社区
Windows Server
帖子详情
这是什么病毒,有什么方法解决?救命呀!!
wdfjsj
2004-05-02 12:39:30
在每个盘都有install、letter、letter.rar、pass、pass.rar、setup.rar、work.rar文件。删除后,重新开机又有了。更可怕的是格式化所有盘之后,重装系统,开几次机后又有了。
...全文
43
9
打赏
收藏
这是什么病毒,有什么方法解决?救命呀!!
在每个盘都有install、letter、letter.rar、pass、pass.rar、setup.rar、work.rar文件。删除后,重新开机又有了。更可怕的是格式化所有盘之后,重装系统,开几次机后又有了。
复制链接
扫一扫
分享
转发到动态
举报
AI
作业
写回复
配置赞助广告
用AI写文章
9 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
joinmyarmy
2004-05-03
打赏
举报
回复
dddd
回炉重造,学习编程中。。。
2004-05-03
打赏
举报
回复
呵呵,你的杀毒软件没有升级到最新吧?最新的杀毒软件应该可以搞定的
jerryfly
2004-05-03
打赏
举报
回复
还是支持用新杀毒软件杀, 最方便。
jimmyge
2004-05-02
打赏
举报
回复
http://www.vrv.com.cn/Html/200448162359-1.Html
jimmyge
2004-05-02
打赏
举报
回复
1、病毒英文名:I-Worm.supnot.w
2、病毒中文名:爱情后门
3、病毒 大小 :125K
shadow22
2004-05-02
打赏
举报
回复
一、[病毒特征]:
1、病毒英文名:I-Worm.supnot.w
2、病毒中文名:爱情后门
3、病毒 大小 :125K
二、[病毒分析]:
该病毒为爱情后门病毒的最新变种。大小约为125K,采用ASPACK2.12压缩。
病毒被执行以后在system目录下生成了以下文件
hxdef.exe
ravmond.exe
iexplore.exe
kernel66.dll
odbc16.dll
msjdbc11.dll
MSSIGN30.DLL
spollsv.exe
NetMeeting.exe
a
在windows目录下生成:
SYSTRA.EXE
在每个分区根根目录下生成以下文件:
bak.rar
bak.zip
install.rar
install.zip
letter.rar
letter.zip
pass.rar
pass.zip
setup.rar
setup.zip
work.rar
work.zip
autorun.inf
command.exe
在被执行的病毒文件所在的目录下会生成以下文件:
results.txt
win2k.txt-----当当前系统是windows2000时产生
winxp.txt-----当当前系统是windows XP时产生
写以下注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\MicrosoftWindows\CurrentVersion\Run]
"Hardware Profile"="%Windir%\\System32\\hxdef.exe"
"VFW Encoder/Decoder Settings"="
RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
"Program In Windows"="%Windir%\\System32\\IEXPLORE.EXE"
"Shell Extension"="%Windir%\\System32\\spollsv.exe"
"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
[HKEY_LOCAL_MACHINE\SOFTWARE\MicrosoftWindows\CurrentVersion\runServices]
"SystemTra"="%Windir%\\SysTra.EXE"
添加以下服务:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ServicesWindows Management Protocol v.0 (experimental)]
病毒自带FTP服务器端,它会在15436端口提供一个FTP服务,这样病毒就可以通过建立一个文本方式的下载脚本文件来从被感染计算机上下载病毒可执行文件。病毒会利用共享方式进行传播,共享传播主要通过netmeeting.exe来进行,它会扫描网络内的共享资源,并尝试将自身复制到远程共享。
病毒会使用windows的程序CMD.EXE写文本文件a,内容如下:
open 127.0.0.1 15436
ftp
ftp
bin
get hxdef.exe
bye
并使用该文件来下载病毒可执行文件,病毒会不停调用cmd.exe程序,由于cmd.exe为隐藏运行,用户可以在进程管理器中看到1个以上的cmd.exe进程。
病毒还自带SMTP引擎,它将使用该引擎向从被感染计算机上搜集到的电子邮件地址发送带病毒附件的垃圾邮件,邮件内容如下:
发件人:从搜索到的电子邮件地址中随机获取
收件人:从搜索到的电子邮件地址中随机获取
主题:
正文:
附件:大小125K左右,扩展名为以下类型的文件:
.exe
.scr
.pif
.cmd
.bat
.zip
.rar
病毒会尝试感染网络中的共享资源(探测网络内计算机的135、139、445等端口),当发现有可写的共享资源时,病毒会将自己的副本写入该共享,如果病毒探测到被感染计算机的有权限用户的弱口令(使用自带的密码库),病毒会远程将病毒执行起来达到网络传染的目的。
病毒会搜索本地除了系统盘以外的所有分区上的EXE文件并尝试将其扩展名改为.zmx,并将属性设置为隐藏+系统,然后将病毒的副本复制到EXE文件所在目录病毒将名称改为该EXE的名称。另外病毒也会将自身的副本随机复制到任意目录当中(名称主要有自带的列表和从被感染计算机上搜索到的EXE文件名两种,自带的文件名列表略)。
jimmyge
2004-05-02
打赏
举报
回复
http://it.rising.com.cn/service/technology/tool.htm
xbsyhx
2004-05-02
打赏
举报
回复
我的机器也中过,FORMAT后就没了呀
wdfjsj
2004-05-02
打赏
举报
回复
怎样杀呀!!!
神舟电脑A560-TW9A笔记本
救命
恢复包
神舟电脑A560-TW9A笔记本
救命
恢复包
传化化学:为28家医疗客户完成“
救命
订单”.rar
传化化学:为28家医疗客户完成“
救命
订单”.rar
资源修复器
在其他
方法
都用过时,可尝试用下这个小工具
解决
下系统故障,也许会有所转机。
联想拯救者恢复系统 最好用的系统恢复工具
一个系统恢复工具。简单高效。是体积最小的还原工具了
msssql数据库修复
MSSQL数据库置疑修复工具 库表损坏 索引混乱
Windows Server
6,868
社区成员
177,996
社区内容
发帖
与我相关
我的任务
Windows Server
Windows 2016/2012/2008/2003/2000/NT
复制链接
扫一扫
分享
社区描述
Windows 2016/2012/2008/2003/2000/NT
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章