2006年02月21日
一个让你面目全非的病毒: w32.tufik

w32.tufik,一般病毒。

症状:1,没有安装杀毒软件或病毒库不够新,windows 任务栏不断自动关闭重启,让人没办法工作;2,安装了更新病毒库的杀毒软件之后,开机不能显示桌面及任务栏。

病因:Explorer.exe 受病毒感染运行时出错自动关闭,如杀毒软件发现此病毒,则会扔进隔离区,故windows没办法启动此程序,没办法显示桌面及任务栏。

解决办法:使用更新了病毒库了杀毒软件(此毒已经大约在一年前发现,再落后的杀毒软件也应该具备查杀该毒的功能了吧?),进行安全模式中查杀。重启会发现没办法显示桌面。勿惊,使用中断程序组合键(ctrl + alt + del)调出任务管理器,利用它的“文件”-“新建任务”即可运行你需要的程序,当然,此时你不能使用资源管理器。让你的朋友能过QQ或者MSN把他们的windows系统中的Explorer.exe发送给你(“C:\windows\Explorer.exe”),存放到windows安装目录下即可。

祝君好运!

归类于: 1.病毒资讯 — baa @ 9:32 am 评论(2)
2005年06月27日
QQ爱虫,自动发送jpg.exe后缀的木马

病毒名称:I-Worm/QQ.Porn

  病毒大小:20480,upx压缩

  传播方式:网络传播

  危害程度:**   

  此病毒为蠕虫病毒,通过在线QQ发送病毒文件。病毒运行后会从黑客网站下载另一病毒(Backdoor/Jieba.2004),后者可以捕获Win9x/Win2k/WinXp下的几乎所有普通窗口的登录密码, 如: OICQ/QQ, ICQ, Outlook,

  Foxmail, 电子邮箱, 网吧上网账号, 软件注册码、各种游戏软件, 各种财务软件, 各种管理软件, 拨号上网, 共享目录, 屏保等等, 以及各种在网页的登录密码, 如: Web邮件, 江湖论坛, 聊天室, 密码保护资料等。

  感染过程:

  (1) 如果病毒被执行,会生成以下文件,其存路径为:

  病毒运行后,将创建下列文件:

  %SystemDir%\wbem\dhelp.dll, 20480字节

  %SystemDir%\dhelp.dll, 20480字节

  %SystemDir%\wmimgr.exe, 20480字节

  (2) 从黑客网站下载Backdoor/Jieba.2004并保存为:

  %SystemDir%\comime.exe, 49576字节

  %SystemDir%\msinthk.dll, 6656字节

  (3) 在注册表中添加下列启动项:

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

  "mssysint" = comime.exe

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

  "Windows Management Instrumentation" = wmimgr.exe

  这样,在Windows启动时,病毒就可以自动执行

  (4) 病毒通过修改以下注册表键值,达到用户无法手工修改注册表和使用任务管理器的目的:

  [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]

  "DisableTaskMgr" = 1

  [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]

  "DisableRegistryTools" = 00000001

  (5) 显示以下虚假信息,欺骗用户:

[align=center][img]http://myarticle.enet.com.cn/images/200505/1117351024647.jpg[/img][/align]

(6) 创建两个定时器,每隔一定时间查找QQ聊天消息窗口并向所有在线用户发送病毒文件,带毒文件扩展名为.jpg.exe,带毒文件名为以下字串之一:

  绝色倾城MM秀

  <<少妇波大,顶不住>>

  美女激情大暴光!!!

  美女发现被偷拍后,竟然做出如此激烈的反应……

  广州某航空公司MM军训照片

  美女

  这是网吧啊,你也敢脱啊?

  恬静的广州大学美少女—瞳瞳

   Sexy的紫霞仙子

  [美女]- 精点超靓小少妇

  高清晰美女写真[40张]

  让美女失色的泰国人妖 II [10图]

  美女洗澡清析透视图(真正清析无码)

  蔡依林短裙显诱惑 [转帖][贴图]

   美女超短裙被刮破的那一刻!

  推荐-很珍贵历史照片:估计9成人没看到过[23P]

  极度诱惑!

  真正的美女并不是脱光了衣服才够靓!

  超辣的酒店小姐你怕吗?

  时尚、成熟、风韵、妩媚、性感

  真实网友美眉在浴室自拍(没穿衣服)

  美少女做爱十八式哦。

  《这 就 是 人 体 艺 术!》

  青春靓丽的极品美女-不看别后悔

  超清晰极限美图!大师级作品

  “一脱成名”:中国台湾三级女星十年兴衰

  美人脱衣全过程[不谈政治

  但是不要抵制日本美女]

  MM走光令人喷血

  美女走光才完美

  超级漂亮空姐脱衣自拍,爽

  昨天上的网友美眉自拍~![7P]

  校园偷拍到的一个大胆女生!

  身材棒棒,皮肤爆好的MM

  极度诱惑手别发麻! [11P]

  又白又嫩的少妇在对你笑。[

  你不吐血杀了我!

  清晰美女,脱了,如果让你碰上了[7P]

  可爱小淫MM摆弄各部位让你看~~顶吧!

  身材一流的MM,还把内裤脱下来了!

  貌艳销人魂

  声甜舒人心

  肤润乳耸柳腰摆[8P]

  [9 BY一梦三四年]影楼偷拍的美女真面目!发人深思!让男人吸取教训!

  偷拍三亚游玩性感小富婆

  MM竟然穿着如此风骚撩人的开胸衣

  极品漂亮少妇之无丝奉献

  现在女孩真开放 ~~~洗澡间自拍

  介绍个新疆MM给你认识

  诱惑阿!美女教你带隐形胸罩

原文地址:http://bbs.cpcw.com/archiver/?tid-443686.html

归类于: 1.病毒资讯 — baa @ 11:37 am 评论(11)
2005年05月12日
[转载]QQ自动搜索好友发送文件的白骨精病毒,查杀方法!

原文地址:http://bbs.zol.com.cn/new/static_book2/40/41/40_67041.shtml

原文内容如下:

QQ自动搜索好友发送文件的白骨精病毒,查杀方法!

白骨精病毒档案  
病毒文件: 
1.今年过年不收礼,收礼只收白骨精(搞笑版广告).EXE 
2.超级MM,超级FLASH,请笑纳.EXE 
3.接啊,快接啊,推荐给你看看.EXE 
4.在线收音机(我们一起听听第6个频道吧,来探讨这个话题).EXE 
5……(其他吸引您点击的EXE文件)。 
病毒大小:71KB或27KB 
病毒作者说明:HanSoft myRunner 
病毒特征:搜索QQ好友并自动发送病毒文件。 

查杀方法: 
用QQKAV结束SYSTEM32Rundll32.exe进程,删除以下文件: 
SYSTEMnotepad.exe (文件大小:217KB) 
SYSTEM.EXE (文件大小:217KB) 
SYSTEM32Rundll32.exe (文件大小:220KB) 
最后在QQKAV“恢复设置”中恢复EXE文件关联。 

特别提醒:如果您使用的QQ是珊瑚虫版本,此病毒还会把QQ安装目录下的TIMPlatform.exe(珊瑚虫外挂程序)改名为TIMP1atform.exe,就算是杀完了,也会在下次重启QQ时重新使病毒复活!按以上步骤查杀完毕后,需要将QQ安装目录下的TIMPlatform.exe(如果为127KB,则为病毒文件)删除。把TIMP1atform.exe(正常文件是68KB)改名为TIMPlatform.exe即可。这样才能完全彻底清除,并正常使用珊瑚虫版本的显IP功能。 

注:?是一个空白(非空格)。注意识别!如果您的是98系统则结束SYSTEM32Rundll32.exe进程,如果是XP或2000的系统,则结束结束SYSTEMRundll32.exe进程。如果您搞不定,可加我QQ远程协助帮你搞定! 

QQKAV已将此病毒加入病毒库,下一版本可彻底自动清除该病毒。 
QQ安装目录: 
HKEY_LOCAL_MACHINE_Software_TENCENT_QQ 
"Install"="您的QQ安装目录"
归类于: 1.病毒资讯 — baa @ 9:07 am 评论(2)
2005年03月12日
打印机问题:关于spoolsv.exe 出错。

3-9 发现:

XP 系统中毒了,启动后即报告 spoolsv.exe 应用程序出错。可以手动到服务管理器启动 print spool 服务,但是打印机还是不能正常工作。安装毒霸查毒,发现了病毒,初步猜测是病毒引起。
又在微软网站找到一些答案,可以临时解决一会儿(可能是一分钟),马上又不行了。解决办法如下:
当尝试打印或连接到打印队列时,可能显示以下错误消息:无法连接到打印机 ,由于打印进程未知。
而且,打印机图标可能从 Printers 文件夹中消失。
问题原因
  winprint 键损坏或丢失,或者在以下注册表位置中的数据值包含了以空格开头的值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Print\Environments\
Windows NT x86\Print 进程
问题解决方案
1.开启注册表编辑器 (RegEdt32.exe).
2.定位到以下注册表位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Print\Environments\Windows NT x86\Print Processors
3.单击 Print Processors 键。
4.打开 Edit 菜单,单击 Add Key,然后输入 winprint 在 Key Name 域(在 Add Key 对话框中),并保留 Class 域为空。
5.在 Add Value 对话框输入以下值(以粗体显示)然后单击 OK:
• 数值名称: Driver
• 数据类型: REG_SZ
6.对于 String Value,输入 localspl.dll ,然后单击 OK。
7.退出注册表编辑器并重新启动打印服务器。

3-10 解决

昨天在计算机上查出了下列病毒:
发现病毒在: C:\WINDOWS\intrenat.exe
病毒名:Win32.Troj.PSWMir.37376
病毒类型: 其他病毒
处理结果: 其他病毒; 需要重启;

发现病毒在: [内存]->C:\WINDOWS\System32\NTdhcp.exe
病毒名:Win32.Troj.QQRobber.26112
病毒类型: 其他病毒
处理结果: 删除

发现病毒在: [内存]->C:\WINDOWS\sws32.exe
病毒名:Win32.Troj.Mir2.64000
病毒类型: 其他病毒
处理结果: 删除

发现病毒在: C:\WINDOWS\SWIN32.DLL
病毒名:Win32.Troj.jrhook.a.32256
病毒类型: 其他病毒
处理结果: 删除

发现病毒在: F:\comment.htt
病毒名:VBS.Starter.a
病毒类型: 其他病毒
处理结果: 清除

发现病毒在: C:\Documents and Settings\fghfg\Local Settings\Temp\7669.exe
病毒名:Win32.Troj.KillFiles.ak.7350
病毒类型: 其他病毒
处理结果: 删除

发现病毒在: C:\WINDOWS\csrss.exe
病毒名:Win32.Troj.StartPage.if.16403
病毒类型: 其他病毒
处理结果: 删除

发现病毒在: F:\System Volume Information\_restore{05617CED-AA01-4455-A814-48E9AF084EB1}\RP62\A0022239.EXE
病毒名:Worm.Rays.49152
病毒类型: 其他病毒
处理结果: 删除
昨天以来,打印机一直不能用,具体情况是这样的:
系统: windows xp pro
昨天打印机不能打印,一启动电脑就显示 spoolsv.exe 应用程序出错,参考微软网站给出
的办法,不能解决。怀疑是中了病毒,用 金山毒霸6 标准版查杀了一些病毒,今天开机显
示正常,但是开始打印操作又提示 spoolsv.exe 出错,打印机又消失了。请问有没有人碰
到同样的问题?如何解决呢?谢谢!
附:微软网站提供的打印机故障排除方法:
http://www.microsoft.com/china/technet/itsolutions/techguide/msm/winsrvmg/pspo
g/pspog5.mspx
中午的时候,通过下述办法修复了打印机问题:
1、停用print spool服务。
2、从另一个安全的XP系统中拷贝 spoolsv.exe 文件替换原系统中的文件。文件位置是:%systemroot%\system32
3、重新启动服务,从“打印机和传真”中删除打印机。
4、重新安装打印机。
猜想之前出错的原因是这样的:
病毒修改了打印机驱动程序和 spoolsv.exe文件,致使打印机一接受打印命令 spoolsv.exe 程序就出错,经过上面步骤修复了被修改的文件之后,恢复正常。

归类于: 1.病毒资讯 — baa @ 10:49 am 评论(0)
2004年12月29日
QQ木马[瑞星鉴定为:Trojan.QQMsg.QQ92.a]

QQ木马新变种,自动修改主页为:www.1yin.com,并自动发送类似如下的信息:”在吗。帮我个忙。我注册了一个免费电影网站。但是需要拉够五个人 才能看电影。已经拉了三个了。你帮我打开一下吧。帮帮忙。谢了。http://dvd.qq92.com/?02721) “瑞星鉴定为:Trojan.QQMsg.QQ92.a,使用QQAV2004查时居然出现运时行错误,启动不了程序,不知道怎么回事,第一次失败;使用瑞星QQ木马专杀工具扫不出这个新变种,瑞星官方网站信息称必须升级瑞星杀毒程序到10.23以上版本才能查杀,由于系统已经安装了金山毒霸正式版,所以不太想做这种折腾。流行病毒专杀工具(spant)似乎有一段时间没有更新版本了,点击更新时直接提示已经是最新版本,可是看看版本是2004.2的,估计也不能有所做为,最后只能试试木马克星5.46版啦。找到了一组注册码,共享。

木马克星5.46注册码
Name:icech
Serial:289808514
Name:user
Serial:1720200241
Name:xaok
Serial:1143119352
Name:soft
Serial:1646682465
Name:free
Serial:1662469250
Name:hzmian
Code:1933872854

归类于: 1.病毒资讯 — baa @ 3:19 pm 评论(28)
2004年12月28日
两个近期广为流传的病毒[其中一个今天/28日/发作]

 来源:金山毒霸

 注:今天早上同事小张在使用coreldraw绘图时,发现复制的内容粘贴时变成了”hello”字符串了。第一个反应是病毒,上网一搜,果然有人大受其害。因为此病毒在每月28号发作,所以平时都没有注意到。另外它的发信功能,对电脑资源消耗很大,会使系统变得很慢,网速下降。转贴下面文章,希望对受害者有所帮助。

今日提醒用户特别注意以下病毒:“虚假服务”(Win32.Troj.Qwin.08)和“幽灵”(Worm.Hack.wukill.j)。

“虚假服务”木马病毒,这该病毒将自己创建并伪装成为系统服务QoSServer,并将木马文件QoSServer.dll加载到系统进程LASS.EXE中执行,然后打开特定端口做为后门,从而让攻击者完全控制用户的电脑。

“幽灵”蠕虫病毒,

这是一个通过邮件和本机文件夹复制传播的恶性蠕虫病毒。病毒在每月28日时会影响系统的剪贴板工作,导致用户复制任何文字后,再粘贴就会出现”Hello!”字符串。

一、“虚假服务”(Win32.Troj.Qwin.08) 威胁级别:★★

据金山毒霸反病毒工程师分析,该病毒将自己创建并伪装成为系统服务QoSServer,同时通过创建远程线程的方式将系统目录下的文件QoSServer.dll加载到系统进程LASS.EXE中执行,然后打开特定端口作为后门。其中QoSServer.dll是一个木马文件,其将伪装成系统进程并与外部通信,从而让攻击者进一步控制用户的电脑。

金山毒霸反病毒专家提醒用户:建立良好的安全习惯。对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从Internet下载后未经杀毒软件处理的文件,这些才能确保您的计算机更安全。

二、“幽灵”(Worm.Hack.wukill.j) 威胁级别:★★

据金山毒霸反病毒工程师分析,这是一个通过邮件和本机文件夹复制传播的恶性蠕虫病毒。

病毒在每月28号时会影响系统的剪贴板工作,导致用户复制任何文字后,再粘贴都会出现”Hello!”字符串。该病毒还会将自己复制到每个盘根目录(包括软盘和U盘)和每个文件夹下面,图标和文件夹图标一样,并加以隐藏。最后,该病毒遍历Outlook的邮件地址列表,向其中每个地址发送带毒邮件。

金山毒霸反病毒专家提醒用户:网络的发展,用户电脑遭受黑客攻击的问题也趋于严重,许多网络病毒都采用了黑客的方法来攻击用户电脑,因此,用户还应该安装个人防火墙软件进行防黑。

金山毒霸反病毒工程师提醒您:请升级毒霸到2004年11月03日的病毒库可完全处理该病毒。如没有安装金山毒霸,可以登录到 http://online.kingsoft.com/ 使用金山毒霸的在线查毒或金山毒霸下载版来防止该病毒的入侵。

归类于: 1.病毒资讯 — baa @ 11:31 am 评论(0)