的蠕蟲病毒,它能感染系統中exe,com,pif,src,html
,asp等文件,它還能中止大量的反病毒軟件進程並且會
刪除擴展名為gho的文件,該文件是壹系統備份工具GHOST
的備份文件,使用戶的系統備份文件丟失。
病毒行為:
這是壹個感染型的蠕蟲病毒,它能感染系統中
exe,com,pif,src,html,asp等文件,
它還能中止大量的反病毒軟件進程
1:拷貝文件
病毒運行後,會把自己拷貝到
C:\WINDOWS\System32\Drivers\spoclsv.exe
2:添加註冊表自啟動
病毒會添加自啟動項
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
ntVersion\Run
svcshare -> C:\WINDOWS\System32
\Drivers\spoclsv.exe
3:病毒行為
a:每隔1秒
尋找桌面窗口,並關閉窗口標題中含有以下字符的程序
QQKav
QQAV
防火墻
進程
VirusScan
網鏢
殺毒
毒霸
瑞星
江民
黃山IE
超級兔子
優化大師
木馬克星
木馬清道夫
QQ病毒
註冊表編輯器
系統配置實用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
esteem proces
綠鷹PC
密碼防盜
噬菌體
木馬輔助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
遊戲木馬檢測大師
msctls_statusbar32
pjf(ustc)
IceSword
並使用的鍵盤映射的方法關閉安全軟件IceSword
添加註冊表使自己自啟動
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
ntVersion\Run
svcshare -> C:\WINDOWS\System32
\Drivers\spoclsv.exe
並中止系統中以下的進程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
b:每隔18秒
點擊病毒作者指定的網頁,並用命令行檢查系統中是否存
在***享
***存在的話就運行net share命令關閉admin$***享
c:每隔10秒
下載病毒作者指定的文件,並用命令行檢查系統中是否存
在***享
***存在的話就運行net share命令關閉admin$***享
d:每隔6秒
刪除安全軟件在註冊表中的鍵值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr
entVersion\Run
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
YLive.exe
yassistse
並修改以下值不顯示隱藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr
entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue -> 0x00
刪除以下服務:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
e:感染文件
病毒會感染擴展名為exe,pif,com,src的文件,把自己附加
到文件的頭部
並在擴展名為htm,html, asp,php,jsp,aspx的文件中添加
壹網址,
用戶壹但打開了該文件,IE就會不斷的在後臺點擊寫入的
網址,達到
增加點擊量的目的,但病毒不會感染以下文件夾名中的文
件:
WINDOW
Winnt
System Volume Information
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
g:刪除文件
病毒會刪除擴展名為gho的文件,該文件是壹系統備份工具
GHOST的備份文件
使用戶的系統備份文件丟失.
10.怎樣預防熊貓燒香
最近那個熊貓燒香病毒讓所有用電腦的人很生氣,熊
貓這個國寶似乎不再可愛,而成了人人喊打的過街老鼠。
熊貓變種實在太多,中招後的損失很嚴重,殺毒軟件壹直
在救火中。以下幾招很簡單易行,幫妳預防熊貓燒香病毒
,至少能明顯減少妳中招的幾率。
1.立即檢查本機administrator組成員口令,壹定放
棄簡單口令甚至空口令,安全的口令是字母數字特殊字符
的組合,自己記得住,別讓病毒猜到就行。修改方法,右
鍵單擊我的電腦,選擇管理,瀏覽到本地用戶和組,在右
邊的窗格中,選擇具備管理員權限的用戶名,單擊右鍵,
選擇設置密碼,輸入新密碼就行。
2.利用組策略,關閉所有驅動器的自動播放功能。
步驟:單擊開始,運行,輸入gpedit.msc,打開組策
略編輯器,瀏覽到計算機配置,管理模板,系統,在右邊
的窗格中選擇關閉自動播放,該配置缺省是未配置,在下
拉框中選擇所有驅動器,再選取已啟用,確定後關閉。最
後,在開始,運行中輸入gpupdate,確定後,該策略就生
效了。
3.修改文件夾選項,以查看不明文件的真實屬性,
避免無意雙擊騙子程序中毒。
步驟:打開資源管理器(按windows徽標鍵+E),點
工具菜單下文件夾選項,再點查看,在高級設置中,選擇
查看所有文件,取消隱藏受保護的操作系統文件,取消隱
藏文件擴展名。
4.時刻保持操作系統獲得最新的安全更新,建議用
毒霸的漏洞掃描功能,汗,很可惜,現在光纜還沒修好,
網不通,不好修復。
5.啟用windows防火墻保護本地計算機。
2)Logo1_.exe
Logo1_ - Logo1_.exe - 進程信息
進程文件:Logo1_ 或者 Logo1_.exe
進程名稱: Worm.Win32.Viking.j
描述:
Logo1_.exe是Worm.Win32.Viking.j木馬相關程序,病毒
中文名叫維金。建議立即刪除。
相關文件是rundl132.exe,會感染exe文件,殺掉後即使
重裝系統點擊感染文件也會重生,經常藏在c盤windows目
錄下。
被感染的exe文件特征:被更改圖標,病毒文件本身也會
改為被感染文件圖標。
屬於: Worm.Win32.Viking.j
系統進程: 否
後臺程序: 否
使用網絡: 否
硬件相關: 否
常見錯誤: 未知N/A
內存使用: 未知N/A
安全等級 (0-5): 2
間諜軟件: 否
廣告軟件: 否
病毒: 是
木馬: 是
主要癥狀:
1、占用大量網速,使機器使用變得極慢。
2、會捆綁所有的exe文件,只要壹運用應用程序,在
winnt下的logo1.exe圖標就會相應變成應用程序圖標。
3、有時還會時而不時地彈出壹些程序框,有時候應用程
序壹起動就出錯,有時候起動了就被強行退出。
4、網吧中只感梁win2k pro版,server版及xp系統都不感
染。
5、能繞過所有的還原軟件。
詳細技術信息:
病毒運行後,在%windir%生成 logo1_.exe 同時會在
windws根目錄生成壹個名為virdll.dll的文件。
%windir%virdll.dll
該蠕蟲會在系統註冊表中生成如下鍵值:
[hkey_local_machinesoftwaresoftdownloadwww]
auto = 1
盜取密碼
病毒試圖登陸並盜取被感染計算機中網絡遊戲傳奇2
的密碼,將遊戲密碼發送到該木馬病毒的植入者手中。
阻止以下殺毒軟件的運行
病毒試圖終止包含下列進程的運行,這些多為殺毒軟
件的進程。 包括卡八斯基,金山公司的毒霸。瑞星等。
98%的殺毒軟件運行。國產軟件在中毒後都被病毒殺死,
是病毒殺掉-殺毒軟件。如金山,瑞星等。哪些軟件可以
認出病毒。但是認出後不久就陣亡了。通過寫入文本信息
改變%system%driversetchosts 文件。這就意味著,當受
感染的計算機瀏覽許多站點時(包括眾多反病毒站點),
瀏覽器就會重定向到66.197.186.149。
病毒感染運行windows操作系統的計算機,並且通過
開放的網絡資源傳播。壹旦安裝,蠕蟲將會感染受感染計
算機中的.exe文件。該蠕蟲是壹個大小為82k的windows
pe可執行文件。通過本地網絡傳播該蠕蟲會將自己復制到
下面網絡資源:
admin$
ipc$
癥狀
蠕蟲會感染所有.exe的文件。但是,它不會感染路徑中包
含下列字符串的文件:
program files
common files
complus applicati
documents and settings
netmeeting
outlook express
recycled
system
system volume information
system32
windows
windows media player
windows nt
windowsupdate
winnt
蠕蟲會從內存中刪除下面列出的進程:
eghost.exe
iparmor.exe
kavpfw.exe
kwatchui.exe
mailmon.exe
ravmon.exe
z
網吧遭此病毒破壞造成大面積的卡機,癱瘓。危害程
度可以和世界排名前十的愛情後門變種相比。該病毒可以
通過網絡傳播,傳播周期為3分鐘。如果是新做的系統處
於中了毒的網絡環境內,只要那個機器壹上網,3分鐘內
必定中招。中招後妳安裝 rising skynet symantec
mcafee gate rfw.exe ravmon.exe kill nav 等殺
毒軟件 都無法補救妳的系統,病毒文件 logo1_.exe 為
主體病毒,他自動生成病毒發作所需要的的 sws32.dll
sws.dlll kill.exe 等文件。這些文件壹但衍生。他將迅
速感染系統內explore 等系統核心進程 及所以.exe
的可執行文件,外觀典型表現癥狀為 傳奇 ,泡泡堂,等
遊戲圖標變色。 此時系統資源可用率極低,妳每重新啟
動壹次,病毒就會發作壹次。
該病毒對於防範意識較弱,還原軟件未能及時裝到位
的網吧十分致命,其網絡傳播速度十分快捷有效。舊版的
殺毒軟件無法檢測,新版的無法徹底根殺。壹但網吧內某
臺機器中了此病毒,那麽該網吧所有未中毒的機器都處於
危險狀態。由於病毒發作貯留於內存。且通過
explore.exe 進行傳播。因此即使是裝了還原精靈,還原
卡的機器也同樣會被感染。妳重新啟動後系統可以還原。
但是妳壹但開機還是會被感染。病毒發作會生成另外病毒
pwsteal.lemir.gen 和 trojan.psw.lineage 等等。都是
些非常厲害的後門程序。和外掛病毒相似,但是其威力是
外掛病毒的50倍以上。在win98平臺下,改病毒威害比較
小。在win2000 /xp/2003平臺對於網吧系統是致命的。運
行系統極度卡機。妳重新啟動後妳會發現妳所有遊戲
的.exe 程序全部都感染了最新殺毒軟件殺完後。除了系
統可以勉強運行。其他的妳也別想運行了。
病毒清理辦法
如果在病毒沒有發作情況下殺毒是可以完全搞定的。
如果發作了也不要殺毒了。直接克盤恢復吧。
壹、找到註冊表中
[hkey_local_machinesoftwaresoftdownloadwww]
auto = 1
刪除downloadwww主鍵
二、找到
[hkey_local_machinesoftwaremicrosoftwindows
ntcurrentversioninifilemappingsystem.iniboot]
winlogo 項
把winlogo 項 後面的c:winntsws32.dll 刪掉
接下來把hkey_local_machine]
software/microsoft/windows/currentversi 鍵中
/runonce/runonceex
兩個中其中有個是也是
c:winntsws32.dll
把類似以上的全部刪掉 註意不要刪除默認的鍵值(刪了
的話後果自負)
如果沒有以上鍵值,則直接跳過此步驟
三 結束進程
按“ctrl+alt+del”鍵彈出任務管理器,找到logo1_.exe
等進程,結束進程,可以借助綠鷹的進程管理軟件處
理更方便。找到expl0rer.exe進程(註意第5個字母是數
字0不是字母o),找到它後選中它並點擊“結束進程”
以結束掉(如果expl0rer.exe進程再次運行起來需要重做
這壹步)。
四 裝殺毒軟件
裝完後不要重新啟動(切記)直接升級病毒庫,升級完後
,把c:winnt 目錄下所有帶毒文件刪除。然後運行
殺毒軟件開始殺毒。
殺完後。還有幾個殺毒軟件無法刪掉的東西要把名字記下
來。因為不同的系統有不同的名字。所以這裏說不清
楚了。自己記下來。,重新啟動後再次殺毒。記的把可疑
的進程的結束。否則殺毒軟件無法幹凈殺毒。還有最重
要的壹點記的把殺毒軟件無法清除的病毒設置為刪除文件
。壹般要重復殺毒3-5次才能殺幹凈。
五。看看殺毒後的系統。
缺少的了很多系統文件。系統處於危險狀態。如果妳
有ghost 備份。這個時候恢復壹下。系統可以幹凈無損。
如果沒有請運行 sfc 命令檢查文件系統。具體操作為 運
行-輸入cmd 命令進入dos 提示符。-輸入sfc
/scannow -- 提示放入系統光盤。--放進去吧。然後慢慢
等。看看成果。殺毒效果顯著。毒殺幹凈了。但是殺完毒
後很多遊戲都玩不了。忙了壹圈都不知道自己在忙什麽。
郁悶吧。然後重新做系統吧。誰叫中毒的是網吧的系統殺
毒及重裝系統後的防範,有些網友在處理病毒的時候可能
有這樣的感覺好不容易清除了,或者沒辦法重新裝了系統
,但是沒多長時間有中了同樣的病毒,所以說有免疫程序
實最好的了。