2007年05月18日

xp自动更新,安装了正版验证,版本号1.7.0018.5。更新代码KB905474.
在不连接网络的情况下删除C:\Documents and Settings\All Users\Application Data\Windows Genuine Advantage\data\data.dat这的文件,它是隐藏的,然后在重启,你就点验证就可以了

2007年02月28日

下面是非常有效和迅速的彻底杀掉该病毒的方法,请大家参考。步骤为:
1、 断开网络,重启机器。
2、 开始 —> 所有程序 —> 附件 —>系统工具 —>系统信息 —>软件环境 —>正在运行任务,找到“名称”为“spoclsv.exe”的程序,可见其路径在“c\windows\system32\drivers”,记下第三列“处理ID”中的数字,如1852;
3、 开始 —>运行,输入“ntsd -c q -p 1852”,回车(注意:即上述处理ID的数字)。此步骤作用:彻底停止该病毒的进程。
4、 开始 —>运行,输入“cmd”回车,启动dos。进入“c:\windows\system32\drivers”目录,输入“attrib –h –s spoclsv.exe”,取消其隐藏和系统文件属性。
5、 在“我的电脑”中,对系统盘的盘符(通常是C)点右键(千万不可以双击,因为病毒可以借助微软的“自动播放”功能,在用户每次双击硬盘时即可自动启动运行。如已双击,请重复步骤1-3),打开,进入“c:\windows\system32\drivers”目录,删除“spoclsv.exe”文件。
6、 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

意思是将checked这个键值修改为1。
此步骤非常重要!否则任何杀毒软件或专杀工具都不回有任何效果,虽然有些软件据说能对付该病毒,但是病毒文件被隐藏后不能被查杀!。
7、 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:\setup.exe
X:\autorun.inf(此时删除后不会再出现)
特别注意:只能“右键”—>“打开”每个分区,千万不能双击打开,否则病毒又开始运行。如已双击,请重复步骤1-6。)
8、 删除病毒创建的启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
或者在“msconfig”中修改。
9、 修复或重新安装反病毒软件(因为.exe应用文件已经被感染过);
10、 使用反病毒软件或专杀工具(如超级巡警)进行全盘扫描,清除恢复被感染的exe文件。

至此,杀毒结束!不排除病毒有其他变种,比如spoclsv变成sppolsv的,请参考!
推荐杀毒后,下载google firefox安全浏览器,以防止再次中毒!
再罗嗦一句,请大家注意自己的登陆密码,用自己的生日或电话等数字作为密码的,不仅对自己不负责任,也是对大家尤其是网管不负责任,太危险了。

2006年12月13日

网克教学笔记文字文字1、   

软件版本:ghostsvr82版(83虽最新版,易出错),maxdos5.5—-5.7
2、    软件下载地址:
www.pzz.cn即MAXDOS工作室
3、    服务器设置
(windows环境下下操作)
⑴max5.5 ip 192.168.5.100   子网255.255.255.0
max5.6.7 ip 10.1.1.1     子网255.0.0.0
⑵启动ghostsvr, 会话名(max ), 目的(恢复镜像,创建镜像),镜像文件(查找.gho文件或指定.gho文件名和保存位置)操作对象(整个硬盘或分区),接受客户机,发现客户机单击发送数据
4、    客户机设置(重启动后dos下操作)
IP自动
重启后按f8,返回操作系统选择菜单,maxdos,password输入密码,dos中选择第1项,
命令举例:全盘 8139go   y (为IP地址的最后一位)   viago y (为IP地址的最后一位)
      分区 8139gx   y                 viagx y
分区,ghostcast——-multicast—–destination driver—–destination partition—
5、    注意:关闭防火墙包括服务器和客户机
      根据自己电脑网卡的不同选择DOS中的不同菜单选项具体参阅以下说明文件
MaxDOS 5.7s 安装启动后有如下七个选项:

选项A. MaxDOS工具集+Packet网卡驱动网刻

解: MaxDos 的所有工具,包括PACKET的DOS驱动都在些选项.进入后全中文界面,以及全自动
加载网卡驱动.可以选择全盘或单分区刻隆.就不再多加解释了,进入后都懂.
PACKET网卡共支持以下几种网卡:
3C905PKT.com   3Com EtherLink PCI Bus Master Packet Driver (3COM 905)
3C90XPD.COM     3Com Fast EtherLink XL 10/100Mb TX Ethernet NIC (3C90X)
E310.COM       Adico AE310-TX PCI 10/100 Fast Ethernet Adapter
AMDPCNET.com   AMD PCnet Family
DCN530tx.COM   DCN-530TX PCI Ethernet Adapter V1.00 (2002.0411)
DFE530TX.COM   D-Link DLE-530TX PCI NIC (Rev B) V2.53 (2000.0525)
DLE530TX.COM   D-Link DFE-530TX PCI NIC V4.10 (2002.0703)
IP100PD.COM     IC Plus IP100 based Fast Ether Adapter V3.03 (2003.0411)
PRO100.COM     Intel EtherExpress(tm) PRO/10 & PRO/100B PCI,(已更新,可用)
RTL8029.COM     Realtek RTL8029(AS) PCI Ethernet NIC 1998
RTL8139.COM     Realtek RTL8139 Family PCI Fast Ethernet NIC v3.40
SIS900.EXE     SiS 900/7016 PCI Fast Ethernet Adapter V1.15 (2002.0816)
VIA.COM       VIA Rhine I/II Family Fast Ether Adapter V4.16 (已更新,可用)
NV.EXE       GHOST自带的万能PACKET驱动,如果您有的网卡不能驱动,请尝试此驱动
有人提过此驱动,可驱动NF系列的网卡,如果选项3不成功,可尝试此驱动,见下面的命令行.

5.6S版本网刻服务器的IP应为: 10.1.1.1 奄码为: 255.0.0.0 GHOSTSRV会话名称:max
客户端谁进去都懂的用了因为都是全中文菜单模式,在这里就不再介绍,以下为旧版模式.
友情提醒:您也可以使用新版的网刻模式和旧版网刻模式结合,实现两批机器一起网刻.

关于旧版本的网刻模式,依然是存在的.5.5S或更早旧版本里命令行模式PKT驱动网刻说
明:先将要做为网刻服务端的IP地址改为:192.168.5.100 子奄码为:255.255.255.0
其它网关和DNS的可以都去掉,也可随意保留.然后打开GHOSTSRV服务端,把GHOSTSRV里面的
会话名称改为:max (如果您没有GHOSTSRV,请到我们的网站中下载
Http://Bbs.Pzz.Cn)
一定要是max,否则客户机会连不上, 为什么要用192.168.5.100的IP呢,因为有人说如果
IP网段跟内网机器使用的网段不同的话,可以加快网刻速度,所以故意将服务器IP指为,
192.168.5.100 以隔开别的网段!当然没有实际证明.
  5.5S或更早的版本客户机上设置如下,例 VIA 网卡用户请使用格式: VIAGO 45
(VIAGO为自动批处理文件,45为您要设置的客户机IP的最后一位数,前面的192.168.5不用
输入的,输入为自后自动激活网卡,及IP奄码配置文件,自动生成IP地址为 192.168.5.45
子奄码为:255.255.255.0 网关:192.168.5.100),详细请见下表各网卡的批处理.

以下为5.5S版本或更旧的版本,全盘网刻例子:
NV       网卡,自动网刻命令格式如后—->   NVGO X (X为客户机IP,不准从复)
3C90X     网卡,自动网刻命令格式如后—->   3C90XGO X (X为客户机IP,不准从复)
DCN530TX   网卡,自动网刻命令格式如后—->   DCN530GO X (X为客户机IP,不准从复)
DFE530TX   网卡,自动网刻命令格式如后—->   DFE530GO X (X为客户机IP,不准从复)
DLE530TX   网卡,自动网刻命令格式如后—->   DLE530GO x (X为客户机IP,不准从复)
IP 100   网卡,自动网刻命令格式如后—->   IP100GO X (X为客户机IP,不准从复)
PRO100   网卡,自动网刻命令格式如后—->   PRO100GO x (X为客户机IP,不准从复)
RTL8029   网卡,自动网刻命令格式如后—->   8029GO X   (X为客户机IP,不准从复)
RTL8139   网卡,自动网刻命令格式如后—->   8139GO X   (X为客户机IP,不准从复)
SIS900   网卡,自动网刻命令格式如后—->   SIS900GO X (X为客户机IP,不准从复)
VIA     网卡,自动网刻命令格式如后—->   VIAGO X   (X为客户机IP,不准从复)

以下为5.5S版本或更旧的版本,单盘网刻例子:
NV       网卡,单分区网刻命令格式如后—-> NVGX X (X为客户机IP,不准从复)
3C90X     网卡,单分区网刻命令格式如后—-> 3C90XGX X (X为客户机IP,不准从复)
DCN530TX   网卡,单分区网刻命令格式如后—-> DCN530GX X (X为客户机IP,不准从复)
DFE530TX   网卡,单分区网刻命令格式如后—-> DFE530GX X (X为客户机IP,不准从复)
DLE530TX   网卡,单分区网刻命令格式如后—-> DLE530GX X (X为客户机IP,不准从复)
IP 100   网卡,单分区网刻命令格式如后—-> IP100GX X (X为客户机IP,不准从复)
PRO100   网卡,单分区网刻命令格式如后—-> PRO100GX X (X为客户机IP,不准从复)
RTL8029   网卡,单分区网刻命令格式如后—-> 8029GX X   (X为客户机IP,不准从复)
RTL8139   网卡,单分区网刻命令格式如后—-> 8139GX X   (X为客户机IP,不准从复)
SIS900   网卡,单分区网刻命令格式如后—-> SIS900GX X (X为客户机IP,不准从复)
VIA      网卡,单分区网刻命令格式如后—-> VIAGX X   (X为客户机IP,不准从复)
注意,前一个X不代表任何意义,后一个X才代表IP的最后一组数字.

&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&

选项B. NDIS2网卡驱动全自动网刻

5.6S版本网刻服务器的IP应为: 10.1.1.1 奄码为: 255.0.0.0 GHOSTSRV会话名称:max
客户端谁进去都懂的用了因为都是全中文菜单模式,在这里就不再介绍,以下为旧版模式.
友情提醒:您也可以使用新版的网刻模式和旧版网刻模式结合,实现两批机器一起网刻.

关于旧版本的网刻模式,依然是存在的.5.5S或更早旧版本里命令行模式NDIS2驱动网刻,
选择此选项后,默认的会自动加载好您本机的网卡驱动,您可以使用NDISGO X (后面的X代
表您的IP最后一组数字,如: 192.168.5.123 只需输入 NDISGO 123 )
来实现全盘网刻,因为启动此选项后已经自动加载好网卡驱动,本机的驱动都已经打完,不
管任何网卡都只要输入NDISGO X 来实现全盘刻,和NDISGX X来实现单分区刻即可(当然首
先还是要准备好服务器的情况下的,服务器IP设为:192.168.5.100,子奄码:255.255.255.0
其它不用设,安全起见最好从起一下服务端,然后打开GHOSTSRV,把里面的会话名称设为:max
一定要设为max才可连上),使用NDIS网刻时,无须再像PKT那样输入8139GO,DFE530GO等,不管
任何网卡全盘刻只要输入NDISOGO x (x为客户机的IP最后一位,如 192.168.5.1 只须输入
NDISGO 1 而不是 NDISGO 192.168.5.1 且不能使用 100和超过 255的后面IP)如果您的PKT
驱动不能网刻或没有驱动的话,可以试试用NDIS驱动来网刻!

NDIS2驱动支持的网卡所有系列如下:

3Com EtherLink PCI TPO NIC (3C900-TPO)    
3Com EtherLink PCI Combo NIC (3C900-COMBO)  
3Com EtherLink PCI TPO NIC (3C900B-TPO)    
3Com EtherLink PCI Combo NIC (3C900B-COMBO)  
3Com EtherLink PCI TPC NIC (3C900B-TPC)    
3Com EtherLink PCI Fiber NIC (3C900B-FL)    
3Com EtherLink 10/100 PCI NIC (3C905-TX)    
3Com EtherLink 10/100 PCI T4 NIC (3C905-T4)  
3Com 3C918 Integrated Controller (3C905B-TX Compatible)
3Com EtherLink 10/100 PCI Combo NIC (3C905B-COMBO)
3Com EtherLink 100 PCI Fiber NIC (3C905B-FX)
3Com 3C920 Integrated Controller (3C905C-TX Compatible)
3Com 3C920B-EMB Integrated Fast Ethernet Controller
3Com 3C920B-EMB-WNM Integrated Fast Ethernet Controller
3Com Gigabit NIC (3C940/3C2000)  
ADMtek AN983 10/100Mbps Fast Ethernet Adapter
ADMtek AN983 based Ethernet Adapter
ADMtek AN985 10/100Mbps Fast Ethernet Adapter
ADMtek ADM9511 10/100Mbps Fast Ethernet Adapter
ADMtek ADM9513 10/100Mbps Fast Ethernet Adapter
AMD PCNet Family Ethernet Adapter
Broadcom 440x 10/100 Integrated Controller  
Broadcom 440x 10/100 Integrated Controller  
Broadcom NetXtreme Gigabit Ethernet Controller
Broadcom 570x 10/100 Integrated Controller  
Broadcom NetLink (TM) Gigabit Ethernet Controller
Broadcom NetXtreme Gigabit Fiber  
Broadcom NetXtreme Gigabit Ethernet Controller
Broadcom NetXtreme Fast Ethernet Controller  
DAVICOM DM9 Series PCI Fast Ethernet Adapter
DEC Digital Semiconductor 21040 Ethernet Controller
DEC Digital Semiconductor 21140 Ethernet Controller
DEC Digital Semiconductor 21041 Ethernet Controller
DEC Digital Semiconductor 21143/2 Ethernet Controller
DigitalChina DCN-530TX Fast Ethernet Adapter
D-Link DFE-530TX PCI Fast Ethernet Adapter (rev.A)
D-Link DFE-530TX PCI Fast Ethernet Adapter (rev.D)
D-Link DFE-530TX PCI Fast Ethernet Adapter (rev.B/A)
D-Link DFE-530TX PCI Fast Ethernet Adapter (rev.C)
IC Plus IP100 based Fast Ethernet Adapter  
Intel PRO/100 Mobile Adapters    
Intel PRO/100 VE Network Connection
Intel PRO/100 VE Network Connection
Intel PRO/100 VM Network Connection
Intel PRO/100 VM Network Connection
Intel PRO/100 VM Network Connection
Intel 82562EH based Phoneline Network Connection
Intel PRO/100 VM Network Connection
Intel PRO/100 VE Network Connection
Intel PRO/100 VE Network Connection
Intel PRO/100 VM Network Connection
Intel PRO/100 VM Network Connection
Intel PRO/100 VE Network Connection
Intel PRO/100 VM Network Connection
Intel PRO/100 VE Network Connection
Intel PRO/100 VE Network Connection
Intel PRO/100 VM Network Connection
Intel PRO/100 VM Network Connection
Intel PRO/100 VE Network Connection
Intel PRO/100 VM Network Connection
Intel PRO/100 VE Network Connection
Intel PRO/100 VE Network Connection
Intel PRO/100 M Mobile Connection
Intel PRO/100 VE Network Connection
Intel PRO/100 VE Network Connection
Intel PRO/100 VM Network Connection
Intel PRO/100 VM Network Connection
Intel PRO/100 VE Network Connection
Intel PRO/100 VM Network Connection
Intel PRO/100 VE Network Connection
Intel PRO/100 VE Network Connection
Intel 82559ER Fast Ethernet Controller    
Intel PRO/100+ PCI Adapter      
Intel PRO/100 Network Connection  
Intel 82562 based Fast Ethernet Connection
Intel 82562 based Fast Ethernet Connection
Intel PRO/1000 Gigabit Server Adapter
Intel PRO/1000 F Server Adapter
Intel PRO/1000 T Server Adapter
Intel PRO/1000 XT Network Connection
Intel PRO/1000 XF Network Connection
Intel PRO/1000 T Network Connection
Intel PRO/1000 XT Network Connection
Intel PRO/1000 MT Network Connection
Intel PRO/1000 MT Network Connection
Intel PRO/1000 MT Dual Port Network Connection
Intel PRO/1000 MF Server Adapter
Intel PRO/1000 MF Dual Port Network Connection
Intel PRO/1000 MT Network Connection
Intel PRO/1000 MT Mobile Connection
Intel PRO/1000 MT Mobile Connection
Intel PRO/1000 MT Mobile Connection
Intel PRO/1000 CT Network Connection
Intel PRO/1000 MT Quad Port Network Connection
Intel PRO/1000 MT Mobile Connection
Intel PRO/1000 MT Server Connection
Intel PRO/1000 MF Server Adapter
Intel PRO/1000 MB Server Connection
Intel PRO/1000 PT Dual Port Network Connection
Intel(R) PRO/1000 PF Dual Port Server Adapter
Intel(R) PRO/1000 PB Dual Port Server Connection
Intel PRO/1000 CT Network Connection
Intel PRO/1000 MT Network Connection
Intel PRO/1000 MT Mobile Connection
Intel PRO/1000 MT Dual Port Network Connection
Intel PRO/1000 MF Dual Port Network Connection
Intel PRO/1000 MB Dual Port Server Connection
Intel PRO/1000 GT Desktop Adapter
Intel(R) PRO/1000 PT Server Adapter
Intel(R) PRO/1000 PF Server Adapter
Intel(R) PRO/1000 PB Server Connection
Intel(R) PRO/1000 PM Network Connection
Intel(R) PRO/1000 P Network Connection
Intel(R) PRO/1000 PL Network Connection
Marvell Yukon PCI (PCI-E) Gigabit Controller
Marvell Yukon 88E8001/8003/8010 PCI Gigabit Controller
Marvell Yukon 88E8035 PCI-E Fast Controller
Marvell Yukon 88E8036 PCI-E Fast Controller
Marvell Yukon PCI (PCI-E) Gigabit Controller  
Marvell Yukon PCI (PCI-E) Gigabit Controller
Marvell Yukon 88E8052 PCI-E ASF Gigabit Controller
Marvell Yukon 88E8050 PCI-E ASF Gigabit Controller
Marvell Yukon 88E8053 PCI-E Gigabit Controller
Marvell Yukon PCI (PCI-E) Gigabit Controller
RealTek RTL8029 PCI Ethernet Adapter          
RealTek RTL8139/810x Family Fast Ethernet Adapter $
Realtek RTL8169/8110 Family Gigabit Ethernet Adapter
SiS 900-Based PCI Fast Ethernet Adapter  
VIA VT86C100A Rhine Fast Ethernet Adapter
VIA Rhine III Management Adapter
VIA Rhine II Fast Ethernet Adapter            
VIA Rhine III Fast Ethernet Adapter  
Legend DFE-530TX PCI Fast Ethernet Adapter (Rev A)  
Legend DFE-530TX PCI Fast Ethernet Adapter (Rev B/A)
ULi PCI Fast Ethernet Controller              
ULi Electronics Inc.                  
Realtek RTL8136/810x Family Fast Ethernet NIC      
Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC
D-Link DFE-550TX FAST Ethernet 10/100 Adapter    
Sundance ST201 based Adapter NT Driver      
D-Link DGE-530T Gigabit Ethernet Adapter        
VIA Networking Velocity-Family Gb Ethernet Adapter
RADTEK RTK8189C Based Fast Ethernet Card
支持200多种网卡,还有很多没列出,如果您不知道网卡型号,可尝试使用此项.  

&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&

C. nForce 1/2/3/4网卡驱动网刻

nForce MCPx 系列网卡网络刻隆项.由于NF驱动的驱动占用了太大内存,造成无法加载
中文程序,只能使用旧版的NDISGO XX 和 NDISGX XX 命令网刻.
NDISGO为全盘网刻命令,后面的XX可以是 1-99和101-254 不得重复.
NDISGX为单分网刻命令,后面的XX可以是 1-99和101-254 不得重复.前面的X不作任何代表.
请先将服务端IP设为:192.168.5.100 奄码: 255.255.255.0   GHOSTSRV会话名: max
NFORCE的网卡需要同时加载两个网卡驱动文件,无法在自动加载中加载,只能另行加载!
如果您使用此选项存在问题,请尝试使用选项A的GHOST自带万能驱动.

2006年12月12日

    Trojan-PSW.Win32.QQRob.ec(熊猫烧香)病毒解决方案
2006-12-01 20:33
Trojan-PSW.Win32.QQRob.ec(熊猫烧香)病毒解决方案
作者:liansoft 日期:2006-11-28
文件名称:FuckJacks.exe
病毒名称:Trojan-PSW.Win32.QQRob.ec(卡巴斯基)
          Win32/PSW.QQRob.EC(NOD32)        
          Worm.Nimaya.a(尼姆亚)(瑞星)
          Worm/Viking.jd(江民)
中文名称:(尼姆亚)
病毒大小:30,465 字节
编写语言:Borland Delphi 6.0 – 7.0
加壳方式:FSG 2.0 -> bart/xt
样本MD5:2a6ad4fb015a3bfc4acc4ef234609383
样本CRC32:8be4ef19
发现时间:2006.11
危害等级:中

技术分析
**************************************
带毒文件运行后,将自身复制到%SystemRoot%\system32\FuckJacks.exe

建立注册表自启动项:
 程序代码
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
FuckJacks.exe=%System32%\FuckJacks.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
svohost.exe=%System32%\FuckJacks.exe

查找反病毒窗体病毒结束相关进程:

 程序代码
qqkav
qqav
天网
VirusScan
网镖
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马克星
木马清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
symantec antivirus
iduba
qq病毒
esteem procs
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
wrapped gift killer
winsock expert
游戏木马检测大师
msctls_statusbar32
pjf(ustc)
IceSword

结束以下进程:

 程序代码
mcshield.exe
vstskmgr.exe
naprdmgr.exe
updaterui.exe
tbmon.exe
scan32.exe
ravmond.exe
ccenter.exe
ravtask.exe
rav.exe
ravmon.exe
ravmond.exe
ravstub.exe
kvxp.kxp
kvmonxp.kxp
kvcenter.kxp
kvsrvxp.exe
kregex.exe
uihost.exe
trojdie.kxp
frogagent.exe
kvxp.kxp
kvmonxp.kxp
kvcenter.kxp
kvsrvxp.exe
kregex.exe
uihost.exe
trojdie.kxp
frogagent.exe
logo1_.exe
logo_1.exe
rundl123.exe

禁用下列服务:

 程序代码
kavsvc
AVP
AVPkavsvc
McAfeeFramework
McShield
McTaskManager
McAfeeFramework McShield
McTaskManager
navapsvc
KVWSC
KVSrvXP
KVWSC
KVSrvXP
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec
Core LC
NPFMntor
MskService
FireSvc

删除下列注册表项:

 程序代码
software\microsoft\windows\currentversion\run\ravtask
software\microsoft\windows\currentversion\run\kvmonxp
software\microsoft\windows\currentversion\run\kav
software\microsoft\windows\currentversion\run\kavpersonal50
software\microsoft\windows\currentversion\run\mcafeeupdaterui
software\microsoft\windows\currentversion\run\network associates error reporting service
software\microsoft\windows\currentversion\run\shstatexe
software\microsoft\windows\currentversion\run\ylive.exe
software\microsoft\windows\currentversion\run\yassistse

感染所有EXE、SCR、PIF、COM文件,并更改图标为

,跳过下列目录:

 程序代码
windows
winnt
systemvolumeinformation
recycled
windowsnt
windowsupdate
windowsmediaplayer
outlookexpress
netmeeting
commonfiles
complusapplications
commonfiles
messenger
installshieldinstallationinformation
msn
microsoftfrontpage
moviemaker
msngaminzone

删除*.gho文件.
在所有驱动器根目录建立自身文件副本setup.exe,建立autorun.inf文件使病毒自动运行,设置文件属性为隐藏、只读、系统.

autorun.inf内容:
 程序代码
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe

保存QQ密码和键盘信息到c:\test.txt
执行命令:

 程序代码
cmd.exe /c net share admin$ /del /y
cmd.exe /c net share ipc$ /del /y
 

2006年12月10日

病毒名称:诡秘下载器变种CXW(Trojan.DL.Delf.cxw)
病毒类型:流氓软件
病毒危害级别:★★★☆
病毒发作现象及危害:
该病毒运行后会从黑客指定的网站下载指令并运行,会将用户IE浏览器的主页锁定为一个名叫“7939上网导航”的网站,以提高该网站的访问量.该病毒会试图禁止多种安全工具软件运行,并会造成一些主流杀毒软件运行不正常.它还会自动从http//down.Virussky.com下载新的病毒并运行。
修复方法:
第一步:进入安全模式,找到C:\windows\system32\realplayer.exe删除. 注意,如果没有找到可能的原因是隐藏文件无法显示,请参考这篇文章的启动隐藏文件的方法。

第二步:在启动项里删除realplayer.exe启动项.有两个.
第三步:用修复软件(如超级兔子)修复一下IE.重启就OK了~~

后记:7939的新变种
如果发现在C:\windows\system32下生成了realplayer.exe和brlmon.dll(RavMon.dll)两个文件 且brlmon.dll(RavMon.dll)插入Explorer进程,那采取下面的方法可以解决。
先说症状:
上述两个文件相互监视 所以即便结束了 realplayer.exe进程 也无法删除这个文件
并且在注册表项上添加了2个启动项C:\WINDOWS\system32\Realplayer.exe
达到开机启动的目的
清除方法如下
1.控制面版-文件夹选项-查看-显示系统文件夹的内容和显示所有文件和文件夹 勾上
2.打开任务管理器 结束Realplayer.exe
3.然后结束 Explorer进程(此时桌面可能没了 不要担心)
4.然后点击任务管理器上方的菜单栏中的 文件-新建任务-浏览 找到
C:\WINDOWS\system32\Realplayer.exe和C:\WINDOWS\system32\brlmon.dll 或者C:\WINDOWS\System32\RavMon.dll右键删除该文件
5.然后文件-新建任务-浏览 打开C:\Windows\Explorer.exe(此时 桌面又回来了)
注:结束Explorer.exe是为了删除那个C:\WINDOWS\system32\brlmon.dll(C:\WINDOWS\System32\RavMon.dll) 否则删不掉
最后别忘了把主页改回来!

最近几天在一些反病毒论坛中都看到有网友反映同样的问题,即开机开自动打开记事本程序。经过对样本的分析,确认此现象是蠕虫行为,特此提醒广大网友警惕。
这个蠕虫目前绝大多数的主流杀毒软件都可以查杀,请发现此现象的朋友升级杀毒软件进行杀毒!
以下是对此蠕虫做的一些简单分析:
蠕虫名称:Worm.Win32.Delf.aj(AVP)
蠕虫别名:Trojan.Spy.UsbSpy.a(瑞星)、TrojanSpy.USBSpy.a(江民)
蠕虫大小:47,104字节
加壳方式:UPX
MD5:07adddef653a702b9a11edbcee07e82b
CRC32:100A382A
发作现象:
电脑开机时会自动弹出记事本,会生成wincfgs.exe、KB20060111.exe等文件
行为分析:
1. 在注册表中创建USBSpyRunMutex互斥量,避免重复感染。
2. 在系统中生成
C:\%system%\wincfgs.exe(系统、隐藏、只读属性)
C:\%WINDOWS%\KB20060111.exe(大小66,560 字节,非病毒,是记事本程序)
3. 在注册表中添加:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Load =“C:\windows\system32\wincfgs.exe”
4. 在移动设备中生成RECYCLER\RECYCLER目录和autorun.inf,在这个目录下生成autorun.exe、desktop.ini。
autorun.inf的内容:
[autorun]
open=.\RECYCLER\RECYCLER\autorun.exe
shell\1=Open
shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe
shell\2\=Browser
shell\2\Command=.\RECYCLER\RECYCLER\autorun.exe
shellexecute=.\RECYCLER\RECYCLER\autorun.exe
autorun.exe同wincfgs.exe
desktop.ini的内容:
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
由此可见,当含有病毒的移动设备接入电脑时,蠕虫会被自动运行。

最佳解决方案:
下列文字另存为.bat文件(也可新建记事本粘贴后改名扩展名bat的文件)运行即可!

echo off
tskill KB20060111
tskill wincfgs
del %windir%\kb20060111.exe
del %windir%\system32\wincfgs.exe
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "load" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "load" /t REG_SZ /d "" /f

现象:系统文件隐藏无法显示,双击盘符无反映,任务管理器发现sxs.exe 或者 svohost.exe (与系统进程 svchost.exe 一字之差),杀毒软件实时监控自动关闭并无法打开。
解决方法总结如下:(注意:在以下整个过程中不得双击分区盘,需要打开时用鼠标右键——打开!)

一、关闭病毒进程
Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉(我的电脑里出现的是SVCHOST)注意别搞错了。

二、显示出被隐藏的系统文件
运行——regedit
HKEY_LOCAL_MACHINE\Software
\Microsoftwindows \CurrentVersionexplorer
\AdvancedFolder\Hidden\SHOWALL,
将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:删除此CheckedValue键值,单击右键 新建-Dword值-命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹-工具-文件夹选项中将系统文件和隐藏文件设置为显示。

三、删除病毒
在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。

四、删除病毒的自动运行项
打开注册表运行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft
>Windows>CurrentVersion>Run
下找到 SoundMam 键值,可能有两个,删除其中的键值为C:\\WINDOWS\system32\SVOHOST.exe的不放心就继续搜索含有svohost的键值,删除掉!

最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或sxs.exe重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。

五、如果对自己的操作不放心,第三步(含第三步)之后可以用专杀工具来做。在google搜索“橙色八月 瑞星专杀”即可找到。注意在安全模式下杀毒。

一、该病毒特点:
处理时间:2006-09-01 威胁级别:★★
病毒类型:蠕虫 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标计算机。
运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。
病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。
1、病毒运行后将自身复制到Windows文件夹下,文件名为:
  %SystemRoot%\rundl132.exe
2、运行被感染的文件后,病毒将病毒体复制到为以下文件:
%SystemRoot%\logo_1.exe
3、同时病毒会在病毒文件夹下生成:
病毒目录\vdll.dll
4、病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕在被感染的文件夹中生成:
_desktop.ini (文件属性:系统、隐藏。)
5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。
6、病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"
7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序,查找到窗体后发送消息关闭该程序。
8、枚举以下杀毒软件进程名,查找到后终止其进程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
9、同时病毒尝试利用以下命令终止相关杀病毒软件:
net stop "Kingsoft AntiVirus Service"

10、发送ICMP探测数据"Hello,World",判断网络状态,网络可用时,
枚举内网所有共享主机,并尝试用弱口令连接[url=file://\\IPC$]\\IPC$[/url]、\admin$等共享目录,连接成功后进行网络感染。
11、感染用户机器上的exe文件,但不感染以下文件夹中的文件:
system
system32
windows
documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
12、枚举系统进程,尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程:
Explorer
Iexplore
找到符合条件的进程后随机注入以上两个进程中的其中一个。
13、当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序:
http://www.17**.com/gua/zt.txt 保存为:c:\1.txt
http://www.17**.com/gua/wow.txt 保存为:c:\1.txt
http://www.17**.com/gua/mx.txt 保存为:c:\1.txt
http://www.17**.com/gua/zt.exe 保存为:%SystemRoot%Sy.exe
http://www.17**.com/gua/wow.exe 保存为:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 保存为:%SystemRoot%\2Sy.exe
注:三个程序都为木马程序
14、病毒会将下载后的"1.txt"的内容添加到以下相关注册表项:

[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"
二、专杀工具
http://it.rising.com.cn/service/technology/RavVikiing.htm
三、删除_desktop.ini
该病毒会在每个文件夹中生成一个名为_desktop.ini的文件,一个个去删除,显然太费劲,(我的机器的操作系统因安装在NTFS格式下,所以系统盘下的文件夹中没有这个文件,另外盘下的文件夹无一幸免),因此在这里介绍给大家一个批处理命令 del d:\_desktop.ini /f/s/q/a,该命令的作用是:
强制删除d盘下所有目录内(包括d盘本身)的_desktop.ini文件并且不提示是否删除
/f 强制删除只读文件
/q 指定静音状态。不提示您确认删除。
/s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。
/a的意思是按照属性来删除了
这个命令的作用是在杀掉viking病毒之后清理系统内残留的_desktop.ini文件用的
使用方法是开始–所有程序–附件–命令提示符,键入上述命令(也可复制粘贴),首先删除D盘中的_desktop.ini,然后依此删除另外盘中的_desktop.ini。
至此,该病毒对机器造成的影响全部消除。

2006年10月31日

1.发送错误报告,或不报告,自动关闭

  【故障现象】在使用IE浏览网页的过程中,出现“Microsoft Internet Explorer遇到问题需要关闭……”的信息提示。此时,如果单击“发送错误报告”按钮,则会创建错误报告,单击“关闭”按钮之后会引起当前IE窗口关闭;如果单击“不发送”按钮,则会关闭所有IE窗口。

  【故障点评】这是IE为了解用户在使用中的错误而设计的一个小程序,不过我可不想当微软的“免费测试员”,更何况每天它都会面对成千上万的报告,谁知道有没有在意我的报告问题呢?!

  【故障解决】

  针对不同情况,可分别用以下方法关闭IE发送错误报告功能:

  ①对IE 5.x用户,执行“控制面板→添加或删除程序”,在列表中选择“Internet Explorer Error Reporting”选项,然后单击“更改/删除”按钮,将其从系统中删除。

  ②对Windows 9x/Me/NT/2000下的IE 6.0用户,则可打开“注册表编辑器”,找到[HKEY_LOCAL_MACHINE\Software \Microsoft\Internet Explorer\Main],在右侧窗格创建名为IEWatsonEnabled的DWORD双字节值,并将其赋值为0。

  ③对Windows XP的IE 6.0用户,执行“控制面板→系统”,切换到“高级”选项卡,单击“错误报告”按钮,选中“禁用错误报告”选项,并选中“但在发生严重错误时通知我”,最后单击“确定”按钮。

  2.IE发生内部错误,窗口被关闭

  【故障现象】在使用IE浏览一些网页时,出现错误提示对话框:“该程序执行了非法操作,即将关闭……”,单击“确定”按钮后又弹出一个对话框,提示“发生内部错误……”。单击“确定”按钮后,所有打开的IE窗口都被关闭。

  【故障点评】该错误产生原因多种多样,内存资源占用过多、IE安全级别设置与浏览的网站不匹配、与其他软件发生冲突、浏览网站本身含有错误代码……这些情况都有可能,需要耐心加以解决。

  【故障解决】

  ①关闭过多的IE窗口。如果在运行需占大量内存的程序,建议IE窗口打开数不要超过5个。

  ②降低IE安全级别。执行“工具→Internet选项”菜单,选择“安全”选项卡,单击“默认级别”按钮,拖动滑块降低默认的安全级别。

  ③将IE升级到最新版本。IE 6.0 SP1

  可使用以IE为核心的浏览器,如MyIE2。它占用系统资源相对要少,而且当浏览器发生故障关闭时,下次启动它,会有“是否打开上次发生错误时的页面”的提示,尽可能地帮你挽回损失。

  3.出现运行错误

  【故障现象】用IE浏览网页时弹出“出现运行错误,是否纠正错误”对话框,单击“否”按钮后,可以继续上网浏览。

  【故障点评】可能是所浏览网站本身的问题,也可能是由于IE对某些脚本不支持。

  【故障解决】

  ①启动IE,执行“工具→Internet选项”菜单,选择“高级”选项卡,选中“禁止脚本调试”复选框,最后单击“确定”按钮即可。

  ②将IE浏览器升级到最新版本。

  4.IE窗口始终最小化的问题

  【故障现象】每次打开的新窗口都是最小化窗口,即便单击“最大化”按钮后,下次启动IE后新窗口仍旧是最小化的。

  【故障点评】IE具有“自动记忆功能”,它能保存上一次关闭窗口后的状态参数,IE本身没有提供相关设置选项,不过可以借助修改注册表来实现。

  【故障解决】

  ①打开“注册表编辑器”,找到[HKEY_ CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Old WorkAreas],然后选中窗口右侧的“OldWorkAreaRects”,将其删除。

  ②同样在“注册表编辑器”中找到[HKEY_CURRENT_USER\Software \Microsoft\Internet Explorer\Main],选择窗口右侧的“Window_Placement”,将其删除。

  ③退出“注册表编辑器”,重启电脑,然后打开IE,将其窗口最大化,并单击“往下还原”按钮将窗口还原,接着再次单击“最大化”按钮,最后关闭IE窗口。以后重新打开IE时,窗口就正常了!

  5.IE无法打开新窗口

  【故障现象】在浏览网页过程中,单击超级链接无任何反应。

  【故障点评】多半是因为IE新建窗口模块被破坏所致。

  【故障解决】单击“开始→运行”,依次运行“regsvr32 actxprxy.dll”和“regsvr32 shdocvw.dll”将这两个DLL文件注册,然后重启系统。如果还不行,则可以将mshtml.dll、urlmon.dll、msjava.dll、browseui.dll、oleaut32.dll、shell32.dll也注册一下。

  6.脱机却无法浏览本机上的网页

  【故障现象】通过IE的“脱机浏览”功能,我们差不多能浏览所有已经下载到本地硬盘的网页内容,这对拨号上网的用户来说更是省钱的一大法宝。但有时,目标网页虽然在硬盘上,但是却提示“无法浏览”。

  【故障点评】这多半是由于你修改了系统时间,引起了IE历史记录的错乱。

  【故障解决】

  ①可用直接在“临时文件夹”中搜索的方法来激活它。按下Win+F,在“包含文字”处输入部分记忆中的关键字,在“搜索”处按“浏览”按钮选择IE临时文件夹的地址,如“C:\WINDOWS\Temporary Internet Files”,单击“开始查找”,在结果列表里双击目标页打开。

  ②可以尝试用腾讯的TE等浏览器来脱机浏览。

  7.联网状态下,浏览器无法打开某些站点

  【故障现象】上网后,在浏览某些站点时遇到各种不同的连接错误。

  【故障点评】这种错误一般是由于网站发生故障或者你没有浏览权限所引起。

  【故障解决】针对不同的连接错误,IE会给出不同的错误信息提示,比较常见的有以下几个:

  ①提示信息:404 NOT FOUND这是最为常见的IE错误信息。主要是因为IE不能找到你所要求的网页文件,该文件可能根本不存在或者已经被转移到了其他地方。

  ②提示信息:403 FORBIDDEN常见于需要注册的网站。一般情况下,可以通过在网上即时注册来解决该问题,但有一些完全
  “封闭”的网站还是不能访问的。

  ③提示信息:500 SERVER ERROR通常由于所访问的网页程序设计错误或者数据库错误而引起,你只有等待对方网页纠正错误后再浏览了:-(。

  8.IE无法重新安装
  
  【故障现象】IE不能正常使用,在重装时却提示“发现系统中有该版本的IE”而拒绝安装;“添加或删除程序”中又没有卸载选项。

  【故障点评】“重装”是解决IE故障的“终极大法”,也是初级用户的法宝。

  【故障解决】

  ①对IE 5.0的重装可按以下步骤进行:

  第一步:打开“注册表编辑器”,找到[HKEY_LOCAL_ MACHINE\Software\Microsoft\Internet Explorer],单击其下的Version Vector键。

  第二步:在右侧窗格中双击IE子键,将原来的“5.0002”改为“4.0”,单击“确定”后退出“注册表编辑器”。

  第三步:重启后,就可以重装IE 5.0了。

  ②IE 6.0的重装有两种方法:

  方法1:打开“注册表编辑器”,找到[HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383}],将IsInstalled的DWORD值改为0就可以了。

  方法2:放入Windows XP安装盘,在“开始→运行”窗口键入“rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %windir%\Inf\ie.inf”。

 

单击“开始/运行”,输入“rundll32 netplwiz.dll,UsersRunDll”,按回车键后弹出“用户帐户”窗口,看清楚,这可跟“控制面板”中打开的“用户账户”面板窗口不同哦!然后取消选定“要使用本机,用户必须输入用户名和密码”选项,单击确定,在弹出的对话框中输入你想让电脑每次自动登录的账户和密码即可