文字体签名图标生成: http://www.youmade.com/font/ Flickr杂志封面生成器: http://flagrantdisregard.com/flickr/magazine.php 动态生成有趣图片: 爱因斯坦 http://www.hetemeel.com/einsteinform.php 山姆大叔 http://www.hetemeel.com/unclesamform.php 辞典 http://www.hetemeel.com/dictionaryform.php 魔法师 http://www.imagegenerator.net/create/dumbledore/ Flickr Logo风格图片生成器: http://flickr.nosv.org/ 按钮生成网站: http://kalsey.com/tools/buttonmaker/ http://www.lucazappa.com/brilliantMaker/buttonImage.php http://www.feedforall.com/public/rss-graphic-tool.htm http://www.kalsey.com/tools/buttonmaker/ http://www.yugatech.com/make.php http://www.hkwebs.net/catalog/tools/buttonmaker/index.php Email图标生成网站: http://email.playtime.uni.cc/ http://services.nexodyne.com/email/ http://gizmo967.mgs3.org/Gmail/ http://www.hkwebs.net/catalog/tools/gmail/ http://sagittarius.dip.jp/~toshi ... ail/designmail.html http://www.eoool.com/ Logo生成网站: http://phorum.com.tw/Generator.aspx http://www.logoyes.com/lc_leftframe.htm http://cooltext.com/Default.aspx Banner图片制作网站: http://www.bannerbreak.com/index.php 在线图片生成网站: http://www.streetsigngenerator.com/ http://www.letterjames.de/ 图片分割器: http://www.html-kit.com/e/is.cgi 立体图片生成器: http://www.chami.com/html-kit/services/imge/ 图片生成邮票: http://photo.stamps.com/PhotoStamps/?source=si00001331 个性拼图: http://www.jigcool.com/jigonline/jigonline1_sc.php 印章制作: http://caishu.unihan.com.cn/MSNWebKZ.aspx?MenuID=0101 http://www.makepic.com/print.php 韩国身份证的生成以及验证: http://www.udeng.com/images/hanguo.htm GIF图片的文字LOGO在线生成: http://www.3dtextmaker.com/cgi-bin/3dtext.pl 在线制作logo,bannar的网站: http://www.crazystudy.com SAINT.Assess the Security of Computer Networks http://www.saintcorporation.com/saint/ Abacus.Intrusion Prevention System http://www.psionic.com/abacus/ Firewall Generator(在线生成简单的防火墙脚本) http://www.citadec.com/FirewallGenerator.html 身份证号码在线生成器 http://i972.net/~gen/ 在线字体图片生成 http://www.youmade.com/font/ 中外破解补丁和注册机在线求救 qq.topzj.com/" target="_blank">http://hmay.qq.topzj.com/ 在线生成条码打印 http://www.027hc.com/y1.asp http://www.nlscan.com/soucecentre/demo.asp http://www.gzbonny.com/asp/barcode.asp 在线图形特效生成 http://www.chami.com/ 聊天工具在线状态生成器 http://www.onlinestatus.org/forum/usage.php August 12 史上最强的接听错打电话NO.1一日午夜,睡梦中突然——“铃~~铃”电话暴响。“谁这么晚还打电话?” 揉揉惺忪睡眼, 黑暗中摸起电话。 ——“喂,谁呀?” “大舅,是我。” " 哦,是你呀外甥。” “大舅,您身体好吗?” " 挺好的。” “我舅妈身体好吗?” “都挺好的。” " 咦?大舅,你声音怎么变了?” " 因为你打错电话了,外甥。” 对方愣了5秒,然后电话中传来“嘟~嘟~”的盲音。 NO.2 —— 遇到不讲礼貌的打错者,稍加惩罚—— 一日,电话响,接起电话,听筒传来一个女孩的声音。 “喂,给我找下小丽。”——都是《野蛮女友》惹的祸,现在的女孩说话贼冲。 “啊?”我家里包括宠物再内,没有她找的这个名字。 “我说——我——找——小——丽——”对方显然有些不耐烦。 “对不起,我想你是打错了。”——我的脾气很好,对方又是女同志,所以我要保持风度。 “不可能,你这不是********吗?我没打错呀。”刚要挂电话,听筒里的声音有提高数分贝。 我直觉得气血上涌,你没打错难道是我接错了?我环顾一周,确定这是自己家里。 “哦~没错,刚才我没听出来,对不起啊。”我用了最善良的语气。 “真是的,我就说我不会打错嘛。”她还来劲了。好,我就让你错个够。 “你是那位?” “我是叶子。” “啊,叶子呀。”我做恍然大悟状。“小丽出国了。” “啊?两个月没见她怎么出国了?” “是一个月前的事。她昨天还来电话,说给一个叫叶子的朋友买了一个笔记本电脑不知到地址,没法寄。” "是......是吗?我就是叶子,我怎么联系她。”我隐约听见电话那头流口水的声 音。 “你记一下*************”我迅速的翻起《世界知名企业联系名录》在里面随便挑了一 个南半球的电话给她。 NO.3 ——这样做是不对的—— 一日,家中停电,百般无聊中拿起电话,可是朋友家的电话都没人接。放下电话,我无聊的在房间里转圈。就在这时,电话响了。我几乎是蹦着来到电话前的。 “喂,你好。”我平时接家里电话很少用“你好”的,可见我久旱逢甘雨的心情是多么激动。 “您好,我这里是中国网通客户服务中心。”一个女孩子甜美的声音。 " 啊,好,无所谓啦。” “啊?先生您说什么。” “呃......没说什么。您有什么事?”显然我激动的有些失态了。 我是想回访一下您家宽带的使用情况。打扰吗?” “不打扰,当然不打扰,太不打扰了。”此时对方一定以为我神经有问题, 要不就是兴奋剂服多了。 “您感觉您家网速快吗?” “这个嘛,我说不好什么是快呀。” “您可以登陆我们的网站,那里有宽带测试区。有**电影测试” “啊,我去过。”那里有五百多部电影可以**在线观看。 “您感觉怎么样?” “片子老点。”我遗憾的说。 “(对方忍不住笑了一声,很快恢复正常语气)我是说你感觉速度怎么样,有没有停顿。” “啊,这个呀,还行吧。就是看《百变星君》的时候停顿过。” “是吗,停顿时间长吗?” “大概三十分钟吧。” “啊?不会吧。”她还有点不信。“怎么会停顿这么久,是不是死机了?” “没死机,我取消暂停后,就接着放了。” “啊?您自己暂停的?” “是啊,怎么了,我有事出去一下,不能暂停吗?那你们又不早说。”我真的很委屈。 “......(电话里对方小声向同事要纸巾擦汗)没~没事,可以暂停,只要您愿意。”接着又问“还出现过其他问题吗?” “让我想想......对了,那首《我愿意》我怎么下载不了啊,王菲唱的那 个。 “我最喜欢王菲的歌了,特有味道,你喜欢吗?”我真的很喜欢王菲。 “你说她怎么就和窦唯离婚了呢。他们俩的歌我都特喜欢。比如.....”我一口气说出三十几首王菲和窦唯的歌,说到兴头,还清唱两句,估计有二十多分钟,对方有点挺不住了。 “先生,您的歌唱的不错,可是我在工作,不能多听了,很遗憾。” “哦,对,你在工作。呵呵,你看我都忘了。你是什么单位的来着?” “网......网通客户服务中心。”电话里的声音有点哽咽。 “哦......网通。你给我打电话有啥事?” 话音刚落,只听电话那边“哐”的一声,接着听见好多人焦急的呼喊着她的名字 ...... NO.4 ——以彼之道还至彼身—— 我对网通的话费查询台很有意见,每当你拨通号码后,电脑都会指引你按这 个键那个键,往往查询一次话费需要按上十几二十次,最后还经常出现“系统忙, 稍后再拨”这样无言的结剧。我决心报复,同时让给我制造这些麻烦的人切身体会一下消费者的苦 恼。 这日,机会来了,来电显示上提示,正在打进来的这个电话是网通公司人工催 交话费的号码。 “您好。我这里是网通话费中心。” “你好。这里是**家。” “我想通知......” “现在启动语音转接系统。”我没有等她说完,继续用机械的声音说。“如果您需要男主人接听,请喊(一)女主人接听请喊,(二)小主人接听请喊(三)小狗嘟嘟接听请喊(汪)如果操作错误,请喊(返回)。”话音刚落,只听那边女子兴奋的叫来同事, 纷纷议论“这家电话够先进的。” “三。”稍后,电话那边传来女话务员怯怯的声音。 “对不起,您选择的小主人由于未满周岁,所以暂时不能与您交谈,请您留下电话,待小主人学会说话后,会很快回电话给您。” “啊?......返回。”又听一便我的介绍后,对方选择了“二”“对不起,女主人不在家,如果您不习惯与小狗嘟嘟交谈的话,请您选择"(一)” 我有点生气,选来选去还选不上我。“一。”对方的语气有些无奈。 “欢迎您与男主人交谈。公务交谈请喊(一)私人交谈请喊(二)其他请喊(三)操作失误喊(返回)” 三!!!”对方显然有些不耐烦,声音很大。 “对不起,厨房锅里传出焦糊的味道,请您挂机,稍后再拨......” August 01 下载老旧操作系统/软件的好地方 abandoned你是不是一个软件收集爱好者?你是不是想为你的老机寻找配套的软件而苦于找不到当年的安装碟? 那么你一定要去看看Abandoned——这个专收录老旧软件的收集站提供大量的经典系统,软件和游戏.用你的电子邮箱注册一个账户即可,无论是MS-DOS,Mac OS,Windows NT Workgroup,Windows 98 Plus!,只要你想,都可以找到.下载速度非常棒! 从该站目前提供的老旧Windows版本就可以看出这个站点的实力: July 28 轻松一下:最搞笑IRC对话作为一种流行的聊天方式,IRC聊天室总是会聚集很多小白,其中自然也会产生一些非常有趣的对话,而bash.org就是一家专门收集IRC对话的网站。 bash.org上的对话片段由用户进行提交,然后再由用户投票选出最搞笑的。现在,bash.org给我们带来了另外15段对话的中译版本。 #416857 (6400) July 20 玩粑粑……转一强人的 -_-!
-----------------------------文章开始-----------------------------
烟:说老实话.我搞完这个之后我都快笑死了.我先说一下.这一堆在拍摄的时候.是摆在我家菜板子上的.我闻了闻...有股子西红柿味儿..... 
June 26 手动清除AV终结者最近AV终结者病毒很流行,许多人都中了,杀毒软件打不开,只格C盘重装也会马上又中毒.因为AV终结者也在不断的更新,所以杀毒软件和专杀总是落后一步,不能查杀.事实上AV终结者并不是指某一个特定的病毒,其本身也没有远程控制和盗号的功能.AV终结者的作用就是下载一个或几个指定网址的木马,但AV终结者给自已 设定许多保护措施,它会关闭大多数杀毒软件和杀毒辅助软件,并且在各个分区生成autorun.inf以及写入注册表,生成映像劫持等等."永久下载者"就是AV终结者中比较典型的一种,上面提过AV终结者并不是指某一特定的病毒,所以这里只能提供手动杀毒思路,完全按照我的杀毒步骤并不一 定就能完全清除.所以这个教程适合对电脑比较了解的人.在文章最后我也会给出比较适合初学者的只格C盘重装系统不会马上再中毒的方法.
好,下面开始动手. 工欲善其事,必先利其器.所以,先准备一下会用到的三个杀毒辅助软件 1.Icesword II 1.20(冰刃) 下载地址:http://www.crsky.com/soft/6947.html 2.Autoruns 下载地址:http://www.crsky.com/soft/5285.html 3.SREng 下载地址:http://www.kztechs.com/sreng/download.html 对于这个病毒,Icesword和Autoruns是主力,原因在后面会提到. 如果在中毒期间曾使用过闪盘移动硬盘之类的,最好接上一起杀,免得刚杀完一插闪盘又中毒. 一 先把这三个软件改名,名字改为无规则的就行了.比如我这里,Icesword改为ii.exe,Autoruns改名为aa.exe,SREng改名为ss.exe 如图1. 图1  很多人都说中了这个病毒上面的三个软件都打不开,原因是病毒对常用杀毒软件和杀毒辅助软件进行了映像劫持,运行这些软件不改名的话,就等于执行了病毒文件.我们可以先运行Autoruns(已经改名为aa.exe了,下面我只提软件名字,不再提示是改名前的名字了). 如图2. 图2  发现了什么?呵呵,常见杀毒软件和辅助软件的名字基本都在这儿了.只要你运行和这个列表里名字相同的软件,就会自动转向运行病毒文件. 二 运行Icesword,寻找病毒进程,永久下载者有两个进程,互相保护,使用Windows的任务管理器是关不掉它的进程的.所以这里要求是对电脑较了解的人,要不然不知道病毒进程是哪些.因为AV终结者有很多类型,所以需要自已判断哪些是病毒进程. 如图3, 图3  找到病毒进程,首先记下后面病毒的路径.按住Ctrl把两个进程都选上,点右键结束进程,因为两个进程同时关闭,所以病毒的进程保护就不起作用了.刷新几次,看看有没有新的病毒进程,如果没有,就可以进行下一步了. 三 点Icesword左侧的"文件",找到上面记下的路径里的两件文件,删除.然后找到C:D:E:等各个分区根目录下的autorun.inf和*****.exe,*****.exe就是autorun.inf里面写着的程序名,我这里是epijcxh.exe. 如图4. 图4  现在AV终结者病毒对Autorun.inf文件进行了改进,右键不会出现Auto的字样,双击也可以进入分区,但不管右键点打开进入还是双击进入,都会运行病毒文件,这就是许多人只格C盘重装后马上又中毒的原因.要删除这几个文件必须要用第三方的软件,比如Winrar,Icesword,Totalcmd等资源管理器软件,或者Windows的cmd命令行,否则进入分区后就运行了病毒程序,前面的所做的一切都要重新来一遍. 注意:删除了Autorun.inf和*****.exe之后,不管右键还是双击都进不去这个分区了,如果想找到某个文件或运行某个程序,可以直接在地址栏中输入 c: 或 d: 等等然后回车来进入这个分区 四 现在轮到Autoruns出场了,运行Autoruns,点"用户登录",找到病毒写入注册表的启动命令.点右键删除这两个.后面显示的是"未找到文件",因为我们刚才在Icesword里面已经把这两件文件删除了. 如图5. 图5  然后再点映像劫持,把除了最后的Your Image File Name Here without a path c:windowssystem32ntsd.exe之外的全都删除,累啊,这么多....删完后应该是这样的,如图6. 图6  到此,AV终结者病毒基本已经清除了.但是....呵呵,一听到但是,就知道还没完.因为我们仅仅清除了AV终结者,AV终结者所下载下来的木马我们还没有杀.大家都注意到了图3中红色的iexplorer进程了吧,这就是AV终结者下载下来的灰鸽子木马进程.Icesword可以发现隐藏进程并用红色表示,在Windows任务管理器下是看不到这个进程的.一般情况下这种红色进程都不是什么好鸟~ 文章开始已经说了AV终结者有很多类型,并不是每一种都像"永久下载者"这样只写入注册表启动项.所以SREng这时候就派上用场了,使用SREng扫描,把注册表启动项,服务,驱动这些都检测一遍,结合Icesword可以一起把木马也清除掉.因为SREng的使用需要对电脑的服务项和驱动项都比较了解,电脑初学者可以使用SREng的智能扫描扫一个报告发到一些大论坛上请高手指导你哪些要删.这里我就不详细演示怎么手动杀掉灰鸽子了,使用SREng和Icesword很容易就可以清除掉. March 27 Windows Server 2003 Service Pack 2(32-bit x86)中文版发布2007.03.26,正在发布Windows Server 2003 Service Pack 2 (32-bit x86)中文版,中文2003系统管理员们跟上! 概述Microsoft Windows Server 2003 Service Pack 2 (SP2) is a cumulative service pack that includes the latest updates and provides enhancements to security and stability. In addition, it adds new features and updates to existing Windows Server 2003 features and utilities. SP2 can be installed directly on the following operating systems:
Before installing this service pack please read the Windows Server 2003 Service Pack 2 Release Notes 直接下载地址: http://download.microsoft.com/download/5/9/7/5976b101-a6bd-41c8-b39f-bb8e39ff1444/WindowsServer2003-KB914961-SP2-x86-CHS.exe March 25 世界顶级防火墙LooknStop的配置详解一. 难以驯服的烈马:LooknStop
网络防火墙的选择一直是众多用户最头痛的问题,放眼看看现在的防火墙市场,大有群雄逐鹿之势,但是用户并不会因为防火墙产品越来越多而感到欢欣,相反,越来越多人逐渐发现自己已经步入了一个选择的难题:哪一款防火墙产品才是最安全牢固的? 尽管防火墙产品众多,可是用户只希望能迅速找到一款适合自己的产品,于是许多权威测试机构诞生了,如Firewall Leak Tester等,这些测试机构通过各种模拟和真实环境严格测试防火墙产品的各项安全系数,最终统计出一款产品的总体分数。因此,我们才得以迅速根据测评结果选择一款能令人安心的产品。
它就是LooknStop,长期位居FLT测评第一名的产品,而且,它还是瑞士银行用以维护自家安全的防火墙系统,其安全性能可见一斑。
但是,这款强大的产品却极少被发现安装于普通用户的机器上,为什么呢? 某公司职员小李偶然发现了这款产品的介绍,抱着试一试的心态,他给自己的机器安装了一份程序,可是他却没能享受这款顶级防火墙给他带来的安全保护,反而,它给他带来了许多噩梦:BitComet不能用了、浩方上不去了、迅雷和FlashGet成了残疾、魔兽争霸成了死机的代名词……这到底是护人还是赶人?小李看了一些资料,发现这款产品需要设置,于是,他打开了设置界面……然而,在一堆专业术语面前,小李彻底崩溃了。
最终,小李决定放弃LooknStop,改用国产防火墙了。 无可否认,LooknStop是一款优秀产品,它提供了强大而全面的网络保护功能、具备灵活的自定义入侵检测规则、系统资源和文件资源占用都很小,甚至,通过设置规则,LooknStop还可以代替一部分Sniffer功能实现网络数据包监控…… 但是LooknStop让用户又痛又爱:要使用它,就必须通过最难的一关:防火墙规则设置。这款强大的产品带来了业界公认最麻烦的规则设置,让许多用户面对它的时候,犹如面对着一匹难以驯服的烈马。 难道LooknStop对一般用户来说,就是那么的可望而不可及吗? 二. 原理篇:规则与通信 以前我们介绍过防火墙的原理,在里面,我提到了“防火墙规则”(Firewall Rules),规则是防火墙的思维,它们其实是一条条描述语句,用于设置防火墙行为等,每一条规则都对应了一种特定的行为判断,防火墙根据规则的内容对符合条件(端口、协议类型、甚至包数据)的数据包给予拦截或通行,当然也可以记录数据。众多的规则结合,防火墙工具才得以给我们带来一个牢固而灵活的安全保护体系。 配置防火墙规则往往是网络管理员最头痛的事情,一个防火墙的工作效率、拦截放行、总体安全系数除了要求防火墙的引擎功能强大以外,就全看规则的设置了,如果防火墙引擎不能识别复杂的数据包结构,那么一些描述复杂的规则就不能正常工作,但是一个防火墙越强大,其相应的规则设置也就更复杂,对这种防火墙而言,一条好的规则就比什么都重要了。 规则并不是随便设置的,它围绕着一定的“安全策略”实施,许多防火墙产品在市场上出售时,就已经有了默认规则,而这些规则就是厂商的“安全策略”的实体对象,许多用户安装或购买一个防火墙产品后,就一直没对这些规则做过修改,或者不知道防火墙规则的存在,但是他们依然能得到防火墙的保护,就是因为厂商已经为广大群体套用了“兼容的”规则集合,换句话说,就是用户在接受一款防火墙产品的时候,就已经得到了厂商为大家定制的“安全策略”。但是这种面对大众的策略并不一定适合每一个人,有时候,一些用户会觉得默认规则不太适合自己的实际环境,他们便会根据自己的要求,修改增加这个规则集合,例如一台网站服务器,使用的防火墙默认规则里限制了外部对1024以下低端口号的访问,这显然就和做网站需要开放80端口的要求冲突了,所以网络管理员会修改防火墙规则,去掉这条限制规则或者从规则里除掉80端口的条件。许多用户并不知道,他们删改或增加规则的行为,其实就是自身“安全策略”的实施过程。 但是在把安全策略转化为规则实体之前,我们还必须慎密的思考一件事情,那就是“安全体系结构”。 所谓“安全体系结构”,就是整个防火墙最终为用户带来的安全效果,安全策略可以是片面的,管理员在思考策略的时候不一定要考虑到整体效果,但是当一条条安全策略作为规则集合出现之前,它就必须先转化为面向整体的“安全体系结构”,这是一种考虑全局的策略集,还是上面的网站服务器例子,管理员需要开放基本的80端口,如果有FTP,还要开放21端口,甚至SSL端口443,这个环境的安全策略则可以描述为以下列表:
1. 开放80端口 2. 开放443端口
3. 开放21端口 但是光有这些还不够,管理员必须保证它与已有的规则集合不会发生冲突以及实际环境中的应用效率,例如,实际生活中,防火墙在开放端口的同时还要对数据进行监控,以防止SYN洪水等,另外还要检查防火墙默认规则集合里有没有与之冲突的描述,如果你增加了一条“开放80端口”的规则,但是规则集合里却存在着“限制所有端口连接”的规则,那么其中一条规则就会失效,管理员的预期设想也就得不到正确实施了。 所以管理员在做好自己的安全策略后,还要检查已有的规则集,删除会导致策略冲突的规则,并可能根据实际应用环境做出策略调整,最后得出最终的安全策略列表,这一步就叫做“安全体系结构”: 1. 开放21、80、443端口 2. 在80端口上设置SYN计数防止DoS攻击 3. 继续阻止其他端口访问,如135、139等 4. 允许ICMP回显 5. 允许管理员能从内部网络远程登录配置服务器 6. 更多规则设置列表…… 这些策略列表的集合描述,就是“安全体系结构”的具体形态。
管理员决定了整体的安全体系结构后,就要开始着手实施防火墙规则的修改了,但是在“动”规则之前,还有最后一个注意事项——“规则次序”。 “规则次序”是一个不可忽略的配置部分,因为大部分防火墙产品是顺序读取规则设置的,如果发现了一条匹配的规则,那么下面的其他规则描述则被忽略掉,所以规则的排列次序决定着防火墙的运作情况,管理员在配置规则时必须把属于特殊性质而又不容易与其他现存规则发生冲突的规则放到最前面,最大限度防止防火墙在找到一个特殊规则之前与普通规则相匹配,导致管理员精心设置的安全规则失效。 当所有准备工作就绪后,我们就要开始把方案转化为实体了,这就是防火墙规则设定。 前面说过了,防火墙规则就是一条条用于描述防火墙在遇到什么类型的数据包的时候应该怎么做的命令语句,根据防火墙核心能识别的深度差异,不同防火墙的规则定义也不尽相同,但是基本上都离不开这几个基本参数:数据包方向、数据包地址、范围、协议类型、端口号、标志位(TCP)、包类型和代码(ICMP)、以及满足条件时的防火墙动作(通行、拦截、忽略、记录)等,正是这些参数的各种搭配构筑了最终得以保护用户免遭网络攻击的一条条规则,成为用户的安全体系结构,一款防火墙产品核心能识别的数据类型越多,相对应的规则设定就越复杂,这是一种鱼和熊掌不可兼得的事情,因此,学习防火墙规则设置是每个管理员或专业用户都必要的。 防火墙的性能取决于最终的规则设定,稍有疏错,再强大的核心也只能发挥入门级的防御了。 例如,一个用户在设置防火墙规则时取消了低端口访问限制,却遗忘了139端口可能带来的危害,不久后,该用户机器被入侵者成功连接并种植了后门。、 这种情况下,我们该责怪防火墙,还是责怪用户规则设置得不严密呢? 这是个问题。 同样,LooknStop在为用户带来强大防御功能的同时也带来了规则复杂难以设置的代价,许多用户第一次打开它的规则设定界面时,傻了——包括我在内。 正因为这样,许多用户选择了退而求其次的道路,改用了其他防火墙产品。难道LooknStop就真的那么难以驯服吗? 今天,就让我们一起来驯服这匹上好的烈马。 三. 实战:LooknStop防火墙的规则设置 1.概述 LooknStop 作为一款强大的防火墙,其采用的原型是非常严格的,首先,LooknStop先禁止所有本地和远程的网络访问操作,然后才逐项允许,在初始时不信任任何程序和网络操作,正是因为这过于严厉的策略原型,LooknStop才能成为一堵树立在系统和网络之间的“墙”,而也正是因为这样的模型, LooknStop也造成了一部分用户安装完毕后无法连接网络的问题——它把所有数据包都拦截了。所以我们首先要解决的就是大部分用户面对 LooknStop时吃的第一个下马威:无法连接网络。
LooknStop的主界面并不难理解,从左到右分别为“欢迎”、“应用程序过滤”、“互联网过滤”、“日志”、“选项”和“注册”,欢迎界面主要用于显示一些概要信息如连接状态、IP地址、数据包情况等。 我们先解决第一个燃眉之急:如果你不幸成为安装LooknStop后无法成功进行ADSL拨号的用户,请先进入“互联网过滤”界面,然后双击最后一条规则“All other packets”,它就是罪魁祸首,选择“以太网类型”为IP,保存应用即可。 这一故障是LooknStop默认的严格规则造成的,它把所有未在规则里定义的数据包都过滤了,于是计算机向远程MODEM设备发送的PPPoE协议包全部被扼杀在了系统的门口里……由此可见,与某些防火墙比起来,LooknStop是多么的严格! 解决这个问题后,我们回到正题。 2.基于界面的设置 既然LooknStop的规则如此严格,我们也遵循它的规则,严格依照从左到右的顺序讲解吧:P(老勇不许扔鸡蛋!) 首先是“欢迎”界面,这里是作为快捷数据统计而设的,用户可以在这个界面看到基本的数据流量情况以及网络信息,如果网络已经连通,LooknStop会报告你的计算机IP地址,如果这里为0.0.0.0,则说明没有连接网络或者LooknStop没能检测出活动的连接,用户必须自己到“选项”的“网络接口” 里手工选择一个作为LooknStop的监控对象。 其次,是众多软件防火墙都会提供的“应用程序过滤”功能, LooknStop“不信任任何人”的思想在这里又一次得到了发挥,每个程序第一次启动的时候都会被拦截询问,用户允许通过的程序都在里面列举出来,并且在左边出现一个活动列表,可是即使这样,LooknStop仍然为每个程序列表设置了四个不同性质的可以随时中断该程序访问的按钮,分别为“过滤激活”、 “过滤类型”、“进程调用”、“连接记录”。 在“过滤激活”里可以选择两种状态,分别为“启用”和“禁止”,用于告诉防火墙是否允许该应用程序按照后面的规则运行,如果状态为“禁止”,则后面设置的独立应用程序规则不起作用,但是这并不意味着程序能摆脱防火墙的限制——每次这个程序访问网络的时候,防火墙都会再次询问你是否允许这个程序访问网络。 “过滤类型”里提供了3种类型选择,分别为“允许”、“自定义”和“禁止”,如果用户没有为这个程序设置特殊规则,则只会在“允许”和“禁止”两种类型之间选择,否则为三种。直接双击程序名字就可以设置“过滤类型”,里面分别提供了TCP和UDP协议的端口和IP设置,LooknStop强大的灵活设置性能再次体现了出来:单独输入IP或端口,则规定这个程序只能访问用户指定的IP或端口,多个端口之间用分号“;”分隔,IP同上。 看到这里,一些用户可能会想,是不是只能设置允许访问的地址呀?其实不然,LooknStop的强大之处正是在于它能通过尽量少的对话框完成尽量多的操作——要设置程序禁止访问的IP,只需要在同样的设置对话框里设定IP或端口时在前面加一个感叹号“!”即可,可以说,LooknStop把“简洁就是美”的信奉发挥到了极致! 现在让我们来看看“进程调用”,首先我要简单介绍一下“进程调用”的概念,有时候,一个程序要访问网络并不是通过它自身实现的,而是调用了外置的DLL函数,这样的话,最终访问网络的程序就是那个DLL文件而不是程序本身,许多防火墙都认为,通过程序宿主进程启动进而访问网络的模块也是符合条件的,因此不会做任何阻拦,但是LooknStop仍然不信任任何模块,它会忠实的报告并控制每个子进程DLL的网络连接并提示用户,在如今这个“代码插上翅膀”(线程注射)越来越猖獗的年代里,这样的限制是十分有必要的,很多防火墙正因为过于信任程序调用的进程模块,导致一些DLL类型的木马得以搭载顺风车,给用户的系统安全带来威胁。针对这种情况,LooknStop提供了“进程调用”的控制功能,分别为“允许”(双箭头标志)和“禁止”(红色停止标志),一旦某个程序的“进程调用”被设置为禁止,该程序就只能通过自身访问网络了,所有通过它调用的模块都无法突破限制,这个设置对一些经常被后门搭顺风车的系统程序是很有用的,设置禁止后,我们就不用再怕灰鸽子之流通过IEXPLORE.EXE、Svchost.exe等程序突破传统意义的防火墙连接了。 最后,是一个标示为感叹号的设置项,它代表“连接记录”:灰色的点表示不记录,两个感叹号表示记录该程序的所有连接,而单独一个感叹号则是与“过滤激活”配合使用的,如果你把一个程序的“过滤激活”设置为“禁止”,以后这个程序再次请求访问网络的时候就会被LooknStop记录下来,如果一个奇怪的程序频频要求连接网络,那么它是木马的可能性将会很大! 从“应用程序过滤”这一部分就可以看出,LooknStop对程序的控制非常灵活和精巧,仅使用一个界面和一个对话框就能完成对4种程序控制方式,包括多达10个属性36种不同组合的控制能力,其对程序的控制能力可见一斑。 那么,LooknStop对网络协议的控制功能又如何呢?让我们进入“互联网过滤”,这里正是用户噩梦开始的地方。 这里同样是简洁而复杂的界面,简洁在于按钮的稀少,复杂在于太多列表控制的项目,一眼看去,几乎能让人摸不到头脑,但是这里正是所有防火墙思维的起点:防火墙规则集合。 从左到右依次为“启用规则”、“规则模式”、“匹配时记录”、“匹配规则后是否执行后续规则”、“匹配规则时声音或警报提示”。 “启用规则”里提供了3种类型选择,分别为“默认方式启用规则”、“自定义方式启用规则”和“不启用规则”,如果用户没有设置自定义规则,则只能在“默认方式启用规则”和“不启用规则”之间切换。 “自定义方式启用规则”取决于规则里定义的“应用程序”项目,表示该规则只对特定的应用程序起作用,当符合条件的程序启动后,这个暗红色带绿勾标志变为绿色带红勾标志,代表程序已经启动并处于防火墙规则控制之下。 “规则模式”允许两种选择:“拦截”和“允许”,LooknStop通过这里的标识决定符合该规则的程序是该允许访问网络还是被阻止访问网络,与其它防火墙产品对比,这样的设置方法是非常方便的,用户不需要重新进入规则设置便能直接修改规则行为。 “匹配时记录”提供了两个选项,“记录”和“不记录”,顾名思义,当一个满足规则设定的操作发生时,防火墙会根据这里的设置决定是否在日志里记录下这次操作信息。 “匹配规则后是否执行后续规则”是一个非常重要的规则行为标志,它提供两种选择,分别为“不匹配下一规则”和“匹配下一规则”,前面说过LooknStop的思想是阻止所有连接,而这里的规则设定就是其思想的具体实施方案,为了让程序能正常连接网络,同时也为了提高自身的执行效率,LooknStop提出了这个选项,它决定当一个符合防火墙设定的规则被执行后,是否要继续匹配下一条相同性质的规则,在这里我们可以方便的设置一些复杂的规则,例如我们需要增加一条允许本机打开80端口的规则,但是又不想为此开放所有低端口连接,那么就可以添加一条允许80端口的规则,并设置其“后续规则”为“不匹配”,那么就可以在保留原规则不变的同时增加本机开放80端口的功能了。 “匹配规则时声音或警报提示”有3种类型选择,分别为“声音报警”、“可视报警”和“不报警”,这个选项要与选项里的“声音”和“消息框”配合使用,第一种表示规则匹配时发出声音报警,第二种表示规则匹配时弹出消息框并同时发出声音报警,如果你觉得噪音扰民,可以设置为最后一种,还你一个安静的环境。 3.防火墙的灵魂——规则设置 任何防火墙都在各种规则的引导下运行,LooknStop也不会例外,而其恰恰正是因为规则难以配置而“闻名”的,要真正驯服这个强悍的小家伙,就必须理解并解决规则设置,在“互联网过滤”界面里点击“添加”,会弹出一个略显复杂的对话框出来。相对于大部分国内防火墙产品而言,LooknStop提供的可供设置的数据类型和模式多了不少,如果用户对各种协议的概念不是很了解,在面对这部分的时候就会很头痛了,LooknStop在这个设置对话框里提供了8大类设置,分别为“规则名称”、“方向”、“规则说明”、“以太网”、“IP”、“TCP标识”、“来源”和“目标”。 “规则名称”很容易理解,用户就是在这里设置特定规则名称的,“规则说明”则是为了描述这条规则的功能和用途,除了这两个选项不需要特别讲解以外,其他部分请仔细听好! 在开始动手之前,必须先了解一件LooknStop特有的事情,这款防火墙在编辑规则时是中性的,我们不能从这个界面里设置某条规则是给予通行还是拦截,一旦你保存这条规则,LooknStop则默认了此规则是“允许通行”的,要设置为“拦截”的话必须在保存后自行到主界面上相应的“规则模式”里设置为“拦截”。 其次,LooknStop的信任关系是基于IP地址和MAC地址双重检测的,这是一种理想的信任关系模式,IP地址和MAC地址分别都是可以欺骗的,但是如果IP和MAC结合起来,就很难实施欺骗了,而且也正是这种信任模式,它的规则设置才容易让人迷惑,其实只要理解了其思想,对这款防火墙的规则设置就不复杂了。 明白这两个基本概念后,我们正式开始吧。 首先是“以太网:类型”区,这部分到底表达了什么,笔者最初也是头痛了很久,经过多次试验后终于发现,这里其实是让防火墙知道你的机器环境是在局域网内还是互联网中的独立机器,或者说,控制某条规则是适合在局域网中使用还是在单机环境中使用。 这个区域里提供了4种选择,分别是“全部”、“IP”、“ARP”和“其它”,“全部”表示包含后面三种类型的协议,一般很少用到,除非你的机器所处的网络环境非常复杂,有多种系统一起运作,否则只需要选择“IP”类型即可,这是一种最兼容最常用的类型。 “ARP”类型只能在局域网内使用,也就是专为局域网环境设定的,由于它涉及MAC地址,故脱离了局域网环境就无效了,除非你是在局域网内使用机器,否则不要选择这个类型。 其次是“IP”区,这里又分为3个小区,最左边的“协议”用于为当前规则指定协议,LooknStop提供了9种选择,除了“全部”以外,几乎包含了各种常见协议类型,一般只需要设置TCP、UDP或ICMP其中之一即可,虽然曾经有过IGMP Nuke,可是现在也基本上没有人用Windows 98作为工作环境了吧,所以连IGMP防御都可以免了…… 右侧的“碎片偏移”和“碎片标志”分别用于更详细的检测过滤IP头部的偏移位和标志位,可以用于防止特定标志位的碎片数据报攻击,不过对于普通用户来说,我们并不需要特别指定这里的内容,一般选择“全部”即可。 然后到“TCP标识”区,这里其实不是只有一个功能设定的,它还可以变为“ICMP”区或“IGMP”区,视前一个“IP”区的协议类型而定,用户只有选择了TCP协议以后才能进入TCP标识里设置要具体控制的TCP标志位,里面一共有URG、ACK、PSH、RST、SYN和FIN这6种标志位供用户选择,主要针对一些有特殊TCP要求的用户,例如某台机器被用作Internet网关时,如果想阻止局域网内的某台机器通过TCP协议连接某个外部端口,则可把TCP标志位设置为ACK,阻止远程连接传回的应答请求,该连接自然就无法成功建立,最终达到拦截的目的。 现在到“来源”区,许多人觉得LooknStop难以配置,除了“以太网类型”难以理解以外,最容易混淆的就是“来源”区和旁边的“目标”区,要成功配置 LooknStop,首先要弄清楚一件事情:在LooknStop的规则设置里,“来源”完全表示本地,“目标”则表示远程,而不管实际的连接请求或者数据包方向是从哪里发出的。所有与本机网络有关的设置如开放本地某个端口、允许或阻止本地网络的某个IP,都是在“来源”里设置的,这里通常是和“目标”区搭配使用的,例如配置开放本机的80端口,那么就不应该去管“目标”区的任何设置,除非你要限制对方IP范围或端口范围那就另当别论。要开放本机80端口,首先应该在“来源”区的“IP:地址”里选择“等于本机在”,“TCP/UDP:端口”里选择“等于”,下面的第一个选项里输入端口80,第二个选项置空即可。如果要开放一段连续的端口,则在第二个选项里填入另一个数字,然后把“全部”改为“在A:B范围内”即可,需要提醒一点,普通的开放本机端口操作在“目标”区里不用填写任何东西!其他更多的选项可以根据这个举一反三。 最后是“目标”区,这里和“来源”区相反,它表示远程主机连接的参数,无论你在“方向”里选了什么,这个地方出现的都必须是远程机器的数据,永远不要出现你的本地数据! “目标”区主要是作为限制本机对远程访问数据而设置的,例如阻止本机程序访问任何外部地址的8000端口,则在“目标”区里设置“IP:地址”为“全部”,“TCP/UDP:端口”为“8000”即可,而“来源”区里完全不用设置任何东西。 在上面几个大区之外,还有个名为“应用程序”的按钮,这里用于设置特定的程序规则,其中可供选择的程序在右边列出的已经被记录访问过网络的程序列表中选择添加,以后此条规则就专门针对这个列表里的程序使用了,LooknStop这种思想大大增加了应用程序访问规则的灵活性 4. 监视的窗口——防火墙日志 这里是LooknStop的数据显示窗口,如果你在规则里设置了日志记录,这里就会报告出来,显示当前阻止和允许的连接数量和内容,还可以直接双击列表直接查看详细的数据类型,甚至完整的数据内容,在这一点上,LooknStop甚至可以替代Sniffer成为网络抓包工具! March 15 另一首很喜欢的和雨有关的歌很老的歌。老到我都想不起来最初听到它的那个雨天,我为什么发呆。 又下雨了-李心洁 词 林文炫 曲 李正帆 链接地址:http://crystal.ice.ntnu.edu.tw/~acheng/music/raining-again.mp3 又下雨了 你最喜欢的天气 又下雨了 你最喜欢的天气 那么多个雨季已经过去 现在你是不是也在某处看着雨 今后我将不在雨天出门 又下雨了 伞就不会湿了 过云雨天空刚下了几场雨 看街上路人不多
现在的你在做什么 还有没有在想我
快乐是否曾来过 探访我们两个
谁都不想让自己错 剩下了自己一个
找到你爱的咖啡店 尝试去感应着你
喝一杯低糖的latte 你还会想尝一口
快乐会否再来过 探访我们两个
谁都不想让自己错 剩下了自己一个
春夏秋冬 有多少人会走
春夏秋冬 有多少人会留
传闻你身边有个他 两个人快乐吗
听说你跟他提起我 是否对我也牵挂
快乐是否也来过 探访你们两个
谁都不想再让你哭 剩下你自己一个
外面的雨下的太久 我的心感觉冷漠
看到这一场过云雨 你是否会想起我
耳旁这首张敬轩的<过云雨>在缓缓地唱着.有点悲伤却很好听.仔细看了歌词,心里有些共鸣却发现说不明白,或许是自己阅历还不够吧.
我的地理知识不是很丰富,不知道过云雨是什么样的天气.但这首歌在告诉我们很多人只是我们人生中的过客,就象这场雨一样.其实人生就是一辆行驶中的列车,在不同的站总会有人上来也总有人下去.或许在这列车厢中有人陪我们走向终点站.而很多时候很多人只和我们有一段共同的路程而已.
有的人和你在一起的时候,你真的很开心,以为他或她将陪你一路这样开心地走下去.可猛然发现他或她竟在中途下车了.留下你一人孤独地完成自己一生的旅途的.此时,你的心里无限牵挂却永远相隔了.我想这首歌描写的就是此时的心情吧.
春夏秋冬 有多少人会走 春夏秋冬 有多少人会留
有些人将永远留在我们的记忆中,让我们留住那份快乐,留下那份悲伤!
所有在我这列列车下车的人们呀,希望快乐时时去探访你们,希望你们一切都好! 主流杀毒软件Vista兼容性横评(来自It168的重量级报道)随着使用Vista系统的用户越来越多,各个厂商逐一发布了针对Vista系统的软件新版本.在日常应用中,安全防护软件一般都是用户的必选项目,这次我们给大家带来8款常用安全防护产品测试,看看在Vista系统下软件有怎样的表现.
软件版本挑选
首选各软件针对vista的单独版本,再选现有版本升级。其中金山毒霸是通过软件升级支持Vista;瑞星杀毒和驱逐舰没有明显的标识是否已经支持Vista;江民杀毒、PC-Cillin、诺顿网络安全特警2007、nod32、卡巴斯基都有针对vista的新版本。
如何测试
使用同一平台,全新安装操作系统,制作Ghost镜像。更换测试软件前,恢复镜像,尽可能的保证测试环境的统一,预防上一测试软件可能会造成的影响。
本次测试主要针对4个方面来进行:操作界面,功能使用,扫描速度和资源占用。
1. 操作界面
测试软件界面是否直观,操作是否简洁。其实在以前单品测试中,我们都已经对界面进行了详细的测试,本次测试主要是测试软件在VISTA系统下是否会出现显示问题以及是否有新的界面出现。
2. 功能使用
测试软件的各项功能在Vista系统下,是否都能正常工作及是否有针对Vista的单独功能。
3. 扫描速度
扫描速度是安全软件的一个重要指标,我们准备了一个文件夹,容量大小为3.14GB,共有3121个文件,包含EXE,dll,msi,cab,zip,rar,avi,rmvb,jpg,bmp,png,mp3,pdf,iso等各种常见的文件格式。测试前,重起机器,执行软件的扫描文件夹功能。因为测试文件夹中有不少大容量的cab、msi等打包文件,所以软件的扫描文件数量也一定程度上说明软件的扫描效果。
软件一般都会提供两种模式:快速和完整。快速模式下只会对重要文件进行扫描,但对压缩文件之类的不会扫描。所以扫描模式选择完整扫描。没有模式选择的软件,尽量修改配置使之与其他软件扫描效果相同。
4. 资源占用
资源占用是软件测试的一个常规项目,是判断软件是否优秀的标准之一。Vista的任务管理器更改了显示名称,不再分内存和虚拟内存,所以本次测试的资源占用监控内存-专用工作集、内存-工作集和内存-提交的占用情况。另外,安全软件因为要监控系统,所以不会只有一个进程在运行,所以我们把软件的所有进程的资源都累加起来算,不单算扫描进程所使用的资源。我们使用软件安装完成后的默认功能来进行测试,不过功能越多的软件,所占用的资源会多一些。
瑞星官方没有明确的表明是否支持Vista系统,所以我们选择安装软件后,使用升级功能升级到最新的版本再进行测试。在这次测试中,瑞星是出现兼容问题最多的,管理中心界面会被Vista系统加上一个边框,但选择经典界面再切换回来就没有问题了,不影响功能使用,可以忽略。
在软件附带的功能中,系统漏洞扫描无法使用,提示需要管理员权限,而我们确信我们使用的帐号具有管理员权限。瑞星卡卡可以正常安装,但其中IE防漏墙功能却不能启动。
软件的资源占用方面,在空闲时,资源占用较少,但是在查杀时资源占用飞涨,这可能是因为瑞星所使用的虚拟机脱壳引擎缘故。
江民杀毒软件2007单独发布了支持Vista的新版本,软件杀毒部分在测试过程中一切正常,但是防火墙功能出现了些问题。
运行防火墙,发现监控不到系统网络流量,从系统安全中心查看,发现江民防火墙与Windows防火墙同时存在,没有完全接管Windows防火墙,导致出现状况时,屏幕上会弹出不同的提示框。
软件的查杀引擎对打包文件支持的不错,所能扫描的部分在所有软件中排第二位,但是扫描时间是最长的。同瑞星一样,在空闲时对资源的占用不高,查杀时也会变的很高。
趋势也是单独发布了新版本for Vista,软件在使用过程中一切正常,windows自带的安全功能全部接管。由于测试环境是单机的,没有对PC-Cillin独有的网络管理功能进行测试,不得不说有点遗憾。
PC-Cillin在扫描数量上完全和我们在系统中查看到的数量一致,但是从设置中可以看到软件也会对打包文件进行解包扫描,只是没有在界面上体现,所以我们无法得知准确的扫描数量。扫描速度属于中流水平,软件对资源比较少,空闲期和查杀期之间的差距不大。
软件在扫描速度测试中是速度最快的;但是,撇开PC-Cillin,诺顿的扫描数量是最少的。据诺顿官方说,网络安全特警2007针对用户的意见,大幅度修改代码以减少对系统资源的占用。测试中,软件在空闲期占用资源在96MB左右,查杀期占用资源在139MB左右,在所有软件中属于中流。
针对Vista的NOD32目前还没有简体中文版本,我们测试使用的是最新的英文2.7版,软件安装、操作界面、功能启用上没有任何问题。
NOD32一直以占用资源小、扫描速度快著称,软件在速度测试中仅落后诺顿不到1秒的时间,而扫描数量却要比诺顿多不少。在资源占用方面,NOD32以最少的占用资源排在第一位,充分说明NOD32是一款优秀的杀毒软件。
同NOD32一样,我们有找到简体中文版本,所以测试用的是最新英文版本。操作界面上没有什么改变,功能使用上完全正常。 软件的扫描数量和扫描速度测试中,均排在第五位。在这不多不提一下卡巴斯基的查杀效果,测试文件夹中有几个捆绑广告程序的文件,全部被揪了出来,所有软件中只有卡巴斯基和驱逐舰查到了。
卡巴斯基的资源占用情况有了很大的改善,占用较少资源仅次于NOD32。
驱逐舰是一个来自韩国的产品,他们使用的引擎也是很有特色。我们没有在官方找到关于Vista的信息,于是选择最新的版本来进行测试。 软件在Vista中显示完全正常,但在启用邮件监控时出现点问题,第一次测试时启用邮件监控一切正常,当重启后系统提示运行错误,关闭了邮件监控功能,再开监控重启又恢复了正常。
软件在扫描数量中排第一,和卡巴斯基一样,把测试文件夹中捆绑广告的文件查了出来,但扫描速度就差了点,排在了倒数第二位。系统资源占用稍多,属于中下水平。
各个软件都不完美,综合来说,NOD32 antivirus占用资源最少、扫描速度也快,只可惜只有杀毒功能;其次是诺顿网络安全特警2007和卡巴斯基,一个扫描速度快、功能丰富,一个占用资源少、查毒犀利;PC-cillin表现的中规中矩;瑞星在扫描测试中表现不错,但是功能上稍有些问题,希望新版本尽快发布;金山毒霸资源占有稍有过多;江民杀毒查杀时占用资源多,扫描速度差一些;驱逐舰虽然扫描数量最多,但是建立在比较长的时间上面,且只有杀毒功能,期待以后会有更好的表现。
所有软件中,表现最好的当属NOD32,推荐用户使用。喜欢丰富设定的用户推荐卡巴斯基;想省事装完不管的用户,推荐选用诺顿网络安全特警。 世 界 十 大 传 奇 爱 情 (附图)
1、司马相如与卓文君:凤求凰司马相如和卓文君,一个是被临邛县令奉为上宾的才子,一个是孀居在家的佳人。他们的故事,是从司马相如作客卓家,在卓家大堂上弹唱那首著名的《凤求凰》开始的:“凤兮凤兮归故乡,游遨四海求其凰,有一艳女在此堂,室迩人遐毒我肠,何由交接为鸳鸯。”这种在今天看来也是直率、大胆、热烈的措辞,自然使得在帘后倾听的卓文君怦然心动,并且在与司马相如会面之后一见倾心,双双约定私奔。当夜,卓文君收拾细软走出家门,与早已等在门外的司马相如会合,从而完成了两人生命中最辉煌一事件。卓文君也不愧是一个奇女子,与司马相如回成都之后,面对家徒四壁的境地(这对爱情是一个极大的考验),大大方方地回临邛老家开酒肆,自己当垆卖酒,终于使得要面子的父亲承认了他们的爱情。尽管后世的道学家们称他们的私奔为“淫奔”,但这并不妨碍他们成为日后多少情侣们的榜样。这之后还有一个事件值得一记:司马相如一度迷上了某才女,卓文君作《白头吟》,以这样的句子“闻君有两意,故来相决绝。愿得一心人,白头不相离。”终使相如回心转意
2、克娄巴特拉与恺撒·安东尼:爱情与权力的选择举世闻名的埃及女王克娄巴特拉与罗马将军恺撒马克·安东尼之间的恋情甚至影响了埃及和当时世界的历史。托勒密12世去世后,克娄巴特拉按父亲的遗嘱与亲弟弟联姻共同执掌权柄。由于姐弟反目,她决定借助罗马帝国叱咤风云的恺撒的力量。而恺撒出于巩固统治和从埃及取得酬金的目的,也认为促成克娄巴特拉姐弟重归于好是必要的。但当恺撒见到克娄巴特拉时,一下子被这位天姿国色、才华非凡的女人所倾倒,帮助她夺取了王位。后来,两人通过恺撒制定的一夫多妻制而成为合法夫妻,并生下一子。公元前44年,恺撒死于反对派的突袭之后,克娄巴特拉感到失去了靠山,转而依靠罗马“后三头”之一马克·安东尼,用同样的手段赢得了有勇无谋的安东尼,再一次使自己王位稳固。她与安东尼共生三子。然而在克娄巴特拉内心的天平上,王朝远重于爱情,在“后三头”另一巨头屋大维势力超过安东尼后,她放弃了安东尼,使其惨败。但是,年近40的她去并未打动屋大维,在软禁中结束了传奇的一生。
3、唐明皇与杨贵妃:长恨歌杨玉环原为寿王瑁王妃,玄宗惊艳于她的美貌,但碍于她是自己的儿媳而不便明目张胆纳入宫中,于是想出个让杨玉环出家,脱离寿王,再以“杨太真”身份入宫的方法。 从此杨玉环“三千宠爱在一身”,并于公元745年被册封为贵妃。玄宗对杨贵妃的宠爱可谓无所不用其极,所谓“君王从此不早朝”,为了两情欢爱,可以把国事先放在一边;而从“一骑红尘妃子笑”的贼后面,我们看到玄宗甚至动用了他手中的权力来取悦杨贵妃,这样的做法出发点固然是为了爱,但皇帝毕竟是皇帝,他所做的一切并不仅仅是他个人的,必然要牵涉到政治的东西。这使得他们的爱情洽谈室不可单纯,并最终敌不过政治:755年安史之乱爆发,次年玄宗匆匆出逃,发生马嵬兵变,杨贵妃被赐死,就算是皇帝也挽救不了自己心爱的女人的性命。他们的爱情虽以悲剧收场,但正如白居易所描述的那样,“七月七日长生殿,夜半无人私语时:在天愿作比翼鸟,在地愿为连理枝。”他们的爱情,已经远远超出了一般皇帝与妃子之间的感情,上升到了真正的爱的层次,这也是后人广为传颂其爱情故事的原因。
4、白朗宁与马莱特:诗意的爱情奇迹 1845年,长期瘫痪在床的伊丽莎白-巴莱特在英国诗坛声名鹊起,其地位已取代衰老的华兹华斯,而与丁尼生齐名。本来就钦慕她的诗才的白朗宁给女诗人写了一封信,大胆地对她说:“我爱极了你的诗篇——而我也同时爱着你……”。女诗人接到信后也给他回了一封热情洋溢的信。两人从此开始频繁的书信来往。在白朗宁的多次要求下,女诗人克服从不见生人的习惯,两人有了第一次见面。哪知三天后,抑制不住强烈感情的白朗宁竟给女诗人写了一封求婚信。39岁的女诗人这时 躺在床上已有24年,她对结婚一事早已没有想法,认为自己不可能嫁给比她小6岁的白朗宁。她拒绝了他。尽管如此,两人依然保持亲密的交往,直至达到谁也离不开谁的地步。这奇迹发生了,伊丽莎白突然能下地自由行真诚了。尽管犹如暴君的父亲完全不同意她的婚姻,她还是勇敢地投入了白朗宁的怀抱,两人一起远离家乡,到意大利生活,后来还生一下孩子。爱情的力量使白朗宁夫人原本孱弱的生命延续了15年,并使她写出了更多优秀的诗篇。
5、孙中山与宋庆龄:革命伴侣志同道合最容易成伴侣,孙中山与宋庆龄就是一个很好的例子。作为一代革命先驱,孙中山得到了不少挚友的支持,宋庆龄的父亲就是其中的一个。1913年八月,“二次革命”失败,革命派在国内失去了立足之地,大多随孙中山流亡日本,宋耀如一家更是举家迁避扶桑。从美国读书归来的宋庆龄到日本与家人会面,终于见到了她所敬仰的孙中山,并开始接替父亲和姐姐的工作,于1914年9月起正式担任孙中山的英文秘书。这是在患难中生长出来的爱情:革命失败,心灵的创伤和流亡海外生活的孤寂,孙中山在宋庆龄的帮助中得到了补偿;而宋庆龄追承孙中山革命的愿望得到了满足,并发出了这样的肺腑之言:“我的快乐,我唯一的快乐是与孙先生在一起。”这遭到宋庆龄父母尤其是母亲的坚决反对:他们的年龄相差28岁!1915年10月,在得知孙中山已与前妻离婚的消息后,22岁的宋庆 龄冲破父母的“软禁” ,赴东京与孙中山成婚。他们的情深谊笃,令人感动:1922年6月16日,广州发生陈炯明兵变,在危难之际宋庆龄把生的希望留给了孙中山:“中国可以没有我,但不可以没有你!”而1925年3月11日孙中山弥留之际,特别嘱咐儿子、女婿要“善待孙夫人”,听到何香凝保证尽力爱护宋庆龄之后才放心。短短10 年聚首,胜过人间无数。此后,宋庆龄孀居终生
6、鲁迅与许广平:携手共艰危,以沫相濡亦可哀在与许广平结识、相爱之前,44岁的鲁迅虽有名义上的妻子朱安,但一直过着一种苦行僧似的禁欲生活,打算陪着朱安这个“母亲的礼物”“做一世牺牲”。是许广平对他的敬仰、理解乃至热爱打开了封冻已久的心田。从1925年3月11日他们开始通信,一直是许广平以自己的勇敢和坚定打消了鲁迅的种种顾忌,终于明白表示:“我对于名誉、地位,什么都不要,只要枭蛇鬼怪够了”。这所谓“枭蛇鬼怪”,就是又有“小鬼”、“害马”之称的许广平。而在1925年10月许广平所写的《风子是我的爱》中,有这样的爱的宣言:“即使风子有它自己的伟大,有它自己的地位,藐小的我既然蒙它殷殷握手,不自量也罢!不合法也罢!这都于我们不相干,于你们无关系,总之,风子是我的爱……”1927年10月,鲁迅与许广平在上海正式开始同居生活,在旧式婚姻的囚室里自我禁闭20年之后,他终于逃出来了。对于鲁迅和许广平来说,这是他们生命中最有光彩的举动,鲁迅于1934年12月在送给许广平的《芥子园画谱》上所题的“十年携手共艰危,以沫相濡亦可哀”正是他们爱情生活的写照。
7、徐志摩与陆小曼:万种风情无地着徐志摩与陆小曼的交往,用“爱得轰轰烈烈”来形容,一点都不为过。陆小曼的丈夫王赓时任哈尔滨警察厅长,虽不在北京,但侯门如海,徐志摩要用钱来贿赂门房 (每次500元) 才有可能与陆小曼见面,而陆小曼给徐志摩写情书不但要用英文,连寄信也只能自己抽空出去寄。几经波折,徐陆二人的恋情愈演愈烈,弄得满 城风雨,王赓甚至还拔出枪来威胁陆小曼,但这一切都遏止不住二人的热情。对于徐志摩与陆小曼的爱情,郁达夫的看法颇为中肯:“他们的一段浓情,若在进步的社会里,有理解的社会里,岂不是千古的美谈?忠厚柔艳和小曼,热烈诚挚如志摩,遇合在一起,自然要发放火花,烧成一片了,哪里还顾得到纲常伦教?更哪里还顾得到宗法家风? ” 1926年10月3日,徐志摩与陆小曼举行婚礼,梁启超为证婚人,胡适为介绍人。他们的婚礼,真可以算得上是“别开生面”,梁启超作为徐志摩的老师,在婚礼上进行中引经据典地来了一通训词,训斥这一对新婚夫妇:“你们都是离过婚,重又结婚的,都是用情不专,以后要痛自悔悟,重新做人”。最后还来了一句“祝你们这次是最后一次的结婚!”但徐志摩这样的历尽千辛万苦去追求,去试验梦想中神圣的爱的境界,虽有“不顾一切,带有激烈的燃烧性”且“不管天高地厚,人死我亡,势非至于将全宇宙都烧成赤地”的热情,终于还是落个失败的结局,思之令人感慨。
8、萨特与西蒙:波伏娃:柏拉图式恋爱的精典法国著名哲学家、文学家萨特与西蒙-波伏娃的爱情尽管没有附丽于婚姻,但去长达50多年并终其一生。1929年,青春年少、生机勃勃的萨特就读于巴黎高等师范学院,与好友尼让、埃博德组成“三人帮”,如疾如醉的遨游于知识的海洋。这时,西蒙-波伏娃——一位年轻、聪颖而清秀的女朗进入了萨特的生活。萨特与波伏娃迅速陷入热恋,“我们在早晨人需,直到很晚才会分手。我们穿过巴黎散步,一直在继续我伞兵话题——我们的事、我们的关系、我们的生活和我们即将写的书……”毕业考试结束了,萨特名列第一,波伏娃紧接第二,真可谓比翼齐飞。萨特为期18个月的服役不得不让这对恋人分别,但他们共同制定了一个特殊的恋爱合同。在合同中,双方强调,两人要保持最亲密的关系,无话不谈,不准有任何欺骗行为。然而,随着两人感情加深,他们在爱情观点上的差异也逐渐表现出来。萨特说:“在青春期,当我能看女人的时候,我是想要她的全部。”“独身生活是我的原则,我生来就是当光棍的。”“我不会结婚,永远单身,我要所有的女人……只要能搞到手。”这是对波伏娃的声明,一方面要同她保持亲近的、永不结婚的爱情关系,另一方面又要波伏娃不要干预他的私生活。至于波伏娃,她对萨特的这一点非常清楚,并能接受。“萨特不愿履行一夫一妻制的职责,他喜欢与女人在一起,他认为这些人和男人在一起,不那么狡猾。”“在我们之间,存在着必要的爱情,同时我也认识到,需要偶然爱情。”正是在这种理解与宽容的爱情中,萨特与波伏娃的爱情显得与众不同,他们没有结婚,但却情投意合,并将这份情感维持了半个多世纪,直到1980年萨特去世。
9、温莎公爵与辛普森:不爱江山爱美人爱德华八世与沃利斯·辛普森的爱情故事可谓举世闻名。1931年,生于巴尔的摩市的沃利斯-辛普森与第二任丈夫英国大商人欧内斯特怀着对上流社会的迷恋,与当时还是亲王的爱德华结识,并经常参加亲王的各种流动。起初亲王对沃利斯这位不太出众的女人并没有多大的关注,随着亲王对情人西玛尔兴趣逐渐冷淡,特别是他发现西玛尔与伊斯梅利穆斯林首领阿迦汗的独生子阿里汗亲王有染后,便把注意力投向了沃利斯,并很快被这个37岁的女人深深迷住了。“唯一能说明他地我感兴趣的原因也许在于我那美国人的独立精神、我那直率、我那自以为具有的幽默感,以及我对他和与他有关的每件事的乐观或好奇……他是孤独的,也许我是第一个洞察他内心深处孤独感的人”温莎公爵夫人的回忆录这样说道。漫斯顿-丘吉尔对亲王与沃利斯的恋情也评价道:“他喜欢同她在一起,并且从她的品质中获得他要的幸福,就像她需要呼吸新鲜空气一样。” 1936年元月,威尔士亲王爱德华继位,成为爱德华八世。国家大事的重任丝毫没有减低他对沃利斯的爱,他向王室宣布要和沃利斯结婚。这时,沃利斯与丈夫欧内斯特的离婚宴也摆上了日程。爱德华八世的决定遭到朝野强烈的反对,他们无论如何也接受不了一人结过两次婚的女人成为王后。多次交涉未果之后,爱德华八世决定逊位来完成这桩亘古未有的婚姻。顶着来自皇室、首相以及新闻界的各种压力(沃利斯也成为英国早期“狗仔队”捕猎的对象),爱德华八世逊位而成为温莎公爵,1937年终于在法国与沃利斯成婚。对于失去王位以及永远不能回到自己的国家,温莎公爵对沃利斯说:“你可别后悔,我丝毫也不。我只知道幸福永远维系在你的身上……”
10、三毛与荷西:梦里花落知多少台湾作家三毛与荷西的故事浪漫而缠绵绯恻,尽管两人都已逝去,但他俩仍是无数少男少女心目中的爱情偶像。三毛和荷西相识在西班牙,当时三毛念大学二年级,两人常常一起看电影、逛公园。一天,荷西对三毛说:“你要等我6年,我有4年在大学要读, 加两年兵役要服,6年一过,我就娶你。”后来两人分手了。按照承诺,以后的6年中他们没有任何联系,这其间三毛去了德国、美国。6年后命运再度将三毛带回马德里。这天,有位朋友打电话给三毛:“快来,搭计程车过来。”不知发生了什么事的三毛匆匆赶到朋友家。朋友神秘地让她把眼睛闭上,三毛只觉得一双温柔的手臂把她整个儿抱了起来,张开眼一看,哎呀!不得了,竟是那位身材高大、长满胡须的、她当年的小朋友——荷西。两人热烈亲吻、拥抱后,荷西把三毛带到自己的屋内,满屋子三毛的巨幅照片再一次让三毛惊呆了,6年来,荷西一直惦恋着她。三毛感动至极,对自己说:“这一生我还要谁呢?”婚后的生活虽然清苦,但充满温馨和情趣。三毛说堵塞,“因为幸福满溢而怕得悲伤”。悲剧果然降临,在一次意外事件中,潜水员荷西过早地离开三毛而去,痛不欲生的三毛几次试图自杀,终因亲情难舍而止步。然而,数年后三毛还是自缢于医院,不能不说与此有着密切的关系。 美国十大变态杀手1 开膛手杰克
 如雾般消失的元祖连环杀手--Jack The Ripper
姓名∶不详
外号∶“开膛手杰克”(Jack The Ripper) 出生日期∶不详 现况∶死亡,具体资料不详 杀人数目:5 人 杀人方法:割喉,接着肢解 犯案地点∶英国伦敦东部白教堂区 (Whitechapel) 杀人时期:1888 年 8 月 31 日至 11 月 9 日 定罪日期∶从未被拘捕 有关电影∶《屠出地狱》(From Hell)、《狙击风月杀手》(The Ripper) 恶行实录:就时间而言,“开膛手杰克”并不是史上第一个连环杀手,在他出现之前已经有连续杀人犯存在过,但他肯定是将“连环杀手”四个字发扬光大的人。他残忍的虐杀方法令当时的伦敦陷入一片恐慌之中,人人都惧怕他的名号。其实他的犯案时期并不长,只有短短的 3 个月,但他所带来的震撼却相反一直影响后世的人,除了因为他杀了 5 名*女,手法一次比一次残忍外(“开膛手”并非只是虚衔,第 4 名死者就是被剖开身体,发现时肠脏都挂在肩膊上,最后一名更是面目全非,面孔被剁得再无法辨认,身体器官有些不见了,有些则四散在案发现场),更重要是他曾多次亲笔写信到警署公然挑战警方,甚至送上死者的耳朵、肾脏和凶刀,警方却一直捉不到他,可见他的胆量不轻。为他再添传奇性的是他在第 5 宗案件后,忽然像人间蒸发般消失,从此再没出现,只留下一个到现在也未解开的问题--他究竟是谁? -------------------------------------------------------------------------------------------------------------------
2 史上第一杀人王
 嗜好杀人的史上第一杀人王--Henry Lee Lucas
姓名∶Henry Lee Lucas
出生日期∶1936 年 8 月 23 日 现况∶死亡,在德州 Huntsville 监狱被执行死刑 杀人数目:最少 150 人,自称约 360 至 600 人 杀人方法:没有特定犯案地点∶遍布全美国各省份,也有可能在欧洲和日本 杀人时期:1960 年至 1983 年 定罪日期∶1983 年 有关电影∶《连环杀手的肖像》(Henry: Portrait of a Serial Killer) 系列 恶行实录:要数杀人杀得最多的连环杀手,非 Hernry Lee Lucas 莫属,最少也有 150 人之多,他更自称杀了 360 至 600 人,因为他在被捕前亦经常外游,在欧洲和日本也杀了人,实际的数目并没有记下来,但他的主要捕猎区域还是在家乡美国。这位传奇的连环杀手杀人的原因,可追朔到他的童年。他自少就被母亲虐打,其中一次更严重得令他脑部受创。结果到了他 23 岁的时候,他就把母亲强*并刺死以报复,被法庭判入精神病院 40 年,之后获假释外出却死性不改。 直至 1982 年的 10 月,德州警方因为找到一个属于一名失寡妇的空手袋而展开调查,并曾经调查他,但并没有找到证据证明他是凶手,倒是以他藏有危险武器拘捕他,岂料他到了警署后竟不耐烦地把自己 20 多年的杀人经历一一说出来,包括他有另一名同党 Ottis Toole(他的双性恋情人,据说是他把部分尸体吃掉),杀人原因是对方不愿意和他性交。后来死者数目不断增加,警方曾经认为部分只是他的幻想,但他却能明确指出某些藏尸地点和尸体的状况,令人不得不相信他。曾经警告过精神病院的心理评估人员不要放他和他会继续杀人的 Henry Lee Lucas,也许最令世人震惊的是他在法庭对自己行为的辩解。“我喜欢杀人就好像其他人喜欢散步罢了,只是嗜好不同。如果我需要猎物,我只需到街上去随便找一个。” -------------------------------------------------------------------------------------------------------------------
3 明星连环杀手
 D.I.Y. 明星连环杀手--Edward Gein
姓名∶Edward Theodore Gein 出生日期∶1906 年 8 月 27 日 现况∶死亡,于 1984 年 7 月 26日于 Mendota 精神复康病院自然死亡 杀人数目∶最少 2 人,实际数字不详,估计该有接近 20 人 杀人方法∶枪杀并肢解剥皮,制成手工艺品 犯案地点∶美国东岸 Plainfield,Wisconsin 杀人时间∶1954 年 12 月 8 日至 1957 年 11 月 16 日 定罪日期∶从未经法庭定罪,但在 1958 年 1 月 6 日被判终生囚禁于国家精神病院。 有关电影∶《触目惊心》(Psycho)、《沉默的羔羊》(The Silence of the Lambs)、《惨无人道》和《德州电锯大屠杀》(The Texas Chainsaw M***acre)、《Ed Gein》。 恶行实录∶连环杀手的经历曲折离奇,确是非常适合作为电影的题材,因此亦经常被搬上大银幕,但多数只是 B 级恐怖电影,能同时成为两部荷里活一级大作参考对象的连环杀手,就只有 Edward Gein 一人。他的生平跟希治阁 (Alfred Hitchcock) 在《触目惊心》内对主角 Norman Bates 所描述的非常相似,他和哥哥 Henry 和妈妈 Augusta 住在 Plainfield,Wisconsin 郊外一个非常偏僻的独立平房。他和哥哥在成长过程中几乎都留在这楝建筑物内,没有朋友和正常的社交圈子,更不知异性为何物,生命中最重要的位置就一直被那位占有欲强、憎恨女性的母亲所占据,形成了他孤僻和不知常理世情的性格。在他的兄长和母亲相继去世后,他开始显露他潜在变歪了的性格。 他先是把母亲的尸体保留在家中,好像她从未死去。接着为了满足对女性的欲望而去掘墓起尸,最初只是观看她们或触摸她们,但后来变本加厉,把尸体剥皮并缝制成人偶。但他第一次亲手把活人杀死,却要等到 1954 年的 12 月 8 日,他把附近酒吧的店主 Mary Hogan 杀死并剥皮。他的恶行要直至 3 年后才被发现,在警方找寻工具店店主 Bernice Worden 的时候,Bernice 的儿子想起他在案发前曾经来买防雪剂而起疑,结果在他的家中发现了大量恶心的“人类手工制品”,包括用人皮造的灯罩、由人头骨所造的汤碗、头骨床头布置和由乳头造的皮带等,死者面部的皮肤连头发则成为了面具。虽然听起来如此令人发指,但他也有值得可怜的地方,因为与世隔绝令他根本连自己的行为是错误的也毫不知情。据说后来他重投社会后行为变回正常,更在精神病院内成为一位慈祥的老者! -------------------------------------------------------------------------------------------------------------------
4 罗斯托屠夫
 不举俄罗斯杀人狂--Andrei Chikatilo
姓名∶Andrei Chikatilo 外号∶“罗斯托屠夫”(The Rostov Ripper) 出生日期∶1936 年 现况∶死亡,于 1994 年 2 月 14 日在狱中被枪毙处决 杀人数目∶最少 53 人 杀人方法∶折磨至死、虐杀并烹尸吃掉 犯案地点∶横跨整个俄罗斯,主要在罗斯托 (Rostor)、莫斯科 (Moscow) 和圣彼得堡 (St. Petersburg) 杀人时期:1978 年 12 月至 1992 年 定罪日期∶1992 年 10 月 15 日有关电影∶《Citizen X》 恶行实录∶Andrei Chikatilo 曾经是一名受人尊敬的老师,在家人眼中更是一个慈祥和蔼的祖父,在邻居眼中则是一个快乐的已婚男人,他是那一种在“可能是连环杀手”的嫌疑名单中排名最低的人,偏偏他正是俄罗斯一连串虐杀和食人案件的元凶。根据他的妻子 Fayina 在后来所讲,导致他丈夫连环杀人的原因,应该是因为他无法正常地勃起与女性性交,他只有在对方死了之后,才能进行性行为。 他最喜欢在巴士站或火车站留连,遇上适合的猎物便跟踪,偶然也在街上找。对象以离家出走的小孩子和*女居多,性别和年龄对他而言也不重要,例如他第一位杀害的就是一个只有 9 岁的女孩,也杀过 20 多岁的男性。另外他杀人时有一个特点,就是他会把被害者的眼睛除去,因为他害怕死者眼中那份欠缺生命的空洞。他也喜欢把猎物带到森林里去,有时甚至先和他们行几哩路才下手。但比起他令人齿冷的杀人行为,他的被捕过程却相对地平淡得很,只是警行凭不断努力进行侦查,证明他是真凶并拘捕他 -------------------------------------------------------------------------------------------------------------------
5 密尔沃基怪物
 同性恋食人王--Jeffery Dahmer
姓名∶Jeffery Dahmer 外号∶“密尔沃基怪物”(The Milwaukee Monster) 出生日期∶1960 年 现况∶死亡,在狱中被另一名囚犯所杀 杀人数目∶17 人 杀人方法∶没有特定,但会先*尸,再烹尸吃掉 犯案地点∶美国东岸密尔沃基 (Milwaukee) 和俄亥俄 (Ohio) 杀人时期:1988 年 1 月至 1991 年 7 月 定罪日期∶1992 年 6 月 有关电影∶《Dahmer》 恶行实录∶Jeffery Dahmer 可能是犯罪史上最冷血、最令人发指的连环杀手。他的外表就有如一个再普通不过的男孩子,即使你在街上遇见他,你也不会特别注意他,但他却做出如恶魔般的罪行。本身是同性恋者的他,堪称是《沉默的羔羊》里食人博士 Hannibal the Cannibal 的真人版本。他会把他有兴趣的猎物绑架,然后杀害、强*,最终吃掉。和 Andrei Chikatilo 一样,他只有透过*尸才能获得性满足和高潮,偶然也会望着犯案的宝丽莱自渎。在食方面,他也非常讲究,只会选择想吃的部位贮放于雪柜,其余的全放到他于厨房特制的硫酸池处理掉。在 10 多件案件当中,他曾经试过先后杀害两兄弟,最恐怖的一次试过把被害者的头盖骨凿开,并灌入水银。 他最终被捕可说是一场意外。在 1991 年 7 月的晚上,两名警探 Patrolmen Routh 和 Rolf Mueller 在巡逻时遇上一名黑人青年 Tracy Edwards,他告诉警察他附近的一名邻居扬言要剖开他的心并吃掉。三人一起来到调查事件真伪,起初找错了另一人,但最终也来到 Jeffery Dahmer 的家,并在内发现大量人头和残肢,雪柜里更有切好的人肉和一个人头!他最终被判有罪并要坐牢 1070 年,在狱中也如电影中的 Hannibal 一样被单独、高度监视下隔离。但他还是死在狱中,因为另一名在狱中的囚犯声称受上天感召,要杀死他替天行道,他的一生就此完结。 -------------------------------------------------------------------------------------------------------------------
6 加州魔鬼
 以杀人连系的一“家”人--Charles Manson and Manson Family
姓名∶Charles Manson 出生日期∶1934 年 现况∶生存,在 San Quentin 监狱终生监禁 杀人数目∶7 人,但他自称杀了 35 人 杀人方法∶虐杀 犯案地点∶美国西岸加州 (California) 杀人时间∶1969 年 定罪日期∶1971 年 3 月 29 日 有关电影∶《Helter Skelter》 恶行实录∶在“披头四”(Beatles) 热潮堀起的 60 年代,Charles Manson 和当时很多的青少年一样,极度迷恋披头四的音乐,但是在结他以外,他亦迷上了另外一样非常流行的东西--毒品。他本身是一名*女的儿子,在美国非法出生,年少时已经犯案累累,档案被标明“危险”和“永不可信任”。在保释外出期间,他曾两度结婚,如一个正常的普通人般组织家庭,但两次婚姻也以失败告终。不过凶残的杀人组织 Manson Family 并不是真的指一家人,而是一群仰慕他的追随者(多数为年青富有的中产女性)所组成的杀人集团。到了 1969 年,这个组织已经有 25 个主要会员和 60 个一般党员。 有一天,身为首领的他宣布进行终极计划“Helter Skelter”(披头四其中一张大碟名),发动末日的种族和阶级战争,并扬言只有他的信徒才可以存活下来。首个受害的单位是著名导演波兰斯基 (Roman Polanski) 的大宅,除了波兰斯基外出拍片避过一劫之外,包括他有身孕的妻子 Sharon Tate 在内的 5 人都被虐杀,接着则是一间超级市场的东主 LaBianca 夫妇。但这场战争在这里就停住了,原因是其中一名中坚分子 Susan Atkins 因另一椿谋杀案被拘捕后,不知为何滔滔不绝的把所有罪行招供,恶名昭彰的 Manson Family 就此。 -------------------------------------------------------------------------------------------------------------------
7 校园杀手
 优等生杀人王子--Ted Bundy
姓名∶Theodore Robert Bundy 外号∶“校园杀手”(The Campus Killer) 出生日期∶1947 年 现况∶死亡,于 1989 年 1 月 24 日在科罗拉多州 Skarke 监狱被电椅处决 杀人数目∶最少 19 人,但有可能高达 40 人 杀人方法∶绞杀 犯案地点∶遍布全美国各省份 杀人时间∶1974 年 1 月 31 日至 1977 年 2 月 15 日 定罪日期∶1979 年 7 月 24 日 有关电影∶《Ted Bundy》 恶行实录∶每个人都应该曾经遇上过一个这样的人物--他品学兼优,样貌英俊,从来不忧心没有约会对象,曾经是男童军,运动方面也十分优秀,之后进入一间著名的大学,同样以优秀的成绩毕业,跟着在政府内工作,高薪厚职且社会地位崇高。Ted Bundy 就是这样的一个模范生,但在他心底的深处,却住了一头恶魔。他最喜欢潜入校园杀掉女学生,又或者以他的魅力邀请女学生出外游玩,再加以杀害。 最喜欢以“Hi! I am Ted!”向猎物自我介绍的他,自 1974 年 1 月 31 日第一宗案件发生之后,一直没有被警方怀疑,直至 1975 年的夏天他因为违反交通规则而被拘捕,整个真相便开始成形。先是一个险遭他杀害的幸存者 Carol Da Ronch 出庭指证他,被判绑架罪成立的他,之后原本要出席科罗拉多州另一项谋杀指控的他,却忽然逃走,之后一直以不同的身分和样貌四处逃避追捕。在 1977 年 2 月 15 日他终于落网,并凭着一名被害者身上的牙印定了他的罪,在电椅上终结其罪恶的一生 -------------------------------------------------------------------------------------------------------------------
8 杀人小丑
 肥胖的杀人小丑--John Wayne Gacy
姓名∶John Wayne Gacy 外号∶“胖子”(The Fat Man)、“杀人小丑”(Killer Clown) 出生日期∶1942 年 3 月 17 日 现况∶死亡,于 1994 年 5 月 10 日被注射毒针处决 杀人数目∶33 人 杀人方法∶绞杀 犯案地点∶美国东岸芝加哥 (Chicago) 杀人时期:1972 年至 1978 年 12 月 定罪日期∶1980 年 3 月 12 日 有关电影∶《Gacy》 恶行实录∶小丑该是令人快乐和引人欢笑的,但遇上由 John Wayne Gacy 所扮演的小丑,你只会惊慌尖叫。出生于芝加哥的他,以优异的成绩于商学院毕业,之后结了婚并成为了一名出色的销售员。他非常受所居住的社区的邻居所喜爱,特别是小孩子,因为他会扮演名叫“Pogo”的小丑去娱乐他们。但是他年青时也曾因为性骚扰男同事和意图强*男孩而留下案底,只是他之后一直表现得循规蹈矩,掩饰了他潜在的兽性,令人一时未能察觉得到。 直至 1978 年 12 月 11 日,一名叫 Robert Piest 的男孩在出外工作面试后一去不返,他当天所约见的建筑营造商正是 John Wayne Gacy。警方开始针对他来调查,但他对事件一概否认,最终警方决定搜查这位好好先生的大宅。结果他们并没有找到 Robert Piest,却在一道隐藏门下的地库找到 7 具腐烂了的尸体,那一刻他们才惊觉找到了美国其中一名冷血连环杀手,之后在屋内和后花园再掘起 28 具尸体,包括 Robert Piest 在内的其余 5 名被害者,则因为家中再没空位而被抛入河中弃尸。 身型肥胖的他,在以瘦为主的连环杀手界确是较为罕见的。至于杀人的原因,他自称是出于对同性恋的憎恨,但其实被害者中大部分也是异性恋者。对于这种指控,他并不认同。“当我强奸了他们,一切便已足够。他们要为进行过同性恋的性行为而死!” -------------------------------------------------------------------------------------------------------------------
9 恶魔的首席门徒
 恶魔的首席门徒--Richard Ramirez
姓名∶Richard Ramirez 外号∶“夜间狙击者”(The Night Stalker)、“恶魔的门徒”(Devil's Disciple) 出生日期∶1960 年 2 月 28 日 现况∶生存,在 San Quentin 监狱等候执行死刑 杀人数目∶最少 19 人,真实数目不详 杀人方法∶没有特定 犯案地点∶美国西岸洛杉矶 (Los Angeles) 和三藩市 (San Fransisco) 杀人时期:1984 年 6 月至 1985 年 8 月 31日 定罪日期∶1989 年 恶行简评∶在 1984 年至 1985 年的一年里,洛杉矶和三藩市都被一片恐怖的气氛所笼罩,一切也是因为一名神秘的连环杀手所致。他喜欢偷偷在晚上潜入别人的家中,然后把成年的男性射杀或扼死,再把女性和小孩暴力强*、杀害再肢解,在完事后则下他的标志--一个倒转的五角星,在墙上、在镜子上,甚至在死者身上。由于他跟其他连环杀手不同,既无特定的杀手方式(射杀、用棒打死、割喉、赤手空拳打死和扼死等都试过),亦非针对某一特别类型的人(被害者年龄由几岁到 70 岁,各行各业都有),毫无线索下令警方对这名无差别杀人犯束手无策,有些市民更相信他有恶魔的超能力。 整件案子的转捩点在于警方找到一辆相信是这个杀手用来载猎物到郊外的车子(他也喜欢把小孩带到郊外再猎杀),并在车上找到属于一名少年积犯--Richard Ramirez 的指纹。虽然警方立即把他的照片发放给传媒,但这名嚣张凶残、目空一切的杀人狂,却要等到 1985 年 8 月才被捕,当时他正在洛杉矶的郊外,试图把一个女人拉出车外,却被她的丈夫反击阻止,接着更遭围观的人认出他就是那杀人魔,惨被痛殴一顿才交到警方手上。他到了被判死刑那一刻还维持一贯的自大跋扈,“死刑?好可怕呢!想吓死我吗?人终归一死。各位迪士尼乐园再见!” -------------------------------------------------------------------------------------------------------------------
10 约克郡屠夫
 现世重生的开膛手杰克--Peter Sutcliffe 姓名∶Peter William Sutcliffe 外号∶“约克郡屠夫”(The Yorkshire Ripper) 出生日期∶1942 年 6 月 2 日 现况∶生存,于 Broadmoor 医院终生监禁 杀人数目∶13 人 杀人方法∶以锤重击头部 犯案地点∶英国中部列斯 (Leeds)、巴拉福特 (Bradford)、亨打士菲特(Huddersfield) 和曼彻斯特 (Manchester) 杀人时期∶1975 年 10 月 30 至 1980 年 11 月 17 日 定罪日期∶1981 年 5 月 22 日 恶行实录∶如果世界上真的有轮回的话,那么 Peter Sutcliffe 的前世肯定是“开膛手杰克”。事实上他们有非常多相似的地方∶他们都憎恨*女,因此只针对她们进行疯狂大屠杀。他们的杀人方式都非常残忍,“开膛手杰克”喜欢割开猎物的身体,“约克郡屠夫”则更甚,他会先以铁锤猛敲猎物的头部,再用锋利的螺丝刀狂插被害者的胸部和腹部,之后再施以拳打脚踢。如果你想更具体感受他的残暴,可以看看首名死者的验尸报告∶头部两处明显由铁锤造成的凹痕、50 多处由螺丝刀造成的伤痕和无数被殴打脚踢的伤痕。 但是和“开膛手杰克”不同,他最终落了网。其实警方应该一早就可以推断出是他,因为几位曾遭杀害的人曾被奇迹救回,并提供了证供,其次是有两件很关键的事实∶第一,他年少时曾因藏有大铁锤被捕;第二,警方在其中一名死者身上找到一张凶手喜欢在杀人后塞进尸体手中的 5 元英镑,这张编号 AW 51 121565 的英镑并不是普通的英镑,而是某间银行特别只发行一次的限量版钞票,经特定的公司发放给予员工,全英不多于 6,000 人拥有,他正是其中之一。可是经过 5 次问话,他仍然享有他的自由--包括杀人的自由。被害者人数不断增加,直至 1980 年,警方在他挂上了假车牌的车上,找到螺丝刀和锤子,才惊觉“约克郡屠夫”近在眼前,他才在警署经过长时间盘问下承认所有恶行。 世界十大恐怖电影《驱魔人》(1977)
 导演:威廉姆·弗莱金 改编自William Batty的小说。故事一开始位于伊朗的一个考古现场,在那儿发生了许多怪异的事。Merrin神甫的直觉告诉他:黑暗的君主想要重回大地,一场大战不可避免,问题只在于:它将在哪儿发生。。。。。。镜头一转来到了华盛顿。Regan MacNiel是一个十二岁的孩子,他心爱的玩具是一个占卜板。通过游戏,她认识了一个朋友---Howdy。接着,奇怪的事在MacNiel家发生了,Regan变的精神不正常。经过一番痛苦的测试后,他们认识到Regan已不是她自己,全美国的医生对此都束手无策,直到一个医生推荐了驱魔人Karras。 善神,恶神和魔鬼,到底谁是最后的胜利者,影片自有分晓。 这是一部经典恐怖片,曾经风靡一时。影片有着真实的效果和可怕的气氛,这无疑使本片在任何时候都是一部引人入胜的佳作。本片获得十项学院奖提名(赢得了最佳改编剧本和最佳音效)和四项金球奖(最佳导演,最佳影片,最佳音效和最佳女配角)。 这部影片描写恶魔撒旦附身于12岁女孩,在人间大开杀戒。成年人念念不忘。当时美国正逢越战失败与水门事件,所以美国人都笼罩在失望、受骗、悲观的氛围中,此片宣扬的恐怖神秘主义无疑是一帖心灵创伤的麻醉剂。由于过于恐怖,多人观看时晕倒。 ------------------------------------------------------------------------------------------------------------------- 《德州电锯杀人狂》(1974)  导演:托伯·霍善 塞利和他的四个朋友一起去拜访祖父的墓地,在路上,他们载了一个搭车客,没想到这人却突然发了疯,塞利一伙只好扔下他继续走。最后他们来到了塞利曾经住过的房子,不幸的是,那个搭车客正在那儿等着他们,一场屠杀开始了。 《德州电锯杀人狂》故事原型出自1957年美国杀人狂、威斯康辛州普兰菲尔德镇的艾德·盖恩(Ed Gein)。以艾德·盖恩事件为题材的影片早已层出不穷,尤其是他以人皮缝制“皮脸”的残忍手段,在众多恐怖片中被描绘得淋漓尽致,就连《沉默的羔羊》也深受影响。它被认为同《活死人之夜》和 《驱魔人》一起开创了现代恐怖片的新时代。但影片中有着太多的暴力和血腥,这使的影片一直以来备受争议。 ------------------------------------------------------------------------------------------------------------------
《活死人之夜》(1968)  导演:乔治·罗梅罗 一颗坠落的人造卫星发出的放射线使死人复活了,他们从坟墓中爬起来,寻找活人作食物。附近的人们为了逃生,躲到了一个农场的房子里。他们心惊胆战,外面就是那些冷漠无情的幽灵——摇摇晃晃,一步步接近——要想杀死他们。而只有击打他们的头部才能将他们彻底消灭…… 这部低成本的黑白电影长90分钟,在匹兹堡拍摄,惊险恐怖,摄人心魄,现在看来仍然和当年一样犹如经历了一场噩梦。导演乔治·罗梅罗因为这部影片确立了他的恐怖片大师地位。 如果你曾经看过《活死人之夜》这部电影,你就会走近那种特殊的恐怖意境:所有人都认为已经死掉了的计划和建议不断从坟墓中爬出来,摇摇晃晃重新走进回忆当中,吃掉活人的大脑。 ------------------------------------------------------------------------------------------------------------------- 《万圣节前夜》(又名月光光心慌慌)(1978)
 导演:约翰·卡普特 1963年的万圣节。小镇哈登菲尔德的一个6岁男孩麦克尔·麦尔斯用一把菜刀杀死了他的姐姐,当他的父母发现他时,他正手攥着那把血淋淋的杀人凶器直瞪瞪的望着天空。麦克尔·麦尔斯被送到了精神病院。尽管医生萨缪尔·路米斯做了最大的努力,但他还只是坐着,仍旧眼瞪着天空,这样持续了15年。 1978年12月30日,似乎有种神奇的力量在驱使麦克尔离开那里。在暴风雨中他偷了萨缪尔·路米斯医生和玛瑞恩护士的车,返回哈登菲尔德小镇并在那偷了个白色的面具。一房地产经纪人的女儿和学生劳瑞·斯托德发现,不知是什么原因麦克尔一整天都在谈论她,可她并不认识他。当路米斯医生和警长疯狂的到处寻找麦克尔时,他不知道劳瑞正在照顾小孩琳德西和汤米,而且劳瑞的朋友安妮,琳达和鲍勃一个一个的失踪…… 导演约翰。卡普特。描写万圣节前夜,冷酷的面具杀手。这部系列片在11年里共拍了5集,一部比一部血腥。 ------------------------------------------------------------------------------------------------------------------- 《闪灵》(1980)  导演:斯坦利·库布里奇 杰克·托伦斯 (杰克·尼科尔森)是一名作家,为了摆脱工作上的失意,他决定接管一家奢华的山间饭店。那是一间座落偏僻,处处露着阴森之气的大屋,据说它的前一任管理者曾莫名地丧失了理智,并杀害了他的全家。杰克却没有把它当作一回事儿,他只想找一个清幽的地方专心写作。于是,他不顾朋友丹尼 (丹尼·劳埃德)的劝告,和妻子温蒂 (希莉·杜瓦)一起搬了这幢饭店。他们制订了新的规矩,杰克还专门设立了一个供自己创作的休息室。然而,诡异渐渐地从平静的表面浮现出来。杰克开始经常出入饭店的酒吧,寻找有关自己的过去,回忆脑海里那些血淋淋的画面;反常的事情终于无可避免地发生了…… 这部由斯坦利·库布里奇执导并根据史帝芬·金的畅销恐怖小说改编成的影片被许多金的书迷认为过于睿智,但是正是由于它的睿智使得该片成为具有非凡心理攻势的恐怖电影。库布里奇带着我们大家进行了一场颠簸离奇的旅行,进入了一个小说家(由杰克·尼可尔森饰演)疯狂的内心世界。主人公和他的妻子儿子居住的空旷荒芜,被大雪所困的旅店,那围绕在旅店四周沉重怪诞的寂静使观众颇有患了幽闭恐怖症般的迷惘怅然。为了更加淋漓尽致的刻画剧情,库布里奇无情的将一个外表斯文的男子堕落成一个禽兽般的野蛮人。 -------------------------------------------------------------------------------------------------------------------
《怪谈》(1965)  导演:小林正树 其实,所谓《怪谈》,就是中国人说的聊斋故事。影片由四个鬼故事串成。我尤其欣赏〈雪女〉和〈没有耳朵的芳一〉。〈雪女〉的布景美得出奇,犹如一册浮世绘画本,浓艳、夸张。那抹在苍穹上的眼睛,几欲滴睛油彩;而末尾,雪女遁去时天上的太阳,也充盈着招魂的神秘气息。〈没有耳朵的芳一〉则为我们展现了日本的雅乐遗风。芳一手下的琵琶,嘈嘈切切,大写意了古战场的惨烈与悲壮。该片的配乐是赫赫有句的日本现代音乐大师武满彻,他为整部影片加重了氛围元素。 很小心地拿着黑泽明和小林正树作了比较,发现前者骨子里是西方式的思维。人道主义和荒诞的主题成为了萨特的注脚 。一向不喜欢电影里的说教气,可黑泽明就喜欢给故事拉郎配似地硬加上鲜明的主旨,司马昭之心路人皆知,充其量不过是日本的张艺谋罢了。可小林正树在表达传统主题题材上,浑然天成。完全展示了一派未被西方理性污染的东方智慧。几个鬼故事叙述得零零落落,描述性成份大大超过叙事。他给观众一双观察的眼睛,自己去体会虚无缥缈的故事中的禅机,而不是暴力式地引导观众按导演的思路去撬开现象,探究本质。 -------------------------------------------------------------------------------------------------------------------
《吸血鬼诺斯费拉杜》(1922)  导演:F·W·茂瑙 吸血鬼的故事是电影史上被改编过最多次数的题材,连不少木乃伊故事都是取材于布拉姆·斯多克的小说《德拉库拉》。其中,最梦魇般的吸血鬼形象来自20年代的德国。1922年德国摄制的默片《吸血鬼诺斯费拉杜》,著名导演茂瑙用大量的广角镜头对吸血鬼进行仰拍,当高大的驼背诺斯费拉杜乘船抵达时,他在凌厉的天空下,伸着镰刀似的手,耳朵竖着,眼睛瞪着,从银幕上直接扑向观众,因此当年看完电影的观众很多都不敢回家了。 此片是德国早期表现主义电影的重要作品。影片在荒凉的古堡外开拍,吸血鬼的形容枯槁、眼眶深凹、牙齿暴凸、肩耸背弯尖耳的模样,真实的程度远超过想象,而那彷佛洞悉一切却又带点畏缩的阴沉眼神、那细瘦尖长的手指与长指甲、那猥琐又具有侵略性的体型姿态,更让见到他的人都忍不住打起寒颤来。 ------------------------------------------------------------------------------------------------------------------- 《尸变》(1983)  导演:塞姆·莱米 五个大学生相约到田纳西州的森林里去探险,在森林里他们找到了一间孤零零的小屋,打算在里面度过周末,但不幸的是我们的主人公找到了一盘录音带和一本书---死亡之书。当他们播放那盘录音带时,恶魔的诅咒传了出来,通向地狱的大门打开了。而那本浸透了人血的死亡之书描述了如何唤醒邪恶灵魂的古代仪式。于是,那些可怜的学生就一个个的被控制,变成了可怕的恶魔。而幸存者们唯一能做的就是对昔日的朋友痛下杀手。谁将被恶魔控制,又有谁能活着度过这恐怖的夜晚? 这部电影不光是全部都是赤裸裸的令人呕吐的血腥镜头,它所营造的恐怖场面和氛围也堪称一流,可以说从影片一开始就就让你精神高度集中及紧张,还有很多镜头运动的手法也是影片用来营造恐怖气氛的一个关键因素,在片中镜头有时似乎变成了魔鬼的眼睛,随着它的身体在移动。 电影拍摄时导演塞姆还是一个高中生,他和他的几个高中同学从投资商手中筹集了大约37万美元,耗时三个月拍摄了这部电影,最初定名为"死亡之书"。通过对尸体千变万化后变成魔鬼玩弄人的描述,将一幕幕毛骨悚然的场面充斥在你的眼前。本片无论是拍摄手法还是场景制作都堪称一流,无不显示了导演的鬼才。 ------------------------------------------------------------------------------------------------------------------- 《阴风阵阵》(1977)  导演:达里奥·阿金图 意大利恐怖片大师达里奥·阿金图(Dario Argento)的最著名作品。这是一部风格非常独特的影片,被称为是电影史上最优雅的恐怖片。一位美国少女来到欧洲的一所芭蕾舞学校,迎接她的是一连串的谋杀。意大利大师对音乐、迷离的光线、以及镜头的运用给观众带来了前所未有的全新体验。 只要挺过头十分钟你就会象在家里一样平安无事。影片中利刃刺入被害者跳动的心脏的特写被人们一致认为是最恶毒的谋杀场景。达里奥·阿金图不同于其它导演。他的作品总是能捉住观众的目光,再趁观众疏于防备时,出其不意地震摄全场。这个手法,使他成为电影界独树一格的人物。 ------------------------------------------------------------------------------------------------------------------- 《精神病患者》(1960)  导演:希区柯克 该片可以算是所有现代恐怖片之母了,有多少观众被片中的变态杀手和那场脍炙人口的浴室杀人戏吓得不敢一个人洗澡。光浴室谋杀短短一分多钟一场戏,就有接达50多次,那浴帘外闪烁的人影,女主角惊恐的眼神,挥舞的匕首,黑色的血液,花花的流水,这些经典的镜头没有一点现代恐怖片的以恶心,音响取胜之处,却牢牢的抓住观众内心的恐怖情结,成为了影史上的典范。用他自己的话说,他对人生抱着一种奇怪的恐怖感。他认为,骇人的东西不仅潜伏在阴影里或者潜伏在只身独处的时候,有时,当我们和正派、友好的人在一起时,也会感到十分孤独、险象环生和孤立无援。 与现代的恐怖片不同,希区柯克的影片更可以称其为惊愫片,没有妖魔鬼怪,所有的恐怖都在人与人之间存在和发生着,而且影片没有半点血流成河,扭曲变形等令人作呕的画面,完全是以其精巧的情节安排,演员卓越的发挥,还有希区柯克影片独特的五六十年代的音乐配乐形成了希氏招牌 March 13 HiJackThis v2.0绿色汉化版HijackThis日志详解
日志项纵览 R0,R1,R2,R3 Internet Explorer(IE)的默认起始主页和默认搜索页的改变 F0,F1,F2,F3 ini文件中的自动加载程序 N1,N2,N3,N4 Netscape/Mozilla 的默认起始主页和默认搜索页的改变 O1 Hosts文件重定向 O2 Browser Helper Objects(BHO,浏览器辅助模块) O3 IE浏览器的工具条 O4 自启动项 O5 控制面板中被屏蔽的IE选项 O6 IE选项被管理员禁用 O7 注册表编辑器(regedit)被管理员禁用 O8 IE的右键菜单中的新增项目 O9 额外的IE“工具”菜单项目及工具栏按钮 O10 Winsock LSP“浏览器绑架” O11 IE的高级选项中的新项目 O12 IE插件 O13 对IE默认的URL前缀的修改 O14 对“重置WEB设置”的修改 O15 “受信任的站点”中的不速之客 O16 Downloaded Program Files目录下的那些ActiveX对象 O17 域“劫持” O18 额外的协议和协议“劫持” O19 用户样式表(stylesheet)“劫持” O20 注册表键值AppInit_DLLs处的自启动项 O21 注册表键ShellServiceObjectDelayLoad处的自启动项 O22 注册表键SharedTaskScheduler处的自启动项 O23 加载的系统服务组别——R 1. 项目说明 R –注册表中Internet Explorer(IE)的默认起始主页和默认搜索页的改变 R0 - 注册表中IE主页/搜索页默认键值的改变 R1 - 新建的注册表值(V),或称为键值,可能导致IE主页/搜索页的改变 R2 - 新建的注册表项(K),或称为键,可能导致IE主页/搜索页的改变 R3 - 在本来应该只有一个键值的地方新建的额外键值,可能导致IE搜索页的改变 R3主要出现在URLSearchHooks这一项目上,当我们在IE中输入错误的网址后,浏览器会试图在注册表中这一项列出的位置找到进一步查询的线索。正常情况下,当我们在IE中输入错误的网址后,浏览器会使用默认的搜索引擎(如http://search.msn.com/、网络实名等)来查找匹配项目。如果HijackThis报告R3项,相关的“浏览器绑架”现象可能是:当在IE中输入错误的网址后,被带到某个莫名其妙的搜索网站甚至其它网页。 2. 举例 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/ (HKCU就是HKEY_CURRENT_USER,HKLM就是HKEY_LOCAL_MACHINE,下同)上面的例子中,默认主页被改变,指向了新的地址http://www.google.com/。 R3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\BDSRHOOK.DLL 这是百度搜索 R3 - URLSearchHook: CnsHook Class - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CNSHOOK.DLL 这是3721网络实名 R3 - Default URLSearchHook is missing 这是报告发现一个错误(默认的URLSearchHook丢失)。此错误可以用HijackThis修复。 3. 一般建议对于R0、R1,如果您认得后面的网址,知道它是安全的,甚至那就是您自己这样设置的,当然不用去修复。否则的话,在那一行前面打勾,然后按“Fix checked”,让HijackThis修复它。对于R2项,据HijackThis的作者说,实际上现在还没有用到。对于R3,一般总是要选修复,除非它指向一个您认识的程序(比如百度搜索和3721网络实名)。 4. 疑难解析 (1) 偶尔,在这一组的某些项目后面会出现一个特殊的词——(obfuscated),例如下面几个 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ls0.net/home.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://4-v.net/srchasst.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://4-v.net/srchasst.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://ls0.net/srchasst.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com\0@www.e-finder.cc/search/ (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com\0@www.e-finder.cc/search/ (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com\0@www.e-finder.cc/search/ (obfuscated) obfuscated,中文大意为“使混乱,使糊涂迷惑,使过于混乱或模糊,使得难于感觉或理解”。这里主要是最后一个意义。这些被HijackThis标为obfuscated的项目在对IE主页/搜索页进行修改的同时,还利用各种方法把自己变得不易理解,以躲避人们对注册表内容的查找辨识(比如直接在注册表特定位置添加十六进制字符键值,电脑认得它,一般人可就不认得了)。 (2) 有些R3项目{ }号后面,会跟上一个下划线( _ ),比如下面几个: R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972}_ - (no file) R3 - URLSearchHook: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310}_ - (no file) R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ - (no file) 这些{ }后面多一个下划线的R3项目,实际上无法使用HijackThis修复(这是HijackThis本身的一个bug)。如果要修复这样的项目,需要打开注册表编辑器(开始——运行——输入 regedit——按“确定”),找到下面的键 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks 对比HijackThis的扫描日志中那些R3项的CLSID——就是{ }号中的数字——删除想要删除的项目,但要注意不要误删以下一项 CFBFAE00-17A6-11D0-99CB-00C04FD64497 这一项是默认的。请注意,如果是在{ }号前面有一个下划线,这些项目HijackThis可以正常清除。比如下面的: R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file) R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) R3 - URLSearchHook: (no name) - _{707E6F76-9FFB-4920-A976-EA101271BC25} - (no file) R3 - URLSearchHook: (no name) - _{8952A998-1E7E-4716-B23D-3DBE03910972} - (no file) R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file) R3 - URLSearchHook: (no name) - _{4FC95EDD-4796-4966-9049-29649C80111D} - (no file) (3)最近见到不少后面没有内容的R3项。比如 R3 - URLSearchHook: 怀疑这是3721的项目,如果您安装了3721,则会出现这样一个R3项。使用HijackThis无法修复这一项。是否使用3721决定权在用户自己。 ** 特别提醒:如果您在HijackThis的扫描日志中发现了F2项并进行了修复,一旦因为某些原因想要反悔,请“不要”使用HijackThis的恢复功能来取消对F2项目的修改(我指的是config菜单——Backups菜单——Restore功能),因为据报告HijackThis在恢复对F2项的修改时,可能会错误地修改注册表中另一个键值。此bug已被反映给HijackThis的作者。此bug涉及的注册表键值是 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:UserInit 一旦对上面键值相关的F2项使用HijackThis修复后再使用HijackThis的恢复功能恢复对这一项的修改,可能会错误修改另一个键值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:Shell 所以,如果您在HijackThis的扫描日志中发现了类似下面的F2项并进行了修复,一旦因为某些原因想要反悔,请手动修改上面提到的UserInit键值(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:UserInit) F2 - REG:-System.ini: UserInit=C:\WINDOWS\System32\Userinit.exe F2 - REG:-System.ini: UserInit=C:\Windows\System32\wsaupdater.exe, 不过,说实话,在我的记忆中我从没有处理过含有F2项的HijackThis扫描日志。组别——F 1. 项目说明 F - ini文件中的自动运行程序或者注册表中的等价项目 F0 - ini文件中改变的值,system.ini中启动的自动运行程序 F1 - ini文件中新建的值,win.ini中启动的自动运行程序 F2 - 注册表中system.ini文件映射区中启动的自动运行程序或注册表中UserInit项后面启动的其它程序 F3 - 注册表中win.ini文件映射区中启动的自动运行程序 F0和F1分别对应system.ini和win.ini文件中启动的自动运行程序。 F0对应在System.ini文件中“Shell=”这一项(没有引号)后面启动的额外程序。在Windows 9X中,System.ini里面这一项应该是 Shell=explorer.exe 这一项指明使用explorer.exe作为整个操作系统的“壳”,来处理用户的操作。这是默认的。如果在explorer.exe后面加上其它程序名,该程序在启动Windows时也会被执行,这是木马启动的方式之一(比较传统的启动方式之一)。比如 Shell=explorer.exe trojan.exe 这样就可以使得trojan.exe在启动Windows时也被自动执行。 F1对应在win.ini文件中“Run=”或“Load=”项(均没有引号)后面启动的程序。这些程序也会在启动Windows时自动执行。通常,“Run=”用来启动一些老的程序以保持兼容性,而“Load=”用来加载某些硬件驱动。 F2和F3项分别对应F0和F1项在注册表中的“映像”。在Windows NT、2000、XP中,通常不使用上面提到的system.ini和win.ini文件,它们使用一种称作IniFileMapping(ini文件映射)的方式,把这些ini文件的内容完全放在注册表里。程序要求这些ini文件中的相关信息时,Windows会先到注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping这里查找需要的内容,而不是去找那些ini文件。F2/F3其实和F0/F1相类似,只不过它们指向注册表里的ini映像。另外有一点不同的是,F2项中还报告下面键值处额外启动的程序 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit 此处默认的键值是(注意后面有个逗号) C:\WINDOWS\system32\userinit.exe, (根据您的Windows版本和安装目录的不同,路径里的“C”和“windows”可能不尽相同,总之这里默认指向%System%\userinit.exe %System%指的是系统文件目录对于NT、2000,该键值默认为X:\WINNT\system32\userinit.exe 对于XP,该键值默认为X:\WINDOWS\system32\userinit.exe 这里的X指的是Windows安装到的盘的盘符。此问题后面不再重复解释了。)这个键值是Windows NT、2000、XP等用来在用户登录后加载该用户相关信息的。如果在这里添加其它程序(在该键值中userinit.exe后的逗号后面可以添加其它程序),这些程序在用户登录后也会被执行。比如将其键值改为 C:\windows\system32\userinit.exe,c:\windows\trojan.exe 则c:\windows\trojan.exe这个程序也会在用户登录后自动执行。这也是木马等启动的方式之一。总之,F项相关的文件包括 c:\windows\system.ini c:\windows\win.ini (根据您的Windows版本和安装目录的不同,路径里的“C”和“windows”可能不尽相同,总之这里指的是%windows%目录下的这两个ini文件 %Windows%目录指的是Windows安装目录对于NT、2000,Windows安装目录为X:\WINNT\ 对于XP,Windows安装目录为X:\WINDOWS\ 这里的X指的是Windows安装到的盘的盘符。此问题后面不再重复解释了。) F项相关的注册表项目包括 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping 2. 举例 F0 - system.ini: Shell=Explorer.exe trojan.exe 上面的例子中,在system.ini文件中,默认的Shell=Explorer.exe后面又启动了一个trojan.exe,这个trojan.exe十分可疑。 F1 - win.ini: run=hpfsched 上面的例子中,在win.ini文件中,启动了hpfsched这个程序,需要分析。 F2 - REG:-System.ini: UserInit=userinit,trojan.exe 上面的例子中,UserInit项(说明见上)中额外启动了trojan.exe F2 - REG:-System.ini: Shell=explorer.exe trojan.exe 上面的例子其实相当于第一个例子F0 - system.ini: Shell=Explorer.exe trojan.exe,在注册表中的system.ini文件“映像”中,额外启动了trojan.exe。 3. 一般建议基本上,F0提示的Explorer.exe后面的程序总是有问题的,一般应该修复。 F1后面的需要慎重对待,一些老的程序的确要在这里加载。所以应该仔细看看加载的程序的名字,在电脑上查一下,网上搜一搜,具体问题具体分析。对于F2项,如果是关于“Shell=”的,相当于F0的情况,一般应该修复。如果是关于“UserInit=”的,除了下面的“疑难解析”中提到的几种情况另作分析外,一般也建议修复。但要注意,一旦修复了关于“UserInit=”的F2项,请不要使用HijackThis的恢复功能恢复对这一项的修改,这一点上面着重提到了。当然,您也可以利用“UserInit=”自己设置一些软件开机自启动,这是题外话了,相信如果是您自己设置的,您一定不会误删的。 4. 疑难解析 (1) F2 - REG:-System.ini: UserInit=C:\WINDOWS\System32\Userinit.exe 注意到这一项与默认情况的区别了吗?其实,这一项之所以被HijackThis报告出来,是因为丢失了键值最后的一个逗号。但这并不是真正的问题,可以不予理会。 (2) F2 - REG:-System.ini: UserInit=userinit,nddeagnt.exe nddeagnt.exe是Network Dynamic Data Exchange Agent,这一项出现在userinit后面也是正常的。 (3) F2 - REG:-System.ini: UserInit=C:\Windows\System32\wsaupdater.exe, 这一个比较特别,这是广告程序BlazeFind干的好事,这个广告程序修改注册表时不是把自己的wsaupdater.exe放在userinit的后面,而是直接用wsaupdater.exe替换了userinit.exe,使得注册表这一项 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit 的键值从默认的 C:\WINDOWS\system32\userinit.exe, 变为 C:\Windows\System32\wsaupdater.exe, 如果您使用Ad-aware 6 Build 181清除该广告程序,重启动后可能会造成用户无法登录系统。这时需要使用光盘或者软盘启动,将userinit.exe复制一份,命名为wsaupdater.exe放在同一目录下,以使得系统能够正常登录,然后将上面所述的注册表中被广告程序修改的键值恢复默认值,再删除wsaupdater.exe文件。该问题存在于Ad-aware 6 Build 181,据我所知,HijackThis可以正常修复这一项。具体信息清参考 http://www.lavahelp.com/articles/v6/04/06/0901.html 组别——N 1. 项目说明 N - Netscape、Mozilla浏览器的默认起始主页和默认搜索页的改变 N1 - Netscape 4.x中,浏览器的默认起始主页和默认搜索页的改变 N2 - Netscape 6中,浏览器的默认起始主页和默认搜索页的改变 N3 - Netscape 7中,浏览器的默认起始主页和默认搜索页的改变 N4 - Mozilla中,浏览器的默认起始主页和默认搜索页的改变与这些改变相关的文件为prefs.js。 2. 举例 N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js) N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js) N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C:\Program Files\Netscape 6\searchplugins\SBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js) 3. 一般建议一般来说,Netscape和Mozilla的默认起始主页和默认搜索页是比较安全的,很少被修改。如果你在默认起始主页或默认搜索页看到了一个陌生的地址,可以修复它。已知,Lop.com(Live Online Portal)这个网站会修改上述N类项。有兴趣者请参考此链接提供的详细信息 http://www.doxdesk.com/parasite/lop.html 组别——O (字母O,代表Other即“其它”类,以下各组同属O类) 1. 项目说明 O1代表在hosts文件中对某个网址与IP地址的映射。在浏览器中输入网址时,浏览器会先检查hosts文件中是否存在该网址的映射,如果有,则直接连接到相应IP地址,不再请求DNS域名解析。这个方法可以用来加快浏览速度,也可能被木马等恶意程序用来打开某些网址、屏蔽某些网址。这个hosts文件在系统中的通常位置为 C:\WINDOWS\HOSTS (Windows 3.1、95、98、Me)或 C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS (Windows NT、2000)或 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS (XP、2003)注意,没有扩展名。该文件的一般格式类似 219.238.233.202 www.rising.com.cn 注意,IP地址在前,空格后为网址,下一个映射另起一行。(若有#,则#后的部分作为注释,不起作用。)上面的例子中,瑞星的主页www.rising.com.cn和IP地址219.238.233.202在hosts文件中互相关联起来,一旦用户要访问www.rising.com.cn,浏览器根据hosts文件中的内容,会直接连接219.238.233.202。在这个例子中,这个219.238.233.202实际上正是瑞星主页的IP地址,所以这样做加快了访问速度(省掉了DNS域名解析这一步),在好几年前,这是一个比较常用的加快浏览的方法(那时上网费用高、小猫跑得又慢),现在这个方法用得少了。而且,这个方法有个缺陷,那就是,一旦想要浏览的网站的IP地址变动了,就不能正常浏览该网站了,必须再次改动hosts文件。这个hosts文件也可以被木马、恶意网站等利用,它们修改hosts文件,建立一些错误的映射。比如把著名的反病毒软件的网站定向到无关网站、恶意网站或干脆定向到127.0.0.1(127.0.0.1就是指您自己的电脑),那么您就打不开那些反病毒软件的网站,清除木马等恶意程序就更加困难,甚至连杀毒软件都不能正常升级。它们还可以把一些常被访问的网站(比如google等)指向其它一些网站的IP地址,增加后者的访问量。当然,也可以直接用此方法重定向浏览器的搜索页。 2. 举例 O1 - Hosts: 216.177.73.139 auto.search.msn.com O1 - Hosts: 216.177.73.139 search.netscape.com O1 - Hosts: 216.177.73.139 ieautosearch 在上面的例子中,默认搜索页(auto.search.msn.com、search.netscape.com、ieautosearch是不同情况下的默认搜索页)被指向了216.177.73.139这个IP地址。造成每次使用浏览器的搜索功能,都被带到216.177.73.139这个地方。下面是XP的原始Hosts文件的内容 # Copyright (C) 1993-1999 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a `#` symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host 127.0.0.1 localhost 所有以#开始的行都是注释内容,不起作用。最后一行指明本地主机(localhost)的IP地址为127.0.0.1(这是默认的)。 3. 一般建议 HijackThis报告O1项时,一般建议修复它,除非是您自己在Hosts文件中如此设置的。 4. 疑难解析 O1 - Hosts file is located at C:\Windows\Help\hosts 如果发现hosts文件出现在C:\Windows\Help\这样的文件夹中,那么很可能感染了CoolWebSearch(跟上面提到的Lop.com一样著名的恶意网站家族),应该使用HijackThis修复相关项。当然,别忘了还有CoolWebSearch的专杀——CoolWebSearch Shredder (CWShredder.exe)。组别——O2 1. 项目说明 O2项列举现有的IE浏览器的BHO模块。BHO,即Browser Helper Objects,指的是浏览器的辅助模块(或称辅助对象),这是一些扩充浏览器功能的小插件。这里面鱼龙混杂,诺顿杀毒、goolge等都可能出现在这里,而这里也是一些间谍软件常出没的地方。 2. 举例: O2 - BHO: (no name) - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\Net Transport\NTIEHelper.dll 这是影音传送带(Net Transport)的模块。 O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL 这是网际快车(FlashGet)的模块。 O2 - BHO: (no name) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL 这是百度搜索的模块。 O2 - BHO: (no name) - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL 这是3721上网助手的模块。 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx 这是Adobe Acrobat Reader(用来处理PDF文件)的模块。 O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar1.dll 这是Google工具条的模块。 3. 一般建议可能的O2项实在太多了,此处无法一一列举。网上有一些很好的BHO列表,大家可以在里面查询相关的项目信息。相关资料查询地址举例: http://www.sysinfo.org/bholist.php http://www.spywareinfo.com/bhos/ http://computercops.biz/CLSID.html 建议使用CLSID(就是“{ }”之间的数字)来查找相关项。通常,在以上网址的查询结果中,标记为L的是合法的模块,标记为X的是间谍/广告模块,标记为O的为暂时无结论的。修复前请仔细分析,看看是否认得这个东西的名字,看看它所在的路径,不能一概而论。最好进一步查询相关资料,千万不要随意修复。对于标记为X的恶意模块,一般建议修复。 4. 疑难解析 HijackThis修复O2项时,会删除相关文件。但对于某些O2项,虽然选择了让HijackThis修复,下次扫描时却还在。出现此情况时,请先确保使用HijackThis修复时已经关闭了所有浏览器窗口和文件夹窗口。如果还不行,建议重新启动到安全模式直接删除该文件。有时,会遇到一个如下的项目(后面没内容) O2 - BHO: 总是删不掉,怀疑这是3721的项目,如果您安装了3721,则会出现这样一个O2项。使用HijackThis无法修复这一项。是否使用3721决定权在用户自己。组别——O3 1. 项目说明 O3项列举现有的IE浏览器的工具条(ToolBar,简写为TB)。注意,这里列出的是工具条,一般是包含多个项目的那种。除了IE自带的一些工具条外,其它软件也会安装一些工具条,这些工具条通常出现在IE自己的工具条和地址栏的下面。HijackThis在O3项中把它们列出来。其相关注册表项目为 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar 2. 举例 O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX 这是Windows Media Player 2 ActiveX Control,媒体播放器的ActiveX控制项。 O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRAM FILES\FLASHGET\FGIEBAR.DLL 这是网际快车(FlashGet)的IE工具条。 O3 - Toolbar: ????? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:\Program Files\KAV5\KAIEPlus.DLL O3 - Toolbar: ????? - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:\KAV2003\KAIEPLUS.DLL O3 - Toolbar: ????? - {1DF2E6C2-21E1-4CB7-B0C0-A0121B539C2D} - C:\KAV2003\KIETOOL.DLL 上面三个是金山毒霸的IE工具条。 O3 - Toolbar: ????? - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} C:\PROGRA~1\KINGSOFT\FASTAIT\IEBAND.DLL 这个是金山快译的IE工具条。 O3 - Toolbar: ????? - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - C:\PROGRAM FILES\3721\ASSIST\ASSIST.DLL 3721上网助手的IE工具条。 O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll 这个是google的IE工具条。 O3 - Toolbar: Norton Antivirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Antivirus\NavShExt.dll 这个是诺顿杀毒软件的工具条。 3. 一般建议同O2,这个也必须仔细分析,看看是否认得这个东西的名字,看看它在IE的工具栏是什么(有一些可能安装了但没有显示,在IE的工具栏点右键可以看到一些),看看它所在的路径,不能一概而论。可以进一步查询相关资料,千万不要随意修复。这里推荐一些好的查询地址 http://www.sysinfo.org/bholist.php http://www.spywareinfo.com/toolbars/ http://computercops.biz/CLSID.html 建议使用CLSID(就是“{ }”之间的数字)来查找相关项。通常,在以上网址的查询结果中,标记为L的是合法的模块,标记为X的是间谍/广告模块,标记为O的为暂时无结论的。对于标记为X的,一般建议修复。 4. 疑难解析如果在资料查询列表中找不到,其名称又似乎是随机的,而路径则在“Application Data”下,一般是感染了著名的Lop.com,建议修复。如 O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL 关于Lop.com的详细信息及手工修复方法,请参阅 http://www.doxdesk.com/parasite/lop.html 组别——O4 1. 项目说明这里列出的就是平常大家提到的一般意义上的自启动程序。确切地说,这里列出的是注册表下面诸键启动的程序。 HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 注意HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit这一项虽然也可以启动程序,但已经在F2项报告过了。另外,O4项还报告两种情况,即“Startup:”和“Global Startup:”,在我的印象里 Startup: 相当于文件夹c:\documents and settings\USERNAME\ 下的内容(USERNAME指您的用户名) Global Startup: 相当于文件夹c:\documents and settings\All Users\ 下的内容注意,其它存放在这两个文件夹的文件也会被报告。我觉得,其实,“启动”文件夹应该被报告,就是 Startup: 报告c:\documents and settings\USERNAME\start menu\programs\startup 下的内容 Global Startup: 报告c:\documents and settings\All Users\start menu\programs\startup 下的内容但这两项在中文版分别为 Startup: C:\Documents and Settings\USERNAME\「开始」菜单\程序\启动 Global Startup: C:\Documents and Settings\All Users\「开始」菜单\程序\启动恐怕HijackThis不能识别中文版的这两个目录,以至不报告其内容。不是是否如此?望达人告知。 2. 举例注:中括号前面是注册表主键位置中括号中是键值中括号后是数据 O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun 注册表自检 O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe windows任务优化器(Windows Task Optimizer) O4 - HKLM\..\Run: [SystemTray] SysTray.Exe Windows电源管理程序 O4 - HKLM\..\Run: [RavTimer] C:\PROGRAM FILES\RISING\RAV\RavTimer.exe O4 - HKLM\..\Run: [RavMon] C:\PROGRAM FILES\RISING\RAV\RavMon.exe O4 - HKLM\..\Run: [ccenter] C:\Program Files\rising\Rav\CCenter.exe 上面三个均是瑞星的自启动程序。 O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32 O4 - HKLM\..\Run: [BIE] Rundll32.exe C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL,Rundll32 上面两个是3721和百度的自启动程序。(不是经常有朋友问进程里的Rundll32.exe是怎么来的吗?) O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe Windows计划任务 O4 - HKLM\..\RunServices: [RavMon] C:\PROGRAM FILES\RISING\RAV\RavMon.exe /AUTO O4 - HKLM\..\RunServices: [ccenter] C:\Program Files\rising\Rav\CCenter.exe 上面两个也是瑞星的自启动程序。 O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE 这是微软Office在“开始——程序——启动”中的启动项。 3. 一般建议查表吧!可能的项目太多了,请进一步查询相关资料,千万不要随意修复。推荐一些好的查询地址 http://www.oixiaomi.net/systemprocess.html 这是中文的,一些常见的项目均可查到。 http://www.sysinfo.org/startuplist.php http://www.windowsstartup.com/wso/browse.php http://www.windowsstartup.com/wso/search.php http://www.answersthatwork.com/Tasklist_pages/tasklist.htm http://www.liutilities.com/products/wintaskspro/......processlibrary/ 英文的,很全面。其中一些标记的含义—— Y - 一般应该允许运行。 N - 非必须程序,可以留待需要时手动启动。 U - 由用户根据具体情况决定是否需要。 X - 明确不需要的,一般是病毒、间谍软件、广告等。 ? - 暂时未知还有,有时候直接使用进程的名字在www.google.com上查找,会有意想不到的收获(特别对于新出现的病毒、木马等)。 4. 疑难解析请注意,有些病毒、木马会使用近似于系统进程、正常应用程序(甚至杀毒软件)的名字,或者干脆直接使用那些进程的名字,所以一定要注意仔细分辨。O4项中启动的程序可能在您试图使用HijackThis对它进行修复时仍然运行着,这就需要先终止相关进程然后再使用HijackThis对它的启动项进行修复。(终止进程的一般方法:关闭所有窗口,同时按下CTRL+ALT+DELETE,在打开的窗口中选中要终止的进程,然后按下“结束任务”或者“结束进程”,最后关闭该窗口。)组别——O5 1. 项目说明 O5项与控制面板中被屏蔽的一些IE选项相关,一些恶意程序会隐藏控制面板中关于IE的一些选项,这可以通过在control.ini文件中添加相关命令实现。 2. 举例 O5 - control.ini: inetcpl.cpl=no 这里隐藏了控制面板中的internet选项 3. 一般建议除非您知道隐藏了某些选项(比如公司网管特意设置的),或者是您自己如此设置的,否则应该用HijackThis修复。组别——O6 1. 项目说明 O6提示Internet选项(打开IE——工具——Internet选项)被禁用。管理员可以对Internet选项的使用进行限制,一些恶意程序也会这样阻挠修复。这里用到的注册表项目是 HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions 2. 举例 O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present 这里禁用了internet选项 3. 一般建议除非您知道禁用了internet选项(比如网吧使用了一些管理软件),或者是您自己有意设置的(通过改注册表或者使用一些安全软件),否则应该用HijackThis修复。组别——O7 1. 项目说明 O7提示注册表编辑器(regedit)被禁用。管理员可以对注册表编辑器的使用进行限制,一些恶意程序也会这样阻挠修复。这可以通过对注册表如下键的默认值的修改实现 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System 2. 举例 O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 这里禁用了注册表编辑器。 3. 一般建议除非您知道禁用了注册表编辑器(比如公司使用了一些管理软件),或者是您自己有意设置的(通过改注册表或者使用一些安全软件),否则应该用HijackThis修复。组别——O8 1. 项目说明 O8项指IE的右键菜单中的新增项目。除了IE本身的右键菜单之外,一些程序也能向其中添加项目。相关注册表项目为 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt 2. 举例 O8 - Extra context menu item: 使用网际快车下载 - C:\PROGRAM FILES\FLASHGET\jc_link.htm O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\PROGRAM FILES\FLASHGET\jc_all.htm 这是网际快车(FlashGet)添加的。 O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NETANTS\NAGet.htm O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NETANTS\NAGetAll.htm 这是网络蚂蚁(NetAnts)添加的。 O8 - Extra context menu item: 使用影音传送带下载 - C:\PROGRA~1\Xi\NETTRA~1\NTAddLink.html O8 - Extra context menu item: 使用影音传送带下载全部链接 - C:\PROGRA~1\Xi\NETTRA~1\NTAddList.html 这是影音传送带(Net Transport)添加的。 O8 - Extra context menu item: 导出到 Microsoft Excel(&x) - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 这是Office添加的。 3. 一般建议如果不认得新添加的项目,其所在路径也可疑,可以用HijackThis修复。建议最好先在www.google.com上查一下。暂时未在网上找到O8项的列表。组别——O9 1. 项目说明 O9提示额外的IE“工具”菜单项目及工具栏按钮。前面O3是指工具条,这里是新增的单个工具栏按钮和IE“工具”菜单项目。相关注册表项目为 HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions registry key 2. 举例 O9 - Extra button: QQ (HKLM) 就是IE工具栏上的QQ按钮。 O9 - Extra button: UC (HKLM) IE工具栏上的UC按钮。 O9 - Extra button: FlashGet (HKLM) IE工具栏上的网际快车(FlashGet)按钮。 O9 - Extra `Tools` menuitem: &FlashGet (HKLM) IE“工具”菜单中的网际快车(FlashGet)项。 O9 - Extra button: NetAnts (HKLM) IE工具栏上的网络蚂蚁(NetAnts)按钮。 O9 - Extra `Tools` menuitem: &NetAnts (HKLM) IE“工具”菜单中的网络蚂蚁(NetAnts)项。 O9 - Extra button: Related (HKLM) IE工具栏上的“显示相关站点”按钮。 O9 - Extra `Tools` menuitem: Show &Related Links (HKLM) IE“工具”菜单中的“显示相关站点”项。 O9 - Extra button: Messenger (HKLM) IE工具栏上的Messenger按钮。 O9 - Extra `Tools` menuitem: Windows Messenger (HKLM) IE“工具”菜单中的“Windows Messenger”项。 3. 一般建议 如果不认得新添加的项目或按钮,可以用HijackThis修复。组别——O9 1. 项目说明 O9提示额外的IE“工具”菜单项目及工具栏按钮。前面O3是指工具条,这里是新增的单个工具栏按钮和IE“工具”菜单项目。相关注册表项目为 HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions registry key 2. 举例 O9 - Extra button: QQ (HKLM) 就是IE工具栏上的QQ按钮。 O9 - Extra button: UC (HKLM) IE工具栏上的UC按钮。 O9 - Extra button: FlashGet (HKLM) IE工具栏上的网际快车(FlashGet)按钮。 O9 - Extra `Tools` menuitem: &FlashGet (HKLM) IE“工具”菜单中的网际快车(FlashGet)项。 O9 - Extra button: NetAnts (HKLM) IE工具栏上的网络蚂蚁(NetAnts)按钮。 O9 - Extra `Tools` menuitem: &NetAnts (HKLM) IE“工具”菜单中的网络蚂蚁(NetAnts)项。 O9 - Extra button: Related (HKLM) IE工具栏上的“显示相关站点”按钮。 O9 - Extra `Tools` menuitem: Show &Related Links (HKLM) IE“工具”菜单中的“显示相关站点”项。 O9 - Extra button: Messenger (HKLM) IE工具栏上的Messenger按钮。 O9 - Extra `Tools` menuitem: Windows Messenger (HKLM) IE“工具”菜单中的“Windows Messenger”项。 3. 一般建议 如果不认得新添加的项目或按钮,可以用HijackThis修复。组别——O10 1. 项目说明 O10项提示Winsock LSP(Layered Service Provider)“浏览器劫持”。某些间谍软件会修改Winsock 2的设置,进行LSP“浏览器劫持”,所有与网络交换的信息都要通过这些间谍软件,从而使得它们可以监控使用者的信息。著名的如New.Net插件或WebHancer组件,它们是安装一些软件时带来的你不想要的东西。相关的中文信息可参考—— http://tech.sina.com.cn/c/2001-11-19/7274.html 2. 举例 O10 - Hijacked Internet access by New.Net 这是被广告程序New.Net劫持的症状(可以通过“控制面板——添加删除”来卸载)。 O10 - Broken Internet access because of LSP provider `c:\progra~1\common~2\toolbar\cnmib.dll` missing 这一般出现在已清除间谍软件但没有恢复LSP正常状态的情况下。此时,网络连接可能丢失。 O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll 这是被广告程序newtonknows劫持的症状,相关信息可参考http://www.pestpatrol.com/PestInfo/n/newtonknows.asp 3. 一般建议 一定要注意,由于LSP的特殊性,单单清除间谍软件而不恢复LSP的正常状态很可能会导致无法连通网络!如果您使用杀毒软件清除间谍程序,可能遇到如上面第二个例子的情况,此时可能无法上网。有时HijackThis在O10项报告网络连接破坏,但其实仍旧可以连通,不过无论如何,修复O10项时一定要小心。 遇到O10项需要修复时,建议使用专门工具修复。(1)LSPFix http://www.cexx.org/lspfix.htm (2)Spybot-Search&Destroy(上面提到过,但一定要使用最新版) 这两个工具都可以修复此问题,请进一步参考相关教程。 4. 疑难解析 某些正常合法程序(特别是一些杀毒软件)也会在Winsock水平工作。比如 O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwsp.dll 这一项就属于国产杀毒软件KV。所以,在O10项遇到“Unknown file in Winsock LSP”一定要先查询一下,不要一概修复。组别——O11 1. 项目说明 O11项提示在IE的高级选项中出现了新项目。相关注册表项目可能是 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions 2. 举例 O11 - Options group: [CommonName] CommonName 这个是已知需要修复的一项。 O11 - Options group: [!CNS] O11 - Options group: [!IESearch] !IESearch 这2个是国内论坛上的HijackThis扫描日志里最常见的O11项,分属3721和百度,去留您自己决定。如果想清除,请先尝试使用“控制面板——添加删除”来卸载相关程序。 3. 一般建议 遇到CommonName应该清除,遇到其它项目请先在网上查询一下。组别——O12 1. 项目说明 O12列举IE插件(就是那些用来扩展IE功能、让它支持更多扩展名类型文件的插件)。相关注册表项目是HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins 2. 举例 O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll 这两个都属于Acrobat软件。 3. 一般建议 绝大部分这类插件是安全的。已知仅有一个插件(OnFlow,用以支持文件类型.ofb)是恶意的,需要修复。遇到不认得的项目,建议先在网上查询一下。组别——O13 1. 项目说明 O13提示对浏览器默认的URL前缀的修改。当在浏览器的地址栏输入一个网址而没有输入其前缀(比如http://或ftp://)时,浏览器会试图使用默认的前缀(默认为http://)。相关注册表项目包括HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\ 当此项被修改,比如改为http://www.AA.BB/?那么当输入一个网址如www.rising.com.cn时,实际打开的网址变成了——[url=http://www.aa.bb/?[url]www.rising.com.cn[/url]]http://www.AA.BB/?www.rising.com.cn[/url] 2. 举例 O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url= O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi? O13 - WWW. Prefix: http://ehttp.cc/? O13 - DefaultPrefix: http://nkvd.us/ (翻译过来就是http://nkvd.us/) O13 - WWW Prefix: http://nkvd.us/ (翻译过来就是http://nkvd.us/)) O13 - DefaultPrefix: c:\searchpage.html?page= O13 - WWW Prefix: c:\searchpage.html?page= O13 - Home Prefix: c:\searchpage.html?page= O13 - Mosaic Prefix: c:\searchpage.html?page= 3. 一般建议 著名恶意网站家族CoolWebSearch可能造成此现象。建议使用CoolWebSearch的专杀——CoolWebSearch Shredder (CWShredder.exe)来修复,本帖前部已提到过此软件,并给出了相关小教程的链接。 如果使用CWShredder.exe发现了问题但却无法修复(Fix),请在安全模式使用CWShredder.exe再次修复(Fix)。 如果使用CWShredder.exe后仍然无法修复或者根本未发现异常,再使用HijackThis来扫描修复。 4. 疑难解析 简单说,就是——“对于searchpage.html这个问题,上面提到的CWShredder.exe可以修复(Fix),普通模式不能修复的话,请在安全模式使用CWShredder.exe修复(Fix),修复后清空IE临时文件(打开IE浏览器——工具——internet选项——删除文件,可以把“删除所有脱机内容”选上),重新启动。”组别——O14 1. 项目说明 O14提示IERESET.INF文件中的改变,也就是对internet选项中“程序”选项卡内的“重置WEB设置”的修改。该IERESET.INF文件保存着IE的默认设置信息,如果其内容被恶意程序改变,那么一旦您使用“重置WEB设置”功能,就会再次激活那些恶意修改。 2. 举例 O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com 3. 一般建议 如果这里列出的URL不是指向你的电脑提供者或Internet服务提供者(ISP),可以使用HijackThis修复。 4. 疑难解析组别——O15 1. 项目说明 O15项目提示“受信任的站点”中的不速之客,也就是那些未经您同意自动添加到“受信任的站点”中的网址。“受信任的站点”中的网址享有最低的安全限制,可以使得该网址上的恶意脚本、小程序等更容易躲过用户自动执行。相关注册表项目 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains 2. 举例 O15 - Trusted Zone: http://free.aol.com 3. 一般建议 如果不认得该网站,建议使用HijackThis来修复。组别——O16 1. 项目说明 O16 - 下载的程序文件,就是Downloaded Program Files目录下的那些ActiveX对象。这些ActiveX对象来自网络,存放在Downloaded Program Files目录下,其CLSID记录在注册表中。 2. 举例 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/p ... s/flash/swflash.cab 用来看flash的东东,相信很多朋友都安装了。 O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://download.rising.com.cn/ravkill/rsonline.cab 瑞星在线查毒。 3. 一般建议如果不认得这些ActiveX对象的名字,或者不知道其相关的下载URL,建议使用搜索引擎查询一下,然后决定是否使用HijackThis来修复该项。如果名字或者下载URL中带有“sex”、“adult”、“dialer”、“casino”、“free_plugin”字样,一般应该修复。HijackThis修复O16项时,会删除相关文件。但对于某些O16项,虽然选择了让HijackThis修复,却没能够删除相关文件。若遇到此情况,建议启动到安全模式来修复、删除该文件。组别——O17 1. 项目说明 O17提示“域劫持”,这是一些与DNS解析相关的改变。已知会造成此现象的恶意网站为Lop.com。上面在解释O1项时提到过,当在浏览器中输入网址时,如果hosts文件中没有相关的网址映射,将请求DNS域名解析以把网址转换为IP地址。如果恶意网站改变了您的DNS设置,把其指向恶意网站,那么当然是它们指哪儿您去哪儿啦! 2. 举例 O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com 017 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175 3. 一般建议如果这个DNS服务器不是您的ISP或您所在的局域网提供的,请查询一下以决定是否使用HijackThis来修复。已知Lop.com应该修复,似乎已知的需要修复的O17项也就此一个。组别——O18 1. 项目说明 O18项列举现有的协议(protocols)用以发现额外的协议和协议“劫持”。相关注册表项目包括 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID等等。通过将您的电脑的默认协议替换为自己的协议,恶意网站可以通过多种方式控制您的电脑、监控您的信息。 HijackThis会列举出默认协议以外的额外添加的协议,并列出其在电脑上的保存位置。 2. 举例 O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82} O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8} 3. 一般建议已知`cn` (CommonName)、`ayb` (Lop.com)和`relatedlinks` (Huntbar)是需要用HijackThis修复的。其它情况复杂,可能(只是可能)有一些间谍软件存在,需要进一步查询资料、综合分析。组别——O19 1. 项目说明 O19提示用户样式表(stylesheet)“劫持”,样式表是一个扩展名为.CSS的文件,它是关于网页格式、颜色、字体、外观等的一个模板。相关注册表项目 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets 此外,此项中也可能出现.ini、.bmp文件等。 2. 举例 O19 - User stylesheet: c:\WINDOWS\Java\my.css O19 - User stylesheet: C:\WINDOWS\Web\tips.ini O19 - User stylesheet: C:\WINDOWS\win32.bmp 3. 一般建议已知,datanotary.com会修改样式表。该样式表名为my.css或者system.css,具体信息可参考 http://www.pestpatrol.com/pestinfo/d/datanotary.asp http://www.spywareinfo.com/articles/datanotary/ 该“浏览器劫持”也属于CoolWebSearch家族,别忘了上面多次提到的专杀。当浏览器浏览速度变慢、经常出现来历不明的弹出窗口,而HijackThis又报告此项时,建议使用HijackThis修复。如果您根本没使用过样式表而HijackThis又报告此项,建议使用HijackThis修复。组别——O20 1. 项目说明 O20项提示注册表键值AppInit_DLLs处的自启动项(前一阵子闹得挺厉害的“about:blank”劫持就是利用这一项)。相关注册表键为HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows 键值为AppInit_DLLs 此处用来在用户登录时加载.dll文件。用户注销时,这个.dll也被注销。 2. 举例 O20 - AppInit_DLLs: msconfd.dll 3. 一般建议仅有极少的合法软件使用此项,已知诺顿的CleanSweep用到这一项,它的相关文件为APITRAP.DLL。其它大多数时候,当HijackThis报告此项时,您就需要提防木马或者其它恶意程序。 4. 疑难解析有时,HijackThis不报告这一项,但如果您在注册表编辑器中使用“修改二进位数据”功能,则可能看到该“隐形”dll文件。这是因为该“隐形”dll文件在文件名的开头添加了一个`|`来使自己难被发觉。组别——O21 1. 项目说明 O21项提示注册表键ShellServiceObjectDelayLoad处的自启动项。这是一个未正式公布的自启动方式,通常只有少数Windows系统组件用到它。Windows启动时,该处注册的组件会由Explorer加载。相关注册表键为HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad 2. 举例 O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll 3. 一般建议 HijackThis会自动识别在该处启动的常见Windows系统组件,不会报告它们。所以如果HijackThis报告这一项,则有可能存在恶意程序,需要仔细分析。 4. 疑难解析(暂无)组别——O22 1. 项目说明 O22项提示注册表键SharedTaskScheduler处的自启动项。这是WindowsNT/2000/XP中一个未正式公布的自启动方式,极少用到。 2. 举例 O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll 3. 一般建议已知,CoolWebSearch变种Smartfinder用到这一项,请小心处理。建议使用CoolWebSearch专杀——CoolWeb Shredder(CoolWeb粉碎机),简介见http://community.rising.com.cn/F ... =3926810&page=1 4. 疑难解析(暂无)组别——O23 1. 项目说明 O23项提示注册为系统服务的程序(可以通过运行->Services.msc,察看所有的系统服务) 2. 举例 O23 - Service: AhnLab Task Scheduler - AhnLab, Inc. - C:\Program Files\AhnLab\Smart Update Utility\Ahnsdsv.exe O23 - Service: NOD32 Kernel Service - Unknown - C:\Program Files\Eset\nod32krn.exe 3. 一般建议很多正常软件都会注册到系统服务,常见的比如各种杀毒软件和防火墙的服务以及Apache,MySQL等软件,一般来说这些正常的服务的描述都很容易识别他们的身份(如"NOD32 Kernel Service"很明显是NOD32的服务),如果出现了名称和系统服务很像的服务,但是面说后面的厂商却不是MS的项目就很可能是病毒了. 4. 疑难解析只有1.99以上版本的Hijackthis才有O23,以前的版本不具备这一功能.Hijack并不列出所有的系统服务,系统默认的服务已经被Hijackthis忽略. 下载(51files): http://www.51files.com/?KJEPJ7MY1LI0LI6SEUOM 下载(龙阿空间站-N多客专区): http://long-a.ys168.com/ 下载(G宝盘): http://long-a.gbaopan.com/files/ ... a3e9528e4bb95ae.gbp March 05 Vista破解方法深度总结(目前共7种方法)下面列出各种破解vista的方法,按出现的时间顺序排列 1.替换法 原理:用替换vista的一些许可文件的办法来用测试版序列号激活vista,是最早出现的办法 缺点:许可变为测试版,有时间限制 2.kms私服激活法 原理:不是去微软的官方服务器激活,而是去私人架设的服务器激活,也可以用vmware虚拟机自己架设激活服务器或在局域网中其它机器架设激活服务器来进行激活。 优点:激活后跟正版软件并无区别,此法微软较难封杀。 缺点:只适用于b版(商业版)和e版(企业版),并且隔6个月就要重新激活一次。而且私服存在不稳定性,说不定哪天就关了,而自己架设的话比较复杂。 使用方法:http://www.vistafans.com/thread-89814-1-1.html 3.timestop(时间停止)法 原理:vista在激活之前有30天的试用期,此法加载一个驱动(timerstop.sys),使倒计时停止在30天,从而使你避免激活,无限试用。 优点:操作简便,可以用于u版(旗舰版),无功能限制(自动更新,梦幻桌面等都可使用) 缺点:vista处于未激活状态,虽然没有功能上的限制,但是对于追求完美的人来说,会感到影响美观。并且可以预见的是,微软一定会在未来的某次升级(如sp1)之后封杀此方法。 使用方法:推荐步骤是安装vista时不输序列号,并且不勾选"联机时自动激活Windows"。装好vista后不进行任何更新,在TimeStop.exe上点右键以管理员的身份运行TimeStop.exe,然后电脑会自动重启,完成破解。之后可以运行“slmgr.vbs -dlv”验证倒计时是否停止在30天。 点击下载timestop-v2 卸载方法:删除windowssystem32 imerstop.sys 4.刷bios法 原理:此法是将品牌机oem信息刷入你机器bios,然后可以使用oem版的vista. 优点:跟真正的oem正版没有区别 缺点:由于需要改bios、刷bios,对新手来说有难度,而且有一定危险性,并且每台机器不同,并不一定都能刷成功。 使用方法:不同主板有不同方法,具体请参考http://www.vistafans.com/thread-105205-1-2.html这帖以及其他的帖子, 卸载方法:再把bios刷回去 5.softmod(免刷BIOS或动态BIOS)法 原理:在启动vista之前,先往bios里添加slic的OEM验证数据,从而使vista认为你的机器为OEM的品牌机型。 优点:可以达到刷bios法的效果,而又没有刷bios的危险,操作简单。激活之后跟正版的oem vista没有区别。 缺点:每次启动时会闪过一堆字符,影响美观,也减慢启动速度(虽然只是减慢了一点点)。而且由于此法需要修改MBR来达到效果,如果你以前修改过MBR,例如品牌机或笔记本的隐藏分区还原功能,又例如Acronis True Image的F11功能,会产生冲突导致无法启动。 使用方法:(2选1) 1.使用网友做的全自动傻瓜包。http://mirror.gochina.cn/liuhang/SoftMod.exe 2.不想用全自动的话,手动进行也并不麻烦,建议有一定电脑基础的朋友手动修改,毕竟自己动手心里比较明白。具体方法请参考http://www.vistafans.com/thread-110365-1-2.html 卸载方法:以管理员方式运行uninstall.cmd,但是这样重启之后可能会导致vista被识别成盗版。 6.暴力算号法(强烈不推荐) 原理:随机生成序列号进行验证,直到验证成功。 优点:可能会算出真正的正版序列号。 缺点:目前的这个算法就是纯随机,效率太低,跟本没有实用性,能算出号的概率基本为0。 使用方法: 一.备份C:/windows/system32/slmgr.vbs,(如果算号成功,再替换回来); 二.用slmgr.vbs替换掉C:/windows/system32中的同名文件;(此步较复杂,下面单独说明) 三.记录下你的产品密钥,可以用Windows XP产品密钥查看器(压缩包中附带的keyfinder.exe)来验证; 四.开始-运行,输入slmgr.vbs -ipk generate,一个叫做 "wscript.exe"的进程将启动并可能占用大量CPU资源,它大约每30分钟核对10000个密钥; 五.现在开始等待,在得到结果之前,你可能要等待很长一段时间。慢慢等吧。过一段时间(几小时或几天),用keyfinder.exe检查你的密钥,看它是否已经改变; 六.如果已经改变,说明脚本已经找到有效的密钥。通过开始-运行来激活Vista,输入命令slmgr.vbs -ato 算号器下载:http://www.cnbeta.com/xiaolu/Vista_Brute_Force_Keygen.rar 7.OEM BIOS Emulation Toolkit 原理:通过设备驱动程序ROYAL.SYS 模拟OEM BIOS ,提供ACPI_SLIC信息。 优点:操作并不太复杂(我估计几天后一定会出现全自动傻瓜包),激活之后跟正版的oem vista没有区别。 缺点:在windows下安装驱动,有可能导致系统稳定性降低,而且目前此法不支持64位vista。由于跟timestop一样也是加载驱动,很可能微软在未来的某次更新之后封杀此法。 使用方法:参见http://www.cnbeta.com/modules.php?name=News&file=article&sid=23285 WindowBlinds 5 (5.1 build 81x86)完善绿色版更新: ◇无论WB身在何地、只需轻轻一键、完成安装 ◇默认使用中文界面,VistaCHS主题,英文菜鸟与Vista粉丝的福音 ◇安装的时候可以使用中文路径,避免大头虾在中文路径无法正常安装使用 ◇优化了安装与卸载脚本,正常安装与卸载 ◇在桌面--属性--外观 可以直接选WB主题 ◆如果安装在中文路径的话,那么无法使用中文界面 【关于本人】: Nickname: 有点笨小林 QQ: 14763367 Website: http://my.opera.com/chilam Email: gzdx0615@163.com 写给WB的新手们:安装好WB后,请在WB软件界面点一下“重新构建列表”吧,不准老说里面主题用了一片黑,呵 安装说明:直接解压windowblinds至任意路径[中、英文皆可]后运行“安装.cmd”,完成安装后重新启动系统即可。 我的旧版本:http://my.opera.com/chilam/blog/windowblinds-5-5-1build-81x86 下载:windowblinds 5 ((5.1 build 81x86))完善绿色版 -≮07年02月25日≯ February 23 卡巴绿杀6 -U盘版杀毒软件 (Moshow魔手)Kaspersky Anti-Virus Move-edition 6 (-_-b汗Move Edition...) 【这是卡巴斯基绿色移动版本·推荐用于u盘】 By Moshow魔手 Http://Hi.baidu.com/MoshowGame 祝o(∩_∩)o...天下无毒 ·)拥有全球最全的病毒库 ·)拥有最快的全球剿毒反应速度 ·) 基于稳定的卡巴斯基AVP6官方简体中文版制作 ·) 绿色版本只保留了查杀和更新模块 ·) 容易上手操作 ·) 方便移动 ·) 可以在线更新病毒库 ·) 集成可用到2010-02-18的AVP系列的KEY 请运行目录下的"控制中心"开始简便向导 使用前请确保硬盘上无其他(完整的+有用的)卡巴斯基系列产品 如果用户无法进行AVP更新,请向装有卡巴斯基6的用户复制Bases和Data两个目录覆盖 文件在Documents and SettingsAll UsersApplication DataKaspersky LabAVP6里 Beta Ⅰ 更新: 1.病毒库更新到20070220 2.修正目录错位问题 3.修正文件错误问题 4.加入"控制中心"方便大家控制使用 5.成功将病毒库文件移植到AVP目录下 下载:卡巴绿杀6 By Moshow魔手 Kaspersky Anti-Virus Move-edition 6 February 21 熊猫烧香在网上泛滥好长时间了,刚刚突然发现一堆网友在贴吧里对诗,笑到抽筋,特意给大家发上来看看。60.160.3.*作:床前明月光,熊猫在烧香。专杀杀不尽,两眼泪汪汪。
125.95.73.*作:熊猫烧不尽,关机开又生。
宝剑锋从磨砺出,熊猫香自网上来。
无边香火烧烧下,不尽熊猫滚滚来。
爱媛の橘子作:身心俱疲终不悔,为猫烧得人憔悴。
59.38.123.*作:相见时难杀亦难,熊猫烧香百机残。
熊猫逊雪三分白,雪却输猫一炷香。
天长地久有时尽,此香绵绵无绝期。
猫儿香香烧九州,几家欢乐几家愁。
唯有烧香多放肆,敢教病毒换新鲜。
江民瑞星昏花,金山诺顿搬家,卡巴斯基堕马。熊猫烧香,网中人在死捱!
59.155.26.*作:乱香渐欲烧机毁,熊猫才能没机房。
222.82.161.*作:水火刀兵无妄灾,熊猫烧香也自然。
浪断风云作:烧香时难灭亦难,杀软无力电脑残。
219.139.178.*作:烧香如此多娇,引无数网民竟折腰。
0银翼的天使0作:上邪,此猫欲烧吾香,山无棱,天地合,此猫杀不绝。
老猫伏枥,志在千机;病毒暮年,烧香不已。
满机熊猫关不住,三支高香出墙来。
熊猫离家带香回,毒性无改势未衰。卡巴相见不相识,笑问猫从何处来?
60.180.82.*作:朝辞木马卡巴间,千里熊猫一刻来。两岸烧香停不住,病毒已染万重山。
北庭筠作:熊猫铲尽根除日,家祭毋忘告乃机。
219.144.103.*作:木马未净,熊猫先行,一半机停。
61.48.82.*作:久旱逢熊猫,他乡遇烧香。机房杀毒夜,明早装机时。
一提熊猫泪千行,咋知何日不烧香。
天涯何处无熊猫,何必单恋三枝香。
熊猫未死香不尽,杀毒正扫泪怎干?
路逢熊猫须当避,不是高手莫修机。
只因世上多熊猫,才有人间百毒生。
熊猫一个能毁机,杀毒一堆也关闭。
cbder作:众里寻猫千百度,蓦然回首,那猫已在已在香火阑珊处。
极限Server作:冬眠不觉晓,病毒卡巴绞。熊猫夜烧香,文件毁多少?
124.239.59.*作:机房风光,千里机瘫,万里半残。防火墙内外,废墟莽莽;硬盘上下,顿时逃逃。你舞战斧,我施冷枪,杀软病毒试比高。内存如此稀少,引无数电脑竞折腰。惜千禧年虫,功亏一篑;欢乐时光,两月魂消。一代天骄,冲击震荡,只识启机关电脑。俱往矣,数风流病毒,还看熊猫。
220.164.205.*作:碧云天,黄花地,西风紧,熊猫烧香。晓来谁染exe?总是熊猫香。
熊猫已被格式化,此地空余白硬盘。熊猫一去不复返,网民硬盘空悠悠。熊猫烧烧三炷香,系统萋萋exe。重要资料何处是?可恶熊猫惹人愁。
君不见熊猫之香网上来,系统崩溃不复回。君不见杀毒软件没办法,朝如青丝暮成靶。虽被感染须尽欢,莫使微机空对月。天生熊猫必烧香,硬盘格尽还复来。熊猫它爹且为乐,逮着必揍三百拳。卡巴兄、江民弟,将烧香,机莫关。与君香一柱,请君为我倾耳听。系统文件不足贵,但愿熊猫不更新。古来病毒皆寂寞,惟有熊猫留其名。威金昔时挂博客,染机十千恣欢谑。牛人何为言少钱,径须苟取熊猫主。冤有主,债有头,熊猫烧香算个球,有种你烧遍地球。
218.71.103.*作:但使熊猫烧香在,不教残机过好年。
125.95.49.*作:熊猫烧香何时了,中毒知多少?ghost昨夜又失踪,系统不堪回首缓慢中。文件程序应犹在,只是图标改。问君能有几多愁,恰似一江春水向东流。
熊猫生南国,香来烧几支?愿君多买碟,此毒最伤机。
219.135.224.*作:猫,猫,猫,拿香向天烧。闭眼作祈祷,明天会更好。
鹿小风作:君不见崭新电脑刚买来,奔腾双核不复回。君不见中毒重装悲白发,朝如青丝暮成雪。人生得意须尽欢,莫使论坛空灌水。天生熊猫必有用,千金烧尽还复来。死机兰屏且为乐,还原一键三百秒。橙八月,灰鸽子,将进酒,杯莫停。与君歌一曲,请君为我开视频。盗版XP不足贵,但愿长网不掉线。古来网虫皆寂寞,惟有制毒留其名。陈王昔时上通宵,光纤千兆恣欢谑。主人何为言少钱,径须沽取对君酌。微星板,华硕卡,呼儿将出换扣肉,与尔同销万古愁。
天下网虫出我辈,一但中毒岁月催。秒杀瑞星谈笑间,不胜卡巴一场醉。熊猫嚣张挥鬼脸,香灰如山鼠标飞。弹窗如潮人如水,只叹重装几人会。
221.203.101.*作:熊猫本无罪,香炉亦清白。必缴造毒者,还望汝节哀。
60.7.168.*作:李白开机将上网,忽闻机内熊猫声。杀毒软件千千万,不及我猫三柱香。
88.114.243.*作:千般病毒有尽时,此香绵绵无绝期。
125.95.75.*作:人烦熊猫乐,毒劲机删空。香出烧疯了,殖民网络中。
59.49.152.*作:春节前夕雨纷纷,登上QQ欲断魂。借问病毒何时除,网友遥指灭猫村。
220.173.23.*作:春眠玩电脑,处处烧香扰。夜来杀虫剂,不知死多少。
铃儿响叮当作:金山薄,瑞星恶,熊猫烧香花易落。江民软,卡巴残,杀毒心事,独语斜栏。难,难,难!病毒常似秋千索。文件残,夜阑珊,怕猫来问,咽泪装欢。瞒,瞒,瞒!
浪断风云作:熊猫夜烧香三柱,更烧出,大病毒。瑞星卡巴尸满路,IE罢工,XP难入,一夜GHOST无。
222.90.226.*作:日照香炉升紫烟,疑似熊猫在烧香。
金毛狮王Ж谢逊作:夹香独上西楼,月如钩,寂寞杀毒深房锁春秋。杀不断,带复活,别有一番滋味在心头。
jeremy18_2001作:熊猫风光,千里感染,万里烧香。望神州内外,香火绵延,四海五洲,皆此愁肠。网吧企业,学校家庭,没有一处不遭殃。变种日,看国宝登场分外嚣张。
市场如此吃香,引无数杀毒软件竞开张。惜金山毒霸,自身难保;瑞星杀毒,技术牵强。一代名区卡卡论坛,专杀不如变种强。都歇菜,数风流软件,卡巴首当。
220.173.24.*作(歌词):你的泪光,柔弱中带伤。满屏的熊猫香,删除过往。熊猫猖狂,点上三根香,是谁在电脑前冰冷的绝望。猫慢慢拜,暗黄色的香,我瘫坐椅子上,精神错乱。路在何方,谁为我思量,冷风吹乱憔悴模样。熊猫拜,三根香,你的笑容已泛黄,重装又重装,我心里在发慌。江民杀,瑞星除,你的影子剪不断,徒留我在电脑旁神伤。
58.55.38.*作:爱机已死两忙忙,不思量,自难忘。熊猫烧香,无处话凄凉。纵使相逢应不识,恨满面,屏如霜。夜来恶梦忽还乡,小熊猫,正烧香。相顾无言,唯有泪千行。料得重装爱机日,熊猫来,还烧香。
218.18.57.*作:何时能开机,泪眼问杀毒,不知已中熊猫,烧香来拜年。金山乘风归去,瑞星一命呜呼,卡巴不胜寒。孤军在奋战,欲把熊猫歼。小熊猫,三炷香,烧不完。不应有恨,只是你丫太过分。人有悲欢离合,机有阴晴圆缺,此猫忒难杀,但愿其作者,全家下黄泉。
125.88.195.*作:一机,两机,三四机。五六七八九十机。千机,万机,无数机。熊猫烧香都搞定。
床前明月光,熊猫拿着香。瑞星加毒霸,全部死光光。
219.139.178.*作:开机难,运行艰,熊猫烧香红破天。监控器,防火墙,硬件虽在,系统已破。错,错,错!红客手,黑客酒,满屏尽跟熊猫走。冲击波,灰鸽子,橙色八月,情人病毒。莫、莫、莫!
219.154.47.*作:上网日当午,汗滴手下鼠。谁知我电脑,都是熊猫毒。
58.210.213.*作:忽如一夜病毒来,千机万机熊猫拜。
asd4486作:熊猫手里拿香烧,夜开电脑尽是它。熊猫不知网民恨,隔机犹插三支香。
常在网上找物,沉醉不知毒入。兴尽晚关机,误入病毒深处。杀毒,杀毒,干掉熊猫无数。
瑞星江民毒霸,熊猫烧香不怕,砸电脑格式化。熊猫来下,众网民想跳崖。
半个网页没打开,熊猫烧香匆匆来。问猫怎么这厉害,为有病毒滚滚来。
猫厉害,电脑坏坏坏。开机熊猫多如雨,上网卡得超厉害。能不揍熊猫?
熊猫突进我家楼,电脑变成插香州。杀毒软件全用尽,惟见熊猫到处流。
熊猫三支香,网民苦叫声。软件杀不尽,总是烧香勤。何日杀光汝,网民不杀生。
熊猫烧香真是烦,瑞星江民杀不完。正入猫香圈子里,一猫放过一猫拦。
leikin2作:九天龙吟惊天变,惟我熊猫傲世间。
58.63.167.*作:现看电脑很悲哀,烧香烧进我这台。卡巴杀猪死命叫,重装开机他还在。
烧书人2005作:熊猫烧香何处寻,互联网上白森森。熊猫一只自春色,手捧三香空好因。三顾系统乐不彼,重启重装无耐心。游戏未捷先中招,电脑一关泪满襟。
219.137.63.*作:横眉冷对三根香,病毒只有熊猫牛。
熊猫烧香者,一刻一枯荣。香火烧不尽,熊猫吹又生。
221.229.250.*作:烧香熊猫电脑上,惯看秋月春风。一壶可乐喜相逢,古今多少事,都付烧香中。
away0428作:昨日打开机箱,误引病毒一方。烧香,烧香,惊得熊猫满堂。
泥姑辣_凯奇作:世人都晓网络好,惟有盗版忘不了!文件心血在何方?熊猫烧香烧没了!世人都晓Q Q好,密码木马忘不了!论坛共享好快活,蓝屏霎时死机了!世人都晓卡巴好,光缆一断完蛋了!香火日日烧疫情,机死又兼网断了!世人都晓网络好,只有赚钱忘不了!网络侵袭古来多,强势反黑谁见了?
轩辕づ冷漠作:一骑红尘熊猫笑,无人知是香火来。
219.235.232.*作:天若有情天亦老,熊猫何处不烧香。
221.237.1.*作:生当做网杰,死亦为鬼猫。至今思杀软,不如烧烧香。
211.101.23.*作:无可奈何熊猫入,似为香火烟归来。
222.92.197.*作:十日正乘秋,熊猫兴九洲。泛桂迎尊满,烧香向酒浮。卡巴萸早熟,熊猫菊全部收。熊猫烧香狠,方得机中留。
最后我发了一个:
糊涂大侦探作:风雨送猫归,飞雪迎香到。已是电脑千万毒,犹有熊猫俏。
唐诗版:诗人李白成"受灾大户"
网友天天娱乐在猫扑大杂烩发起了《熊猫烧香题诗三百首》的"创作",短短几天内,几十首当代"唐诗"迅速出笼。
借用崔颢的千古名篇《黄鹤楼》,黄鹤成了熊猫:"熊猫已被格式化,此地空余白硬盘。熊猫一去不复返,网民硬盘空悠悠。熊猫烧烧三炷香,系统萋萋EXE。重要资料何处是,可恶熊猫使人愁。"
大诗人李白成为创作潮中的"受灾大户"。"李白开机将上网,忽闻机内熊猫声。杀毒软件千千万,不及我猫三炷香!"《将进酒》也"惨遭篡改",还出现了若干个版本,其中一个版本说:"君不见熊猫之香网上来,系统崩溃不复回。君不见杀毒软件没办法,朝如青丝暮成靶。虽被感染须尽欢,莫使微机空对月。""与君香一炷,请君为我倾耳听。系统文件不足贵,但愿熊猫不更新。古来病毒皆寂寞,唯有熊猫留其名。"
此外,李煜名篇《虞美人》成为《猫美人》。而"熊猫烧香,无处话凄凉。""满机熊猫关不住,三支高香出墙来。""千般病毒有尽时,此香绵绵无绝期。"等诸如之类的绝句让人忍俊不禁。
言情版:套用琼瑶剧中人口吻
网上一个名为《用琼瑶阿姨的语气说熊猫烧香怎么说?》也激发了琼瑶迷们的创作灵感,众多网友用言情小说男女主人公的口气,表达心中的郁闷。"哦天呐你怎么如此那么残忍中了你的毒我该怎么办﹖苍天啊救救我吧""熊猫,你好残忍,你怎么忍心这样对待我的电脑?你好残忍好残忍喔!虽然你这么残忍地对待我的电脑,但是我还是无法恨你……然后泪奔"。
最经典的莫过于这段:"你这个无情的熊猫,你真是太自私、太无情、太残忍了!你就为了自己一时的满足,你就忍心让我连网也不能上了吗?天哪!你竟是如此的无情、残酷!你伤了我的心!你深深地伤害了我的心,你知道吗?我的心在流血,你知道吗?我恨你!我恨你!我恨你!我恨死你了!你走,我不要再见到你!我要快乐的生活,我要快乐的上网!你这无情的小东西,天哪,你怎么是这样的残忍?你怎么能这样对我?我究竟做错了什么?我做错了什么?你告诉我,我究竟做错了什么?你要这样惩罚我?求求你,你告诉我!你告诉我啊!"
歌词版:篡改《黄金甲》主题曲
《两只蝴蝶》、《吉祥三宝》、《七里香》等流行歌曲得到了恶搞网友的喜爱。"亲爱的你慢慢烧,小心前面瑞星的解药。亲爱的你别后退,卡巴斯基会让你沉醉。……我和你缠缠绵绵片片烧,飞越这网线永相随。等到熊猫起香灰落成堆,能陪你一起死机也无悔。"
很多经典老歌也没被遗忘,《两只老虎》在熊猫烧香面前成了这样:"熊猫烧香,熊猫烧香,烧得high,烧得high。一支烧坏系统,一支烧坏电脑,真厉害,真厉害!"《歌声与微笑》则唱道:"明天明天这熊猫,烧遍海角天涯,烧遍海角天涯。 明天明天这熊猫,杀毒软件害怕,杀毒软件害怕。"
歌词类创作中最让人叫绝的当属改编的《满城尽带黄金甲》主题曲《菊花台》,极为形象地表现了中毒者的无奈。"你的泪光,柔弱中带伤。满屏的熊猫香,删除过往。熊猫猖狂,点上三根香,是谁在电脑前冰冷地绝望。猫慢慢拜,暗黄色的香。我瘫坐椅子上,精神错乱,路在何方,谁为我思量,冷风吹乱憔悴模样。熊猫拜,三根香,你的笑容已泛黄。重装又重装,我心里在发慌。江民杀,瑞星除,你的影子剪不断,徒留我在机旁神伤。"
黄健翔版:它不是一个病毒在战斗! 黄健翔在世界杯上的"惊世一吼",已经成为了专用的话语方式。在"熊猫烧香"引发的创作热潮中,也出现了很多个熊猫烧香版的黄健翔语录,最经典的一个版本如下:
"防火墙,过它,好的,进去了,用户在操作。哎、发作!发作!发作!熊猫烧香立功了,熊猫烧香立功了!不要给杀毒软件任何的机会。
"伟大的熊猫烧香!他继承了中国病毒的光荣的传统。卡巴斯基、瑞星、江民科技在这一刻病毒附体,熊猫烧香一个病毒,它代表了电脑病毒悠久的历史和传统,在这一刻它不是一个病毒在战斗,他不是一个病毒!
"熊猫,熊猫面对这个机会。它面对的是全世界电脑病毒的目光和期待。杀毒软件曾经在这台机子上杀过不少病毒,熊猫应该深知这一点,它还能够微笑着面对它面前的实时监控吗?10秒钟以后它会是怎样的下场?"
"这个发作是一个绝对理论上的绝杀。绝对的精彩,电脑病毒捣乱了系统!胜利属于电脑病毒,属于蠕虫,属于恶意程序,属于特洛伊,属于破坏性程序,属于系统缺陷,属于所有热爱整残电脑的病毒!"
周星驰版:改编"唐伯虎"弹词
作为解构文化、BT文化的代表,周星驰的众多经典台词也被网民拿来自我调侃,其中包括《大话西游》中最经典的 "如果上天能给我一个再来一次的机会"那段。而周星驰在《唐伯虎点秋香》中那段有名的弹词,也被几乎天衣无缝地改编了。
"禀夫人,小人本住在苏州的城边,/家中有机上宽带,生活乐无边。/谁知那大熊猫,它蛮横不留情,霸占资源目无天,残我软件毁我片。/我用瑞星跟它来翻脸,惨被它三香来打扁,/用毒霸跟它辛苦周旋,反被它弄得进了电脑公司,/重装了一百遍,一百遍,最后花费用尽遗恨人间。
"它还将我备份件,逐出了硬盘,灰飞又烟灭,/我为求能上网,只有独自半夜泡吧前,/谁知那大熊猫,它实在太阴险。/知道此情形,竟躲进U盘,把我数据狂毁在别机,/小人反应快,系统得留存,可怜下载统统魂归天/为求保系统,唯有裸体跪求自作贱,/一面勤赚钱,一面读书篇,/发誓要把编程念,手刃病毒意志坚!从此熊猫样本在身边,我铭记此仇不共戴天!"
【其他版本】
■赵丽华版:
"熊猫烧香/已经烧了很久了/并且一直在烧"。
"毫无疑问/熊猫烧的香/是全天下/最好闻的"。
"坚决不能容忍/那些/烧完香后/让别人机中毒/的熊猫"。
■广告词版:
熊猫,以香为本。
熊猫恒久远,烧香永流传。
熊猫拥有桑塔纳,走遍天下烧香都不怕。
熊猫之路,烧香开始。
今年过节不烧香,要烧只烧熊猫香!
烧自己的香,让别人去说吧
白天烧一炷,不瞌睡;晚上再烧一炷,睡得香。
自从烧了香,瑞星没用了,金山也开不了,重装系统也没有劲了!
【评论】 拿BT文化"苦中作乐"
BT文化通常被理解成"变态文化",在猫扑网等网上论坛最为流行。它的特点是平民化、虚拟化、反权威、英雄不问出处甚至是反英雄的,其精髓就在于颠覆。
这些玩BT文化的,大部分是思想活跃、具有恶搞精神的年轻人,他们利用图片、经典台词、名人名言等资源,对最新热点事件进行极具创造力的表现或评点。比如目前最流行的"熊猫烧香"病毒,他们在极短的时间内,用诗歌、歌词、PS照片,甚至虚拟的新闻报道等手段,不计功利性地创作了数量惊人的作品,来自由表达个人情感。
痛并快乐着。"熊猫烧香"病毒肆虐,这些看起来让人捧腹的"创作"背后,当然是无尽的郁闷。还是一个在论坛跟帖的网友道出了个中辛酸--"举头望楼上,尽是沦落人。"
【名词解释】 ■熊猫烧香
是近期流传极广的一个感染型蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用 【有故事的歌】Travelin' SoldierDixie Chicks - Travelin' Soldier
http://www.tudou.com/programs/view/oKCFNOXJ87k/
远行的战士 Two days past eighteen He was waiting for the bus in his army green Sat down in a booth in a cafe there Gave his order to a girl with a bow in her hair He's a little shy so she gives him a smile And he said would you mind sittin' down for a while And talking to me, I'm feeling a little low She said I'm off in an hour and I know where we can go So they went down and they sat on the pier He said I bet you got a boyfriend but I don't care I got no one to send a letter to Would you mind if I sent one back here to you I cried Never gonna hold the hand of another guy Too young for him they told her Waitin' for the love of a travelin' soldier Over love will never end Waitin' for the soldier to come back again Never more to be alone when the letter said A soldier's coming home So the letters came from an army camp In California then Vietnam And he told her of his heart It might be love and all of the things he was so scared of He said when it's getting kinda rough over here I think of that day sittin' down at the pier And I close my eyes and see your pretty smile Don't worry but I won't be able to write for awhile One Friday night at a football game The Lord's Prayer said and the Anthem sang A man said folks would you bow your heads For a list of local Vietnam dead Crying all alone under the stands Was a piccolo player in the marching band And one name read and nobody really cared But a pretty little girl with a bow in her hair 18岁刚过两天
他穿着军装等待汽车 昨天露天的咖啡座 女招待戴着蝴蝶结 她冲着害羞的男孩微笑 他说你是否可以坐下陪我聊天 因为我有些情绪低落 她说我有一小时休息时间 我知道我们可以哪里坐 他们一起坐在码头 他说我猜你有男友但是我不会在乎 他说我甚至无人可以写信 你是否介意我与你书信交往? 我哭了 我从未拉过另个男孩的手 他们说他还太年轻 等待远行战士的爱 这爱情将永不消逝 等待远行战士的爱 当信上说战士即将回归 将不会再与寂寞相伴 军中不断发来信件 从加州到越南 他向她倾诉衷肠 从爱意到心中恐慌 他说每当情况严峻 我都会想起那日码头共坐 我闭上双眼回忆你的甜美微笑 不要担心即使我有时不能写信 在一个星期五的足球赛上 圣歌伴着祈祷 一个人说同胞们请低下头去 有我们的同乡死于越南 看台下面,行进乐队的短笛手伤心哭泣 没有人真正在意那死者名姓 除了那头戴蝴蝶结的姑娘 Dixie Chicks 南方小鸡乐队。他们应该是一支乡村音乐组合吧?
是的。很多人把Dixie Chicks翻译成"南方小鸡"。Dixie本来指的是美国的南部,因为她们也是来自德克萨斯州,位于美国的南部 Texas。而chick 本来是指小鸡,但它还有一个意思 用中国俗话说就是黄毛丫头。
听你这么一说,是不是把Dixie Chicks翻译成"南方小鸡" 是否有点不合适?
不是很合适,因为听起来有点怪。
那翻译成"南方女子组合" 也许更贴切一点。所以我想这3个女歌手成心用一种错误的复数形式来表明她们不是真正的小鸡。因为chick的复数形式应该是chicken,而不是chicks。所以"南方女子组合" 这个名字听起来更合适一些。
其实,这支乐队是一支很有影响力的乡村音乐组合,但同时,她们也是非常积极倡导和平的人士。比如这首 Travelin' Soldier就是关于战争题材的在这首歌里面,她们讲了一个非常动人、而且发人深省、同时也是一个很有意义的故事。
故事里的一个美国男孩,即将奔赴美国战场。他的心里充满了对战争的恐惧和无奈。他想为自己找一个心理寄托。一天,他在路上行走的时候遇到了一个女孩子。 他问她,能否把自己对于战争的感受写成信并寄给她。当他到达战场之后,男孩把自己对于战争的所有感受,都记录下来。通过信件,寄给了这个女孩。但不久后他再也没有信寄出。而有一天,在遥远的家乡,女孩突然听到了前线的阵亡名单… |
|||||||||||||||||||||||||||||||||||||||
|
|
