w32.downadup.b蠕虫病毒详解及清除攻略
如何完全清计算机除蠕虫病毒
如何完全清计算机除蠕虫病毒我的电脑中了蠕虫病毒,那么用什么方法可以完全清除呢?下面由店铺给你做出详细的完全清除蠕虫病毒方法介绍!希望对你有帮助!完全清除计算机蠕虫病毒方法一:金山网盾3.6正式版-突破性新功能下载保护无论是使用迅雷、快车下载,还是使用qq、msn传文件,或者用浏览器默认的下载方式,金山网盾3.6都真正实现:1、秒级快速过滤,5秒内检验新下载文件和程序是否有病毒、木马;2、快速分离,10秒内完成对新下载文件中附带病毒、木马的查杀,还用户干净的程序、文件。
完全清除计算机蠕虫病毒方法二:以通过引导到其它系统删除所有病毒文件,彻底清除。
2、按Ctrl+Alt+Delete调出任务管理器,在进程页面中结束掉所有名称为病毒的进程(建议在后面的操作中反复此操作,以确保病毒文件不会反复发作)。
3、在开始--运行中输入“regedit”(XP系统)打开注册表,点“编辑”——“查找”,在弹出的对话框中输入病毒文件名,找到后全删。
4、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉,你会看到出现了你所说的文件名的文件,直接删除原因:该木马病毒具有以下特征:自我隐藏,自我保护,自我恢复,网络访问,后台升级,监视用户操作,很难彻底删除。
你可以用360安全卫士或AVG、超级巡警等清理一下流氓软件和插件!!建议使用360安全卫士 AVG 超级巡警来查杀木马!!用瑞星或卡巴斯基来查杀病毒!!完全清除计算机蠕虫病毒方法三:蠕虫病毒的感染性是很强的,如果中了蠕虫病毒一定要立即查杀,遇到感染类的蠕虫病毒可以这样先下载360系统急救箱保存到D盘,重启按F8进入带网络连接的安全模式,使用360系统急救箱进行查杀这样就查杀的比较彻底了,然后启动360杀毒 360安全卫士的木马云查杀功能查杀清除残留就可以了蠕虫病毒会导致cpu占用率很高,运行会很卡,而且占了不少带宽,上网也很卡。
Conficker清除方法
Conficker清除方法清除Conficker蠕虫病毒详细步骤2011-01-15 17:00Conficker简介:Worm:Win32/Conficker.B.9.831 ,利用0867漏洞的蠕虫。
conficker蠕虫传播主要通过运行windows系统的服务器服务的缓冲区漏洞。
它使当在一台电脑中成功执行,它会禁用一些系统服务,比如windows系统更新,windows安全中心,后他会连接一个服务器,在那里他会接到进一步传播的命令,收集个人信息,和下载安装附加的恶己添加到必然会有的windows活动进程中,像是svchost.exe,explorer.exe和services.exe。
被conficker蠕虫感染症状:帐户锁定政策被自动复位。
某些微软Windows服务会自动禁用,如自动更新,后台和错误报告服务。
域控制器对客户机请求回应变得缓慢。
系统网络变得异常缓慢。
这可以从检测的跟杀毒软件,windows系统更新有关的网站无法访问。
另外它发射暴力密码破解攻击管理员密码以把密码更换成更好的。
为了能更完整杀掉 win32.conficker病毒,在打开本文中的连接时,请先点右键,再在弹出的菜单中选"在新窗口中打开"。
清除Conficker蠕虫1(此方法适用于普通网民)1:下载最新Conficker免疫补丁/downloads/details.aspx?displaylang=zh-cn&FamilyID=支持的操作系统:Windows XP Service Pack 2; Windows XP Service Pack 3/downloads/details.aspx?displaylang=zh-cn&FamilyID=Windows Server 2003 Service Pack 1; Windows Server 2003 Service Pack 22:打好补丁后,使用MSRT进行清除企业环境中MSRT的部署Conficker蠕虫清除工具下载--conficker蠕虫专杀工具/kb/890830 (Windows 2000/XP/2003/)其他恶意软件删除工具下载/kb/891716繁体中文(香港、澳门和台湾)用户,请参考微软官方网站提供的Conficker蠕蟲3:如果还是杀win32.conficker木马病毒的话,可到/sd/in清除Conficker蠕虫2:(此方法适用于电脑管理人员,由赛门铁克诺顿提供)3.1移除使用W32.Downadup(Conficker蠕虫)移除工具赛门铁克安全响应中心已经开发出一种清除工具来清理感染的W32.Downadup(Conf 它是最简单的方法以消除这一威胁。
w32.downadup.b病毒查杀
W32.Downadup.B病毒专杀方法1.禁用系统还原(WindowsMe/XP)如果正在运行WindowsMe或WindowsXP,建议您暂时关闭系统还原功能。
此功能由系统默认为启用状态,一旦计算机中的文件遭到破坏,WindowsMe/XP可使用此功能还原文件。
如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows禁止包括防病毒程序在内的外部程序修改系统还原。
因此,防病毒程序或工具无法清除SystemRestore文件夹中的威胁。
这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
此外,病毒扫描也可能在SystemRestore文件夹中检测到威胁,即使您已清除此威胁。
注意:当您完全完成杀毒步骤,并确定威胁已清除后,请按照上述文档中的说明重新启用系统还原。
有关其他信息,以及禁用WindowsMe系统还原的其他方法,请参阅Microsoft知识库文章:病毒防护工具无法清除_Restore文件夹中受感染的文件(文章编号:Q263455)。
2.更新病毒定义赛门铁克安全响应中心在我们的服务器上发布任何病毒定义之前,会对其进行全面测试以保证质量。
可以通过两种方式获得最新的病毒定义:*运行LiveUpdate,这是获得病毒定义最简便的方法。
如果是使用NortonAntiVirus、SymantecAntiVirusCorporateEdition10.0或更新版本的产品,请每天更新一次LiveUpdate病毒定义。
这些产品使用了更新的技术。
如果使用NortonAntiVirus2005、SymantecAntiVirusCorporateEdition9.0或更早版本的产品,请每周更新一次LiveUpdate病毒定义。
出现重大病毒爆发的异常情况时,定义更新会更加频繁。
*使用智能更新程序下载病毒定义:智能更新程序病毒定义每天发布一次。
实训7-2蠕虫病毒的查杀与防范.
实训7-2蠕虫病毒的查杀与防范引言蠕虫病毒是一种恶意软件,通过网络传播并感染计算机系统。
蠕虫病毒可以自动复制和传播自己,对网络安全造成严重威胁。
在本文中,我们将介绍蠕虫病毒的特征和传播方式,并提供一些常用的查杀和防范方法。
蠕虫病毒的特征蠕虫病毒与其他恶意软件不同之处在于其具备自我复制和传播的能力。
蠕虫病毒可以通过网络传播,并在感染新主机后再次复制并传播自己。
这种自我复制和传播的能力使得蠕虫病毒具有迅速传播和蔓延的潜力。
另一个蠕虫病毒的特征是其破坏性。
蠕虫病毒可以危害计算机系统的正常功能,并可能导致数据损失、系统崩溃等严重后果。
一些蠕虫病毒还具备隐藏性,可以在感染主机之后长时间潜伏而不被察觉。
蠕虫病毒的传播方式蠕虫病毒可以通过多种方式传播。
以下是一些常见的传播途径:1.电子邮件附件:蠕虫病毒可以通过电子邮件附件传播。
当用户打开蠕虫病毒的电子邮件附件时,病毒将被激活并感染用户的计算机系统。
2.可执行文件:蠕虫病毒可以附加在可执行文件中,当用户运行该可执行文件时,病毒将开始感染用户的计算机系统。
3.共享文件夹:蠕虫病毒可以通过共享文件夹传播。
当用户访问感染的共享文件夹时,病毒将利用网络传播自己到其他计算机系统。
4.操作系统漏洞:蠕虫病毒可以利用操作系统的漏洞来传播自己。
一旦蠕虫病毒感染了具有漏洞的计算机系统,它可以利用该漏洞来感染其他主机和系统。
蠕虫病毒的查杀方法及时发现和查杀蠕虫病毒对于保护计算机系统的安全至关重要。
以下是一些常用的蠕虫病毒查杀方法:1.使用杀毒软件:杀毒软件是查杀蠕虫病毒的最常见和有效的方法之一。
杀毒软件可以及时检测和清除计算机系统中的病毒,并提供实时保护。
2.更新操作系统:定期更新操作系统是防范蠕虫病毒传播的重要措施。
操作系统提供的更新补丁通常包含了对已知漏洞的修复,减少了蠕虫病毒感染的机会。
3.禁用自动运行:蠕虫病毒通常利用自动运行功能来感染计算机系统。
禁用自动运行功能可以阻止蠕虫病毒在用户运行可执行文件时自动启动。
电脑中了蠕虫病毒怎么办
电脑中了蠕虫病毒怎么办勒索蠕虫毒”(WannaCry)是一种新型病毒,主要以邮件、程序木马、网页挂马的形式传播。
那什么是勒索蠕虫病毒?电脑中了蠕虫病毒怎么办?接下来店铺为你整理了勒索蠕虫病毒出现变种预警及处置建议,希望对你有帮助。
什么是勒索蠕虫病毒这个近来席卷中国的蠕虫病毒被称为“比特币敲诈者”!而就在比特币病毒肆意对我国进行破坏。
罪魁祸首则是一个名为 WannaCry 的勒索软件。
一旦中毒,电脑就会显示“你的电脑已经被锁,文件已经全部被加密,除非你支付等额价值 300 美元的比特币,否则你的文件将会被永久删除” 。
勒索蠕虫病毒出现变种预警及处置建议勒索蠕虫毒”(WannaCry)是一种新型病毒,主要以邮件、程序木马、网页挂马的形式传播,一旦感染该病毒,中病毒的电脑文件就会被病毒加密,被感染者一般无法解密,必须支附高额费用拿到解密私钥才能解密,危害性极大。
据有关部门监测发现,WannaCry 勒索蠕虫病毒出现了变种:WannaCry 2.0,与之前版本的不同是,这个变种取消了所谓的Kill Switch,不能通过注册某个域名来关闭变种勒索蠕虫的传播。
该变种的传播速度可能会更快,该变种的有关处置方法与之前版本相同,为此,建议使用网络的单位和个人立即进行关注和处置。
一、一旦发现中毒机器,立即断网处置,目前看来对硬盘格式化可清除病毒。
二、目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快为电脑安装此补丁,网址为https:///zh-cn/library/security/MS17-010;对于XP、2003等微软已不再提供安全更新的机器,建议升级操作系统版本,或使用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。
免疫工具下载地址:/nsa/nsatool.exe。
三、启用并打开“Windows防火墙”,进入“高级设置”,在入站规则里禁用“文件和打印机共享”相关规则。
教你如何清除蠕虫病毒
教你如何清除蠕虫病毒在本文中,笔者将分析容易受这种特定蠕虫攻击的路由器类型,然后讨论如何防止这类和其它类型的路由器蠕虫的感染。
最后,我们将探讨如何清除感染路由器的蠕虫。
蠕虫是怎样进入路由器的路由器蠕虫是通过用于远程管理路由器的端口进入路由器的。
不过,路由器在默认情况下并没有打开这些端口。
必须在路由器Web界面的配置程序上手动启用之。
如下图1所示:此外,更大的漏洞在于弱口令。
换句话说,如果采取了防御措施,远程管理就是安全的。
根据有关媒体的研究,这种最新的蠕虫攻击的基本上需要满足下面的标准:1.这些设备一般都是使用MIPS处理器的设备,这种处理器运行简版Endian模式(mipsel)运行。
这包括大约30种Linksys设备,十种Netgear 型号的设备,还有其它许多种设备。
此外,加载其它固件代替品的路由器,如DD-WRT和OpenWRT也易于受到攻击。
2.启用了某种类型远程管理的设备,如启用了telnet、SSH,或是基于Web的访问,要知道,仅提供本地的访问并不容易受到攻击。
3.远程管理访问的用户名和口令的组合不够强健,易被破解。
或者是其固件容易被漏洞利用程序所利用。
既然路由器蠕虫是通过远程管理端口侵入的,保障这些端口的安全就成为了防止感染的关键所在。
此外,不启用远程管理并关闭这些端口就是最佳方案,因为蠕虫无路可进。
不过,如果需要远程访问,遵循下面的指南可以防止蠕虫的入侵:1.使用强健而安全的口令要知道,路由器蠕虫依赖于强力字典攻击(不断地努力猜测口令),所以我们应当使用不易被猜测的口令。
不要使用什么“admin”、“router”、“12345”等作为路由器的口令,而要使用一种混合性的组合,如rDF4m9Es0yQ3ha等。
其中至少要包括大小写字母,并利用数字和字母。
虽然这种口令不易记忆,但我们可以将其存放于可以某个文件(如文本文件)中,再用TrueCrypt、Cryptainer LE等软件为各种保存密码的文件加密。
蠕虫病毒清理办法
病毒名称:Wrom.Win32.Anilogo.b 病毒类型:感染式蠕虫文件MD5:D4BC853EA0191A909EDDC894B74 4BBF0危害等级:高文件长度:1,142,914字节感染系统:Windows 2000,Windows XP,Windows 2003病毒描述:该病毒属于感染式,被感染的样本在宿主的尾部添加一个节用来保存病毒代码,修改入口点为病毒的代码起始位置。
行为分析:本地行为:感染本地的可执行文件,不感染系统文件夹下的文件注:%System32%是一个可变路径。
病毒通过查询操作系统来决定当前System文件夹的位置。
Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量%Windir%\ WINDODWS所在目录%DriveLetter%\ 逻辑驱动器根目录%ProgramFiles%\ 系统程序默认安装目录%HomeDrive% = C:\ 当前启动的系统的所在分区%Documents and Settings%\ 当前用户文档根目录清除方案:从最后一个节(.ani)的偏移0x04h 处取出宿主的原始入口点EntryOfPoint删除文件最后一个节(节名称是.ani)删除最后一个节的节表(.ani)修正SizeOfImage修正节数目=原节数目-1。
计算机中了蠕虫病毒如何解决
计算机中了蠕虫病毒如何解决计算机中了蠕虫病毒解决方法一:蠕虫病毒是一种常见的计算机病毒。
它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。
最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西胡乱吞吃屏幕上的字母并将其改形。
蠕虫病毒是自包含的程序或是一套程序,它能传播自身功能的拷贝或自身的某些部分到其他的计算机系统中通常是经过网络连接。
蠕虫病毒是自包含的程序或是一套程序,它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中通常是经过网络连接。
请注意,与一般病毒不同,蠕虫不需要将其自身附着到宿主程序有两种类型的蠕虫:主机蠕虫与网络蠕虫。
主计算机蠕虫完全包含在它们运行的计算机中,并且使用网络的连接仅将自身拷贝到其他的计算机中主计算机蠕虫在将其自身的拷贝加入到另外的主机后,就会终止它自身因此在任意给定的时刻,只有一个蠕虫的拷贝运行,这种蠕虫有时也叫"野兔",蠕虫病毒一般是通过1434端口漏洞传播。
计算机中了蠕虫病毒解决方法二:占用量网速并且电脑文件进行破坏占用量内存1遇病毒按我说办操作吧简单彻底清除些让痛恨病毒2建议您现立刻载腾讯电脑管家8.3新版电脑首先进行体检打所防火墙避免系统其余文件染3打杀毒页面始查杀切记要打红伞引擎4普通查杀能解决问题您打腾讯电脑管家---工具箱---顽固木马专杀- 进行深度5查杀处理完所病毒立刻重启电脑再进行安全体检清除余系统缓存文件避免二染计算机中了蠕虫病毒解决方法三:他会拖慢你的速度,给电脑带来异常。
遇到这类的,建议赶快重新查杀,或进行安全模式下全盘杀毒,不要怕麻烦安全第一。
推荐你可以试试腾讯电脑管家,他拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎!保证杀毒质量。
如果遇到顽固木马,可以进入安全模式杀毒看看,可以用腾讯电脑管家工具箱——顽固木马克星强力查杀功能,也可以试试文件粉碎哟。
蠕虫病毒Win32 Bypuss B
蠕虫
01 病毒名称
03 传播方式 05 清除
目录
02 感染方式 04 危害
基本信息
Win32/Bypuss.B是一种蠕虫,通过移动存储器传播,尝试发送用户的文档副本到远程服务器。
病毒名称
病毒名称
蠕虫病毒Win32.Bypuss.B, W32.SillyFDC (Symantec), W32/SillyFDC-N (Sophos),.o (Kaspersky)
会定期的被重复写入
如果蠕虫在使用移动存储器的autorun时被调用,它就会打开一个“我的电脑”窗口,列出被感染的驱动器 根目录下非隐藏属性的内容。
如果以下进程正在运行,蠕虫会将代码注入到其中一个或者更多的进程中: explorer.exe winlogon.exe lsass.exe svchost.exe qq.exe 如果以下程序正在运行,蠕虫会运行它的恶意代码: alg.exe conime.exe
终止进程
Bypuss.B尝试终止"iparm.exe"进程。
其它信息
当Bypuss.B发送文件到服务器的时候,它可能回应一个信号,卸载蠕虫。在某个特定的日期后蠕虫也会卸 载自身。另外,蠕虫删除以下文件:
%Windows%\java\classes\java.dll %System%\kernel32.sys 它还删除以下注册表: HKCR\CLSID\< ClassID >\InprocServer32 HKCR\CLSID\< ClassID > HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Browser Helper Objects\< ClassID > HKLM\SOFTWARE\Microsoft\Internet Explorer\GUID 并修改以下注册表键值:
蠕虫病毒的一般处置方案
蠕虫病毒的一般处置方案随着计算机技术的飞速发展,各种病毒也越来越多地出现在我们的互联网世界中。
尤其是蠕虫病毒,由于它的自我复制和传播能力极强,一旦扩散开来,对计算机网络和用户带来的破坏是非常严重的。
为了保护计算机网络和用户的数据安全,我们需要了解蠕虫病毒的一般处置方案。
什么是蠕虫病毒蠕虫病毒是一种利用网络空间进行传播并自我复制的恶意代码,其主要特点是在网络上迅速传播、危害大、范围广。
蠕虫病毒通过利用网络上的漏洞或者弱点进行攻击,从而与其他主机生成新的感染行为,不断扩散,给计算机和网络带来极大的危害。
常见的蠕虫病毒有蠕虫、爆破蠕虫、邮件蠕虫等。
蠕虫病毒的预防与防治注意网络安全作为计算机用户,我们首先应该注意网络安全,并采取一定的预防措施。
可以查看操作系统补丁以及安全更新,并及时安装;安装杀毒软件,并保持及时更新杀毒软件的病毒库文件;禁止使用弱口令以及禁止共享敏感文件;只下载和运行可靠的应用程序;打开和接收电子邮件附件应慎重,不要轻易打开未知来源的附件;使用智能型防火墙来过滤网络流量等等。
这些安全措施可以最大程度地减少蠕虫病毒的传播和危害。
安装杀毒软件杀毒软件是防治计算机中常见恶意代码的重要手段。
我们可以根据操作系统的环境、硬件配置、性能特征选择适合自己的杀毒软件,然后及时更新病毒库文件,保证杀毒软件可以识别新出现的病毒,并及时进行拦截和处置。
及时修补漏洞很多蠕虫病毒利用系统中的软件漏洞进行攻击,在开放端口中搜索额外的受感染目标。
因此,及时修补漏洞是很重要的,可以有效预防蠕虫病毒的感染和扩散。
操作系统或软件提供商会在出现漏洞时发布相应的安全更新,安装修补程序是修补漏洞的主要方式,因此我们需要定期检查漏洞并进行修补。
摆脱蠕虫病毒的方法如果我们的计算机被蠕虫病毒感染,应当及时采取措施进行摆脱。
第一,隔离感染机器,及时关闭网络连接。
在某些情况下需要停止运行与网络有关的程序。
第二,运行杀毒软件,对病毒进行扫描和清除。
病毒定义与解决分释
W32.Sality!dr Trojan.Dowiex!inf W32.Spybot.Worm
Trojan Horse
传播方式
简介及处理方法
U 盘感染类蠕虫病毒;
可移动磁盘传播 解决办法:
关闭自动播放,格式化移动介质
病毒,木马
解决方法:
网络传播
此为木马下载器,SEP 对此类病毒是只做隔离, 可以再本机的隔离区查看,如果不是误隔离,
删除该广告软件添加到注册表的键值
木马
解决方法:
Infostealer
网络传播
更新系统补丁
开启文件共享保护
禁用“自动运行”(CD/ USB)
Bloodபைடு நூலகம்ound.Boot.String
引导区病毒 说明系统引导区里面被恶意程序或者其它的系统工具 修改过,如一键 ghost 等 应避免使用 ghost 装机镜像 解决方法:使用 U 盘启动到 PE,运行 Diskgen 工具对 硬盘进行重建 MBR 操作
恶意 Cookie 文件
Tracking Cookies
网络传播
解决办法:
清除 IE Cookies 和临时文件
木马
SONAR.SuspBeh!gen 3
网络传播
解决方法: 更新病毒定义
运行完整的系统扫描
XF.Helpopy W32.SillyFDC W32.Downadup.B Trojan.ADH.2
网络传播 网络传播 网络传播 网络传播
宏病毒解决方法:选取“工具”菜单中“宏” 一项,进入“管理器”,选取标题为“宏”的一 页,在“宏有效范围”下拉列表框中打开要检 查的文档。将列表框中不明来源的自动执行宏 删除即可。删除后再更新病毒定义至最新,并 执行全盘扫描。 蠕虫 操作系统更新修复漏洞,文件共享保护 禁用“自动运行”(CD/ USB)即可有效禁止 如本机已经检测到此蠕虫 可运行 SEP 对本机进行一次全盘扫描,同是运 行诺顿强力清除器(NPE),并保证 SEP 病毒定 义为最新。 注意工作 U 盘保护,打开自动保护,进行定期 全盘扫描。 木马,蠕虫 该病毒会在感染源机上不停产生病毒,并对局 域网内进行发送。 解决方法: 始终保持最新补丁级别 安装 SEP,并更新到最新的病毒定义 运行完整的系统扫描,并删除所有检测到的文 件 广告插件 解决办法: 停止使用盗版软件或者带有广告程序的免费软 件。
关于蠕虫病毒(震荡波和冲击波)防范和处理方案
蠕虫病毒(Worm.Sasser& Blaster.Worm)的防范与清除目录1 震荡波(Worm.Sasser)的处理办法 (2)1.1 现象分析 (2)1.2 受影响的平台: (3)1.3 解决方案步骤一 (3)1.4 检查是否被感染的方法 (4)1.5 手工清除方法 (4)1.6 使用专杀工具清除方法: (5)1.7 补丁下载地址 (5)1.8参考信息 (5)2 W32/Blaster蠕虫处理办法 (5)2.1 简单描述 (5)2.2 影响系统 (5)2.3 现象 (6)2.4 手动删除办法 (6)2.5 解决方案 (6)2.6 网络控制方法 (7)2.7 安装补丁常见问题 (7)1 震荡波(Worm.Sasser)的处理办法1.1 现象分析蠕虫感染系统后会做以下操作:1.在系统中创建一个互斥体以保证系统中在任何时候有且只有一个蠕虫进程在运行。
2.将自身拷贝为%Windir%\avserve.exe(注意%windir%是个变量,它根据系统版本和安装路径不同而有所不同,通常情况是c:\windows或者c:\winnt)3.修改注册表,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run项中添加"avserve.exe"="%Windir%\a v s e r v e.e x e"值这个操作保证蠕虫在系统重新启动后能够自动运行。
4.利用AbortSystemShutdown函数(取消系统关闭函数)使防止系统重新启动或关机。
5.开启一个FTP服务在TCP 5554端口,用来向其他被感染的机器传送蠕虫程序产生随机的网络地址,尝试连接这些地址的TCP 445端口并发送攻击程序,一旦攻击成功,蠕虫会在被攻击的机器的TCP 9996端口上创建一个远程的shell,然后利用这个远程的shell执行命令让被攻击的机器连接到发起攻击的机器的FTP 5554端口上下载蠕虫文件并运行。
蠕虫病毒是什么以及解决办法
蠕虫病毒是什么以及解决办法2003蠕虫王”(Killer2003),其危害远远超过曾经肆虐一时的红色代码病毒。
感染该蠕虫病毒后网络带宽被大量占用,导致网络瘫痪,该蠕虫是利用SQL SERVER 2000 的解析端口1434的缓冲区溢出漏洞,对其网络进行攻击。
由于“2003蠕虫王”具有极强的传播能力,目前在亚洲、美洲、澳大利亚等地迅速传播,已经造成了全球性的网络灾害。
由于1月25日正值周末,其造成的恶果首先表现为公用互联网络的瘫痪,预计在今后几天继续呈迅速蔓延之势。
2003蠕虫病毒是一个极为罕见的具有极其短小病毒体却具有极强传播性的蠕虫病毒。
该蠕虫利用Microsoft SQL Server 2000缓冲区溢出漏洞进行传播,详细传播过程如下:该病毒入侵未受保护的机器后,取得三个Win32 API地址,GetTickCount、socket、sendto,接着病毒使用GetTickCount获得一个随机数,进入一个死循环继续传播。
在该循环中蠕虫使用获得的随机数生成一个随机的ip地址,然后将自身代码发送至1434端口(Microsoft SQL Server开放端口),该蠕虫传播速度极快,其使用广播数据包方式发送自身代码,每次均攻击子网中所有255台可能存在机器。
易受攻击的机器类型为所有安装有Microsoft SQL Server 2000的NT系列服务器,包括WinNT/Win2000/WinXP等。
所幸该蠕虫并未感染或者传播文件形式病毒体,纯粹在内存中进行蔓延。
病毒体内存在字符串“h.dllhel32hkernQhounthickChGet”、“Qh32.dhws2_f”、“etQhsockf”、“toQhsend”。
该病毒利用的安全漏洞于2002年七月被发现并在随后的MS SQL Server2000补丁包中得到修正。
蠕虫病毒的特征该蠕虫攻击安装有Microsoft SQL 的NT系列服务器,该病毒尝试探测被攻击机器的1434/udp端口,如果探测成功,则发送376个字节的蠕虫代码。
蠕虫病毒应急处置方案
蠕虫病毒应急处置方案背景蠕虫病毒是一种网络安全威胁,能够通过感染电脑、网络服务器和其它设备,来执行恶意任务,例如盗取数据、破坏文件和网路拒绝服务攻击(DDoS)等。
蠕虫病毒通常会针对未被修复的漏洞进行攻击,因此保持系统和应用程序的更新至关重要。
在发生蠕虫病毒攻击时,及时采取措施是非常重要的。
下面将介绍一些蠕虫病毒应急处置方案以及相应的预防措施。
应急处置方案步骤一:隔离感染设备当发现蠕虫病毒感染时,应该立即将受感染的设备与网络物理隔离,以防止病毒继续扩散。
如果工作站有备份数据,则可以清除所有磁盘并重新安装操作系统并恢复数据。
如果没有备份数据,则必须清除所有文件以消灭病毒。
步骤二:扫描和清除病毒现在市场上有很多优秀的杀毒软件可以扫描和清除病毒。
建议使用知名的杀毒软件如Kaspersky和Norton等,并保持软件的实时更新。
及时扫描所有受感染的设备,并在扫描期间将所有病毒和恶意软件进行清除。
步骤三:保证网络安全如果蠕虫病毒感染了网络,则需要考虑重建网络。
这可能涉及到重新配置所有网络物理设备和软件设置。
还需要检查所有设备并确保它们得到及时更新和维护。
步骤四:重建安全性通过重新配置网络安全工具,例如防火墙和入侵检测系统,并确保所有设备都拥有最新的更新。
确保所有网络服务都已关闭或员工已得到许可。
密码应该经常更改,并避免使用弱密码,还需要限制设备的物理访问。
预防措施蠕虫病毒的防范也是很重要的,为了避免蠕虫病毒感染,以下是一些预防措施:•及时更新操作系统,应用程序和所有补丁;•开启防火墙保护网络;•安装杀毒软件,并保持其实时更新;•使用硬件和软件防御工具,例如入侵检测系统和入口控制列表(ACL)等;•在内部网络实现细粒度的访问控制,确保网络服务器只有授权用户可以使用;•对员工进行网络安全教育,以便他们更好地理解网络安全和管理最佳实践。
结论蠕虫病毒是网络安全领域所面临的重大威胁之一。
及时处置对蠕虫病毒的攻击是很重要的,特别是对于大企业和政府,这种攻击可能会对国家安全构成威胁。
WormWin32Welchiab蠕虫警告及清除
Worm.Win32.Welchia.b蠕虫警告及清除哈尔滨工业大学CERT小组目前校园网大量的机器感染Worm.Win32.Welchia.b蠕虫,它是Worm.Win32.Wechia 的变种。
如果受感染计算机上安装的是中文、朝鲜语或英语版的操作系统,则该蠕虫将尝试从Microsoft Windows Update 网站下载Microsoft 工作站服务中的缓冲区溢出可能允许执行代码和Microsoft Messenger 服务中的缓冲区溢出可能允许代码执行补丁,然后安装补丁并重新启动计算机。
同时,该蠕虫还尝试删除W32.Mydoom.A@mm 和W32.Mydoom.B@mm 蠕虫。
1、利用的漏洞Worm.Win32.Welchia.b 利用多个漏洞,包括:●通过TCP 端口135 利用DCOM RPC 漏洞(如Microsoft 安全公告MS02-026 中所述)。
该蠕虫利用此漏洞专门攻击Windows XP 计算机。
●通过TCP 端口80 利用WebDav 漏洞(如Microsoft 安全公告MS03-007 中所述)。
该蠕虫利用此漏洞专门攻击运行Microsoft IIS 5.0 的计算机。
该蠕虫利用这些漏洞,将会影响Windows 2000 系统,并可能影响Windows NT/XP 系统。
●通过TCP 端口445 利用Workstation 服务缓冲区溢出漏洞(如Microsoft 安全公告MS03-049 中所述)。
●通过TCP 端口445 利用Locator 服务漏洞(如Microsoft 安全公告MS03-001 中所述)。
该蠕虫利用此漏洞专门攻击Windows 2000 计算机。
该蠕虫也是第一个利用MS03-049的蠕虫2、危害单机用户出现系统运行速度变慢,拷贝、粘贴功能不好用。
对于网络由于该蠕虫用100个线程进行扫描,因此对会造成网络的拥塞,对于网络基础设施危害很大。
对于存在iis服务的服务器,该蠕虫还会对有关页面进行更改。
W32.Downadup.B 杀毒记
W32.Downadup.B 杀毒记公司最近爆发W32.Downadup.BConficker病毒,这有可能是已变种的,因为之前公司曾经爆发过一次这种病毒,之前已全部清除并已全部都打上补丁了,这一次的爆发应该可以肯定是变种的W32.Downadup.B了。
由于之前的杀毒方式太累了,一台台机子去杀毒和打补丁。
这一次我写了一个脚本,并使用了microsoft 的一个免费工具,还有symantec的专杀(FixDownadup,一定要最新的版本哦)进行网络杀毒,步骤如下:一、先用AD的GPO禁止病毒的扩散。
1. 设置用于删除对以下注册表子项的写入权限的策略:HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionSvchost这将阻止在 netsvcs 注册表值中创建随意命名的恶意软件服务。
为此,请按照下列步骤操作:1. 打开组策略管理控制台 (GPMC)。
2. 创建一个新的组策略对象 (GPO)。
随意为它命名。
3. 打开新的 GPO,然后转到以下文件夹:Computer ConfigurationWindows SettingsSecurity SettingsRegistry4. 右键单击“注册表”,然后单击“添加项”。
5. 在“选择注册表项”对话框中,展开“计算机”,然后转到以下文件夹:SoftwareMicrosoftWindows NTCurrentVersionSvchost6. 单击“确定”。
7. 在打开的对话框中,单击以清除“管理员”和“系统”对应的“完全控制”复选框。
8. 单击“确定”。
9. 在“添加对象”对话框中,单击“用可继承权限替换所有子项上的现有权限”。
10. 单击“确定”。
2. 设置用于删除对 %windir% asks 文件夹的写入权限的策略。
这将阻止Conficker 恶意软件创建可再次感染系统的计划任务。
为此,请按照下列步骤操作:1. 在您之前创建的同一个 GPO 中,转到以下文件夹:Computer ConfigurationWindows SettingsSecurity SettingsFile System2. 右键单击“文件系统”,然后单击“添加文件”。
病毒文件夹模仿者解决方法
“文件夹模仿者”(win32.troj.fakefoldert.yl.1406378),这是一个可借助U盘传播的木马程序。
该毒还通过将自己的文件伪装成文件夹图标,欺骗用户点击。
你试试看用瑞星在安全模式下全盘杀毒进入安全模式的方法是1、在计算机开启BIOS加载完之后,迅速按下F8键,在出现的WindowsXP高级选项菜单中选择“安全模式”;2、如果有多系统引导,在选择WindowsXP启动时,当按下回车键,就应该迅速地按下F8键(最好两只手进行操作),在出现的WindowsXP高级选项菜单中选择“安全模式”。
摘要:今天突然发现计算机有点异常,只要一打开Windows资源管理器左侧的文件夹,Explorer.exe就会崩溃,检查了一下发现中了W32.Downadup.autorun病毒。
尽管机器安装了最新版本的瑞星杀毒软件,但是根本就检测不到该病毒。
Symantec可以检测到,但是单位的涉密计算机就不允许安装国外的杀毒软件,只能用瑞星。
在网上搜索了一下,在Symantec的网站上可以下载杀毒软件包。
下回来运行了一下,可以把病毒删除了,下面是删除的日志文件:全文:/zealsoft/archive/2009/05/11/1454194.html我说过瑞星杀不了的病毒,结果发现换成Symentec,也会有杀不了的病毒。
今天就碰上一个:Win32.Troj.FakeFolderT.yo.1406378。
这个病毒的症状就是你插入一个新U盘,它就会在U盘上建立几个和U盘上目录同名的.EXE文件,从而达到传播的目的。
这是个病毒变种,最新的Symentec也没有查出来。
金山的在线杀毒可以查出来,但是如果想杀需要交钱。
这点不如Symentec厚道,Symentec查出的病毒大多提供免费的杀毒工具,买不买没关系这个病毒的清除似乎不难,先在任务管理器中找到一个文件名为随机生成的数字的进程,我的机器上为6261B2.EXE,然后直接关闭这个进程。
W32Downup专杀工具的使用方法
W32.Downadup Removal Tool此工具专为杀除下述感染而设计:W32.DownadupW32.Downadup.BW32.Downadup.C一、重要信息:如果您连接在网络上或在使用固定的 Internet 连接,如 DSL 或电缆调制解调器,请断开计算机与网络和 Internet 之间的连接。
在计算机与网络或 Internet 重新连接之前,请禁用或用密码保护文件共享,或将共享文件设为“只读”。
因为此蠕虫是通过网络计算机上的共享文件夹进行传播的,为确保此蠕虫被杀除后不会再次感染计算机,Symantec 建议用“只读”访问权限或密码保护进行文件共享。
二、工具使用步骤1.关闭所有正在运行的程序。
2.如果您在网络上或使用固定的 Internet 连接,请断开计算机与网络和Internet 之间的连接。
3.如果运行的是Windows Me 或XP,请关闭系统还原功能。
4.双击 FixDwndp.exe 文件启动此删除工具。
5.单击“开始”启动此进程,然后运行此工具。
注意:如果运行该工具时遇到任何问题,或者没有显示删除了该威胁,以安全模式重新启动计算机,然后重新运行该工具。
6.重新启动计算机。
7.再次运行此删除工具以确保系统是干净的。
8.如果您连接在网络上或在使用固定的 Internet 连接,请将计算机与网络或Internet 重新连接。
9.运行 LiveUpdate 以确保您使用的病毒定义是最新的。
此工具运行完毕后,将会出现一条消息,表明计算机是否受到该病毒的感染。
此工具将显示与如下所示类似的结果:∙已扫描的文件总数∙已删除的文件数∙已修复的文件数∙已终止的病毒进程数∙已修复的注册表项数三、此工具的功能此删除工具具有下列功能:∙结束相关进程∙删除相关文件∙删除该威胁添加的注册表值。
清理电脑病毒的方法和步骤
清理电脑病毒的方法和步骤清理电脑病毒的方法和步骤你担心你的电脑可能中病毒吗?如果你的电脑被感染了,学习如何清除电脑病毒是至关重要的。
以下是小编为大家收集的清理电脑病毒的方法和步骤,欢迎大家借鉴与参考,希望对大家有所帮助。
清理电脑病毒的方法和步骤方法一:1)重启点击F8,进入安全模式。
在安全模式下用杀毒软件全盘杀毒2-3次,杀毒软件推荐卡巴斯基或者NOD诺顿等大牌,记得杀毒前要更新到最新病毒库;2)重启即可。
现在主流的病毒一般都可以搞得定。
一般人好像没太多机会遭遇非常高级的病毒,除非你是搞这行的。
3)高端的`办法当然是注册表的修改了,楼上有玩家说了,我就不重复了。
4)当然,最无奈的办法还是可以格式化硬盘,重装系统的,但我也觉得没必要。
方法二:木马杀不掉一般是由于木马病毒正在运行,或者有其他的病毒进程守护,回写造成的。
如果遇到rootkit这类隐藏性很高的、又释放驱动的病毒,很难处理。
所以要先对病毒灭活,杀掉活体病毒之后就很容易查杀了。
第一步:下载“永久免费”的金山毒霸2011【百度搜索金山毒霸】选择官方下载第二步安装完以后,打开金山毒霸,点击“全盘查杀”方法三:①、关闭CAD(一定要先关闭正在运行的CAD程序)②、按F3键打开XP系统的文件搜索窗口,分别搜索并删除acad.lsp、acad.fas、acaddoc.lsp、acadapq.lspacadappp.lsp、acadapp.lsp和lcm.fas清理文件注意:①、“搜索范围”一定要选择“本机硬盘驱动器 (如C:;D:;E:;F”。
②、一定要先勾选“搜索选项”中的“高级选项”,将其下的“搜索系统文件夹”“搜索隐藏的文件和文件夹”“搜索子文件夹”项勾选上,否则不能将病毒文件全部搜索清除干净。
拓展电脑病毒怎么彻底清理原因以及简单的解决办法:1.病毒正在运行由于Windows保护正在运行的程序,所以杀毒软件是无法杀死正在运行的病毒。
即使是真的杀死了病毒,电脑正常关机时内存中活动的病毒还会再复制一个病毒到硬盘上。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
w32.downadup.b蠕虫病毒详解及清除攻略最近经常到几个工厂走动,发现有的局域网都感染受了W32.Downadup.B蠕虫病毒。
杀毒软件可以查杀,但是都不彻底,一边清除,一边又继续生成,让人不胜其烦。
发这篇日志,就是让今后遇到该问题的朋友能够舒心点。
W32.Downadup.B可利用Microsoft Windows服务器服务RPC的远程代码执行漏洞进行传播,也可利用弱密码保护的网络共享进行感染。
W32.Downadup.B会在硬盘上新建autorun.inf 文件,若用户进入硬盘空间,恶意代码便会自动运行。
同时,它还会监控是否有其他可移动存储设备连接到已感染病毒的计算机上。
一旦连接,此蠕虫病毒会在这个新硬盘空间建立一个autorun.inf文件。
此外,W32.Downadup.B还会监测计算机发出的DNS请求中是否有某些特定字符串,并以“超时,访问不成功”的方式阻止计算机访问某些网站(如安全更新网站)。
这意味着受感染的计算机可能无法安装补丁或更新杀毒软件,从而无法清除病毒威胁。
W32.Downadup.B病毒介绍Worm:W32/Downadup.AL [F-Secure], Win32/Conficker.B [Computer Associates],W32/Confick-D [Sophos], WORM_DOWNAD.AD [Trend], Net-Worm.Win32.Kido.ih [Kaspersky] 蠕虫Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XPW32.Downadup.B是蠕虫病毒,通过攻击 Microsoft Windows Server Service RPC Handling 远程编码执行漏洞 (BID 31874) 进行传播。
它还尝试传播到弱密码保护的网络共享,并阻止访问与安全相关的网站。
W32.Downadup.B病毒会修改 tcpip.sys 文件。
一旦执行,蠕虫会检查下列注册表项是否存在,如果不存在将创建这些注册表项:* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"然后,它会将其自身复制为下列文件中的一个或多个:* %ProgramFiles%\Internet Explorer\[RANDOM FILE NAME].dll* %ProgramFiles%\Movie Maker\[RANDOM FILE NAME].dll* %System%\[RANDOM FILE NAME].dll* %Temp%\[RANDOM FILE NAME].dll* C:\Documents and Settings\All Users\Application Data \[RANDOM FILE NAME].dll 它创建具有下列特征的新服务:服务名称:[PATH TO WORM]显示名称:[WORM GENERATED SERVICE NAME]启动类型:自动接下来通过创建下列的注册表项注册为服务:* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\Parameters\"ServiceDll" = "[PATH TO WORM]"* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"Type" = "4"* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"Start" = "4"* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"ErrorControl" = "4"注意:[WORM GENERATED SERVICE NAME] 表示从下列单词列表中选取的两个单词组合:* Boot * Center * Config * Driver * Helper * Image * Installer * Manager * Microsoft * Monitor * Network * Security * Server * Shell * Support * System * Task * Time * Universal * Update * Windows该蠕虫会创建下列注册表项,以便在每次启动 Windows 时运行:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM NAME]" = "rundll32.exe "[RANDOM FILE NAME].dll", ydmmgvos"接下来,蠕虫会删除所有用户创建的系统还原点。
然后蠕虫运行一个命令,通过禁用 Windows Vista TCP/IP 自动微调加快对受感染计算机的网络访问,从而加速传播。
蠕虫还修改下列注册表项,以便更快速地传播到整个网络:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\ "TcpNumConnections" = "00FFFFFE"接下来,蠕虫会结束下列两项 Windows 服务:* 后台智能传输服务 (BITS)* Windows 自动更新服务 (wuauserv)然后蠕虫修改下列文件,以禁用在 Windows XP SP2 中引入的半开放连接限制:%System%\drivers\tcpip.sys它还尝试通过修改下列注册表值在系统上将自身隐藏:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0"下一步,蠕虫会枚举可用的 ADMIN$ 网络共享资源。
然后,它枚举这些共享资源中的用户,并尝试使用下列密码之一以现有用户的身份建立连接:请注意:根据账户锁定设置,蠕虫的多次身份验证尝试可能会导致这些账户被锁定。
如果建立成功,则蠕虫将自身作为下列文件复制到共享:[SHARE NAME]\ADMIN$\System32\[RANDOM FILE NAME].dll然后在远程服务器上创建计划的作业,以便每日运行下列命令组合:"rundll32.exe [RANDOM FILE NAME].dll, [RANDOM PARAMETER STRING]"接下来,蠕虫连接到下列 URL 以获取受感染计算机的 IP 地址:* * * * 蠕虫在本地网络网关设备上创建防火墙规则,以允许远程攻击者连接到受感染计算机并通过随机端口从受感染计算机的外部 IP 地址进行下载。
然后蠕虫以下列格式通过随机端口在受感染计算机上创建 HTTP 服务器:http://[COMPROMISED COMPUTER EXTERNAL IP ADDRESS]:[RANDOM PORT]然后将此 URL 发送到远程计算机。
接下来蠕虫尝试通过攻击下列漏洞进行传播,以便远程计算机连接到上述命名 URL 并下载该蠕虫。
Microsoft Windows Server Service RPC 处理远程编码执行漏洞 (BID 31874)蠕虫尝试将自身作为下列文件复制到任意可访问的映射驱动器:%DriveLetter%\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[RANDOM FILE NAME].dll蠕虫还尝试在任意可访问的映射驱动器中创建下列文件,以便在访问驱动器时执行:%DriveLetter%\autorun.inf它还监控受感染计算机上的所有其他新设备,并尝试以同样的方式感染这些新添加的设备。
蠕虫获取大量的 Window API 调用以进行传播,并使其难于删除。
该蠕虫还获取 NetpwPathCanonicalize API,并在调用该 API 时,它会检查 PathName 的长度以避免进一步攻击漏洞。
如果 PathName 包含该蠕虫原来具有的签名,则 PathName 可能包含加密的 URL,并且蠕虫通过此 URL 可以下载文件并执行该文件。
蠕虫在内存中修补下列 API:* DNS_Query_A* DNS_Query_UTF8* DNS_Query_W* Query_Main* sendto蠕虫监控向域发出的包含下列任意字符串的 DNS 请求,并阻止访问这些域以便显示网络请求超时:* ahnlab * arcabit * avast * avg. * avira * avp. * bit9. * ca. * castlecops * centralcommand * cert. * clamav * comodo * computerassociates * cpsecure * defender * drweb * emsisoft * esafe * eset * etrust * ewido * f-prot * f-secure * fortinet * gdata * grisoft * hacksoft * hauri * ikarus * jotti * k7computing * kaspersky * malware * mcafee * microsoft * nai. * networkassociates * nod32 * norman * norton * panda * pctools * prevx * quickheal * rising * rootkit * sans. * securecomputing * sophos * spamhaus * spyware * sunbelt * symantec * threatexpert * trendmicro * vet. * virus * wilderssecurity * windowsupdate它联系下列站点之一以获取当前日期:* * * * * * * * * * * 然后检查受感染计算机上的日期是否为最新日期,即 2009 年 1 月 1 日。