伪造文件是什么罪-伪造电脑系统文件案件

1.电脑中木马的症状

2.经侦取证会调查哪些人

3.电脑开机出现sinalive这个程序

4.世界电脑十大是什么？

电脑中木马的症状

本文操作环境：windows7系统、Dell G3电脑。

电脑中木马的症状

(一)文件或文件夹无故消失：

　当发现电脑中的部分文件或文件夹无缘无故消失，就可以确定电脑已经中了。部分电脑通过将文件或文件夹隐藏，然后伪造已隐藏的文件或文件夹并生成可执行文件，当用户点击这类带有程序的伪装文件时，将直接造成的运行，从而造成用户信息的泄露。

(二)运行应用程序无反应：

　部分电脑用映像劫持技术，将常用的应用程序运行路径进行更改为运行目录，从而当我们试图运行正常的程序时，其实是运行了程序，导致电脑的启动。

(三)电脑启动项含有可疑的启动项：

　检查“系统配置实现程序”窗口，如果发现有不明的可执行目录，则可以确定自己的电脑已经中啦。当然更多时候程序是利用修改注册表项来添加自启动项。

(四)电脑运行极度缓慢：

　当电脑运行速度明显变得缓慢时，就及有可能是电脑中所致。中的电脑，通过程序会在后台持续运行，并且绝大多数会占有过多的CPU及内存，而且木马大都会借助网络来传播用户隐私信息。

(五)杀毒软件失效：

　通过杀毒软件用于对系统进行防护，因此当杀毒软件无法正常运行进行杀毒操作时，就可以确信电脑已中，此时我们需要借助网络来实行在线杀毒操作。大部分安全防护软件如360，金山卫士，QQ管家这三款比较主流的国产安全防护软件都有自主防御的防御模块，而或木马最先攻击的就是安全防护软件的自主防御模块。如果您发现主动防御模块被关闭或安全防护软件直接无法启动或内存错误，很有可能是安全防护软件也招架不住这种强悍的而瘫痪了

(六)电脑运行异常：

　会占用过多的系统性能，以及造成文件的破坏，甚至严重影响系统的稳定性。当电脑出现无故蓝屏、运行程序异常、运行速度太慢以及出现大量可疑后台运行程序时，就要引起注意，可能电脑已经中啦。

(七)系统语言更改为其他语言

　大家的计算机系统语言默认是简体中文，如果开机后发现急速阿吉系统语言被修改为其他语言，很有可能是中了恶意了，可以试用安全防护软件扫描清除

(八)蓝屏黑屏

　黑屏比较少见，蓝屏却比较多见了。中了莫名的恶意可能在运行某个游戏或某个软件时突然计算机蓝屏，蓝屏代码可能是某条常见代码，可能是说计算机为了保护系统自动强行重启。

(九)主页篡改，强行刷新或跳转网页，频繁弹广告

　主页被篡改是早期的主要攻击对象，计算机操作系统中毒后一般都会发生浏览器主页被篡改的现象，所以当年IE伴侣这款修复主页篡改的小软件挺受欢迎。如果同时伴有浏览器页面不停反复载入/刷新或无缘无故弹出广告，那么很有可能是中毒了

(十)应用程序图标被篡改或空白

　计算机桌面的程序快捷方式图标或程序目录的主exe文件的图标被篡改或为空白，那么很有可能这个软件的exe程序被或木马感染。蠕虫会进行此类感染修改

电脑中后简单的处理方式

　一、正在上网的用户，发现异常应首先马上断开连接

　如果你发现IE经常询问你是否运行某些ACTIVEX控件，或是生成莫明其妙的文件、询问调试脚本什么的，一定要警惕了，你可能已经中招了。典型的上网被入侵有两种情况：

　1、是浏览某些带恶意代码的网页时候被修改了浏览器的默认主页或是标题，这算是轻的;还有就是遇到可以格式化硬盘或是令你的windows不断打开窗口，直到耗尽死机这种情况恶劣得多，你未保存和已经放在硬盘上的数据都可能会受到部分或全部的损失。

　2、是黑客的潜在的木马发作，或是蠕虫类发作，让你的机器不断地向外界发送你的隐私、或是利用你的名义和邮件地址发送垃圾，进一步传播;还有就是黑客的手工入侵，窥探你的隐私或是删除破坏你的文件。

　处理办法：马上断开连接，这样能将自己的损失降低的同时，也避免了向更多的在线电脑传播。

　二、中毒后，应马上备份转移文档和邮件等

　中毒后运行杀毒软件清除是不在话下的了，但为了防止杀毒软件误杀或是删掉你还处理完的文档和重要的邮件，你应该首先将它们转移备份到其他储存媒体上。有些长文件名的文件和未处理的邮件要求在windows下备份，所以第一点这里笔者建议您先不要退出windows，因为一旦发作，可能就不能进入windows了。

　不管这些文件是否带毒了，你都应该备份，用标签纸标记为待查即可。因为有些是专门针对某个杀毒软件设计的，一运行就会破坏其他的文件，所以先备份是以防万一的措施。等你清除完硬盘内的后，再来慢慢分析处理这些额外备份的文件较为妥善。

　三、需要在windows下先运行一下杀CIH的软件(即使是带毒环境)

　如果是发现了CIH的，要注意不能完全按平时报刊和手册建议的措施，先关机、冷启动用系统盘来引导再杀毒，应在带毒的环境下也运行一次专杀CIH的软件。这样做，杀毒软件可能会报告某些文件在受读写保护无法清理，但带毒运行的实际目的不在于完全清除，而是在于把CIH下次开机时候的破坏减到最低，以防它再次开机破坏主板的BIOS硬件，那么就会黑屏，让你的下一步杀毒无法进行。

　四、需要干净的DOS启动盘和DOS下面进行杀毒

　到现在，就应该按很多杀毒软件的标准手册去按步就班地做，即关机后冷启动，用一张干净的DOS启动盘引导是不能少的了;另外由于中毒后可能windows已经被破坏了部分关键文件，会频繁地非法操作，所以windows下的杀毒软件可能会无法运行。所以请你也准备一个DOS下面的杀毒软件来以防万一。

　即使能在windows下运行杀毒软件的，也请用两种以上工具交叉清理。在多数情况下windows可能要重装，因为会破坏掉一部分文件让系统变慢或出现频繁的非法操作。比如即使杀了CIH，微软的outlook邮件程序也是反应较慢的。建议不要对某种杀毒软件带偏见，由于开发时候侧重点不同、使用的杀毒引擎不同，各种杀毒软件都是有自己的长处和短处的，交叉使用效果较理想。

　五、如果有Ghost和分区表、引导区的备份，用之来恢复一次最保险

　如果你在平时作了windows的Ghost备份，用之来镜像一次，得到的操作系统是最保险的。这样连潜在的未杀光的木马程序也顺便清理了，当然，这要求你的GHOST备份是绝对可靠的，呵呵，要是作Ghost的时候把木马也“备份”了就……

　六、再次恢复系统后，更改你的网络相关密码

　包括登录网络的用户名、密码，邮箱的密码和QQ的等等，防止黑客已经在上次入侵过程中知道了你的密码。另外因为很多蠕虫发作会向外随机发送你的信息，所以适当的更改是必要的。

经侦取证会调查哪些人

法律分析：

一、询问被害人，收集被害人对涉案信息取了合理保密措施的证据以及涉密信息具有价值性的证据。侦查机关在接到报案或是发现案情后，首先向被害人了解案件基本情况，掌握被侵犯的商业秘密的大致情况，要求被害人提供相关资料，以明确该案的涉案信息。其次，收集犯罪嫌疑人的基本信息以及与被害人的关系方面的资料。此外，侦查机关还会收集被害人对涉案信息取了合理保密措施的证据，包括被害人对涉密信息在内的信息取的保密管理制度，可以是保密协议、保密管理制度条例及其执行记录、对涉密信息的具体保密措施等。涉密信息具有价值性的证据通常为被害人掌握，侦查机关应收集涉案信息给被害人带来经济利益、具有实用性的证明材料，例如涉案信息转让合同、涉案信息用于盈利产品生产的证明材料等。二、询问证人，收集证人证言。在被害人提出或有关人员愿意指证的情形时，及时向证人了解案情。由于侵犯商业秘密罪的行为方式大多具有隐蔽性的特点，一般人员不易了解到其犯罪行为。但是一些内部人员如技术人员、涉密信息场所保卫人员等都可能掌握有关案件线索，包括犯罪嫌疑人、作案时间和作案方式等方面的信息，这对于案件的侦查是很重要帮助作用。以上证人证言对于证明涉案信息具有秘密性和管理性起直接证明的作用。三、勘验检查犯罪现场，收集和固定书证、物证和电子证据,商业秘密本身作为一种无形的信息，其必须借助一定的载体而存在。侵犯商业秘密的行为，大多对信息载体实施，例如将保险柜撬开、将涉密信息的文件窃走、对信息进行拍照复制、将商业秘密信息通过电子邮件发送出去或者拷入电脑等。这些行为一般都会留下犯罪痕迹，同时有些证据对于证明商业秘密构成要件有重要的意义。例如，标有保密标志的文件被拆封，文件上留存的犯罪嫌疑人的指纹，涉密信息的密码程序被破解，计算机日志文件记录下来的破解过程记录等。这些被破坏的保密措施一方面表明犯罪人实施了犯罪行为，另一方面还可以证明权利人为保守其商业秘密已经取了一定保密措施，籍以证明涉案信息符合商业秘密的管理性特征。侦查机关除了收集传统的书证、物证，做好犯罪现场的勘验检查记录外，还应利用计算机、网络技术侵犯商业秘密犯罪的证据收集，扣押可能存储了涉案信息复制件的光盘、硬盘，对犯罪嫌疑人在作案期间的电子邮件等计算机通信工具应进行检查，收集相关通信记录和发送接受的涉案信息，如果发现有涉案信息的，通知网络服务者协助给予隔离、收集证据。

法律依据：

《中华人民共和国刑事诉讼法》 第八十一条 对有证据证明有犯罪事实，可能判处徒刑以上刑罚的犯罪嫌疑人、被告人，取取保候审尚不足以防止发生下列社会危险性的，应当予以逮捕：(一)可能实施新的犯罪的;(二)有危害国家安全、公共安全或者社会秩序的现实危险的;(三)可能毁灭、伪造证据，干扰证人作证或者串供的;(四)可能对被害人、举报人、控告人实施打击报复的;(五)企图自杀或者逃跑的。对有证据证明有犯罪事实，可能判处十年有期徒刑以上刑罚的，或者有证据证明有犯罪事实，可能判处徒刑以上刑罚，曾经故意犯罪或者身份不明的，应当予以逮捕。被取保候审、监视居住的犯罪嫌疑人、被告人违反取保候审、监视居住规定，情节严重的，可以予以逮捕。

衍生问题：

经侦调查期间会抓人吗

内容：

经侦调查期间会抓人吗

公安机关进行经济侦查期间，如果符合条件的，可以对犯罪嫌疑人进行刑事拘留或者逮捕等的强制措施。

法律依据：《中华人民共和国刑事诉讼法》第八十一条 对有证据证明有犯罪事实，可能判处徒刑以上刑罚的犯罪嫌疑人、被告人，取取保候审尚不足以防止发生下列社会危险性的，应当予以逮捕：

(一)可能实施新的犯罪的；

(二)有危害国家安全、公共安全或者社会秩序的现实危险的；

(三)可能毁灭、伪造证据，干扰证人作证或者串供的；

(四)可能对被害人、举报人、控告人实施打击报复的；

(五)企图自杀或者逃跑的。

对有证据证明有犯罪事实，可能判处十年有期徒刑以上刑罚的，或者有证据证明有犯罪事实，可能判处徒刑以上刑罚，曾经故意犯罪或者身份不明的，应当予以逮捕。

被取保候审、监视居住的犯罪嫌疑人、被告人违反取保候审、监视居住规定，情节严重的，可以予以逮捕。

电脑开机出现sinalive这个程序

NMGameX - NMGameX.dll - DLL文件信息

DLL 文件： NMGameX 或者 NMGameX.dll

DLL 名称： SinaLive

描述：

NMGameX.dll是新浪iGame相关文件，如果你不了解该软件，建议立即删除。

属于： Sina

系统 DLL文件： 否

常见错误： File Not Found, Missing File, Exception Errors

安全等级 (0-5): 3

间谍软件： 是

广告软件： 否

处理方法：

nmgamex.dll是在访问“新浪游戏总动园 ”（://igame.sina.cn/）时生成的，这是新浪利用了系统漏洞传播的一个类似于的小插件。产生名为“NMGameX.dll”，“sinaproc327.exe”，“c srss.exe”三个常驻文件，并且在系统启动项中自动加载。也就是说，如果你不处理这两个文件，就会自动在桌面产生一个名为 “新浪游戏总动园”的快捷方式。不仅仅如此，新浪还将“NMGameX.dll”文件与系统启动文件“rundll32.exe ”进行绑定,并且伪造系统文件“csrss.exe”，产生一个同名的文件与系统绑定加载到系统启动项内，无法直接关闭系统进程后删除。可能是无意中删除了该文件，所以导致每次启动时都会出现“加载NMGameX.dll时出错”的提示。类似的文件可能还有sinaproc327.exe。

解决方法：点击“开始”→“运行”，输入“regedit”回车，进入注册表编辑器，按F3 键，输入“nmgamex.dll” 回车，每找到一条就删除该名称所在项（而不是只删除字符串，例如，如果找到“C:\WINNT\system32\Rundll 32.exe NMGameX.dll”，就要将该行删除掉），直到全部搜索修改完毕。重新启动后如果还是出现你所描述的提示信息，那就再进入注册表编辑器，分别依次展开

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion ＼Run

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion ＼RunOnce

HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼ Run

找到其中包含NMGameX.dll和csrss.exe的键值，然后删除所在行的项目。一般可能的键值为：“C:\WINNT \system32\Rundll32.exe NMGameX.dll,LiveProcess/aa”和“C:\WINNT\csrss.exe”。

删除方法：首先修改注册表，关闭名为启动项：nmgamex.dll、csrss.exe，然后删除nmgamex.dll、s inaproc327.exe两个文件，再修改csrss.exe文件为任意一个文件名。从新启动计算机后删除修改的csrss .exe文件。

本人计算机为WIN2K操作系统，其动项键值如下：

一：启动名称为：nmgamex_autorun 类型：REG_SZ 键值：C:\WINNT\system32\Rundll32.exe NMGameX.dll,LiveProcess/aa

二：启动名称为：csrss.exe 类型：REG_SZ 键值：C:\WINNT\csrss.exe

文件所在目录：

csrss.exe c:\winnt\csrss.exe; 正确的系统文件目录为：c:\winnt\system32\csrss.exe;

cctv5.exe c:\cctv5.exe;

sinaproc327.exe c:\winnt\system32\sinaproc327.exe;

NMWizardA14.exe c:\winnt\NMWizardA14.exe

nmgamex.dll c:\winnt\system32\nmgamex.dll

世界电脑十大是什么？

一、ANI “ANI毒”变种b是一个利用微软Windows系统ANI文件处理漏洞(MS07-017)进行传播的网络蠕虫。“ANI毒”变种b运行后，自我复制到系统目录下。修改注册表，实现开机自启动。感染正常的可执行文件和本地网页文件，并下载大量木马程序。二、U盘 \x0d\U盘”是针对autorun.inf这样的自动播放文件的蠕虫。autorun.inf文件一般存在于U盘、MP3、移动硬盘和硬盘各个分区的根目录下，当用户双击U盘等设备的时候，该文件就会利用Windows系统的自动播放功能优先运行autorun.inf文件，而该文件就会立即执行所要加载的程序，从而破坏用户计算机，使用户计算机遭受损失。 \x0d\\x0d\三、熊猫烧香 \x0d\该是由“熊猫烧香”蠕虫感染之后的带毒网页，该网页会被“熊猫烧香”蠕虫注入一个iframe框架，框架内包含恶意网址引用 ，这样，当用户打开该网页之后，如果IE浏览器没有打上补丁，IE就会自动下载并且执行恶意网址中的体，此时用户电脑就会成为一个新的传播源，进而感染局域网中的其他用户计算机。 \x0d\\x0d\四、“ARP”类 \x0d\能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle” 进行ARP重定向和嗅探攻击。 用伪造源MAC地址发送ARP响应包，对ARP高速缓存机制的攻击。当局域网内某台主机运行ARP欺骗的木马程序时，会欺域网内所有主机和路由器，让所有上网的流量必须经过主机。其他用户原来直接通过路由器上网现在转由通过主机上网，切换的时候用户会断一次线。切换到主机上网后，如果用户已经登陆了服务器，那么主机就会经常伪造断线的像，那么用户就得重新登录服务器，这样主机就可以盗号了。 \x0d\\x0d\五、代理木马 \x0d\Trojan/Agent.crd是一个**用户机密信息的木马程序。“代理木马”变种crd运行后，自我复制到系统目录下，文件名随机生成。修改注册表，实现开机自启。从指定站点下载其它木马，侦听黑客指令，**用户机密信息。 \x0d\\x0d\六、网游大盗 \x0d\“网游大盗”变种hvs是一个木马程序，专门**网络游戏玩家的帐号、密码、装备等。 \x0d\\x0d\七、鞋匠 \x0d\\x0d\鞋匠”变种je是一个广告程序，可弹出大量广告信息，并在被感染计算机上下载其它。“鞋匠”变种je运行后，在Windows目录下创建文件。修改注册表，实现开机自启。自我注册为服务，服务的名称随机生成。侦听黑客指令，连接指定站点，弹出大量广告条幅，用户一旦点击带毒广告，立即在用户计算机上安装其它。 \x0d\\x0d\八、广告泡泡 \x0d\广告泡泡”变种e是一个广告程序，用RootKit等底层技术编写，一旦安装，很难卸载彻底。该程序会在C:\Program Files\MMSAssist下释放出文件。在后台定时弹出广告窗口，占用系统，干扰用户操作。 \x0d\\x0d\九、埃德罗 \x0d\“埃德罗”变种ad是一个广告程序，在被感染计算机上强制安装广告。 \x0d\\x0d\十、IstBar脚本 \x0d\\x0d\“IstBar脚本”变种t是一个用JaScript语言编写的木马下载器。“IstBar脚本”变种t运行后，在用户的计算机中强行安装IstBar工具条，造成用户系统变慢，自动弹出广告，强行锁定用户的IE首页等等。