这是什么病毒 -Worm.Win32.Viking.bd
您好1,您这是中了威金病毒,威金指的是病毒威金蠕虫,威金蠕虫感染Windows可执行文件,并会查找局域网中所有的共享计算机,尝试猜解它们的密码,试图感染这些计算机。该病毒还会自动在后台下载并运行“西游木马”等2,中了威金病毒,要立刻重启电脑按F8进入带网络连接的安全模式。3,因为安全模式下病毒不会自动运行,也不会自动下载木马病毒。4,然后到腾讯电脑管家官网下载一个电脑管家。5,使用电脑管家——杀毒——全盘查杀,电脑管家拥有基于“云查杀与微特征技术”的新一代电脑管家云查杀引擎和本地反病毒引擎,可以帮助您彻底将威金变种病毒彻底从您的电脑中清除。如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问,我们将尽全力为您解答疑难
"Worm.Win32.Viking.ii" 是一个什么电脑病毒????
这个就是传说中的威金病毒!
一、该病毒特点:
名 称:威金(Worm.Viking)
处理时间:2006-06-01 威胁级别:★★
病毒类型:蠕虫 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标计算机。
运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。
病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。
1、病毒运行后将自身复制到Windows文件夹下,文件名为:
%SystemRoot%\rundl132.exe
2、运行被感染的文件后,病毒将病毒体复制到为以下文件:
%SystemRoot%\logo_1.exe
3、同时病毒会在病毒文件夹下生成:
病毒目录\vdll.dll
4、病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕在被感染的文件夹中生成:
_desktop.ini (文件属性:系统、隐藏。)
5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。
6、病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"
7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序,查找到窗体后发送消息关闭该程序。
8、枚举以下杀毒软件进程名,查找到后终止其进程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
9、同时病毒尝试利用以下命令终止相关杀病毒软件:
net stop "Kingsoft AntiVirus Service"
10、发送ICMP探测数据"Hello,World",判断网络状态,网络可用时,
枚举内网所有共享主机,并尝试用弱口令连接\\IPC$、\admin$等共享目录,连接成功后进行网络感染。
11、感染用户机器上的exe文件,但不感染以下文件夹中的文件:
system
system32
windows
documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
12、枚举系统进程,尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程:
Explorer
Iexplore
找到符合条件的进程后随机注入以上两个进程中的其中一个。
13、当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序:
http://www.17**.com/gua/zt.txt 保存为:c:\1.txt
http://www.17**.com/gua/wow.txt 保存为:c:\1.txt
http://www.17**.com/gua/mx.txt 保存为:c:\1.txt
http://www.17**.com/gua/zt.exe 保存为:%SystemRoot%Sy.exe
http://www.17**.com/gua/wow.exe 保存为:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 保存为:%SystemRoot%\2Sy.exe
注:三个程序都为木马程序
14、病毒会将下载后的"1.txt"的内容添加到以下相关注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"
二、专杀工具
http://it.rising.com.cn/service/technology/RavVikiing.htm
三、删除_desktop.ini
该病毒会在每个文件夹中生成一个名为_desktop.ini的文件,一个个去删除,显然太费劲,(我的机器的操作系统因安装在NTFS格式下,所以系统盘下的文件夹中没有这个文件,另外盘下的文件夹无一幸免),因此在这里介绍给大家一个批处理命令 del d:\_desktop.ini /f/s/q/a,该命令的作用是:
强制删除d盘下所有目录内(包括d盘本身)的_desktop.ini文件并且不提示是否删除
/f 强制删除只读文件
/q 指定静音状态。不提示您确认删除。
/s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。
/a的意思是按照属性来删除了
这个命令的作用是在杀掉viking病毒之后清理系统内残留的_desktop.ini文件用的
使用方法是开始--所有程序--附件--命令提示符,键入上述命令(也可复制粘贴),首先删除D盘中的_desktop.ini,然后依此删除另外盘中的_desktop.ini。
至此,该病毒对机器造成的影响全部消除。
觉得有用的朋友们拿去试试吧
以下是我自己处理的方法:
(1)先下载好瑞星威金病毒专杀工具;
http://it.rising.com.cn/service/technology/RavVikiing.htm
(2)断开网络;
(3)处理C盘:能系统还原的就系统还原,这样节省时间,不行的就重装系统;
(4)再在安全模式下用刚才下的专杀工具清除掉C盘以外的其它盘的病毒;
(5)用全盘搜索功能(记得在高级选项里把搜索隐藏文件的选项勾上),搜索名为“_desktop.ini”的文件,搜索好后,凡是符合要求的全部删除;
(6)清除完后重启机器即可。
电脑一直出现这种病毒 Win32/Worm.a2c<蠕虫病毒>,怎么杀才有用?
您好这属于顽固木马病毒,的确是非常难以清理的您可以到腾讯电脑管家官网下载一个电脑管家然后重启电脑按F8进入带网络连接的安全模式使用电脑管家——杀毒——全盘查杀即可,电脑管家拥有基于CPU虚拟执行技术,可以彻底根除电脑中的顽固流行木马,解决电脑中毒难题。如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问,我们将尽全力为您解答疑难
Worm.Win32.VB.nk 此病毒如何解决?
病毒名:worm.win32.vb.nk
中毒情况:U盘部分office及其它文件中毒后,后缀名更改成.exe,使其你在发送给好友或者运行此文件时,电脑感染此病毒。
传播方式:U盘,网络
病毒分析:中毒后,病毒会更改电脑部分文件格式,使其成为.exe可执行文件,并且在电脑本地存在附本,至此格式化U盘也无法删除worm.win32.vb.nk病毒。
解决方法:
1:更新杀毒软件至最新(金山已经可查杀此病毒)
2:重新启动电脑,进入安全模式(开机按F8,选择第一项)
3:全盘查杀电脑及U盘
至此,worm.win32.vb.nk病毒可完全清除。
注意,在正常模式下使用杀毒软件会和文件一起删除,worm.win32.vb.nk病毒是在文件的基础上加上病毒的,使其成为.exe文件。
电脑中了worm.win32.vb.nk,CDEF盘都感染了,怎么办啊
你用瑞星查出病毒的路径和文件名,把它们记在纸上,然后断开网络,在带网络连接的安全模式下,下载冰刃或其他删除工具Wsyscheck反黑工具箱,文件强制删除工具XDelBox 1.6 最新版,文件强制删除工具unlocker1.8.5,PowerRMV文件强制删除工具,通用病毒杀灭机1[1].2版,360安全卫士下的文件粉碎机也可用,金山毒霸系统清理专家2.1里的文件粉碎机也可用,如果冰刃一打开就关闭,提示“初始化失败”之类的信息,说明被病毒实行映象劫持了,在注册表里的HHEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\Image File Execution Options\子键下找到被映像的文件名称和路径,把它删除即可。
至于删除病毒文件,可用rd /s来删除它所在的子目录,在命令行模式下进行,大部分的病毒都可以被删掉,重要的是要分析它在注册表的哪些地方设了一些.sys文件,这些文件是当我们删了病毒的一些文件后,病毒又能恢复产生一些新文件。
全盘杀毒,记得找出病毒文件名和它所在的路径,这样杀毒难度不是很大了,如果方便的话,在原病毒的源路径下建一个文件夹,文件名设为病毒相同的名称,并把它的安全属性设为拒绝访问,也就是所有组,包括administrator,administators,system,user,everyone,superuser等等。
也有可能病毒在硬盘引导扇区了,即使全盘格式化也没用的,这样的病毒我听说过存在。
如果这样做了后,还有病毒,就重新分区,和以前的区的大小要不一样,这样会把一些原来C盘和D盘之间处于链接的病毒删除掉。
一点击文件夹就出现“worm.win32.fakefolder.dr”提示是什么原因?
因为这个文件夹感染了病毒,worm.win32.fakefolder.是通过微软漏洞进行传播的蠕虫病毒既然你电脑上有360,那么你就进入打开360的 电脑急救箱,全盘扫描,完成后根据提示重启即可,这个病毒是已知的,完全可以杀掉;如果360查杀不了,可以下载其他力度更强的杀毒软件处理掉。拓展:【电脑经常死机的解决方法】1、系统问题如果是系统文件损坏,可以找到这个文件来复制到系统里,还可以使用系统自带的命令修复,或者是使用命令控制台来恢复。具体的恢复步骤可以到本书的系统文件丢失故障分析里找到更详细的说明。2、软件问题这样的情况,只有重新安装软件或者安装软件相应的补丁。3、软件病毒残留文件在卸载以及杀毒的时候,需要注意是否留下临时文件、历史文件以及文件里没有删除的文件,都需要删除。3、软件不兼容这类文件错误的解决方法是卸载后重新安装或者直接删除。
电脑好像中了这个worm.win32.fakefolder.dr木马,只要一点击文件夹就出现,这是
因为这个文件夹感染了病毒,worm.win32.fakefolder.是通过微软漏洞进行传播的蠕虫病毒既然你电脑上有360,那么你就进入打开360的 电脑急救箱,全盘扫描,完成后根据提示重启即可,这个病毒是已知的,完全可以杀掉;如果360查杀不了,可以下载其他力度更强的杀毒软件处理掉。拓展:【电脑经常死机的解决方法】1、系统问题如果是系统文件损坏,可以找到这个文件来复制到系统里,还可以使用系统自带的命令修复,或者是使用命令控制台来恢复。具体的恢复步骤可以到本书的系统文件丢失故障分析里找到更详细的说明。2、软件问题这样的情况,只有重新安装软件或者安装软件相应的补丁。3、软件病毒残留文件在卸载以及杀毒的时候,需要注意是否留下临时文件、历史文件以及文件里没有删除的文件,都需要删除。3、软件不兼容这类文件错误的解决方法是卸载后重新安装或者直接删除。
蠕虫病毒 Worm.Win32.FakeFolder.I 电脑中了这个病毒,一个机子里有奇怪的文件夹,打开里面有回收站~~
楼主可以进行以下操作:
1、安装带监控的杀毒软件,升级后全盘杀毒。
2、下载“瑞星安全助手”安装(下载地址:http://pc.rising.com.cn/)。安装成功后打开瑞星安全助手,进行立即体检一键修复操作,修复系统异常项。
楼主说的是\RECYCLER\S-1-5-21-607829777-3331271602-1139481633-1137类似这样的回收站文件夹吗,这个是正常的,把文件夹选项设置成:取消勾选“显示所有文件和文件夹”,勾选“隐藏受保护的操作系统文件”就可以了。
另一个机子里硬盘无法显示文件夹,如果是文件夹选项无法修改了,可以到网站搜索相关的小工具修复。
Worm.Win32.FakeFolder.c怎么清除
这类蠕虫病毒在局域网环境下,最好是关闭客户端的默认共享,系统设置强密码,打全操作系统补丁等等。再使用杀毒软件全盘杀毒。
【解决方案】
1、下载360系统急救箱最新版打开后查杀木马
2、全盘查杀后再打开360系统急救箱——修复——点立即修复——重启电脑——刷新桌面
3、若一次不行,反复重启电脑多操作几次,或者进入安全模式
4、安装360杀毒全盘杀毒即可。
病毒名称为:Worm.win32.Autorun.eyr是什么病毒?怎样杀死它?谢谢!
清理办法由卡巴斯基上海代理上海永在整理收集
Worm.Win32.Autorun.eyr清理方法
Worm.Win32.Autorun.eyr木马病毒是11.30开始由瑞星杀毒软件查出的一种新型木马病毒,这是一个新型的一个U盘蠕虫病毒,该病毒的症状如下:当在U盘建立文件夹,退出U盘,重新接上电脑,病毒自动生成所有U盘里文件夹成可执行文件(即文件夹后全加后缀名为*.exe),原文件变成隐藏文件。
Worm.Win32.Autorun.eyr木马专杀方法:先下载个usbkiller,然后进行杀毒,也可以下载windows清理助手,把U盘插上,然后点一下快速扫描。待Worm.Win32.Autorun.eyr清除后建议在U盘的根目录下创建一个文件名为Autorun.inf的记事本文件,保持文件为空文件,这样能够避免u盘中毒
要选只读
Worm.Win32.AutoRun.amf是什么病毒?
Worm.Win32.AutoRun.amf病毒是没有
但找到两个相类似的
1、Worm.Win32.AutoRun.ag 查杀
http://www.shadukey.com/html/shoudongshadu/20080505/474.html
病毒标签:
病毒名称: Worm..ag
中文名称: AutoRun蠕虫
病毒类型: 蠕虫类
文件 MD5: E3C42777C667D65D710FC9409011BD9A
公开范围: 完全公开
危害等级: 4
文件长度: 脱壳前26,220 字节,脱壳后151,552 字节
感染系统: Windows9x以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping [Overlay]
病毒描述:
该病毒运行后,衍生病毒副本到系统目录下,连接网络下载病毒体到本机运行,添加
注册表启动项、修改映象劫持项与LSP项以导病毒体。删除注册表安全模式相关项,以阻止
用户访问安全模式。注入病毒.dll文件与.sys文件到多个进程,以获取游戏账号信息。病
毒通过在移动设备中衍生副本及Autorun.inf文件传播自身。
--------------------------------------------------------------------
行为分析:
本地行为:
1、文件运行后会衍生副本:
%Program Files%\meex.exe 26,220 字节
%system32%\avwlcst.exe 14,970 字节
%system32%\avzxdst.exe 15,045 字节
%system32%\kaqhfaz.exe 13,988 字节
%system32%\kvdxdis.exe 14,387 字节
%system32%\kvdxscis.exe 13,919 字节
%system32%\kvmxeis.exe 14,322 字节
%system32%\rarjbtl.exe 14,474 字节
%system32%\rsmyesp.exe 15,040 字节
%system32%\addrgjhelp.dll 8,714 字节
%system32%\addrwdhelp.dll 8,265 字节
%system32%\addrz_thelp.dll 9,362 字节
%system32%\avwlcin.dll 57 字节
%system32%\avzxain.dll 57 字节
%system32%\kaqhfcs.dll 55 字节
%system32%\kvdxacf.dll 48 字节
%system32%\kvdxsacf.dll 50 字节
%system32%\kvmxecf.dll 53 字节
%system32%\qdshm.dll 9,264 字节
%system32%\rarjani.dll 54 字节
%system32%\rsmyafg.dll 56 字节
%Program Files%\Common Files\System\udchniv.exe 26,220 字节
%Program Files%\Common Files\System\hpbnijr.inf
%Program Files%\Common Files\Microsoft Shared\atthdop.exe 26,220 字节
%Program Files%\Common Files\Microsoft Shared\ hpbnijr.inf
%Program Files%\ Internet Explorer\PLUGINS\WinSys8s.Sys 45,199 字节
%Program Files%\ Internet Explorer\PLUGINS\SysWin7s.jmp 32,399 字节
2、新增注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\
键值: hpbnijr
字符串:"%Program Files%\Common Files\System\udchniv.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\
键值: pefbutr
字符串: "%Program Files%\Common Files\Microsoft Shared\atthdop.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{08E909A4-B236-48DD-8BCC-90A604B93E68}
键值: ""
字符串:"hook tl"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{2598FF45-DA60-F48A-BC43-10AC47853D52}
键值: ""
字符串: "rarjbpi.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{3960356A-458E-DE24-BD50-268F589A56A3}
键值: ""
字符串: "avwlcmn.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{3D561258-45F3-A451-F908-A258458226D3}
键值: ""
字符串: "kvdxscma.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{4859245F-345D-BC13-AC4F-145D47DA34F4}
键值: ""
字符串: "avzxdmn.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{4C87A354-ABC3-DEDE-FF33-3213FD7447C4}
键值: ""
字符串: "kvdxdma.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{5D47B341-43DF-4563-753F-345FFA3157D5}
键值: ""
字符串: "kvmxema.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{5E32FA58-3453-FA2D-BC49-F340348ACCE5}
键值: ""
字符串: "rsmyepm.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\ShellExecuteHooks
\{67D81718-1314-5200-2597-587901018076}
键值: ""
字符串: "kaqhfzy.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08E909A4-B236-48DD-8BCC-90A604B93E68}\InprocServer32\
键值: @
字符串: "%WINDIR%\System32\tldoor0.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08E909A4-48DD-8BCC-B236-90A604B93E68}\
键值: daExeModuleName
字符串: "C:\DOCUME~1当前用户名\LOCALS~1\Temp\13222.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{67D81718-1314-5200-2597-587901018076}\InprocServer32\
键值: @
字符串: "%WINDIR%\System32\kaqhfzy.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{774D414D-9457-4707-9730-662C4F8D2856}\InProcServer32\@
键值: @
字符串: "%Program Files%\Internet Explorer\PLUGINS\WinSys8s.Sys"
3、新增注册表下列映象劫持项
5、删除的注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control
\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\
键值: @ 字符串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control
\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\
键值: @ 字符串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\
键值: @ 字符串: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\
键值: @ 字符串: "DiskDrive"
网络行为:
连接网络下载病毒体:
www.54***.cn/xzz/0603.exe(220.166.64.***)
74.54***.cn /yx/11.exe(220.166.64.***)
74.54***.cn /yx/13.exe (220.166.64.***)
www.54***.cn/xzz/0603.exe (220.166.64.***)
--------------------------------------------------------------------
清除方案:
1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用安天免费安全工具ATool多选下列进程,结束:
udchniv.exe
atthdop.exe
avwlcst.exe
kvdxscis.exe
kaqhfaz.exe
kvdxdis.exe
rsmyesp.exe
rarjbtl.exe
kvmxeis.exe
(2打开注册表编辑器,修改下列册表键值为旧值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\WindowsNT\CurrentVersion\Windows\
AppInit_DLLs
New: 字符串: "rarjbpi.dll"
Old: 字符串: ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer
\Advanced\Folder\SuperHidden\Type
New: 字符串: "checkbox2"
Old: 字符串: "checkbox"
(3) 使用ATool >>工具>>搜索DLL功能, 搜索qdshm.dll,
卸载所有含有此病毒dll的进程。
(4) 打开“文件夹选项”,打开隐藏文件选项如下列状态之后,
删除病毒文件或使用ATool直接删除病毒文件:
(5)删除病毒文件:
%Program Files%\meex.exe
%Program Files%\Common Files\System\udchniv.exe
%Program Files%\Common Files\System\hpbnijr.inf
%Program Files%\Common Files\Microsoft Shared\atthdop.exe
%Program Files%\Common Files\Microsoft Shared\ hpbnijr.in
%system32%\avwlcst.exe
%system32%\avzxdst.exe
%system32%\kaqhfaz.exe
%system32%\kvdxdis.exe
%system32%\kvdxscis.exe
%system32%\kvmxeis.exe
%system32%\rarjbtl.exe
%system32%\rsmyesp.exe
%system32%\addrgjhelp.dll
%system32%\addrwdhelp.dll
%system32%\addrz_thelp.dll
%system32%\avwlcin.dll
%system32%\avzxain.dll
%system32%\kaqhfcs.dll
%system32%\kvdxacf.dll
%system32%\kvdxsacf.dll
%system32%\kvmxecf.dll
%system32%\qdshm.dll
%system32%\rarjani.dll
%system32%\rsmyafg.dll
(6)删除病毒添加注册表项,依据行为分析2、3项。
(7)同步骤3卸载WinSys8s.Sys,接着删除%Program Files%
\ Internet Explorer\PLUGINS\WinSys8s.Sys
(8)复制下列文本,保存为.reg格式,双击导入,
以修复安全模式注册表键:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Control\SafeBoot\Minimal
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Control\SafeBoot\Network
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SafeBoot\Minimal
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SafeBoot\Network
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
2、Worm.Win32.AutoRun.dg
太长了,不转载了,详情请查看
http://www.shadukey.com/html/shoudongshadu/20080505/484.html
Worm.Win32.Fujack.a是什么病毒?
我帮你从网上找了些此病毒的资料,如果对你有帮助,别忘了把我的回答设为最佳回答啊^_^
(一)熊猫烧香病毒
“尼姆亚(Worm.Nimaya)”病毒:警惕程度★★★☆,蠕虫病毒,通过感染文件传播,依赖系统:WIN 9X/NT/2000/XP。
该病毒采用熊猫头像作为图标,诱使用户运行。病毒运行后,会自动查找Windows格式的EXE可执行文件,并进行感染。由于该病毒编写存在
问题,用户的一些软件可能会被其损坏,无法运行。
建议你去瑞星官网下个专杀工具:
http://it.rising.com.cn/Channels/Service/2006-11/1163505486d38734.shtml
熊猫烧香病毒专杀及手动修复方案
http://www.pconline.com.cn/pcedu/soft/virus/safe/0701/942893.html
(二)处理方式
由于该病毒编写存在问题,用户的一些软件可能会被其损坏,无法运行。针对该病毒,目前各反病毒企业的防病毒软件都能杀掉。同时,各反病毒企业也及时发布了免费的专杀工具。专杀工具仅针对被感染机器上的活体病毒,建议在登录系统后尽快使用专杀工具扫描,清理网页文件中包含木马病毒的信息。杀毒后建议使用最新版本的杀毒软件进行全盘扫描。
针对没有安装杀毒软件的用户江民公司也提供免费30天的KV2007下载版,用户只需登陆江民网站下载安装即可使用,下载地址:http://ec.jiangmin.com/active/index.htm。并且江民公司也为中毒的企业用户提供免费技术咨询和上门杀毒服务,开启两部技术支持热线:010-51626068 010-51626198。
瑞星公司也在第一时间发布针对该病毒的专杀工具,用户可以登陆瑞星网站(http://it.rising.com.cn/Channels/Service/index.shtml)免费下载使用。用户还可以通过瑞星在线专家门诊:http://help.rising.com.cn取得帮助。
专杀工具下载及其它相关链接
专杀工具下载:http://www.bjcert.cn/2j/yjxz/bdgj.jsp?softWareID=1369&sortID=14
江民科技狙击“熊猫烧香”病毒:http://www.bjcert.cn/2j/zxyj/mj.jsp?unid=32078
多家网站被植“熊猫烧香”病毒,百万网民受威胁:http://www.bjcert.cn/2j/zxyj/mj.jsp?unid=32342
揭秘“熊猫烧香”肆虐内幕 千余家企业网络遭攻击:http://www.bjcert.cn/2j/zxyj/mj.jsp?unid=32236
一伪装成“熊猫烧香”的“威金”新变种正在传播:http://www.bjcert.cn/2j/zxyj/mj.jsp?unid=31986
瑞星最新病毒分析报告:“Nimaya(熊猫烧香)”:http://www.bjcert.cn/2j/zxyj/mj.jsp?unid=32238
“熊猫烧香”病毒是蠕虫作祟:http://www.bjcert.cn/2j/zxyj/mj.jsp?unid=32406
熊猫烧香病毒攻击专业网站:http://www.bjcert.cn/2j/zxyj/mj.jsp?unid=32345
最近猖獗的熊猫烧香病毒分析与解决方案:http://www.pconline.com.cn/pcjob/system/others/others/0701/942832_1.html
百度病毒排行榜:http://shadu.baidu.com/sitenews/rank.jsp?id=171
“熊猫烧香”蠕虫病毒在徐州爆发:http://www.cnxz.com.cn/newscenter/xznews/msrx/2007/20070110116815.shtml
(三)超级巡警可以专杀
http://www.skycn.com/soft/29107.html
病毒描述:
“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
1:拷贝文件
病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe
2:添加注册表自启动
病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
3:病毒行为
a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序:
QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword
并使用的键盘映射的方法关闭安全软件IceSword
添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
并中止系统中以下的进程:
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe
b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享
c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享
d:每隔6秒删除安全软件在注册表中的键值
并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00
删除以下服务:
navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc
e:感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone
g:删除文件
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。
http://shadu.baidu.com/sitenews/rank.jsp?id=171
(四)兄弟,恭喜你中了熊猫烧香病毒了,请下载专杀工具清理就OK了
http://shadu.366down.net/chasha/xiongmaoshaoxiang.htm
文件名称:FuckJacks.exe
病毒名称:Trojan-PSW.Win32.QQRob.ec(卡巴斯基)
Win32/PSW.QQRob.EC(NOD32)
Worm.Nimaya.a(尼姆亚)(瑞星)
Worm/Viking.jd(江民)
中文名称:(尼姆亚)
病毒大小:30,465 字节
编写语言:Borland Delphi 6.0 - 7.0
加壳方式:FSG 2.0 -> bart/xt
样本MD5:2a6ad4fb015a3bfc4acc4ef234609383
样本CRC32:8be4ef19
发现时间:2006.11
危害等级:中
带毒文件运行后,将自身复制到%SystemRoot%\system32\FuckJacks.exe
建立注册表自启动项:
程序代码
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
FuckJacks.exe=%System32%\FuckJacks.exe
(五)熊猫烧香是近期流传的一个相当厉害的病毒,属于威金的一个最新变种蠕虫病毒。很多朋友中了以后用杀毒软件根本杀不死,只能忍痛割爱删除硬盘里所有的程序文件。这个病毒严格的说是去年12月份开始流行的,按说杀毒软件应该已经升级解决了,但由于熊猫烧香的生命力惊人,经过这样长的一段时间仍然没有死绝。
解决方案
段时间,“熊猫烧香”(Worm.WhBoy.h) 蠕虫正处于急速变种期,仅11月份至今,变种数量已达10几个,变种速度之快,影响范围之广,与06年横行于局域网的“维金”不相上下。
现在小编提供一个手动清除此病毒的方法:
清除步骤
==========
1. 断开网络
2. 结束病毒进程
%System%\FuckJacks.exe
3. 删除病毒文件:
%System%\FuckJacks.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件
X:\autorun.inf
X:\setup.exe
5. 删除病毒创建的启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%System%\FuckJacks.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%System%\FuckJacks.exe"
6. 修复或重新安装反病毒软件
7. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件
中毒文件的恢复(仅个人观点,只在自己的虚拟机上测试正常)
首先在清除病毒文件的同时不要删除%SYSTEM%下面释放FuckJacks.exe的这个文件,(注册表里要清除干净)
打开运行输入gpedit.msc打开组策略-本地计算机策略-windows设置-安全设置-软件限制策略-其它规则
在其它规则上右键选择-新散列规则=打开新散列规则窗口
在文件散列上点击浏览找到-%SYSTEM%下面释放FuckJacks.exe文件.......安全级别选择-不允许的 确定后重启(一定重启)
重启后可以双击运行已经被熊猫感染的程序-运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的)
双击运行被感染的程序已经恢复原来样子了,全部回复后用SRENG2把FuckJacks.exe在注册表里的启动项删除即可!
希望对你有帮助
欢迎来才我的空间http://hi.baidu.com/wenjiehappy
Worm.Win32.FakeFolder.CI是什么病毒?如何清除?
您好:这是冲击波类型的木马病毒,如果您的电脑中了这种病毒的话,建议您可以重启电脑按F8键选择进入安全模式,然后在安全模式中使用最新版的腾讯电脑管家的杀毒功能对您的电脑进行全面的杀毒,杀完毒以后重启电脑,然后就可以恢复正常了,您可以点击这里下载最新版的腾讯电脑管家:腾讯电脑管家下载腾讯电脑管家企业平台:http://zhidao.baidu.com/c/guanjia/
电脑中毒了worm.win32.fakefolder病毒,用360杀也杀不掉,点击被感染的文件后文件夹竟然没有了,怎么办?
试试腾讯电脑管家查杀,严格控制病毒的检测,采用的是误报率极低的云查杀技术,确保扫描出来的结果一定是最准确的。而且为了确保万无一失,电脑管家默认采取可恢复的隔离方式清除病毒,如果万一您发现已清除的病毒是正常的文件,您还可以通过隔离区进行恢复。
您可以点击杀毒标签页下角的“隔离区”,在列表中选中想要恢复的文件,再点击“恢复”按钮,即可轻松恢复误删除的文件。
