这是病毒吗?该怎么处理啊?
\u6211\u8981\u600e\u6837\u5904\u7406\u75c5\u6bd2\u4e0b\u4e2a360\u6740\u6bd2\u8f6f\u4ef6\u6740\u6bd2
2. \u6728\u9a6c\u75c5\u6bd2TROJ_DLOADER.FIQ3. \u6728\u9a6c\u75c5\u6bd2TROJ_GENERIC.APC4. \u6728\u9a6c\u75c5\u6bd2TROJ_PKELIB.A-CN5. U\u76d8\u75c5\u6bd2POSSIBLE_AUTORUN7. \u75c5\u6bd2Mal_DownadJ\u9488\u5bf9\u6bcf\u4e00\u4e2a\u75c5\u6bd2\u7684\u5904\u7406\u65b9\u6cd5\uff01
这个是autorun.exe 自动运行病毒,该程序运行后执行如下操作:1.获取系统目录,判断是否存在%SysRoot%\Program Files\Internet Explorer\PLUGINS\NewTemp.bak和NewTemp.DLL,若存在则删除该文件;
2. 拷贝自身到%SysRoot%\Program Files\Internet Explorer\PLUGINS\NewTemp.bak,并设置文件属性为HIDDEN和SYSTEM实现文件隐藏;
3.查找自身资源DATAINFO并释放到%SysRoot%\Program Files\Internet Explorer\PLUGINS\NewTemp.DLL;
4. 判断系统版本,若系统为非NT系统,则创建wininit.ini实现自启动;
5. 查找窗口类为ListBox、窗口名为1616116或1818118的窗口,若失败则创建一个窗口类为ListBox、窗口名为1818118的窗口来接收消息,若找到则退出,防止实例重复运行;
6. 加载%SysRoot%\Program Files\Internet Explorer\PLUGINS\NewTemp.DLL,获取导出函数MsgHookOn并调用,之后进入消息循环,接收系统消息;
7. 消息循环退出时调用导出函数MsgHookOff设置消息钩子,监视新添加的设备;之后设置如下注册表项实现自启动:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
{0EA66AD2-CF26-2E23-532B-B292E22F3266}
HKLM\CLSID\{0EA66AD2-CF26-2E23-532B-B292E22F3266}
InProcServer32
Apartment
ThreadingModel
释放的动态库加载时执行如下操作:
1.获取模块名,打开文件本身,在文件末尾读取四字节,与0x35526133异或,取负,然后根据这个偏移量读取文末尾的数据;
2.查找窗口类为ListBox、窗口名为1616116的窗口,若找到则退出,以此来防止程序重复运行;
3.创建线程,执行如下操作:
创建一窗口类为ListBox、窗口名为1616116的窗口接受系统消息,设置该窗口的窗口回调函数,在回调函数中判断消息类型:
若为WM_DEVICECHANGE,则拷贝自身到新添加设备根目录下并命名为PegeFile.PIF,之后在设备根目录下创建autorun.inf,写入如下内容,实现传播:
[autorun]
open=PegeFile.pif
shellexecute=PegeFile.pif
shell\Auto\command=PegeFile.pif
shell=Auto
若为WM_DESTROY,则销毁该窗口;否则,调用默认的消息处理函数。
查找窗口类为ListBox,窗口名为1818118的窗口,并向该窗口发送WM_QUIT消息,关闭该窗口;
设置定时器,每隔1秒执行如下操作:
a.查旬注册表项HKLM\Software\SetVer\ver下的键值,判断指定程序是否已下载;
b.若键值未设置,则尝试从网络上下载指定程序到临时目录并执行;
c.若成功下载执行则设置注册表HKLM\Software\SetVer\ver下的键值,标记已下载;
进入消息循环,接受系统消息.导出函数MsgHookOn设置系统消息钩子,用来获取添加设备的通知消息;导出函数MsgHookOff卸载加载模块的窗口消息钩子;
安全建议:
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。
2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。
3 不浏览不良网站,不随意下载安装可疑插件。
4 不接收QQ、MSN、Emial等传来的可疑文件。
5 上网时打开杀毒软件实时监控功能。
6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。
清除办法:
瑞星杀毒软件清除办法:
安装瑞星杀毒软件,升级到19.45.31版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。
今年木马特别多的,一种杀毒软件可能杀不了有些病毒的,首先开机按F8进入安全模式,用360安全卫士和360专杀大全(到http://www.360.cn下载),windows
清理助手和恶意软件清理助手(这两个到多特下,绝对没有病毒)联合查杀,如果不行,在360软件界面中下载专杀工具哦,一般会解决的
这个可以不用去管它,在压缩包里面的病毒是不能活动的,对你的电脑是没有影响的,没事!
要是你不放心的话就找到它,删掉就可以了!
以前我也有这个问题,后来搞了两个程序搞定了
先运行这个删除autorun.inf.cmd
tskill iexplore
tskill explorer
tskill rundll32
del/a/s/f/q c:\Documents and Settings\Administrator\桌面\autorun.inf
del/a/s/f/q c:\Documents and Settings\Administrator\桌面\autorun.inf\alonesuperman.
%0
kill.cmd(文件名)
tskill iexplore
tskill explorer
tskill rundll32
sc config 711EC3AE start= DISABLED
net stop 711EC3AE
start 1.cmd
del/a/s/f/q %temp%\.
del/a/s/f/q c:\windows\tasks\*.job
c:
cd\
del/a/s/f/q *.log
del/a/s/f/q 4a5ac860.*
del/a/s/f/q avpsrv.*
del/a/s/f/q c269d4ca.*
del/a/s/f/q cmdbcs.*
del/a/s/f/q dh2104.*
del/a/s/f/q mosou.*
del/a/s/f/q mstmms32.*
del/a/s/f/q nwizdh.*
del/a/s/f/q nwizqjsj.*
del/a/s/f/q nwizwlwzs.*
del/a/s/f/q nwizwmgjs.*
del/a/s/f/q nwizzhuxians.*
del/a/s/f/q thumbs.db
del/a/s/f/q timhost.*
del/a/s/f/q winform.*
del/a/s/f/q ztinetzt.*
del/a/s/f/q k111970574213.exe
del/a/s/f/q k111970678313.exe
del "C:\Documents and Settings\All Users\「开始」菜单\程序\启动\*.*" /q /f
del "C:\Documents and Settings\Default User\「开始」菜单\程序\启动\*.*" /q /f
del "%userprofile%\「开始」菜单\程序\启动\*.*" /q /f
reg delete HKEY_USERS\S-1-5-18\SYSTEM\CurrentControlSet\Services\711EC3AE
/va /f
reg delete HKEY_USERS\.DEFAULT\SYSTEM\CurrentControlSet\Services\711EC3AE
/va /f
reg delete HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\711EC3AE /va /f
reg delete HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\711EC3AE
/va /f
reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\711EC3AE
/va /f
reg delete
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /va /f
reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
/va /f
reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v
ctfmon.exe /d C:\WINDOWS\system32\ctfmon.exe
echo. & pause
然后用这个删除alonesuperman.bat
@echo off
rd /s /q alonesuperman..\
echo 删除成功
pause
复制到记事本里保存时用.bat后缀.第一个运行时到没反映时用ALT+CTRL+DEL在任务管理器中重起,在运行第二个
应该可以的,我就是这么删的
不是
风险程序不包括主动传播行为
只会干扰你的程序
但是包括广告软件
恶意插件
黑客程序
等等
绛旓細瑙e喅鏂规硶锛1銆侀鍏堟槸鎷斾笅缃戠嚎锛屼互鍏嶇梾姣掑崌绾у拰鍙樼浼犺緭锛2銆佷娇鐢≒E绯荤粺鍚姩鍒犻櫎鎵鏈夌洏绗︿笅鐨勭梾姣掓枃浠跺autorun.inf锛3銆佷娇鐢≒E杩滅▼娉ㄥ唽琛ㄦ煡鐪嬪惎鍔ㄦ枃浠跺苟鍒犻櫎锛4銆佸惎鍔ㄥ悗浣跨敤sreng2鍒犻櫎鎺夊浣欑殑鍚姩椤瑰拰绋嬪簭锛5銆佹煡鎵惧嚭鍚姩鐨勭▼搴忓拰鏂囦欢鍒犻櫎濡傛灉鏃犳硶鍒犻櫎璇蜂娇鐢▁delbox锛6銆佷粠鍒殑鐢佃剳涓嬭浇drweb-cureit鍒版湰鏈...
绛旓細杩欎釜鏄敱浜庝綘涔嬪墠涓簡鏆撮涓鍙疯繖涓梾姣掞紝闇瑕佸绯荤粺杩涜淇銆傜櫨搴︽悳绱竴涓嬮噾灞盪鐩樹笓鏉杩欎釜杞欢锛屽彲浠ュ緢濂界殑澶勭悊杩欎釜鏆撮鐥呮瘨鍚屾椂淇鐥呮瘨閫犳垚鐨勭牬鍧忥紝涔嬪悗鏍规嵁鎻愮ず涓嬭浇閲戝北缃戠浘杩涜鍏朵粬鐥呮瘨鐨勫鐞嗭紝鍥犱负涓鑸綘杩樹細鍚屾椂涓簡鍏朵粬鐥呮瘨銆
绛旓細浣犲ソ锛屽浜庝綘鐨勯棶棰橈細濡傛灉杩欎釜鏂囦欢澶规槸鐢卞瓧姣嶅拰鏁板瓧浜ら敊涓哄悕绉扮殑濡傗1b32df1lpae鈥︹︹濊繖鏍风殑鏂囦欢澶癸紝涓旀枃浠跺す涓婇潰鏈変竴鎶婇攣锛閭d箞杩欎釜涓嶆槸鐥呮瘨锛岃屾槸瀹夎绯荤粺琛ヤ竵鏃剁敓鎴愮殑涓存椂鏂囦欢銆傜敱浜庢瘡娆″畨瑁呰ˉ涓侀兘浼氱敓鎴愶紝鎵浠ヤ綘鍒犳帀鍚庤繕浼氬嚭鐜般傝В鍐虫柟娉曪細浣跨敤娓呯悊杞欢濡傝吘璁數鑴戠瀹剁殑鍨冨溇娓呯悊鍔熻兘娓呯悊浣犵殑绯荤粺锛岀劧鍚...
绛旓細杩欎釜骞朵笉鏄梾姣锛岀偣鍑绘槸灏卞ソ浜嗭紝濡傛灉鎯宠В鍐筹紝灏辨墦寮Internet Explorer娴忚鍣ㄢ斺斿伐鍏封斺擨nternet閫夐」鈥斺旈珮绾э紝渚濇鍋氬涓嬫搷浣滐細灏卞彲浠ヤ簡
绛旓細1锛岃繖鍙兘鏄竴涓劅鏌撳瀷鐨勬湪椹鐥呮瘨锛屾墍浠ヤ竴鐩存病鎵惧埌姣嶄綋骞舵垚鍔熸煡鏉鎺夈2锛屼笅杞借吘璁數鑴戠瀹垛8.4鈥濇渶鏂扮増锛屽鐢佃剳棣栧厛杩涜涓涓綋妫锛屾墦寮鎵鏈夐槻鐏閬垮厤绯荤粺鍏朵綑鏂囦欢琚劅鏌撱3锛屾墦寮鏉姣掗〉闈㈠紑濮嬫煡鏉锛屽垏璁拌鎵撳紑灏忕孩浼炲紩鎿庛4锛屽鏋滄櫘閫氭煡鏉涓嶈兘瑙e喅闂锛屾偍鍙互鎵撳紑鑵捐鐢佃剳绠″---宸ュ叿绠---椤藉浐鏈ㄩ┈涓撴潃-...
绛旓細銆鐥呮瘨鎰熸煋銆戠梾姣掑彲浠ヤ娇璁$畻鏈哄伐浣滄晥鐜囨ュ墽涓嬮檷,閫犳垚棰戠箒姝绘満銆傝繖鏃,鎴戜滑闇鐢ㄦ潃姣掕蒋浠跺KV300銆侀噾灞辨瘨闇搞佺憺鏄熺瓑鏉ヨ繘琛屽叏闈㈡煡姣掋佹潃姣,骞跺仛鍒板畾鏃跺崌绾ф潃姣掕蒋浠躲 銆怌MOS璁剧疆涓嶅綋銆戣鏁呴殰鐜拌薄寰堟櫘閬,濡傜‖鐩樺弬鏁拌缃佹ā寮忚缃佸唴瀛樺弬鏁拌缃笉褰撲粠鑰屽鑷磋绠楁満鏃犳硶鍚姩銆傚灏嗘棤ECC鍔熻兘鐨勫唴瀛樿缃负鍏锋湁ECC鍔熻兘,杩欐牱灏变細鍥...
绛旓細瀵逛簬鐜板湪缃戠粶鐥呮瘨鏈ㄩ┈鍒板閮芥湁鐨勭幆澧冿紝濡傛灉涓瘨涓簡鏈ㄩ┈锛屽鏋滅郴缁熷嚭鐜拌繍琛屾參杩愯鍗★紝褰诲簳瑙e喅灏卞彧鏈夐噸瑁呯郴缁熸墠鑳借В鍐炽傘傚鏋滄槸鍝佺墝鏈猴紝閮戒細鏈変竴閿仮澶嶅姛鑳斤紝杩樺師涓涓嬬郴缁熷氨濂戒簡銆傘傜浉褰撲簬閲嶈绯荤粺鍒板嚭鍘傛椂鍊欑殑骞插噣銆佸畬鏁淬佸揩閫熺姸鎬併傘傚叿浣撴搷浣滄煡鐪嬮殢鏈鸿鏄庝功锛屾垨鎵撶數璇濈粰鍝佺墝鍞悗鏈嶅姟锛屼篃鍙笂缃戞煡鐪嬪搧鐗岀綉绔...
绛旓細璇锋煡鐪媟eadme鏂囦欢鐨勬墿灞曞悕鏄惁涓.eml銆傚鏋滄槸閭d綘涓簡灏煎杈鐥呮瘨銆傚彲浠ュ厛涓嬭浇涓撴潃宸ュ叿锛歴earch.symantec/customquery 鏂綉閲嶅惎锛屾寜F8杩涘畨鍏ㄦā寮忔煡鏉銆傚鏋滆繕娌℃竻闄ゅ交搴曪紝灏辫鎵嬪伐銆傚湪鏂囦欢澶归夐」閲岃缃"鏄剧ず鎵鏈夋枃浠"鍒犻櫎mmc.exe/load.exe/riched20.dll/admin.dll/readme.eml/readme.exe绛夋墍鏈夎爼铏枃浠躲...
绛旓細涓簡鐥呮瘨銆佹湪椹笉瑕佺潃鎬ワ紝鎴戞潵甯綘锛氬叾瀹炰腑姣掑悗鐨澶勭悊鏂规硶灏辨槸閭d箞鍑犵锛屼絾鏄熷姪鏉姣掕蒋浠剁敤鎵嬪伐鏂规硶澶勭悊鏄渶涓烘湁鏁堢殑锛侊紒锛佹湪椹殑鏌ユ潃锛屽彲浠ラ噰鐢ㄨ嚜鍔ㄥ拰鎵嬪姩涓ょ鏂瑰紡銆傛渶绠鍗曠殑鍒犻櫎鏈ㄩ┈鐨勬柟娉曟槸瀹夎鏉姣掕蒋浠(鑷姩)锛岀幇鍦ㄥ緢澶氭潃姣掕蒋浠惰兘鍒犻櫎缃戠粶鏈鐚栫崡鐨勬湪椹紝寤鸿瀹夎閲戝北姣掗湼鎴栧畨鍏ㄤ箣鏄焁P锛屽畠浠湪鏌ユ潃鏈ㄩ┈鏂...
绛旓細浣犺瘯璇曗滄垜鐨勭數鑴戔濈偣鍙抽敭 灞炴э紝鑳藉惁鎵撳紑 濡傛灉绫讳技鐨勫緢澶氫笢瑗块兘鎵撲笉寮锛鏄梾姣銆傝屼笖鏄▉閲戠殑鍙兘鎬ф瘮杈冨ぇ銆傚缓璁牸鐩橀噸瑁呫傝屼笖鏂扮郴缁熷厛涓嶈杩愯绯荤粺鐩樹互澶栫殑鐩樼殑涓滆タ銆傛潃姣掑悗鍐嶈銆傛垨鑰呮槸琚粍绛栫暐绂佹浜
