找回密码
 注册

ɨһɨ΢

QQ¼

ֻһٿʼ

搜索
安徽家装论坛管理细则
查看: 2650|回复: 4

有谁知道这个病毒怎么清呀?

[复制链接]
发表于 2007-2-8 16:31:02 | 显示全部楼层 |阅读模式
gLZt.dll   
回复

使用道具 举报

发表于 2007-2-8 17:37:48 | 显示全部楼层
木马程序 Trojan-PSW.Win32.Agent.jz 的DLL文件
你可以用这个软件到安全模式下去处理试试:
按杀毒软件提供的路径,记下来
1.下载一个软件:冰刃(http://www.ttian.net/website/2005/0829/391.html)
这是一个绿色软件,下载解压缩后即可使用。
点击:进程 逐个右击右侧的进程--模块信息,仔细查看这个dll到底对哪些进程进行了插入(特别是那些系统进程),尝试用右侧的“强制解除”试试,能不能将这个dll文件从进程中解除出来(可能会碰上在某个进程中强制解除时机器会重启的现象)。
如果不行,请先运行regsvr32 /u 这个dll文件,将它从系统中反注册。

2.在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下,找到这个文件。

3.通过按钮“创建时间”对这个文件夹下的文件进行排序,仔细查看与这个文件在创建时间是同一天的所有文件(但是不是都是与它一样是病毒文件,需要你判断)。右击它们一一删除。

4.搜索注册表里这些文件的键值,删除搜索到的。

5.重启电脑,这个东西应该清除干净了。
回复 给力

使用道具 举报

发表于 2007-2-8 17:38:30 | 显示全部楼层
病毒名称:Worm.WhBoy.h   
病毒中文名:熊猫烧香(武汉男生),近日又化身为“金猪报喜”

病毒类型:蠕虫

危险级别:★★★★★

影响平台:Win 9x/ME,Win 2000/NT,Win XP,Win 2003

专杀工具:金山专杀工具    安天专杀工具    江民专杀工具    安博士专杀工具    赛门铁克专杀工具

病毒描述:

“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。



1:拷贝文件

病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe

2:添加注册表自启动

病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

3:病毒行为

a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序:

QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword

并使用的键盘映射的方法关闭安全软件IceSword

添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

并中止系统中以下的进程:

Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe

b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享

c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享

d:每隔6秒删除安全软件在注册表中的键值

并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00

删除以下服务:

navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc

e:感染文件

病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:

WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone

g:删除文件

病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。
小心下载~~~   软件名称:共享大家熊猫烧香(毒)下载~~小心下载

1)运行环境:Win9x/NT/2000/XP/2003  软件类别: 国产软件  
软件等级:★★★  软件语言: 英文
文件大小:68K  授权方式: 免费版
开 发 商: 好友  软件属性:            
软件添加:好友  添加时间:2007-1-20 1:00:14

软件介绍


1.exe为原始病毒

2.exe是变种的毒

第2个文件则为超级变种的

提供大家研究

为了安全我把文件加密了,密码:注意安全,不要随便运行,测试放虚拟机

请不要在自己电脑上随便打开测试,如果要开也要先作好虚拟机被俸,再开

病毒威力很强,感染所有EXE文件,安全第一

我提供写资料给大家

中毒症状:
机器运行缓慢,开机即死机,无法进入安全模式,自动蓝屏.任务管理器.msconifg.cmd命令无法使用.杀毒软件/防火墙无法启动.

病毒文件:
C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\ZT3\SVCHQST.EXE
C:\WINDOWS\SYSTEM32\XPDHCP.DLL
C:\WINDOWS\SYSTEM32\WINDHCP.OCX
C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\GLZT.DLL

C:\WINDOWS\UpdateAA.EXE
C:\WINDOWS\SYSTEM32\XPDHCP.DLL
C:\WINDOWS\SYSTEM32\WINDHCP.OCX

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\RXZS.EXE
C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\RXZS.DLL

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\MH2\IEXPL0RE.EXE
C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\MHGX.DLL

自动启动项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
twin = C:\WINDOWS\SYSTEM32\TWUNK32.EXE

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ctfmon.exe = C:\WINDOWS\SYSTEM32\CTFMON.EXE
myMh2 = C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\MH2\IEXPL0RE.EXE
myZt3 = C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\ZT3\SVCHQST.EXE

文件关联:
.txt ==> txtfile = %SystemRoot%\system32\NOTEPAD.EXE %1

病毒服务:
ServerAC = C:\WINDOWS\SYSTEM32\SECURITY.EXE
回复 给力

使用道具 举报

发表于 2007-2-8 17:39:12 | 显示全部楼层
回复 给力

使用道具 举报

发表于 2007-2-9 12:13:11 | 显示全部楼层
好可怕啊.!!!!!
回复 给力

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表