以下是小编收集整理的三招手工必杀小邮差变种诺维格病毒Windows系统,本文共7篇,仅供参考,欢迎大家阅读。本文原稿由网友“苏大森”提供。
篇1:三招手工必杀小邮差变种诺维格病毒Windows系统
第一步:终止恶意程序 打开 windows 任务管理器,在windows95/98/ME系统中, 按CTRL+ALT+DELETE; 在Windows NT// XP 系统中, 按CTRL+SHIFT+ESC, 然后点击进程选项卡; 在运行程序列表中, 找到进程: taskmon.exe ; 选择恶意程序进程, 然后点击结束任务或
第一步:终止恶意程序打开windows任务管理器,在windows95/98/ME系统中, 按CTRL+ALT+DELETE;
在Windows NT/2000/XP系统中, 按CTRL+SHIFT+ESC, 然后点击进程选项卡;
在运行程序列表中, 找到进程: taskmon.exe ;
选择恶意程序进程, 然后点击结束任务或结束进程按钮(取决于windows的版本);
为了检查恶意程序是否被终止, 关掉任务管理器, 然后再打开;
关掉任务管理器;
*注意: 在运行windows95/98/ME的系统中, 任务管理器可能不会显示某一进程. 可以使用其他进程查看器来终止恶意程序进程. 否则, 继续处理下面的步骤, 注意附加说明,
第二步:删除注册表中的自启动项目
从注册表中删除自动运行项目来阻止恶意程序在启动时执行;
打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;
在左边的面板中, 双击:
HKEY_CURRENT_USER>Software>Microsft>Windows>CurrentVersion>Run
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
在右边的面板中, 找到并删除如下项目:
TaskMon = %System%\\taskmon.exe
*注意: %System%是Windows的系统文件夹, 在Windows 95, 98, 和ME系统中通常是 C:\\Windows\\System, 在WindowsNT和2000系统中是:WINNT\\System32, 在Windows XP系统中是C:\\Windows\\System32.
*注意: 如果不能按照上述步骤终止在内存中运行的恶意进程, 请重启系统,
第三步:删除注册表中的其他恶意项目
如下是删除注册表中其他恶意项目的说明。
仍旧在注册表编辑器中, 在菜单条中点击编辑>查找, 在文本领域中输入“ComDlg32”, 点击查找下一个;
当像如下键值出现时, 删除键值和数据:
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ComDlg32\\Version
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ComDlg32\\Version
关闭注册表编辑器.
通过以上三招,烦人的“诺维格”病毒就可以被清除干净了。不过以上方法主要针对电脑专业人士应用比较方便,普通计算机用户请尽量利用杀毒软件查杀此病毒,请及时升级您的杀毒软件到最新。
,
原文转自:www.ltesting.net
篇2:警报:小邮差病毒变种C重装上阵
11月1日,截获了恶性蠕虫“小邮差”病毒的最新变种:“小邮差变种C(Worm.Mimail.C)”,该病毒会随机变换邮件标题、向外发送大量邮件来阻塞网络,病毒还会利用被感染的机器向一些网站发起“拒绝服务攻击(DoS)”,导致整个网络瘫痪,病毒今日已在美国大面积传播,病毒专家提醒国内用户及时做好防毒准备。
病毒运行后会大量消耗网络资源,使网速变慢。据分析,感染了该病毒的电脑,系统目录下会出现名为“Netwatch.exe”的病毒文件,注册表的自启动项中会出现名为“NetWatch32”的病毒键值,经常上网的用户可以通过查看以上现象,来判断自己的电脑是否感染病毒,如果出现,请尽快采取相关措施,以防止病毒继续泛滥,
该病毒主要通过邮件传播,搜索18种类型的文件,在其中寻找有效的邮件地址,使用自己的邮件发送引擎,向这些地址发送大量标题为:“ourprivatephotos######”(######为随机串),附件为:photos.zip的病毒邮件,如果用户收到以上内容的邮件时,请直接删除,千万不要打开和预览,因为该病毒利用了微软的邮件漏洞,就连预览也能使病毒运行。
篇3:重大病毒警报诺维格4A级恶蠕虫大面积爆发Windows系统
金山毒霸报道:金山毒霸反病毒实验室应急处理中心于今日在国内率先截获4A级恶性蠕虫病毒“诺维格”(Worm.Novarg.a),该蠕虫病毒前日已在欧美等地区大面积爆发,于今日开始迅速涌入亚洲地区,请广大用户提高警惕,严防该蠕虫病毒,
重大病毒警报诺维格4A级恶蠕虫大面积爆发Windows系统
,
据金山毒霸反病毒工程师介绍:该病毒使用自带的邮件引擎进行高速传播。病毒发送的病毒邮件主题和内容随机生成,多为模仿邮件服务器的退信,而附件就是病毒本身。附件使用“ .bat, .cmd, .exe, .pif, .scr, and .zip”等后缀,当用户打开附件时,病毒就会立即发作。下图病毒邮件例:
原文转自:www.ltesting.net
篇4:我国发现“斯伯特”(BackdoorSDBOT)病毒变种Windows系统
国家计算机病毒应急处理中心于4月5日接到用户报告,该部门遭受病毒感染,造成局域网瘫痪,并发送大量的SYN包,经证实是感染了“斯伯特”(Backdoor_SDBOT)病毒的最新变种。 病毒运行后在系统文件夹下生成病毒文件,修改注册表。病毒还通过 网络 共享
国家计算机病毒应急处理中心于204月5日接到用户报告,该部门遭受病毒感染,造成局域网瘫痪,并发送大量的SYN包。经证实是感染了“斯伯特”(Backdoor_SDBOT)病毒的最新变种。病毒运行后在系统文件夹下生成病毒文件,修改注册表。病毒还通过网络共享进行传播,并允许远程用户的访问。另外,病毒还进行SYN洪水攻击。被感染的用户也都使用了弱口令,给病毒可乘之机。
国家计算机病毒应急处理中心在这里提醒广大用户,立即升级杀毒软件和个人防火墙,并启动“实时监控”功能,同时将口令设置的较为复杂,做好病毒的防范工作。
有关该病毒分析报告如下:
病毒名称:“斯伯特”(Backdoor_SDBOT)
病毒类型:后门程序
病毒长度:107,740字节
影响系统:Win 95/98/NT//Me/XP
病毒特征:
1、生成病毒文件
病毒运行后会在系统中生成如下文件:
%System%\\WIMMTRE.EXE
(其中,%System%在Windows95/98/Me 下为C:\\Windows\\System,在Windows NT/2000下为C:\\Winnt\\System32,在Windows XP下为 C:\\Windows\\System32)
2、修改注册表
病毒添加注册表项,使得自身能够在系统启动时自动运行,在
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\ CurrentVersion\\Run中添加
Module WinMeter = “wimmtre.exe”
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run中添加
Module WinMeter = “wimmtre.exe”
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>RunServices 中添加
Module WinMeter = “wimmtre.exe”
3、删除共享
病毒试图删除以下共享
C$
D$
IPC$
ADMIN$
4、通过网络共享传播
病毒可以通过网络共享进行传播,它会在下列路径生成病毒文件:
\\IPC$\\wimmtre.exe
\\D$\\wimmtre.exe
\\print$\\wimmtre.exe
\\c$\\wimmtre.exe
\\Admin$\\wimmtre.exe
\\c$\\windows\\system32\\wimmtre.exe
\\c$\\winnt\\system32\\wimmtre.exe
\\Admin$\\system32\\wimmtre.exe
5、后门功能
病毒允许远程用户访问被感染机器的文件和其它系统资源,同时还可以进行弱口令攻击,是系统安全受到威胁,
另外,病毒还进行SYN洪水攻击。
清除该病毒的一些建议:
1、终止病毒进程
在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE,在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC,选择“任务管理器――〉进程”,选中正在运行的病毒进程,并终止其运行。
2、注册表的恢复
点击“开始――〉运行”,输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>RunServices
并删除面板右侧的Module WinMeter = “wimmtre.exe”
3、删除病毒释放的文件
点击“开始――〉查找――〉文件和文件夹”,查找文件“wimmtre.exe”,并将找到的文件删除。
4、运行杀毒软件,对系统进行全面的病毒查杀
5、修改弱口令,请用户将口令设置的较为复杂,减少被攻破的可能性
,
原文转自:www.ltesting.net
篇5:恶性蠕虫诺维格(Novarg/Mydoom)分析报告Windows系统
病毒名称: Worm.Novarg.a 中文名称: 诺维格 威胁级别: 4A 病毒别名: W32/Mydoom@MM [McAfee] WORM_ MI MAIL.R [Trend] W32.Novarg.A@mm [Sym ant ec] 受影响系统: Win9x/NT/2K/ XP / 金山毒霸反病毒实验室应急处理中心于当日在国内率先截获4A级恶性蠕虫
病毒名称:Worm.Novarg.a中文名称:诺维格
威胁级别:4A
病毒别名:W32/Mydoom@MM [McAfee]
WORM_MIMAIL.R [Trend]
W32.Novarg.A@mm [Symantec]
受影响系统:Win9x/NT/2K/XP/2003
金山毒霸反病毒实验室应急处理中心于当日在国内率先截获4A级恶性蠕虫病毒“诺维格”(Worm.Novarg.a),该蠕虫病毒利用自带的SMTP引擎来发送病毒邮件,利用点对点工具的共享目录来欺骗下载,病毒发作时会启动64个线程进行DoS攻击,造成系统和网络资源的严重浪费。
请立即升级金山毒霸病毒库到年1月27日的版本,即可完全处理该病毒。
技术特征:
1、创建如下文件:
%System%shimgapi.dll
%temp%Message, 这个文件由随机字母通组成。
%System%taskmon.exe, 如果此文件存在,则用病毒文件覆盖。
(注:%system%为系统目录,对于Win9x系统,目录为windows\\system。对于NT及以上系统为Winnt\\system32或Windows\\system32。%temp%为系统临时目录,在“运行”的窗口输入%temp%及可调出临时目录的所在位置。)
2、Shimgapi.dll的功能是在被感染的系统内创建代理服务器,并开启3127到3198范围内的TCP端口进行监听;
3、添加如下注册表项:
HKEY_CURRENT_USER\\Software\\Microsft\\Windows\\CurrentVersion\\Run
TaskMon = %System%\\taskmon.exe
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
TaskMon = %System%\\taskmon.exe
使病毒可随机启动;
添加如下注册表项:
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ComDlg32\\Version
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ComDlg32\\Version
用于存储病毒的活动信息。
4、对www.sco.com实施拒绝服务(DoS)攻击, 创建64个线程发送GET请求,这个DoS攻击将从2004年2月1延续到2004年2月12日;
5、在如下后缀的问中搜索电子邮件地址,但忽略以.edu结尾的邮件地址:
.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.pl
.wab
.txt
6、使用病毒自身的SMTP引擎发送邮件,他选择状态良好的服务器发送邮件,如果失败,则使用本地的邮件服务器发送;
7、邮件内容如下:
From: 可能是一个欺骗性的地址
主题:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
正文:
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
附件名称:
document
readme
doc
text
file
data
test
message
body
可能的后缀:
pif
scr
exe
cmd
bat
zip
8、拷贝自己到KaZaA的共享目录下,伪装成如下文件,后缀可能为(pif\\scr\\bat),欺骗其它KaZaA用户下载,达到传播的目的:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
解决方案:
1>升级毒霸病毒库到最新, 进行全盘查杀即可.
2>手工清除:
<1>终止恶意程序:
打开windows任务管理器.
在windows95/98/ME系统中, 按CTRL+ALT+DELETE
在Windows NT/2000/XP 系统中, 按CTRL+SHIFT+ESC, 然后点击进程选项卡.
在运行程序列表中, 找到进程: taskmon.exe
选择恶意程序进程, 然后点击结束任务或结束进程按钮(取决于windows的版本).
为了检查恶意程序是否被终止, 关掉任务管理器, 然后再打开.
关掉任务管理器.
*注意: 在运行windows95/98/ME的系统中, 任务管理器可能不会显示某一进程. 可以使用其他进程查看器来终止恶意程序进程. 否则, 继续处理下面的步骤, 注意附加说明.
<2>删除注册表中的自启动项目:
从注册表中删除自动运行项目来阻止恶意程序在启动时执行.
打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter
在左边的面板中, 双击:
HKEY_CURRENT_USER>Software>Microsft>Windows>CurrentVersion>Run
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
在右边的面板中, 找到并删除如下项目:
TaskMon = %System%\\taskmon.exe
*注意: %System%是Windows的系统文件夹, 在Windows 95, 98, 和ME系统中通常是 C:\\Windows\\System, 在WindowsNT和2000系统中是:WINNT\\System32, 在Windows XP系统中是C:\\Windows\\System32.
*注意: 如果不能按照上述步骤终止在内存中运行的恶意进程, 请重启系统.
<3>删除注册表中的其他恶意项目
如下是删除注册表中其他恶意项目的说明.
仍旧在注册表编辑器中, 在菜单条中点击编辑>查找, 在文本领域中输入“ComDlg32”, 点击查找下一个.
当像如下键值出现时, 删除键值和数据:
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer
\\ComDlg32\\Version
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer
\\ComDlg32\\Version
关闭注册表编辑器.
,原文转自:www.ltesting.net
篇6:利用Windows系统自带命令手工搞定病毒
上网最恐怖的事莫过于新病毒出来的时候,尽管电脑上我们都装有各种强大的杀毒软件,也配置了定时自动更新病毒库,但病毒总是要先于病毒库的更新的,所以中招的每次都不会是少数,这里列举一些通用的杀毒方法,自己亲自动手来用系统自带的工具绞杀病毒:
一、自己动手前,切记有备无患――用TaskList备份系统进程
新型病毒都学会了用进程来隐藏自己,所以我们最好在系统正常的时候,备份一下电脑的进程列表,当然最好在刚进入Windows时不要运行任何程序的情况下备份,样以后感觉电脑异常的时候可以通过比较进程列表,找出可能是病毒的进程,
在命令提示符下输入:
TaskList /fo:csv>g:zc.csv
上述命令的作用是将当前进程列表以csv格式输出到“zc.csv”文件中,g:为你要保存到的盘,可以用Excel打开该文件.
二、自己动手时,必须火眼金睛――用FC比较进程列表文件
如果感觉电脑异常,或者知道最近有流行病毒,那么就有必要检查一下。
进入命令提示符下,输入下列命令:
TaskList /fo:csv>g:yc.csv
生成一个当前进程的yc.csv文件列表,然后输入:
FC g:\\zccsv g:\\yc.csy
回车后就可以看到前后列表文件的不同了,通过比较发现,电脑多了一个名为“Winion0n.exe”(这里以这个进程为例)不是“Winionon.exe”的异常进程。
三、进行判断时,切记证据确凿――用Netstat查看开放端口
对这样的可疑进程,如何判断它是否是病毒呢?根据大部分病毒(特别是木马)会通过端口进行对外连接来传播病毒,可以查看一下端口占有情况。
在命令提示符下输入:
Netstat -a-n-o
参数含义如下:
a:显示所有与该主机建立连接的端口信息
n:显示打开端口进程PID代码
o:以数字格式显示地址和端口信息
回车后就可以看到所有开放端口和外部连接进程,这里一个PID为1756(以此为例)的进程最为可疑,它的状态是“ESTABLISHED”,通过任务管理器可以知道这个进程就是“Winion0n.exe”,通过查看本机运行网络程序,可以判断这是一个非法连接!
连接参数含义如下:
LISTENINC:表示处于侦听状态,就是说该端口是开放的,等待连接,但还没有被连接,只有TCP协议的服务端口才能处于LISTENINC状态。
ESTABLISHED的意思是建立连接。
表示两台机器正在通信。
TIME-WAIT意思是结束了这次连接。
说明端口曾经有过访问,但访问结束了,用于判断是否有外部电脑连接到本机。
四:下手杀毒时,一定要心狠手辣――用NTSD终止进程
虽然知道 “Winion0n.exe”是个非法进程,但是很多病毒的进程无法通过任务管理器终止,怎么办?
在命令提示符下输入下列命令:
ntsd Cc q-p 1756
回车后可以顺利结束病毒进程。
提示:“1756”为进程PID值,如果不知道进程的ID,打开任务管理器,单击“查看→选择列→勾上PID(进程标识符)即可,
NTSD可以强行终止除Sytem,SMSS.EXE,CSRSS.EXE外的所有进程。
五、断定病毒后,定要斩草除根――搜出病毒原文件
对于已经判断是病毒文件的“Winion0n.exe”文件,通过搜索“本地所有分区”、“搜索系统文件夹和隐藏的文件和文件夹”,找到该文件的藏身之所,将它删除。
不过这样删除的只是病毒主文件,通过查看它的属性,依据它的文件创建曰期、大小再次进行搜索,找出它的同伙并删除。
如果你不确定还有那些文件是它的亲戚,通过网络搜索查找病毒信息获得帮助。
六、清除病毒后一定要打扫战场
手动修复注册表虽然把病毒文件删除了,但病毒都会在注册表留下垃圾键值,还需要把这些垃圾清除干净。
1、用reg export备份自启动。
由于自启动键值很多,发现病毒时手动查找很不方便。
这里用reg export+批处理命令来备份。
启动记事本输入下列命令:
reg export HKLM\\software\\Microsoft\\Windows\\
CurrentVersion\\Run fo:\\hklmrun.reg
reg export HKCU\\Software\\Microsoft\\Windows\\
CurrentVersion\\Policies\\Explorer\\Run f:\\hklcu.reg
reg export HKLM\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Policies\\Explorer\\Run hklml.reg
注:这里只列举几个常见键值的备份,其它键值请参照上述方法制作。
然后将它保存为ziqidong.bat在命令提示符下运行它,即可将所有自启动键值备份到相应的reg文件中,接着再输入:
copy f:\\*.reg ziqidong.txt
命令的作用是将所有备份的reg文件输出到“ziqidong.txt”中,这样如果发现病毒新增自启动项,同上次导出自启动值,利用上面介绍的FC命令比较前后两个txt文件,即可快速找出新增自启动项目。
2、用reg delete删除新增自启动键值。
比如:通过上面的方法在[HKER_CURRENT_USER\\SOFTWARE\\Microsoft\\
Windows\\CurrentVersion\\Run],找到一个“Logon”自启动项,启动程序为“c:\\windows\\winlogon.exe”,现在输入下列命令即可删除病毒自启动键值:
reg delete HKLM\\software\\Microssoft\\Windows\\
CurrentVersion\\Run /f
3、用reg import恢复注册表。
Reg de-lete删除是的是整个RUN键值,现在用备份好的reg文件恢复即可,输入下列命令即可迅速还原注册表:reg import f:\\hklmrun.reg
上面介绍手动杀毒的几个系统命令,其实只要用好这些命令,我们基本可以KILL掉大部分的病毒,当然平时就一定要做好备份工作。
提示:上述操作也可以在注册表编辑器里手动操作,但是REG命令有个好处,那就是即使注册表编辑器被病毒设置为禁用,也可以通过上述命令导出/删除/导入操作,而且速度更快!
七、捆绑木马克星――FIND
上面介绍利用系统命令查杀一般病毒,下面再介绍一个检测捆绑木马的“FIND”命令。
篇7:重大病毒警报诺维格4A级恶蠕虫大面积爆发
金山毒霸报道:金山毒霸反病毒实验室应急处理中心于今日在国内率先截获4A级恶性蠕虫病毒“诺维格”(Worm.Novarg.a),该蠕虫病毒前日已在欧美等地区大面积爆发,于今日开始迅速涌入亚洲地区,请广大用户提高警惕,严防该蠕虫病毒,
据金山毒霸反病毒工程师介绍:该病毒使用自带的邮件引擎进行高速传播。病毒发送的病毒邮件主题和内容随机生成,多为模仿邮件服务器的退信,而附件就是病毒本身。附件使用“.bat,.cmd,.exe,.pif,.scr,and.zip”等后缀,当用户打开附件时,病毒就会立即发作。下图病毒邮件例:
该病毒会利用一个名为“KaZaA”的点对点工具进行传播,
病毒将病毒复制到该软件的共享目录,并命名为“winamp5、icq2004-final、activation_crack、strip-girl-2.0bdcom_patches、rootkitXP、office_crack、nuke2004”等工具软件名字,欺骗用户下载。
该病毒发作时会对网址“sco.com”进行DoS(拒绝服务式)攻击。病毒攻击时会开启多达64个线程,造程系统变慢或是不稳定,并可大量浪费网络资源。病毒还会将被感染的系统做为代理服务器,监听TCP端口3127-3198。
金山毒霸报病毒实验室已对该病毒进行了紧急处理,升级到2004年1月27日的病毒库可完全处理该病毒。
金山毒霸提醒:该病毒正在快速蔓延,请广大网络用户提高警惕,升级您的反病毒软件到最新。如果没有金山毒霸,您可以使用金山毒霸的在线查毒或是金山毒霸下载版来防止该病毒的侵入。,
