一个很怪的硬盘问题,急等解决,高手快来

受到感染后的症状： 一旦蠕虫被激活，它就对某些文件采取一定的行动，这些文件符合下列条件： 扩展名为vbs、vbe、js、jse、css、wsh、sct或者是hta的文件会被修改（因而删除了文件原有的数据）。除此之外，文件大小会被缩短；而且扩展名被该为vbs。 扩展名为jpg或者是jpeg的文件也会被修改内容和缩减大小。而且扩展名vbs就直接加在原文件名后面，如.jpg.vbs或者是.jpeg.vbs。 如果蠕虫发现扩展名为mp3或者是mp2的文件，它就复制自己。这个复制品具有和原mp3、mp2文件一样的名字（包括扩展名），而原来的mp3和mp2文件的名字增添一个.vbs作为新的扩展名。从而，这个蠕虫就隐藏了原来的文件。 蠕虫在所有含有下列文件的目录下创建script.ini文件：mirc32.exe、mlink32.exe、mirc.ini、script.ini、或者是mirc.hlp。这个script.ini文件负责通过irc把love-letter-for-you.htm发送给那些和被感染用户使用相同的irc通道的所有用户。 trojan（木马）从某个网站上下载win-bugsfix.exe，这个网站是随机地从四个可能的www地址中挑选出来的。然后troja运行这个文件，并将其重命名为winfat32.exe.这个文件执行下面的操作： 它每隔150毫秒查找一个标题为“连接到”的窗口。这一点只发生在运行英文版操作系统的计算机里。 如果这个窗口被找到（正在响应网络连接），它就会设法把最初用于连接的密码转变成默认密码。它为了达到这个目的，就每隔150毫秒检查允许你保存用于连接的密码的选项。 传播发生后，trojan就会每隔48秒收集一系统机密数据。接下来，它把所有获得的数据发送给mailme@super.net.ph（位于菲律宾群岛）。这封电子邮件的主体内容是： from: test@192.168.8.36 to: mailme@super.net.ph subject: barok... email.passwords.sender.trojan x-mailer: barok... email.passwords.sender.trojan---by:spyder date: fri, 5 may 2000 05:17:28 +0200 **-id: 891900275@super.net.ph host: "name of the infected computer" username: "name of the infected user" ip address: "ip address in format xxx.xxx.xxx.xxx" ras passwords: description of the connection u: "user" p: "password" n#: "telephone number of the ras connection in format (cc)ac-nnnnnnn" cache passwords: "l**t of passwords in cache" --------------------------------------------------------------------------------感染的方式: 当一个用户收到了带有蠕虫的两个文件（通过e-mail或是irc）并且运行了它们，那么将会发生下列行为： 一旦运行了作为邮件附件的文件（love-letter-for-you.txt.vbs），蠕虫就会为自己在硬盘上创建几个复制品： mskernel32.vbs 位于system目录下 win32dll.vbs 位于操作系统安装目录下 love-letter-for-you.txt.vbs 位于system目录下 一旦上述文件被创建，vbs/loveletter就会在注册表里创建几个条目： 在hkey_local_machine\software\microsoft\windows\currentversion \run\mskernel32里增加一个c:\windows\systes\mskernel32.vbs 在hkey_local_machine\software\microsoft\windows\currentversion \runservices\win32dll.里加一条c:\windows\win32dll.vbs 病毒然后查看一下system目录下是否存在winfat32.exe。如果不存在，病毒就产生一个位于1到5之间的随机数字。依照获得的数字，vbs/loveletter在注册表里产生下列条目：这些条目被赋予下列四个值之一（网站地址）： mhpnjw6587345gvsdf7679n**vyt/win-bugsfix.exe we546786324hjk4jnhhgbvbmkljkjhkqj4w/win-bugsfix.exe dqznmpohfger67b3vbvg/win-bugsfix.exe dgjkhyugqwerasdjhphjasfdglknbhbqwebmznxcbvnmadshfgqw23746123 4iuy7thjg/win-bugsfix.exe 这使得蠕虫可以从这四个网站中的一个下载win-bugsfix.exe文件。一旦下载了这个文件，病毒就修改注册表里的记录并首次运行win-bugsfix.exe。这样会产生winfat32.ese文件，这也是一个可执行文件。从那以后（由于修改了注册表），每当引导系统就会运行winfat32.exe。 一旦这个病毒获得了它一直在寻找的用户机密信息，就会把这些信息以邮件的形式向外发送。病毒可以通过打开端口25(smtp)做到这一点。这些信息发往的目的地是位于菲律宾的mail@super.net.ph。连接是通过smtp.super.net.ph smtp server实现的。 为了发送含有病毒所获得的信息的邮件，木马不需要使用microsoft outlook或者是mapi的功能。取而代之的是，数据通过smtp利用tcp/ip套接字(sockets)来发送的。 一旦vbs/loveletter完成了对注册表的修改，它就在system目录下创建love-letter-for-you.htm文件。就是这个文件之后会通过irc来传送。蠕虫然后自动地把自己邮寄给所有保存在被感染用户的outlook地址簿里的地址。love-letter-for-you.txt.vbs文件会以附件的形式包含在邮件中。 最后，vbs/loveletter在把自己发送出去之后，就查找具有某些扩展名的文件。在查找的过程中，它会检查在用户的计算机上是否存储了下列文件： mirc32.exe、mlink32.exe、mirc.ini、script.ini或mirc.hlp。如果存储了这些文件，它就会创建一个名叫script.ini的文件，这个文件负责通过irc把love-letter-for-you.htm传送给那些连接到与感染vbs/loveletter蠕虫的用户相同的irc通道的所有用户。 病毒使用下列动态链接库: advapi32.dll：这使它能输出操作系统应用程序接口，因此提供了进入注册表的通道。 kernel32.dll：这个动态链接库允许病毒指向系统目录。 rasapi32.dll：这个链接库允许病毒访问用户地址簿和个人详细资料 木马已经具有barok的化名。一旦感染发生（安装和运行win-bugfix.ex和winfat32.exe文件），木马就收集信息，它会用这些信息来创建一个以ddmmyy为格式文本字符。变形恶魔i-worm/w32.toal病毒流传到国内(2001-11-27 10:04:44)人民网北京11月26日讯 **计算机病毒应急处理中心成员单位，北京江民新科技术有限公司病毒快速反应小组率先捕获了一种新的网络蠕虫病毒，经研究分析，该病毒能躲避一般查毒软件的查杀、并可变化无穷次，是一种高级变形病毒，该病毒命名为i－worm/w32.toal,bld,aw蠕虫病毒。该病毒极难查解, 江民公司提醒广大用户，应**，加强防犯，立即升级kv3000系列杀毒软件，查杀该蠕虫病毒。该病毒基本特性如下：1 被感染机器启动后，会不断自动拨号上网，关机时，需要执行多次才可成功。机器被该病毒感染不久后，用户机器中的重要数据将被病毒破坏。2 传播是通过查找icq的目录里的地址信息来传播的，可以通过网络共享来传播。3 病毒共享c盘的根目录，因此存在巨大的安全隐患，可以任意删除系统文件。4 它有些抗反病毒软件和其他安全防范程序的能力，并使反病毒软件失效。5 病毒大小7000-8500字节左右。6 建立病毒文件invictus.dll。7 发送带病毒的email信件。8 移动桌面的任意部分，千分之一的机会是会显示图形画面。显示的字符串是以下的： ala dio gott zeus jeova kr**hna oxala dieu god shiva tupa dios deus 以随机的颜色、字体以及背景显示字符串。9 传播利用微软的漏洞，与nimda、china=1#相同；10 该病毒利用的动态连接库有：invictus.dllwininet.dllmpr.dlltmapi.dlladvapi32.dlliphlpapi.dll这些库文件在windows的system的目录下。该病毒可以自动判断该病毒是否已经驻留、是否已经在内存中出现，这样做的目的是防止病毒的多次重复驻留感染。该病毒最主要的感染方法是通过一个随机可执行文件sfc####.tmp.exe(####部分是随机的)。该文件是加密的，是病毒的主体部分，负责感染本地文件、感染网络邻居上的可读写磁盘、通过email给其他icq地址薄里的用户发送感染病毒的电子邮件。为了使病毒在每次系统启动时都能驻留内存，该病毒还在widnows目录下随机生成一个exe文件，并将该exe文件名称加在windows的配置文件system.ini中：形式是shell=explorer <随机的exe文件>11 该病毒通过修改被感染机器的注册表的键值来达到共享c盘的目的：修改的注册表是：hkey_local_machine\software\microsoft\windows\currentversion\network\lanman注册的键值是binladen.12 该病毒可以终止一些厂商的反病毒程序。该病毒每传染一个目标其自身就变化一次，没有一个是重样的，其自身代码呈多样性，目的是企图躲避查毒软件的查杀。尽管病毒如此狡猾、隐藏如此之深，但仍未能逃出kv3000杀毒软件所独创的“智能广谱查毒原理”。请kv3000用户到江民公司升级网站抓紧升级查杀该病毒，并开启“实时监测”病毒防火墙，防范该病毒的入侵。病毒的清除：1 如果用户的硬盘分区是windows ni4、windows 2000、windows xp的ntfs格式，请用户安装kvw3000 5.0以上版本， 该版本可在任何windows系统下杀除内存和被windows已经调用的染毒文件，可在系统染毒的情况下杀除病毒，目前只有kvw3000真正具备内存杀毒和毒中杀毒这一技术。方法是：双击桌面上kvw3000的快捷图标，调出菜单即可。2 如果用户硬盘装的系统是windows 98 以下，也可使用干净dos软盘启动机器；3 执行kv3000.exe或kvd3000, 查杀所有硬盘，查到病毒体时会先问你要删除吗？请按“y”键删除病毒体。其它被感染的文件，如.exe文件, kv3000.exe或kvd3000会将病毒体从文件中清除，保留原文件。4 在system.ini文件中将该文件的[boot]项目下去掉shell=explorer.exe后面的字符串。该字符串是随机的字符组成的exe文件，如没有变，就不用改。正常的[boot]下的应该是shell=explorer.exe。必须修改该文件中的shell项目，否则清除病毒后，系统启动会提示有关的错误信息。5 为了预防该病毒在浏览该带毒信笺可以自动执行的特点，必须下载微软的补丁程序。地址是：这样可以预防此类病毒的破坏。6、windows 2000如果不需要可执行的cgi，可以删除可执行虚拟目录,例如 /scripts等等。7、如果确实需要可执行的虚拟目录，建议可执行虚拟目录单独在一个分区8、对windows nt/2000系统，微软已经发布了一个安全补丁，可以从下列地址下载：9 开启kvw3000实时监测病毒防火墙，kv3000系列的智能广谱技术可以查出所有该变形格式发来的病毒。 10 将邮箱中的带毒邮件一一删除，否则又会重复感染。 20210311