中科新闻网煤矿安全监控设备:我机器中病毒了!能破坏杀毒软件和防火墙!安全模式里也能启动,还原也没用!
来源:百度文库 编辑:中科新闻网 时间:2024/05/13 00:56:32
此病毒大致会破坏防火墙和杀毒软件,让后可能是注册成为服务,并且它的安装文件会隐藏到每个盘的根目录下,即使在安全模式里启动机器也会被安装,即使把他在其他盘的安装文件删掉机器做C盘的还原,还是照样会有一个刚创建在SYSTEM32文件夹里的一个大写的SVOHST.exe的隐藏文件,
也就是说目前我所知道的除了从新安装系统之外,还不知道还有什么方法可以删除他,以下是这个病毒的信息。(转下)
我也知道把硬盘格式了就能解决问题了!问题是我想彻底的了解这个病毒到底是什么病毒!这个病毒大致也就是如下:
1.注册成服务,并且是用其他的用户名登陆为网络服务。不能禁用这个服务!
2.安装之后破坏杀毒软件和防火墙.
3.在D;E;F都有他的安装文件和INF文件!安装成功后会在SYSTEM32里生成一个SVOHOST.exe 而且注册到注册表的开机启动里面,
4.安全模式下也能够随机启动这个服务,并且进行安装生成SVOHOST.exe
由于本人不是学电脑的,现在还无法找到他所有的关联文件和源文件!
希望同样对这个病毒有兴趣的人能找出个解决的办法(关闭服务,之后删除文件 让后恢复注册表 再做GOSHT都不行 这个我都试过了,最主要是D;E;F根目录下的SXS.EXE这个无法删除 删掉就又有了!
升级杀毒软件——在DOS下杀毒
关于DOS杀毒,现在大多数杀毒软件都能制作杀毒U盘,做一个就可以了
出售:正版卡巴斯基6.0杀毒软件主要是卖激活码或授权文件!需要使用到07年9月的30元~~使用到08年6月的50元!可终身在线升级的100元!保证正版可在线升级版本和病毒库!
真正需要此杀毒软件的可先联系我 我先给你个可用30天的激活码要是感觉用的好在买
联系方式:吉林省通化地区可当面交易
其他地区的出售激活码和授权文件
QQ:404151020
威金病毒?现在有 什么解决的办法吗?我的机器杀毒软件和防火墙都没发用了!安装之后都被破坏!不过卡巴在这个病毒前也基本是个废物!!除了重装系统外还有什么好办法能彻底的删除这个病毒!我看了,好象不是威金AA的变种吧!和我的情况不太一样
最近病毒很猖狂哦
不要以为重装系统就没事了
橙色(二级)安全警报
[快讯]8月3日以来,瑞星全球反病毒监测网截获到数十个“反常的”恶性病毒,它们除了有正常的危害之外,还会造成主流杀毒软件和个人防火墙无法打开,甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。
在最近48小时内,已经有数千名用户向瑞星客户服务中心求助。瑞星反病毒专家分析,可能有病毒编写者或者黑客组织,有计划地在各种流行病毒中加载了反杀毒软件的程序,掀起这场针对主流杀毒软件的“战争”。目前瑞星已经截获了近40个该类病毒,预计近段时间该类病毒数量还会继续增加。
据瑞星反病毒专家介绍,这些病毒包括“传奇终结者(Trojan.PSW.LMir)”、“QQ游戏木马(Trojan.PSW.QQGame)”、“QQ盗贼(Trojan.PSW.QQRobber)”以及“密西木马(Trojan.PSW.Misc)等病毒的最新变种。这些病毒在电脑的后台运行,窃取用户的网络游戏和QQ的账号和密码,并发送给病毒制造者。
这些新的变种病毒有一个共同的特征,即专门针对主流杀毒软件进行破坏。当病毒发现用户正在使用杀毒软件时,会自动将它们关闭,使用户无法杀毒。同时,某些病毒还会造成杀毒软件查毒时系统蓝屏或自动重启。专家介绍说,此前曾截获过类似的病毒,但大量针对杀毒软件的病毒同时出现还属首次。
针对此类病毒,瑞星杀毒软件2006版已经升级至18.38.42版,请广大用户及时更新杀毒软件到最新版本,并打开“文件”、“注册表”、“内存”等全部八项实时监控进行防范。已感染此类病毒的用户可以登录http://help.rising.com.cn,通过“在线专家门诊”寻求远程救助,也可拨打反病毒急救电话:010-82678800寻求帮助。
针对没有安装瑞星杀毒软件的用户,瑞星反病毒工程师已制作了免费的专杀工具,并已于8月5日下午发布,请用户尽早下载使用,以免使计算机遭到病毒攻击。
橙色八月专用提取清除工具免费下载
(注:该等级警报为2006年度首次发布)
8月3日以来,瑞星全球反病毒监测网截获到数十个“反常的”恶性病毒,它们除了有正常的危害之外,还会造成主流杀毒软件和个人防火墙无法打开,甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。这些病毒包括“传奇终结者(Trojan.PSW.LMir)”、“QQ通行证(Trojan.PSW.QQPass)”以及“密西木马(Trojan.PSW.Misc)”等病毒的最新变种。瑞星已发布今年首次橙色(二级)安全警报,提醒广大用户警惕此类病毒。
针对此类病毒,可用简单的三个方法对它们进行识别:
第一招
打开“我的电脑”,选择菜单“工具”-》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,同时取消掉“隐藏已知文件类型的扩展名”前的对勾,然后点击“确定”。
进入C:\windows\system32目录下(Windows2000系统为C:\WINNT目录),若发现有名为“command”、“dxdiaq.com”、“finder.com”、“MSCONFIG.COM”、“regedit.com”以及“rundll32.com”等文件生成,则说明是中了“密西木马(Trojan.PSW.Misc)”或其变种病毒。
第二招
点击“开始”按钮,选择“运行”,输入“regedit”并确定,启动注册表编辑器。打开“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows”项,在右边的窗口中查找AppInit_DLLs。若其值为“KB(中间六位数字)M.LOG”,如“KB896588M.LOG”、“KB235780M.LOG”、“KB75976M.LOG”等,则说明是中了新的“传奇终结者(Trojan.PSW.LMir)”及其变种病毒。
第三招
同时按下键盘CTRL+ALT+DEL键,或右键点击任务栏,选择“任务管理器”。单击“进程”标签。如果找到名为“SVOHOST.EXE”的进程,则说明已感染了“QQ通行证(Trojan.PSW.QQPass)”病毒或其变种。
若发现感染病毒可登陆瑞星网站下载免费的专杀工具进行查杀http://it.rising.com.cn/Channels/Service/2006-08/1154786729d36873.shtml
有可能是赛文.(看第8条) 国家计算机病毒应急处理中心通过对互联网的监测,于2003年9月18日晚发现一个新型的蠕虫病毒,经分析证实该病毒已在我国出现,并将病毒命名为“赛文”(Worm_Swen.A)。
病毒可以通过电子邮件,KaZaA(点对点传播软件), IRC(Internet在线聊天系统),网络共享多种途径进行传播等。病毒运行时将自己伪装成一封微软升级邮件,并搜索计算机内所有有效的邮件地址向外发送病毒邮件。同时,还试图破坏系统中正在运行的反病毒软件及个人防火墙。
目前,国内已有一些用户受到感染,国家计算机病毒应急处理中心在这里提醒广大用户,立即升级杀毒软件,并启动“实时监控”功能,做好病毒的防范工作。
有关该病毒分析报告如下:
病毒名称:“赛文”(Worm_Swen.A)
病毒类型:蠕虫
病毒长度:106,496字节
影响系统:Win 95/98/ NT/2000/Me/XP
病毒特征:
该病毒同样利用了微软很久之前公布的一个漏洞,有关该漏洞的详细信息请参见http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp 。
该病毒使用C++编写的。
病毒可以通过多种途径进行传播,包括电子邮件,KaZaA(点对点传播软件), IRC(Internet在线聊天系统),网络共享等。
病毒运行时将自己伪装成一封微软升级邮件,并搜索计算机内所有有效的邮件地址向外发送病毒邮件。同时,还试图破坏系统中正在运行的反病毒软件及个人防火墙。
1、生成病毒文件
病毒运行后,会出现一个对话框,出现一个提示框,假装是MAPI32 Exception出错,并要求用户输入“邮件地址”、“用户名”、“口令”、“POP3”、“SMTP”等信息。同时,在Windows目录下生成随机的文件名称的exe文件。
注意:其中Windows目录在Windows 95/98/Me/XP下为C:\Windows,Windows 95/98/Me/XP下为 C:\Winnt
病毒还在Windows目录下生成下列文件
<computer name>.bat
<random name>.<random extension>
Germs0.dbv ——存放在被感染计算机中搜索到的Email地址
Germs1d.dbv——存放在被感染计算机中搜索到的Email地址
Swen1.dat——存放Mail服务器列表
2、自启动技术
病毒对注册表进行修改,已达到随系统启动而自动运行的目的
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
<random value> = "<random filename>.exe autorun"
其中random filename是在Windows目录下生成的病毒文件的名称。
3、修改注册表中的文件关联
病毒修改.exe、.reg、.scr、.com、.bat、.pif文件的关联,在此之后,每次运行上述六种类型的文件时,病毒程序也就运行了
HKEY_LOCAL_MACHINE\CLASSES\exefile\shell\open\command
HKEY_LOCAL_MACHINE\CLASSES\regfile\shell\open\command
HKEY_LOCAL_MACHINE\CLASSES\scrfile\shell\open\command
HKEY_LOCAL_MACHINE\CLASSES\comfile\shell\open\command
HKEY_LOCAL_MACHINE\CLASSES\batfile\shell\open\command
HKEY_LOCAL_MACHINE\CLASSES\piffile\shell\open\command
4、对注册表的其它修改
病毒修改注册表,使得用户在此之后运行注册表程序时出现错误信息,它将
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
中的"DisableRegistryTools" = "0"修改为"DisableRegistryTools" = "1"
病毒修改注册表,在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\下添加下列键值,存储病毒的一些数据
"CacheBox Outfit"="yes"
"Install Item"="<随机>"
"Installed"="...by Begbie"
"ZipName"="<随机>"
"Mirc Install Folder"="<mIRC在系统中存放用户的路径>"
"Unfile"="<随机>.wgt"
5、通过电子邮件进行传播
病毒通过邮件传播时其主题、内容、附件名称以及发送者的邮件地址都是随机变化的。该病毒运行时会将自己伪装成一封微软的升级邮件,诱骗用户打开邮件运行病毒。并搜索被感染计算机中所有目录下的.dbx、.eml、.mbx和.wab文件中的邮件地址,并向这些地址发送染毒的电子邮件。
6、通过网络共享传播
病毒通过网络共享传播,并尝试将病毒文件拷贝到以下文件夹中
\Windows\Start Menu\Programs\Startup
\Documents and Settings\<Infected Computer Name>\Start menu\Programs\Startup
\Winnt\Profiles\\Start Menu\Programs\Startup
7、其它传播途径
病毒还可以通过KaZaA(点对点传播软件), IRC(Internet在线聊天系统)和新闻组进行传播。
8、终止反病毒软件和防火墙的运行
病毒会终止多家反病毒软件和防火墙的运行,从而使用户电脑的失去最基本的安全防护。
截至到目前,瑞星公司、江民公司已经提出针对该病毒的解决方案,并进行了产品的升级
楼主,你惨了!!!!!!!!!!!!!!!!!!这个是新出的"qq通行证"木马,下面是瑞星的详细报道http://it.rising.com.cn/Channels/Info/Virus/2006-08-07/1154935343d36920.shtml,专杀工具下载http://it.rising.com.cn/Channels/Service/2006-08/1154786729d36873.shtml,小心楼主,这个病毒会盗q,快去下载专杀软件到安全模式里把它给杀掉,祝你好运!!!!!!!!!!!!!!