一个很怪的硬盘问题,急等解决,高手快来

爱过你,你喜欢大海 2024-11-15 14:27:46
最佳回答
受到感染后的症状: 一旦蠕虫被激活,它就对某些文件采取一定的行动,这些文件符合下列条件: 扩展名为vbs、vbe、js、jse、css、wsh、sct或者是hta的文件会被修改(因而删除了文件原有的数据)。除此之外,文件大小会被缩短;而且扩展名被该为vbs。 扩展名为jpg或者是jpeg的文件也会被修改内容和缩减大小。而且扩展名vbs就直接加在原文件名后面,如.jpg.vbs或者是.jpeg.vbs。 如果蠕虫发现扩展名为mp3或者是mp2的文件,它就复制自己。这个复制品具有和原mp3、mp2文件一样的名字(包括扩展名),而原来的mp3和mp2文件的名字增添一个.vbs作为新的扩展名。从而,这个蠕虫就隐藏了原来的文件。 蠕虫在所有含有下列文件的目录下创建script.ini文件:mirc32.exe、mlink32.exe、mirc.ini、script.ini、或者是mirc.hlp。这个script.ini文件负责通过irc把love-letter-for-you.htm发送给那些和被感染用户使用相同的irc通道的所有用户。 trojan(木马)从某个网站上下载win-bugsfix.exe,这个网站是随机地从四个可能的www地址中挑选出来的。然后troja运行这个文件,并将其重命名为winfat32.exe.这个文件执行下面的操作: 它每隔150毫秒查找一个标题为“连接到”的窗口。这一点只发生在运行英文版操作系统的计算机里。 如果这个窗口被找到(正在响应网络连接),它就会设法把最初用于连接的密码转变成默认密码。它为了达到这个目的,就每隔150毫秒检查允许你保存用于连接的密码的选项。 传播发生后,trojan就会每隔48秒收集一系统机密数据。接下来,它把所有获得的数据发送给mailme@super.net.ph(位于菲律宾群岛)。这封电子邮件的主体内容是: from: test@192.168.8.36 to: mailme@super.net.ph subject: barok... email.passwords.sender.trojan x-mailer: barok... email.passwords.sender.trojan---by:spyder date: fri, 5 may 2000 05:17:28 +0200 **-id: 891900275@super.net.ph host: "name of the infected computer" username: "name of the infected user" ip address: "ip address in format xxx.xxx.xxx.xxx" ras passwords: description of the connection u: "user" p: "password" n#: "telephone number of the ras connection in format (cc)ac-nnnnnnn" cache passwords: "l**t of passwords in cache" --------------------------------------------------------------------------------感染的方式: 当一个用户收到了带有蠕虫的两个文件(通过e-mail或是irc)并且运行了它们,那么将会发生下列行为: 一旦运行了作为邮件附件的文件(love-letter-for-you.txt.vbs),蠕虫就会为自己在硬盘上创建几个复制品: mskernel32.vbs 位于system目录下 win32dll.vbs 位于操作系统安装目录下 love-letter-for-you.txt.vbs 位于system目录下 一旦上述文件被创建,vbs/loveletter就会在注册表里创建几个条目: 在hkey_local_machine\software\microsoft\windows\currentversion \run\mskernel32里增加一个c:\windows\systes\mskernel32.vbs 在hkey_local_machine\software\microsoft\windows\currentversion \runservices\win32dll.里加一条c:\windows\win32dll.vbs 病毒然后查看一下system目录下是否存在winfat32.exe。如果不存在,病毒就产生一个位于1到5之间的随机数字。依照获得的数字,vbs/loveletter在注册表里产生下列条目:这些条目被赋予下列四个值之一(网站地址): mhpnjw6587345gvsdf7679n**vyt/win-bugsfix.exe we546786324hjk4jnhhgbvbmkljkjhkqj4w/win-bugsfix.exe dqznmpohfger67b3vbvg/win-bugsfix.exe dgjkhyugqwerasdjhphjasfdglknbhbqwebmznxcbvnmadshfgqw23746123 4iuy7thjg/win-bugsfix.exe 这使得蠕虫可以从这四个网站中的一个下载win-bugsfix.exe文件。一旦下载了这个文件,病毒就修改注册表里的记录并首次运行win-bugsfix.exe。这样会产生winfat32.ese文件,这也是一个可执行文件。从那以后(由于修改了注册表),每当引导系统就会运行winfat32.exe。 一旦这个病毒获得了它一直在寻找的用户机密信息,就会把这些信息以邮件的形式向外发送。病毒可以通过打开端口25(smtp)做到这一点。这些信息发往的目的地是位于菲律宾的mail@super.net.ph。连接是通过smtp.super.net.ph smtp server实现的。 为了发送含有病毒所获得的信息的邮件,木马不需要使用microsoft outlook或者是mapi的功能。取而代之的是,数据通过smtp利用tcp/ip套接字(sockets)来发送的。 一旦vbs/loveletter完成了对注册表的修改,它就在system目录下创建love-letter-for-you.htm文件。就是这个文件之后会通过irc来传送。蠕虫然后自动地把自己邮寄给所有保存在被感染用户的outlook地址簿里的地址。love-letter-for-you.txt.vbs文件会以附件的形式包含在邮件中。 最后,vbs/loveletter在把自己发送出去之后,就查找具有某些扩展名的文件。在查找的过程中,它会检查在用户的计算机上是否存储了下列文件: mirc32.exe、mlink32.exe、mirc.ini、script.ini或mirc.hlp。如果存储了这些文件,它就会创建一个名叫script.ini的文件,这个文件负责通过irc把love-letter-for-you.htm传送给那些连接到与感染vbs/loveletter蠕虫的用户相同的irc通道的所有用户。 病毒使用下列动态链接库: advapi32.dll:这使它能输出操作系统应用程序接口,因此提供了进入注册表的通道。 kernel32.dll:这个动态链接库允许病毒指向系统目录。 rasapi32.dll:这个链接库允许病毒访问用户地址簿和个人详细资料 木马已经具有barok的化名。一旦感染发生(安装和运行win-bugfix.ex和winfat32.exe文件),木马就收集信息,它会用这些信息来创建一个以ddmmyy为格式文本字符。变形恶魔i-worm/w32.toal病毒流传到国内(2001-11-27 10:04:44)人民网北京11月26日讯 **计算机病毒应急处理中心成员单位,北京江民新科技术有限公司病毒快速反应小组率先捕获了一种新的网络蠕虫病毒,经研究分析,该病毒能躲避一般查毒软件的查杀、并可变化无穷次,是一种高级变形病毒,该病毒命名为i-worm/w32.toal,bld,aw蠕虫病毒。该病毒极难查解, 江民公司提醒广大用户,应**,加强防犯,立即升级kv3000系列杀毒软件,查杀该蠕虫病毒。该病毒基本特性如下:1 被感染机器启动后,会不断自动拨号上网,关机时,需要执行多次才可成功。机器被该病毒感染不久后,用户机器中的重要数据将被病毒破坏。2 传播是通过查找icq的目录里的地址信息来传播的,可以通过网络共享来传播。3 病毒共享c盘的根目录,因此存在巨大的安全隐患,可以任意删除系统文件。4 它有些抗反病毒软件和其他安全防范程序的能力,并使反病毒软件失效。5 病毒大小7000-8500字节左右。6 建立病毒文件invictus.dll。7 发送带病毒的email信件。8 移动桌面的任意部分,千分之一的机会是会显示图形画面。显示的字符串是以下的: ala dio gott zeus jeova kr**hna oxala dieu god shiva tupa dios deus 以随机的颜色、字体以及背景显示字符串。9 传播利用微软的漏洞,与nimda、china=1#相同;10 该病毒利用的动态连接库有:invictus.dllwininet.dllmpr.dlltmapi.dlladvapi32.dlliphlpapi.dll这些库文件在windows的system的目录下。该病毒可以自动判断该病毒是否已经驻留、是否已经在内存中出现,这样做的目的是防止病毒的多次重复驻留感染。该病毒最主要的感染方法是通过一个随机可执行文件sfc####.tmp.exe(####部分是随机的)。该文件是加密的,是病毒的主体部分,负责感染本地文件、感染网络邻居上的可读写磁盘、通过email给其他icq地址薄里的用户发送感染病毒的电子邮件。为了使病毒在每次系统启动时都能驻留内存,该病毒还在widnows目录下随机生成一个exe文件,并将该exe文件名称加在windows的配置文件system.ini中:形式是shell=explorer <随机的exe文件>11 该病毒通过修改被感染机器的注册表的键值来达到共享c盘的目的:修改的注册表是:hkey_local_machine\software\microsoft\windows\currentversion\network\lanman注册的键值是binladen.12 该病毒可以终止一些厂商的反病毒程序。该病毒每传染一个目标其自身就变化一次,没有一个是重样的,其自身代码呈多样性,目的是企图躲避查毒软件的查杀。尽管病毒如此狡猾、隐藏如此之深,但仍未能逃出kv3000杀毒软件所独创的“智能广谱查毒原理”。请kv3000用户到江民公司升级网站抓紧升级查杀该病毒,并开启“实时监测”病毒防火墙,防范该病毒的入侵。病毒的清除:1 如果用户的硬盘分区是windows ni4、windows 2000、windows xp的ntfs格式,请用户安装kvw3000 5.0以上版本, 该版本可在任何windows系统下杀除内存和被windows已经调用的染毒文件,可在系统染毒的情况下杀除病毒,目前只有kvw3000真正具备内存杀毒和毒中杀毒这一技术。方法是:双击桌面上kvw3000的快捷图标,调出菜单即可。2 如果用户硬盘装的系统是windows 98 以下,也可使用干净dos软盘启动机器;3 执行kv3000.exe或kvd3000, 查杀所有硬盘,查到病毒体时会先问你要删除吗?请按“y”键删除病毒体。其它被感染的文件,如.exe文件, kv3000.exe或kvd3000会将病毒体从文件中清除,保留原文件。4 在system.ini文件中将该文件的[boot]项目下去掉shell=explorer.exe后面的字符串。该字符串是随机的字符组成的exe文件,如没有变,就不用改。正常的[boot]下的应该是shell=explorer.exe。必须修改该文件中的shell项目,否则清除病毒后,系统启动会提示有关的错误信息。5 为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补丁程序。地址是:这样可以预防此类病毒的破坏。6、windows 2000如果不需要可执行的cgi,可以删除可执行虚拟目录,例如 /scripts等等。7、如果确实需要可执行的虚拟目录,建议可执行虚拟目录单独在一个分区8、对windows nt/2000系统,微软已经发布了一个安全补丁,可以从下列地址下载:9 开启kvw3000实时监测病毒防火墙,kv3000系列的智能广谱技术可以查出所有该变形格式发来的病毒。 10 将邮箱中的带毒邮件一一删除,否则又会重复感染。 20210311
汇率兑换计算器

类似问答
  • 财务会计作业题!急急急!!!高手快来!!!多谢了!!!
    • 2024-11-15 08:44:30
    • 提问者: 未知
    判断题:1、对 2、错 3、对 4、对 5、对 6、对 7、错 8、对 9、错 10、错 单选题:(11)、2(12)、2(13)、4(14)、2(15)、1(16)、2(17)、3(18)、2(19)、3(20)、3(21)、3(22)、3 多选题:(23)、1234...
  • 一道证券题目,求高手解答!!!!!急急急!!!!!!!!!!!
    • 2024-11-15 01:53:01
    • 提问者: 未知
    如果从投资顾问的角度看,我不会推荐客户买卖上述任何一个股票,因为按照价值分析和估值分析上述标的均不符合,故不做任何推荐! 如果必须推荐一个标的我会选择燃控科技 对于100万的资产建议配置10万-20万左右,止损在15% 10万和1万均不作任何推荐!至于原因公司所处于节能的细分区域行业,并且是行业中的龙头,在**政策的大趋势下,相对受益虽估值较高但是公司毛利率较高而且在政策的作为下存在较大增幅的可能...
  • 请教一个很高难的问题!~急急急!!~
    • 2024-11-15 18:09:34
    • 提问者: 未知
    双核玩游戏不是很好,sohu上面有讲过。
  • lm练级高手来帮忙解决个问题
    • 2024-11-15 23:31:44
    • 提问者: 未知
    42-46在菲拉斯暴各种混血豺狼人.46-50在艾萨拉暴飞机点附近的亡灵.50-55在艾萨拉北部暴熊怪,注意别往太上面有,会有法师型的怪.55+建议去西瘟疫暴,要是敌对势力太多就还在...
  • 高中物理波的干涉概念问题。问题很严重啊。。急急急急。。
    • 2024-11-15 14:17:02
    • 提问者: 未知
    1。频率相同的两列波就能干涉。2。振动加强点是指这里振动振幅最大,并非始终在振幅极值,这也是振动的,也会有回0点的状态。但是振动减弱点因为两个波始终等大小反相的,所以始终为0。3。判断是否是加强点。是要满足该点到两郑源的路程差是**长的偶数倍。不一定,看看震源的振动相位是否一样,你说的是震源振动相同的情况下。4。 对5。 大于等于,因为减弱点始终为0,加强是大振幅振动,也有为0的时刻。
  • 急救高手快进来解决一下
    • 2024-11-15 11:06:52
    • 提问者: 未知
    你没装 dx8.1 以上的版本,先去下载一个,然后安装 并在c:\program files\directx\下或c:\windows\system\下找到dxdiagf.exe 文件。点显示选项卡,确定你显卡已经激活了3d...
  • 怎样成为解决问题的高手?
    • 2024-11-15 22:13:19
    • 提问者: 未知
    怎样成为解决问题的高手?在职场,一个人能不能立足,有没有前途,其中一个重要的能力就是分析问题和解决问题的能力。特别是一个管理者,如果你既不能发现:-高手,怎样,解决
  • 汇款问题..急需解决!!!
    • 2024-11-15 03:49:27
    • 提问者: 未知
    办国内的**,只要可以存外币的就行,现在大部分的**都是这样的,然后进行汇入汇款,款项可以直接入这个帐户。当然你也可以用西联汇款,这个连帐户都不要,在农行和邮政可以直接凭**取款,不过手续费高点,但优势在于快,汇出10分钟就可以取,另外就是不需要开帐户。
  • 小弟有一个很急的问题,在线等
    • 2024-11-15 10:14:21
    • 提问者: 未知
    哪有肯定的这样的好事呢,本金安全,收益还得高!要知道,高风险高收益啊。从某种程度上来说,基金的风险跟收益是成比例的。至于买基金的手续,倒是可以说的。你可以办一下农行的**,然后去...
  • 急急!!在线求有心人解决高考文科报专业的问题
    • 2024-11-15 23:49:20
    • 提问者: 未知
    我**啦。。丫头记得看哈报考吉林大学。如果是黑龙江的话哈工大是211但是偏理科 小语种建议不要考虑,出来当教师的几率最高。或者你退而求其次,大连外国语二本日语专业很强悍,法语也不错 法律专业,如果报考你要选择读研然后在东北发展,因为东北的法律高等人才不是很多。不过你是女生,看你是否适合这个工作了 金融你可以平行志愿首推,这个在校期间最好弄个**,不过考下来要上千,但是对于女孩子来说比较不...
汇率兑换计算器

热门推荐
热门问答
最新问答
推荐问答
新手帮助
常见问题
房贷计算器-九子财经 | 备案号: 桂ICP备19010581号-1 商务联系 企鹅:2790-680461

特别声明:本网为公益网站,人人都可发布,所有内容为会员自行上传发布",本站不承担任何法律责任,如内容有该作者著作权或违规内容,请联系我们清空删除。