你中毒了,我看是两病毒,你看一下:
病毒名称 Win32/cnPeace.b
病毒中文名 “和平”病毒变种b
病毒类型
网络蠕虫
危险级别 **
影响平台 Win9X/2000/XP/NT/Me
感染对象
描述 该病毒利用微软Outlook系统软件的漏洞,可执行文件在邮件附件中。当在没有补丁的Outlook直接浏览该含有病毒的信件,此病毒即自动被激活,同时把病毒体复制到
windows的系统目录中,同时修改系统注册表,使得系统启动时自动运行。
此病毒可以自动保护病毒进程不被清除。可以自动搜索
windows地址薄中的所有用户,然后给每一个用户都发送一份含有病毒的信件。该病毒有极强的局域网传染功能。病毒通过搜索网上邻居中的可写文件夹。然后在每个可写文件夹中都生成一个以用户名命名的eml文件,并且该eml文件是有自启动漏洞的eml文件。
解决方案
1.及时升级江民杀毒软件,打开监视程序。KV的邮件监视功能可以有效拦截通过邮件传播的
网络蠕虫病毒。防止病毒进入系统。
2.已被此病毒感染的用户可以使用江民杀毒软件最新版本直接在系统下彻底查杀。方法是先对系统内存进行扫描查杀,再对整个硬盘进行查杀。对于病毒创建的病毒体文件,江民杀毒软件会自动进行删除。
病毒名称 I-Worm/China-1
病毒中文名 “中国一号”及其变种
病毒类型
网络蠕虫
危险级别 中
影响平台 WIN95,WIN98,WINME,WIN2000,WINNT,WINXP
感染对象
描述 当我们浏览含有病毒邮件时,病毒利用病毒体内VBScript代码在本地的可执行性(通过
Windows Script Host进行),对当前计算机进行感染和破坏。即,一旦我们将鼠标箭头移到带有病毒体的邮件名上,就能受到该
网络蠕虫的感染。该
网络蠕虫利用的是OUTLOOK的漏洞。
这是针对微软信件浏览器的弱点和
WINDOWS NT/2000、IIS的漏洞而编写出的一种传播能力很强的病毒,这一病毒同等于“欢乐时光”和“蓝色代码”病毒的合力。
病毒在
WINDOWS\SYSTEM目录内生成病毒文件RICHED20.DLL和LOAD.EXE,或README.EXE、MMC.EXE等,还在所有硬盘的根目录下生
ADMIN.DLL病毒文件,其字节数为:57344字节。
在功能的设计上,新的变种和“中国一号”病毒相同,变种的附件文件由原来的readme.exe修改为Sample.exe,文件的大小是:57344字节。而且释放的DLL的文件名称由admin.dll变成了Httpodbc.dll, 该程序在合法的
WINDOWS系统下有该程序,该程序是在INTERNET网络上通讯使用的;原来拷贝到
WINDOWS的SYSTEM目录下的文件是Mmc.exe,现在修改成为了Csrss.exe 文件。该文件的作用同样是病毒用来感染局域
网络的;Csrss文件是"client-server runtime subsystem"(客户端-服务器实时子系统的简称); 在合法的
WINDOWS系统下有该文件,该文件的作用是在控制台下建立删除线程使用的。
该病毒的变种的破坏作用与原病毒一样也是大量发送EMAIL邮件,邮件附件的名称是Sample.exe。但在邮件中是看不到该附件的。
病毒传染Html、nws、.eml、.doc、.exe等文件,而这些文件大部分被破坏或替换。
病毒还找出Email地址发送病毒本身,即附件长度约为79225字节,但打开看时,其长度为0。该文件实际上就是EMAIL病毒信件本身。
病毒还对SYSTEM.INI修改,在[boot]组下的
shell=explorer.exe load.exe -dontrunold,
这样在系统每次启动时该病毒就会传染,驻留内存。
病毒利用IIS5.0的漏洞,上传ADMIN.DLL在C:\、D:\...并修改用户的主页,在主页后加了一个链接README.EML。感染的
电脑均不断生成一个个随机文件名的eml文件,病毒还在C:\INETPUB\Scripts或
WINDOWS\TEMP目录中不断复制为TFTP00X.DAT的文件,其字节数为:57344字节。
该
网络蠕虫有4种传播方式:
(1)通过EMAIL发送在客户端看不到的邮件附件程序,该部分利用了微软的OE信件浏览器的漏洞;
(2)通过
网络共享的方式来传染给局域
网络上的
网络邻居,我们在
网络上使用
电脑时,建议不设置完全的不使用密码的共享方式,设置密码可以有效的防止该病毒的传播;
(3)通过没有补丁的IIS服务器来传播,该传播往往是病毒屡杀不绝的原因;
(4)通过感染普通的文件来传播,在这一点上和普通的病毒程序相同。
实际上(1)和(3),我们普通的用户只有将微软的补丁程序打上,才能有效预防。
病毒利用许多方式来传播自己:首要的途径是通过EMAIL;还可以通过共享的磁盘分区来感染别的机器;试图将病毒文件本身拷贝到没有安装微软补丁的IIS服务器上; 同时还是一个可以感染本地磁盘上的文件以及本地的局域
网络上的其他机器上的文件。
该蠕虫程序利用的是微软WEB的UNICODE 的遍历漏洞;该微软漏洞补丁程序的下载地址:
http://www.microsoft.com/technet/security/bulletin/ms00-078.asp. 而当一个用户收到感染该病毒的信件时,由于该病毒利用了OUTLOOK的MIME漏洞,使得当用户即使只是预览该信件时,隐藏在该信笺中的病毒就会自动被执行,该漏洞的下载地址:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp. 当用户浏览含有该病毒的
网络时,会提示下载一个含有该病毒的文件,实际上是一个eml信件文件。
在受感染的机器上,该病毒还会自动将C盘共享,使得外部的用户可以访问系统目录,而同时该病毒还可以建立一个guest访问的用户而且该用户的权限是系统管理员级别的。
该病毒感染的文件是在系统的注册表键值下的: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths的常用的EXE文件.
病毒覆盖了
WINDOWS的SYSTEM目录下的riched20.dll文件,使得该每次系统执行任何程序该病毒都会被执行。并将自身拷贝成load.exe存放在
windows的system目录下。在该机器共享的机器上的EXE文件会被感染,而EML文件和NWS文件会被该病毒本身代替。病毒修改系统注册表使得所有的本地硬盘为共享,相应的键值为: HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\[C$ -> Z$]
当然需要重新启动计算机,来使这些有效。只有C盘的共享不需要重新启动。
该病毒还可以修改IE的设置,使得系统、隐含属性的文件不显示。
该病毒在
WINDOWS 的TEMP的临时目录下生成许多临时的文件。文件名称类似的一个是:
mepA2C0.TMP.exe或者mepA2C2.TMP等,前者是该病毒执行文件本身,而后者是病毒的EMAIL形式本身,实际上这两者是同一一个文件:也就是病毒本身。所有的文件本身都 是系统隐含文件属性。
病毒存在的现象:
(1)在C、D、E等逻辑盘符的根目录下有文件admin.dll,文件的长度是57344字节;
(2)EMAIL文件readme.eml文件的存在,该文件长度约是79225字节,实际上是病毒文件的EMAIL表现形式;
(3)C盘在没有手动修改的情况下,变成了可以共享的驱动器。
(4)该病毒存在的文件名称可能是以下的几种:
load.exe;mmc.exe;riched20.dll;admin.dll;readme.exe;mep*.tmp.exe,这些都是病毒程序本身,必须直接删除。对于系统正常的文件只能使用系统安装盘或者干净的文件来覆盖,在这里的情况是mmc.exe和riched20.dll;
(6)为了隐含文件,病毒修改了以下的系统注册表: HKEY_CURRENT\USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt HKEY_CURRENT\USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
HKEY_CURRENT\USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
在
WINDOWS 2000或者
WINDOWS NT系统下,系统的以下注册表被删除: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Share\Security
(7)该病毒传播的EMAIL信件表示形式如下,如果收到类似信件请注意:
EMAIL的主题是变化的、不确定的;
信件的内容是空的,没有任何内容;
附件的文件是变化的,并且是使用了IE的HTML格式的图标.
该病毒的附件实际上是一个可执行的文件,但是该蠕虫设置成audio/x-wav的文件类型,因此当OUTLOOK在收到该信件后,如果您没有打补丁的话,OUTLOOK会认为该附件是一个类似的声音文件而直接执行了.
解决方案 1 利用KV2004可以直接在
Windows下查杀该病毒,方法是先对系统内存进行扫描查杀,再对整个硬盘进行查杀。也可利用KV的新的制做DOS杀毒盘的功能,用KVDOS在DOS对此病毒进行查杀清除。
2 在SYSTEM.INI文件中将LOAD.EXE的文件改掉,如没有变,就不用改。正常的[boot]下的应该是shell=explorer.exe.必须修改该文件中的shell项目,否则清除病毒后,系统启动会提示有关load.exe的错误信息。(通常是对
Windows 9X系统而言)
3 为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补丁程序。地址是:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.这样可以预防此类病毒的破坏。
4
WINDOWS 2000如果不需要可执行的CGI,可以删除可执行虚拟目录,例如/scripts等等。
5 如果确实需要可执行的虚拟目录,建议可执行虚拟目录单独在一个分区
6 对
WINDOWS NT/2000系统,微软已经发布了一个安全补丁,可以从下列地址下载:
http://www.microsoft.com/technet/security/bulletin/ms00-078.asp. 7 病毒被清除后, 在
windows的system目录下的文件riched20.dll将被删除,请从
WINDOWS的安装盘上或再无毒机中拷贝一份干净的无病毒的该文件,否则的话,写字板和OFFICE, WORD等程序将不能正常运行。
8 及时升级KV系列反病毒软件,开启各项监视程序。
.病毒名称:
未知(暂以NSIS病毒命名,因为感染最显著症状是双击EXE文件会弹出为NSIS Error对话框)
二.病毒症状与表现:
1.部分或全部安装程序无法安装,点击时弹出NSIS Error对话框;
---------------------------
NSIS Error
---------------------------
The installer you are trying to use is corrupted or incomplete.
This could be the result of a damaged disk, a failed download or a virus.
You may want to contact the author of this installer to obtain a new copy.
It may be possible to skip this check using the /NCRC command line switch
(NOT RECOMMENDED).
---------------------------
NSIS 错误
---------------------------
正在尝试使用已经损坏或不完整的安装程序,可能存在着磁盘损坏、下载失败或病毒感染情况,也许可以通过/NCRC 命令提示符跳过检测(不推荐)
2.部分或全部应用程序无法使用,提示:已经被破坏或者内存错误等对话框;
3.无法安装或使用的程序均无法删除提示硬盘写保护或正在使用字样,即使重起也无法删除;
4.格c盘重装系统无效,问题依然存在;
三.病毒危害:
1.导致很多Nsis编译的EXE程序无法运行,双击后没有反应,
电脑内存和其他;
2.u盘,移动硬盘只要连过感染机器再连别的机器就会感染其他,无论你是否在感染机器上拷过东西;
3.许多系统程序无法运行,Internet Explorer双击无反应,无法上网;
四.无效的解决办法:
1.各种重装系统的方法无效;
2.重新下载安装程序无效;
3.全部格式化系统分区无效;
五.主要原因:
病毒没有得到隔离和删除,隐藏在内存和感染了安装程序,必须将病毒彻底隔离和删除。
六.我的解决办法:
推荐杀毒软件NOD32,可以彻底解决该病毒,具体办法:
1.用一个干净的U盘或移动硬盘拷贝一份NOD32,安装到中毒系统;
2.无须升级最新病毒库,用NOD32进行全盘查杀;
3.将NOD32的病毒操作设为删除和隔离;
4.全盘杀完后即可上网,可以将NOD32升级到最新病毒库,进行全部查杀,主要目的是杀掉其他病毒;
5.重启重装系统,先将C盘格式化,可以选择dos下格盘,进行GHOST恢复比较节省时间;
6.重装系统后,安装NOD32将全部分区再次进行深层扫描,可以将病毒基本清除;
7.注意:nod32扫描完后,要将所有EXE安装程序删除,重新下载安装,以防重复感染;
七.一些其他的解决办法:
http://hi.baidu.com/left44/blog/item/82fbb70fbe8be7efab6457a3.htmlhttp://hi.baidu.com/huangyeliuxing/blog/item/558579c6a5c30e1a9d163dfc.html这两个方法经试验,基本无效,只做参考。
您当前的位置:
《Windows木马清道夫》是一款专门查杀并可辅助查杀木马的专业级反木马信息安全产品,是全新一代的木马克星!《Windows木马清道夫》可自动查杀数十万种木马,拥有海量木马病毒库,配合手动分析可近100%对未知木马进行查杀!它不仅可以查木马,还可以分析出后门程序,黑客程序等等。它专业的分析功能,完美的升级功能,使您不再惧怕木马,让您远离木马的困扰
卡巴斯基单机版(Kaspersky Anti-Virus Personal)是俄罗斯著名数据安全厂商Kaspersky Labs专为我国个人用户度身定制的反病毒产品。这款产品功能包括:病毒扫描、驻留后台的病毒防护程序、脚本病毒拦截器以及邮件检测程序,时刻监控一切病毒可能入侵的途径。产品采用第二代启发式代码分析技术、iChecker实时监控技术和独特的脚本病毒拦截技术等多种最尖端的反病毒技术
悬赏分:200
