ronouce.exe病毒 电脑会生成很多eml病毒,每个文件夹下面一个,命名很有规律,全部是计算机名.eml
NIMDA病毒病毒的传播方式有数种,其危险性在于都是利用IE或者IIS的漏洞在用户系统上不知不觉的运行。天网安全试验室专家指出,其传染方式与前不久爆发造成数十亿美元损失的红色代码相似,但它的传播速度将会大大快于红色代码,原因于红色代码仅仅针对装有IIS5.0并且存在漏洞的机器,一般装有IIS5.0的机器都是服务器,一般个人用户很少装这类软件,所以大部分个人用户是可以避免红色代码的感染。而NIMDA病毒病毒可以通邮件传播,并且利用IE漏洞,使邮件在用户浏览后自动执行病毒。同时天网安全试验室专家还指出,NIMDA病毒病毒的传播方式有多种,可以针对不同计算机系统灵活选择传播方式,其有三种方式,一是通过电子邮件传输,二是攻击安全性不高的服务器,三是攻击软盘驱动器。
NIMDA病毒清除和免疫新方案
Windows Nt/2000/XP的手工清除方法
1、结束其中进程名称为“xxx.tmp.exe”以及“Load.exe”的进程(xxx为任意文件名)
2、删除系统temp文件夹中文件长度为57344的文件
3、删除系统System文件夹中的长度为57344字节的Riched20.DLL文件及load.exe
4、打开System.ini文件,在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”,则改为“shell=explorer.exe”
5、在硬盘区的根目录下寻找Admin.DLL文件,如果在根目录下存在该文件,则删除它
6、打开“控制面板|用户和密码”,将Administrator组中的guest帐号删除
7、把C盘的完全共享取消掉
8、搜索整个硬盘,把所有readme.eml的文件删除,这时在你没有对系统进行免疫修复前,请不要点击任何readme.eml文件,用ctrl+A选取全部readme.eml文件,删除掉,如果单击了单个readme.eml文件,NIMDA病毒病毒将利用你的系统漏洞重新运行。
Win9X/Me的手工清除方法
1、重启操作系统进入到安全模式
2、删除系统temp文件夹中文件长度为57344的文件
3、删除系统System文件夹中的长度为57344字节的Riched20.DLL文件及load.exe
4、打开System.ini文件,在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”,则改为“shell=explorer.exe”
5、把C盘的完全共享取消掉
6、搜索整个硬盘,把所有readme.eml的文件删除,这时在你没有对系统进行免疫修复前,请不要点击任何readme.eml文件,用ctrl+A选取全部readme.eml文件,删除掉,如果单击了单个readme.eml文件,NIMDA病毒病毒将利用你的系统漏洞重新运行。
尽管这时候你已经清除了NIMDA病毒病毒,但是如果你不对你的系统进行免疫修复的话,你很快会受到新的NIMDA病毒病毒攻击,因为NIMDA病毒病毒的传播复制能力非常强,所以只有你的系统还存在漏洞,你就十分有可能重新再感染上NIMDA病毒病毒,所以天网安全实验室推出了NIMDA病毒病毒免疫方案:
1、打上微软官方的补丁SP2
微软官方已经就WINDOWS2000系统目前发现的漏洞做了个“十全大补”的补丁,可以弥补绝大部分的win2000漏洞。SP2共100M左右,可以到以下网址下载:
http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp
这个补丁恐怕对大多数用户来说是不可能的,100M的文件下载实在太慢了。
说下我的推断,我认为是两个可能。
第一种可能,就是这个安装资源有毒,所以每回运行游戏程序时都会自动生成病毒,举例,我六年前买了个三国志10日文版的盘,每回运行都有毒,后来详细看日志才发现每次运行游戏都会显示在虚拟内存生成一个文档,金山判断为病毒,而当时网上的资源大多都要生成这个文档,最后我历尽千辛万苦才找下不生成这个文档的。这是笨办法一个资源一个资源的试了。
第二种可能,就是你的电脑中了木马或者风险程序,而这个病毒并不是你的电脑中的,而是风险程序从网上下的,重做系统哇。重装系统时应注意http://zhidao.baidu.com/question/88838635.html
总之你先断网看还生成这个病毒不,生成就是第一种情况,扫木马病毒换游戏安装资源没说的。不生成问题就严重了,十有八九中了风险程序,重做系统,注意,不是简单的系统还原。
“中国一号”网络蠕虫根据病毒体内特有的标记“R.P.China Version 1.0,特将其命名为:
I-WORM/CHINA-1#“中国一号”网络蠕虫。特此说明,病毒体内有此标记,不等于就是中国人编写的病毒,现也有称为Nimda“尼姆达”病毒的,但病毒体内无此标记。
Nimda“尼姆达”变种病毒该病毒是原来的“中国一号”病毒的变种,修改了原来病毒的一些错误(BUG)并且对病毒程序做了一些修改,目的是防止一些反病毒软件来查杀。变种病毒体内有以下的字符串:
Concept Virus(CV) V.6, Copyright(C)2001, (This's CV, No Nimda.)
该病毒声明它不称为“Nimda尼姆达”病毒。
变种蠕虫程序使用了不同的文件名称以及文件的大小都是不同的。
江民公司提醒广大用户,这类病毒传染能力极强,请加强防范,立即升级反病毒软件。
该病毒特性如下:
病毒传染WINDOWS 9X/ME、WINDOWS NT、WINDOWS 2000。
当我们浏览含有病毒邮件时,病毒利用病毒体内VBScript代码在本地的可执行性(通过Windows Script Host进行),对当前计算机进行感染和破坏。即,一旦我们将鼠标箭头移到带有病毒体的邮件名上时,就能受到该网络蠕虫的感染,该病毒传染能力很强。该网络蠕虫利用的是OUTLOOK的漏洞。
在这以前,反病毒专家先前早已预料过、微软的信件浏览器非常脆弱,漏洞很严重,也很多,很快就会出现许多针对其弱点而具有高超传染能力的病毒。
这些网络蠕虫的就是针对微软信件浏览器的弱点和WINDOWS NT/2000、IIS的漏洞而编写出的一种传播能力很强的病毒,这一病毒同等于“欢乐时光”和“蓝色代码”病毒的合力。
病毒在WINDOWS\SYSTEM目录内生成病毒文件RICHED20.DLL和LOAD.EXE,或README.EXE、MMC.EXE等,还在所有硬盘的根目录下生成ADMIN.DLL病毒文件,其字节数为:57344字节。
在功能的设计上,新的变种和原来的“中国一号”病毒相同,变种的附件文件由原来的readme.exe修改为Sample.exe,文件的大小是:57344字节。而且释放的DLL的文件名称由admin.dll变成了Httpodbc.dll, 该程序在合法的WINDOWS系统下有该程序,该程序是在INTERNET网络上通讯使用的;原来拷贝到WINDOWS的SYSTEM目录下的文件是Mmc.exe,现在修改成为了Csrss.exe 文件。该文件的作用同样是病毒用来感染局域网络的;Csrss文件是"client-server runtime subsystem"(客户端-服务器实时子系统的简称); 在合法的WINDOWS系统下有该文件,该文件的作用是在控制台下建立删除线程使用的。
变种网络蠕虫的破坏作用仍然是大量发送EMAIL邮件,邮件附件的名称是Sample.exe。
当然在邮件中是看不到该附件的。
病毒传染Html、nws、.eml、.doc、.exe等文件,而这些文件大部分被破坏或替换。
病毒还找出Email地址发送病毒本身,即附件长度约为79225字节,但打开看时,其长度为0。该文件实际上就是EMAIL病毒信件本身。
病毒还对SYSTEM.INI修改,在[boot]组下的
shell=explorer.exe load.exe -dontrunold,
这样在系统每次启动时该病毒就会传染,驻留内存。
病毒利用IIS5.0的漏洞,上传ADMIN.DLL在C:\、D:\...并修改用户的主页,在主页后加了一个链接README.EML。感染的电脑均不断生成一个个随机文件名的eml文件,病毒还在C:\INETPUB\Scripts或WINDOWS\TEMP目录中不断复制为TFTP00X.DAT的文件,其字节数为:57344字节。
变种网络蠕虫有4种传播方式:
(1)通过EMAIL发送在客户端看不到的邮件附件程序Sample.exe,该部分利用了微软的OE信件浏览器的漏洞;
(2)通过网络共享的方式来传染给局域网络上的网络邻居,我们在网络上使用电脑时,建议不设置完全的不使用密码的共享方式,设置密码可以有效的防止该病毒的传播;
(3)通过没有补丁的IIS服务器来传播,该传播往往是病毒屡杀不绝的原因;
(4)通过感染普通的文件来传播,在这一点上和普通的病毒程序相同。
实际上(1)和(3),我们普通的用户只有将微软的补丁程序打上,才能有效预防, 这是我们日常工作的习惯性的问题,或者说不是问题,但是病毒利用了我们的"问题"。
病毒利用许多方式来传播自己:首要的途径是通过EMAIL;还可以通过共享的磁盘分区来感染别的机器;试图将病毒文件本身拷贝到没有安装微软补丁的IIS服务器上; 同时还是一个可以感染本地磁盘上的文件以及本地的局域网络上的其他机器上的文件。
该蠕虫程序利用的是微软WEB的UNICODE 的遍历漏洞;该微软漏洞补丁程序的下载地址:
http://www.microsoft.com/technet/security/bulletin/ms00-078.asp.
而当一个用户收到感染该病毒的信件时,由于该病毒利用了OUTLOOK的MIME漏洞,使得当用户即使只是预览该信件时,隐藏在该信笺中的病毒就会自动被执行,该漏洞的下载地址:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.
当用户浏览含有该病毒的网络时,会提示下载一个含有该病毒的文件,实际上是一个eml信件文件。
在受感染的机器上,该病毒还会自动将C盘共享,使得外部的用户可以访问系统目录,而同时该病毒还可以建立一个guest访问的用户而且该用户的权限是系统管理员级别的。
该病毒感染的文件是在系统的注册表键值下的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths的常用的EXE文件.
病毒覆盖了WINDOWS的SYSTEM目录下的riched20.dll文件,使得该每次系统执行任何程序该病毒都会被执行。并将自身拷贝成load.exe存放在windows的system目录下。在该机器共享的机器上的EXE文件会被感染,而EML文件和NWS文件会被该病毒本身代替。病毒修改系统注册表使得所有的本地硬盘为共享,相应的键值为:
HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\[C$ -> Z$]
当然需要重新启动计算机,来使这些有效。只有C盘的共享不需要重新启动。
该病毒还可以修改IE的设置,使得系统、隐含属性的文件不显示。
该病毒在WINDOWS 的TEMP的临时目录下生成许多临时的文件。文件名称类似的一个是:
mepA2C0.TMP.exe或者mepA2C2.TMP等,前者是该病毒执行文件本身,而后者是病毒的EMAIL形式本身,实际上这两者是同一一个文件:也就是病毒本身。所有的文件本身都 是系统隐含文件属性。
病毒存在的现象:
(1)在C、D、E等逻辑盘符的根目录下有文件admin.dll,文件的长度是57344字节;
(2)EMAIL文件readme.eml文件的存在,该文件长度约是79225字节,实际上是病毒文件的EMAIL表现形式;
(3)C盘在没有手动修改的情况下,变成了可以共享的驱动器。
(4)该病毒存在的文件名称可能是以下的几种:
load.exe;mmc.exe;riched20.dll;admin.dll;readme.exe;mep*.tmp.exe,这些都是病毒程序本身,必须直接删除。对于系统正常的文件只能使用系统安装盘或者干净的文件来覆盖,在这里的情况是mmc.exe和riched20.dll;
(6)为了隐含文件,病毒修改了以下的系统注册表:
HKEY_CURRENT\USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
HKEY_CURRENT\USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
HKEY_CURRENT\USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
在WINDOWS 2000或者WINDOWS NT系统下,系统的以下注册表被删除:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Share\Security
(7)该病毒传播的EMAIL信件表示形式如下,如果收到类似信件请注意:
EMAIL的主题是变化的、不确定的;
信件的内容是空的,没有任何内容;
附件的文件是变化的,并且是使用了IE的HTML格式的图标.
该病毒的附件实际上是一个可执行的文件,但是该蠕虫设置成audio/x-wav的文件类型,因此当OUTLOOK在收到该信件后,如果您没有打补丁的话,OUTLOOK会认为该附件是一个类似的声音文件而直接执行了.
病毒的清除:
1 如果用户的硬盘分区是WINDOWS NI4、WINDOWS 2000、WINDOWS XP的NTFS格式,请用户安装KVW3000 5.0以上版本, 该版本可在任何WINDOWS系统下杀除内存和被WINDOWS已经调用的染毒文件,可在系统染毒的情况下杀除病毒,目前只有KVW3000真正具备内存杀毒和毒中杀毒这一技术。
方法是:双击桌面上KVW3000的快捷图标,调出菜单即可。
2 如果用户硬盘装的系统是WINDOWS 98 以下,也可使用干净DOS软盘启动机器;
3 执行KV3000.EXE或KVD3000, 查杀所有硬盘,查到病毒体时会先问你要删除吗?
请按“Y”键删除病毒体。其它被感染的文件,如.EXE文件, KV3000.EXE或KVD3000会将病毒体从文件中清除,保留原文件, 而有的杀毒软件只会将其删除。
4 在SYSTEM.INI文件中将LOAD.EXE的文件改掉,如没有变,就不用改。正常的[boot]下的应该是shell=explorer.exe.必须修改该文件中的shell项目,否则清除病毒后,系统启动会提示有关load.exe的错误信息。
5 为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补丁程序。
地址是:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.这样可以预防此类病毒的破坏。
6、WINDOWS 2000如果不需要可执行的CGI,可以删除可执行虚拟目录,例如/scripts等等。
7、如果确实需要可执行的虚拟目录,建议可执行虚拟目录单独在一个分区
8、对WINDOWS NT/2000系统,微软已经发布了一个安全补丁,可以从下列地址下载:
http://www.microsoft.com/technet/security/bulletin/ms00-078.asp.
哎,这么牛的毒
结果是好的
楼主你都解决了哦
估计要一个牛的杀毒软件
现在的人为什么那么喜欢格盘,格盘后的大量读写操作有一定损坏,并且牛的病毒会在每个盘上做种。你不至于把每个盘都格了吧。建议你在中毒后用木马克星杀一下木马 下载地址www.luosoft.com/ 。在用杀毒软件杀一下病毒,有很多免费的杀毒软件。
ronouce.exe病毒 电脑会生成很多eml病毒,每个文件夹下面一个,命名很有规律,全部是计算机名.eml视频
相关评论:
