中了病毒虚拟艺术
最近好多人中了一种叫做 虚拟艺术.exe 的病毒,瑞星和360现在都无法查杀,而且目前尚没有专杀工具。 病毒名称:Worm.Win32.AutoRun.djf 文件大小:73728字节 病毒类型:蠕虫 影响的平台:WIN9X/ME/NT/2000/XP/2003 中毒表现: 系统速度变慢,尤其是上网;开机之后没有桌面,运行“任务管理器——文件——新建任务——explorer.exe”会提示出错;插入U盘之后,根目录下立即生成“虚拟艺术.exe”文件。(即使U盘有病毒免疫文件AutoRun.inf也会照样会生成这个文件) 此病毒运行后创建以下文件: C:\Program Files\Internet Explorer\LSASS.EXE C:\Program Files\Internet Explorer\SERVICES.EXE C:\WINDOWS\explorer.exe252736389636993(桌面文件更改了文件后缀名) C:\WINDOWS\explorer.exe(这个是病毒生成的文件,正常文件已经被转移)在每个盘符根目录下生成 AUTORUN.INF、 Mourn_Operator1`1.exe、 虚拟艺术.exe 并将正常的explorer.exe拷贝到C:\Program Files\Internet Explorer文件夹下 。 其中AUTORUN里面的内容为: [AUTORUN] OPEN=Mourn_Operator1`1.exe shell\open=打开(O) shell\open\command=Mourn_Operator1`1.exe shell\explore=资源管理器(X) shell\explore\command=Mourn_Operator1`1.exe 查杀方法: 方法一: 1.进入安全模式删除以下文件: C:\Program Files\Internet Explorer\LSASS.EXE C:\Program Files\Internet Explorer\SERVICES.EXE C:\WINDOWS\explorer.exe(建议使用冰刃工具在进程中结束掉这个进程,然后利用文件功能删除这个文件) 删除每个盘符根目录下的 AUTORUN.INF Mourn_Operator1`1.exe 虚拟艺术.exe。 2.重启计算机,重启计算机后回到正常模式,这时就会发现没有桌面,同时按下ctrl+shift+del三个键,调出任务管器,顺序点击文件--新建任务--浏览--选择“C:\Program Files\Internet Explorer\explorer.exe”文件,打开--确定.重启后将 C:\WINDOWS\explorer.exe252736389636993文件名称改为explorer.exe后再重启一次就可以了。 方法二: 1.重启电脑进入BIOS,将光驱设置为第一启动设备,并将WinPE光盘插入光驱,保存,退出。 2.进入PE系统之后,打开“C:\WINDOWS\”将“explorer.exe252736389636993”重命名为“explorer.exe” 3.删除“C:\AUTORUN.INF、 C:\Mourn_Operator1`1.exe、 C:\虚拟艺术.exe”(其他盘同样处理) 4.重启,从光驱取出PE光盘,这时候能够进入桌面,此时,用卡巴斯基7.0全盘查杀病毒即可完全清除病毒。
请问怎么知道哪个是病毒?木马?然后它们通常在出没在哪里?
可以在任务管理器的进程中找到
一般的正常进程有
进程名描述
* smss.exe Session Manager
* csrss.exe 子系统服务器进程
* winlogon.exe 管理用户登录
* services.exe 包含很多系统服务
* lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。
* svchost.exe Windows 2000/XP 的文件保护系统 (2000一般是2个,XP默认是4个)
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。)
* explorer.exe 资源管理器
internat.exe 托盘区的拼音图标)
mstask.exe允许程序在指定时间运行。
regsvc.exe允许远程注册表操作。(系统服务)-remoteregister
* winmgmt.exe 提供系统管理信息(系统服务)。
inetinfo.exe msftpsvc,w3svc,iisadmn
tlntsvr.exe tlnrsvr
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。
termsrv.exe termservice
dns.exe 应答对域名系统(DNS)名称的查询和更新请求。
tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。
ups.exe 管理连接到计算机的不间断电源(UPS)。
wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。
llssrv.exe证书记录服务
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。
RsSub.exe 控制用来远程储存数据的媒体。
locator.exe 管理 RPC 名称服务数据库。
lserver.exe 注册客户端许可证。
dfssvc.exe管理分布于局域网或广域网的逻辑卷。
clipsrv.exe 支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。
msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统或其它事务保护护资源管理器。
faxsvc.exe帮助您发送和接收传真。
cisvc.exe 索引服务
dmadmin.exe 磁盘管理请求的系统管理服务。
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。
netdde.exe提供动态数据交换 (DDE) 的网络传输和安全特性。
smlogsvc.exe 配置性能日志和警报。
rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功功能。
RsEng.exe 协调用来储存不常用数据的服务和管理工具。
RsFsa.exe 管理远程储存的文件的操作。
grovel.exe扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间(只对 NTFS 文件系统有用)。
SCardSvr.ex 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。
snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱(trap)消息,然后将消息传递到运行在这台计算机上 SNMP 管理程序。
UtilMan.exe 从一个窗口中启动和配置辅助工具。
msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。
* SYSTEM IDLE PROCESS 显示的是系统空闲的资源!当然是数值越高越好
* SYSTEM WINDOWS 页面内存管理进程,拥有0级优先权。没有它系统无法启动。
总结:以上打“*”的进程是2000和XP启动是必须的进程,我现在的2000系统开机登陆后就只有12个进程。发现可疑进程的秘诀就是要多看任务管理器中的进程列表,看多了以后,一眼就可以发现可可疑进程,就象找一群熟悉人中的陌生人一样。
如果还有另外的一些进程,就可能是病毒了
家用电脑刚刚中木马了,我想问电脑里的文件或程序会被对方窃取吗?
愿我的答案 能够解决您的烦忧
这个的确是可能存在的现象,可能会盗取你的信息,所以你要先立刻彻底查杀病毒,然后去修改能修改的个人信息
1,你可以用我推荐的杀软来,查杀病毒很彻底。
2,下载腾讯电脑管家“8.4”最新版,对电脑首先进行一个体检,打开所有防火墙避免系统其余文件被感染。
3,打开杀毒页面开始查杀,切记要打开小红伞引擎。
4,如果普通查杀不能解决问题,您可以打开腾讯电脑管家---工具箱---顽固木马专杀- 进行深度
扫描。
5,查杀处理完所有病毒后,立刻重启电脑,再进行一次安全体检,清除多余系统缓存文件,避免二次感染。
如果您对我的答案不满意,可以继续追问或者提出宝贵意见,谢谢
安装DAEMON TOOLS 4.12时出现的瑞星提示
我的建议一是你一定要到官网下这样的软件。如果你不是在官网下载的不是不要装了。有可能被人中上木马的。二是如果你足够肯定没有病毒就不用管提示装就行了
为什么现在这么多人中av终结者
我也中过,到网上找个资料手工杀就可以了.
-------------------------------
近日,国内各反病毒中心监测到,一种采用“映像劫持”技术的病毒正在互联网上大肆流窜,其特征为:病毒运行后,会产生一个由数字和字母随机组成的8位名称的病毒进程,并且尝试关闭多款杀毒软件、防火墙和安全工具进程,使杀毒操作极其困难。目前,金山反病毒中心将该病毒统称为“AV终结者”,瑞星反病毒中心将该病毒称为“帕虫”,江民反病毒中心将该病毒称为“U盘寄生虫”(本文都将其称为“AV终结者”)。截止到昨天,其变种数已达500多个,波及人群超过10万人。
★病毒发作时
四步可使电脑彻底崩溃
据了解,6月8日,金山毒霸发布紧急预警,“AV终结者”病毒导致大量安全软件无法正常使用,用户系统安全面临严峻威胁;短短三天之后,6月12日,“AV终结者”危害行为变得更加恶劣,杀毒软件被禁用,反病毒网站无法打开,安全模式遭破坏,格式化系统盘后病毒仍无法清除,用户电脑的安全性被大大降低,电脑内的重要信息、机密文件、网络财产等面临严峻威胁。
金山毒霸反病毒专家戴光剑表示,“AV终结者”集目前最流行的病毒技术于一身,而且破坏过程经过了严密的“策划”,普通用户一旦感染该病毒,从病毒进入电脑,到实施破坏,四步就可导致用户电脑彻底崩溃:
1.禁用所有杀毒软件及相关安全工具,让电脑失去安全保障;
2.破坏安全模式,致使用户根本无法进入安全模式清除病毒;
3.强行关闭带有病毒字样的网页,只要在网页中输入“病毒”相关字样,网页遂被强行关闭,即使是一些安全论坛也无法登录,用户无法通过网络寻求解决办法;
4.格式化系统盘重装后很容易被再次感染。
用户格式化后,只要双击其他盘符,病毒将再次运行。
此外,经过“AV终结者”的精心“策划”,用户电脑的安全防御体系被彻底摧毁,安全性几乎为零,而“AV终结者”并未就此罢手,自动连接到拥有病毒的网站,并自动下载数百种木马病毒,各类盗号木马、广告木马、风险程序用户电脑毫无抵抗力的情况下,鱼贯而来,用户的网银、网游、QQ账号密码以及机密文件都处于极度危险之中。因此提醒电脑用户目前使用电脑需慎之又慎。
★感染病毒之后
常用杀毒软件无法查杀
同时,记者从瑞星反病毒中心了解到,瑞星反病毒中心目前暂将该病毒称为“帕虫”病毒。据瑞星反病毒中心表示:“该病毒采用了多种技术手段来保护自身不被清除,例如,它会终结几十种常用的杀毒软件,如果用户使用google、百度等搜索引擎搜索‘病毒’,浏览器也会被病毒强制关闭,使得用户无法取得相关信息。尤为恶劣的是,该病毒还采用了IFEO劫持(windows文件映像劫持)技术,修改注册表,使QQ医生、360安全卫士等几十种常用软件无法正常运行,从而使得用户很难手工清除该病毒。”
此外,据瑞星反病毒专家介绍:“该病毒通过映像劫持技术,将大量杀毒软件‘绑架’,使其无法正常应用,而用户在点击相关安全软件后,实际上已经运行了病毒文件,实现病毒的“先劫持后掉包”的计划。该病毒不但可以劫持大量杀毒软件以及安全工具,而且还可禁止Windows的自更新和系统自带的防火墙,大大降低了用户系统的安全性,这也是近几年来对用户的系统安全破坏程度最大的一个病毒之一。而且该病毒还会在每个磁盘分区上建立自动运行文件(包括U盘),从而使得通过U盘传播的概率大大增加。同时,由于每个分区上都有病毒留下的文件,普通用户即使格式化C盘重装系统,也无法彻底清除该病毒。”
参考资料:http://hi.baidu.com/2007%C4%EA%BB%E1%BC%C6%B4%D3%D2%B5%B3%C9%BC%A8%5F%B2%E9%D1%AF
回答者:资源4号 - 试用期 一级 6-13 11:48
您觉得最佳答案好不好? 目前有 13 个人评价
84% (11)
15% (2)
对最佳答案的评论
http://post.baidu.com/f?kz=213385848
评论者: 蓝翼勾勒 - 经理 四级
其他回答共 9 条
http://zhuansha.duba.net/259.shtml
回答者:iq588 - 助理 三级 6-13 11:48
AV终结者分析报告及专杀工具下载2007-06-09 16:45这个病毒就是有网友提到的8位随机文件名的病毒程序。该病毒利用了IFEO重定向劫持技术,使大量的杀毒软件和安全相关工具无法运行;会破坏安全模式,使中毒用户无法在安全模式下查杀病毒;会下载大量病毒到用户计算机来盗取用户有价值的信息和某些帐号;能通过可移动存储介质传播;病毒还会关闭windows安全中心和windows防火墙,以降低系统安全性。
以下是详细分析报告,金山毒霸已经推出了病毒专杀工具,该工具同时可以帮你修复被映像劫持的注册表,在遇到其它病毒有类似现象时,也可以使用。请访问这里下载。
1.生成文件
%programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dat
C:\Program Files\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dll
%windir%\{随机8位字母+数字名字}.hlp
%windir%\Help\{随机8位字母+数字名字}.chm
也有可能生成如下文件
%sys32dir%\{随机字母}.exe
替换%sys32dir%\verclsid.exe文件
2.生成以下注册表项来达到使病毒随系统启动而启动的目的
HKEY_CLASSES_ROOT\CLSID\"随机CLSID"\\InprocServer32 "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"随机CLSID" "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks "生成的随机CLSID" ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "随机字符串" "病毒文件全路径"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start dword:00000004
3.映像劫持
通过在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下添加注册表项来进行文件映像劫持,可阻止大量安全软件及系统管理软件运行,并执行病毒体。
被劫持的软件包括:
360rpt.exe;
360Safe.exe;
360tray.exe;
adam.exe;
AgentSvr.exe;
AppSvc32.exe;
autoruns.exe;
avgrssvc.exe;
AvMonitor.exe;
avp.com;
avp.exe;
CCenter.exe;
ccSvcHst.exe;
FileDsty.exe;
FTCleanerShell.exe;
HijackThis.exe;
IceSword.exe;
iparmo.exe;
Iparmor.exe;
isPwdSvc.exe;
kabaload.exe;
KaScrScn.SCR;
KASMain.exe;
KASTask.exe;
KAV32.exe;
KAVDX.exe;
KAVPFW.exe;
KAVSetup.exe;
KAVStart.exe;
KISLnchr.exe;
KMailMon.exe;
KMFilter.exe;
KPFW32.exe;
KPFW32X.exe;
KPFWSvc.exe;
KRegEx.exe;
KRepair.COM;
KsLoader.exe;
KVCenter.kxp;
KvDetect.exe;
KvfwMcl.exe;
KVMonXP.kxp;
KVMonXP_1.kxp;
kvol.exe;
kvolself.exe;
KvReport.kxp;
KVScan.kxp;
KVSrvXP.exe;
KVStub.kxp;
kvupload.exe;
kvwsc.exe;
KvXP.kxp;
KvXP_1.kxp;
KWatch.exe;
KWatch9x.exe;
KWatchX.exe;
loaddll.exe;
MagicSet.exe;
mcconsol.exe;
mmqczj.exe;
mmsk.exe;
NAVSetup.exe;
nod32krn.exe;
nod32kui.exe;
PFW.exe;
PFWLiveUpdate.exe;
QHSET.exe;
Ras.exe;
Rav.exe;
RavMon.exe;
RavMonD.exe;
RavStub.exe;
RavTask.exe;
RegClean.exe;
rfwcfg.exe;
RfwMain.exe;
rfwProxy.exe;
rfwsrv.exe;
RsAgent.exe;
Rsaupd.exe;
runiep.exe;
safelive.exe;
scan32.exe;
shcfg32.exe;
SmartUp.exe;
SREng.exe;
symlcsvc.exe;
SysSafe.exe;
TrojanDetector.exe;
Trojanwall.exe;
TrojDie.kxp;
UIHost.exe;
UmxAgent.exe;
UmxAttachment.exe;
UmxCfg.exe;
UmxFwHlp.exe;
UmxPol.exe;
UpLive.EXE.exe;
WoptiClean.exe;
zxsweep.exe;
4.修改以下注册表,导致无法显示隐藏文件
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Hidden dword:00000002
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue dword:00000000
5、修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess Start dword:00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv Start dword:00000004
6.删除以下注册表项,使用户无法进入安全模式
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_CURRENT_USER\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
7.连接网络下载病毒
hxxp://www.webxxx.com/xxx.exe
8.关闭杀毒软件实时监控窗口,如瑞星、卡巴,通过自动点击"跳过"按钮来逃过查杀
9.尝试关闭包含以下关键字窗口
Anti
AgentSvr
CCenter
Rsaupd
SmartUp
FileDsty
RegClean
360tray
360safe
kabaload
safelive
KASTask
KPFW32
KPFW32X
KvXP_1
KVMonXP_1
KvReport
KvXP
KVMonXP
nter
TrojDie
avp.com
KRepair.COM
Trojan
KvNative
Virus
Filewall
Kaspersky
JiangMin
RavMonD
RavStub
RavTask
adam
cSet
PFWliveUpdate
mmqczj
Trojanwall
Ras.exe
runiep.exe
avp.exe
PFW.exe
rising
ikaka
.duba
kingsoft
木马
社区
aswBoot
...
10.注入Explorer.exe和TIMPlatform.exe反弹连接,以逃过防火墙的内墙的审核。
11.隐藏病毒进程,但是可以通过结束桌面进程显示出来
12.在硬盘分区生成文件:autorun.inf 和 随机字母+数字组成的病毒复制
回答者:yuwei7883 - 江湖豪侠 十一级 6-13 11:48
这个病毒就是有网友提到的8位随机文件名的病毒程序。该病毒利用了IFEO重定向劫持技术,使大量的杀毒软件和安全相关工具无法运行;会破坏安全模式,使中毒用户无法在安全模式下查杀病毒;会下载大量病毒到用户计算机来盗取用户有价值的信息和某些帐号;能通过可移动存储介质传播;病毒还会关闭windows安全中心和windows防火墙,以降低系统安全性。
以下是详细分析报告,金山毒霸已经推出了病毒专杀工具,该工具同时可以帮你修复被映像劫持的注册表,在遇到其它病毒有类似现象时,也可以使用。请访问这里下载。
1.生成文件
%programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dat
C:\Program Files\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dll
%windir%\{随机8位字母+数字名字}.hlp
%windir%\Help\{随机8位字母+数字名字}.chm
也有可能生成如下文件
%sys32dir%\{随机字母}.exe
替换%sys32dir%\verclsid.exe文件
2.生成以下注册表项来达到使病毒随系统启动而启动的目的
HKEY_CLASSES_ROOT\CLSID\"随机CLSID"\\InprocServer32 "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"随机CLSID" "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks "生成的随机CLSID" ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "随机字符串" "病毒文件全路径"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start dword:00000004
3.映像劫持
通过在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下添加注册表项来进行文件映像劫持,可阻止大量安全软件及系统管理软件运行,并执行病毒体。
被劫持的软件包括:
360rpt.exe;
360Safe.exe;
360tray.exe;
adam.exe;
AgentSvr.exe;
AppSvc32.exe;
autoruns.exe;
avgrssvc.exe;
AvMonitor.exe;
avp.com;
avp.exe;
CCenter.exe;
ccSvcHst.exe;
FileDsty.exe;
FTCleanerShell.exe;
HijackThis.exe;
IceSword.exe;
iparmo.exe;
Iparmor.exe;
isPwdSvc.exe;
kabaload.exe;
KaScrScn.SCR;
KASMain.exe;
KASTask.exe;
KAV32.exe;
KAVDX.exe;
KAVPFW.exe;
KAVSetup.exe;
KAVStart.exe;
KISLnchr.exe;
KMailMon.exe;
KMFilter.exe;
KPFW32.exe;
KPFW32X.exe;
KPFWSvc.exe;
KRegEx.exe;
KRepair.COM;
KsLoader.exe;
KVCenter.kxp;
KvDetect.exe;
KvfwMcl.exe;
KVMonXP.kxp;
KVMonXP_1.kxp;
kvol.exe;
kvolself.exe;
KvReport.kxp;
KVScan.kxp;
KVSrvXP.exe;
KVStub.kxp;
kvupload.exe;
kvwsc.exe;
KvXP.kxp;
KvXP_1.kxp;
KWatch.exe;
KWatch9x.exe;
KWatchX.exe;
loaddll.exe;
MagicSet.exe;
mcconsol.exe;
mmqczj.exe;
mmsk.exe;
NAVSetup.exe;
nod32krn.exe;
nod32kui.exe;
PFW.exe;
PFWLiveUpdate.exe;
QHSET.exe;
Ras.exe;
Rav.exe;
RavMon.exe;
RavMonD.exe;
RavStub.exe;
RavTask.exe;
RegClean.exe;
rfwcfg.exe;
RfwMain.exe;
rfwProxy.exe;
rfwsrv.exe;
RsAgent.exe;
Rsaupd.exe;
runiep.exe;
safelive.exe;
scan32.exe;
shcfg32.exe;
SmartUp.exe;
SREng.exe;
symlcsvc.exe;
SysSafe.exe;
TrojanDetector.exe;
Trojanwall.exe;
TrojDie.kxp;
UIHost.exe;
UmxAgent.exe;
UmxAttachment.exe;
UmxCfg.exe;
UmxFwHlp.exe;
UmxPol.exe;
UpLive.EXE.exe;
WoptiClean.exe;
zxsweep.exe;
4.修改以下注册表,导致无法显示隐藏文件
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Hidden dword:00000002
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue dword:00000000
5、修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess Start dword:00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv Start dword:00000004
6.删除以下注册表项,使用户无法进入安全模式
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_CURRENT_USER\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
7.连接网络下载病毒
hxxp://www.webxxx.com/xxx.exe
8.关闭杀毒软件实时监控窗口,如瑞星、卡巴,通过自动点击"跳过"按钮来逃过查杀
9.尝试关闭包含以下关键字窗口
Anti
AgentSvr
CCenter
Rsaupd
SmartUp
FileDsty
RegClean
360tray
360safe
kabaload
safelive
KASTask
KPFW32
KPFW32X
KvXP_1
KVMonXP_1
KvReport
KvXP
KVMonXP
nter
TrojDie
avp.com
KRepair.COM
Trojan
KvNative
Virus
Filewall
Kaspersky
JiangMin
RavMonD
RavStub
RavTask
adam
cSet
PFWliveUpdate
mmqczj
Trojanwall
Ras.exe
runiep.exe
avp.exe
PFW.exe
rising
ikaka
.duba
kingsoft
木马
社区
aswBoot
...
10.注入Explorer.exe和TIMPlatform.exe反弹连接,以逃过防火墙的内墙的审核。
11.隐藏病毒进程,但是可以通过结束桌面进程显示出来
12.在硬盘分区生成文件:autorun.inf 和 随机字母+数字组成的病毒复制体,并修改“NoDriveTypeAutoRun”使病毒可以随可移动存储介质传播。
邮件木马病毒是不是主要就是接收邮件后才会中毒的
木马病毒主要是一些传播木马病毒在邮件中进行转发,通过不同传播使更多人中这类病毒,胃还是很严重,如果想彻底查查这些病毒,推荐下载电脑管家,电脑管家可以使最新版本在做神马病毒通通消灭,而且还能大大提升电脑抗病毒能力。
baiduoo木马
是arp病毒,IP地址和MAC地址绑定就可以有效控制这种病毒。
建议拔掉网线安装完系统后什么也不做,不要安装软件和驱动,不要双击打开其他分区或文件夹,非得打开请使用右键打开,安装最新版的安全卫士360,查杀木马和恶意插件,打开各实时保护,包括ARP防火墙;把安装最新版的杀毒软件,进行全盘扫描。记得这期间千万别重启。
我遇到过很顽固的病毒,只要重新安装系统稍微动一下别的地方,比如打开某个文件夹,马上又完了,连杀毒软件都安不上,但我用上述方法严格防备,都能解决。马上免疫,做防护,查木马、恶意插件。
arp防火墙你用了吗,arp病毒目前没有哪个杀毒软件能杀掉的。如果你不相信是arp病毒一个变种,你可以使用arptsc(http://ftp1.lequ123.cn/arp/arptsc.rar这个地址可下载)查一下,如果报告里有这样的字样:Execute pattern count(2932), Virus found count(1),就说明有,这个工具只能查,不能有效的杀。
计算机病蠕虫病毒源代码是怎么工作的?
蠕虫病毒是一种常见的计算机病毒。它的传染机理是利用网络进行复制和传播,传染途径是通过网络、电子邮件以及U盘、移动硬盘等移动存储设备。比如2006年以来危害及大的“熊猫烧香”病毒就是蠕虫病毒的一种。蠕虫程序主要利用系统漏洞进行传播。它通过网络、电子邮件和其它的传播方式,象生物蠕虫一样从一台计算机传染到另一台计算机。因为蠕虫使用多种方式进行传播,所以蠕虫程序的传播速度是非常大的。
蠕虫侵入一台计算机后,首先获取其他计算机的IP地址,然后将自身副本发送给这些计算机.蠕虫病毒也使用存储在染毒计算机上的邮件客户端地址簿里的地址来传播程序。虽然有的蠕虫程序也在被感染的计算机中生成文件,但一般情况下,蠕虫程序只占用内存资源而不占用其它资源。蠕虫还会蚕食并破坏系统,最终使整个系统瘫痪。希望能够帮到你