订阅
上一篇
下一篇
new Malware.j查杀方法
作者:hesper 日期:2006-12-02
题记1:今天你中了吗?如果没中,不必着急。我是比较钦佩这个“特洛伊”敌人的,很有思维的一个病毒,至少微软和各大杀毒软件拿它没办法。
题记2:如果你深入了解,你会发现,new Malware.j只是表面现象,后面还有更狠的呢。
一、症状
症状1:杀毒软件反复弹出警告.
比如:已移动(清除失败,因为文件不可清除) NT AUTHORITY\SYSTEM C:\WINDOWS\SYSTEM\smss.exe New Malware.j
比如:已移动(清除失败,因为文件不可清除) NT AUTHORITY\SYSTEM C:\WINDOWS\Temp\38exmodul 32c.1.exe New Malware.j
比如还有很多。
症状2:在共享文档里,以及c:\windows\temp文件夹内,出现autorun.inf和setup.exe,删除后又自动生成。
症状3:使反病毒、防火墙和Windows更新软件失效。
症状4:windows自动更新无法运行,无法打补丁。原因是“管理工具”中的“本地服务”中的automatic updates(负责管理更新)被莫名其妙禁用。
症状5:这个病毒开机自起。自动加载。
总结:在不同的计算机上,由于杀毒软件和补丁程序,以及系统版本等多种原因差异,所以在具体状况中,表现出来的症状也不尽相同,但我的总结就是:这是一个根,的不同叶子。
二、判断
这不是一个单纯的病毒,是一种安装IRC后门的特洛伊病毒,可能下载并运行任意文件。并且注意!它可以被用于群发恶意邮件,或者被用作黑客的攻击跳板。危险级:高。五个+号。
三、分析和解决:(按先后顺序做)
我查看了网上的所有方法,居然其他人都是用重新做系统的办法搞定,磁盘格式化是必杀技。我没别的意思,只是我坚持一个原则,他既然要逼着你重装系统,应该是有水准的了。我尊重这样的对手,所以我给出一点解法,是基本法,朋友们结合各自的状况去操作,不要拘泥。
1、对付特洛伊,光杀毒是不行的,必须先杀马,然后杀毒。用ewido杀马。这个是个想当一流的软件,下载地址:http://www.greendown.cn/soft/2876.html。
一个朋友解读ewido的文章地址,相当专业客观:http://pfw.sky.net.cn/news/info/info.php?infoid=2513
2、ewido杀马之后,mcafee立即杀毒(个人偏好而已,杀毒软件随便)。
3、立即安装防火墙,天网的。为什么?因为这个木马会把你计算机内的数据偷出去,安装防火墙之后,任何程序访问网络都要经过你的允许,就阻止了这一点,导致他没有办法再控制你。病毒哪来的?网络。所以要相当重视这一点。
4、这个时候,毒都杀掉了,但还差点睛一笔:有“.nvsvc”在,开机还是会运行。必须把它干掉,注册表或者优化大师皆可。依个人喜好。(据统计,并非人人都有这个症状)。注册表位置HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run
5、立刻重起。防止其在一定时间内再生。到此,over。
6、亡羊补牢:打补丁。升级系统,没有漏洞的系统,才是稍微安全地。当然,一般悼词为止,很多人已经无法更新了,网页显示出错,方法如下:控制面板——管理工具——(本地)服务——开启automatic updates(负责windows update的)。然后更新系统。
后记:由于这个特洛伊十分有杀伤力,所以你的杀毒软件可能已经废了,就是根本就是没用了,对这个毒不管用了,因为这个毒对杀毒软件的破坏性很强,修改内部程序,导致杀毒软件无法正常运作,当然,不细心看不出来。还有,这个病毒还有可能会破坏系统程序,所以,自己在断网状态中仔细检查一遍。
题记2:如果你深入了解,你会发现,new Malware.j只是表面现象,后面还有更狠的呢。
一、症状
症状1:杀毒软件反复弹出警告.
比如:已移动(清除失败,因为文件不可清除) NT AUTHORITY\SYSTEM C:\WINDOWS\SYSTEM\smss.exe New Malware.j
比如:已移动(清除失败,因为文件不可清除) NT AUTHORITY\SYSTEM C:\WINDOWS\Temp\38exmodul 32c.1.exe New Malware.j
比如还有很多。
症状2:在共享文档里,以及c:\windows\temp文件夹内,出现autorun.inf和setup.exe,删除后又自动生成。
症状3:使反病毒、防火墙和Windows更新软件失效。
症状4:windows自动更新无法运行,无法打补丁。原因是“管理工具”中的“本地服务”中的automatic updates(负责管理更新)被莫名其妙禁用。
症状5:这个病毒开机自起。自动加载。
总结:在不同的计算机上,由于杀毒软件和补丁程序,以及系统版本等多种原因差异,所以在具体状况中,表现出来的症状也不尽相同,但我的总结就是:这是一个根,的不同叶子。
二、判断
这不是一个单纯的病毒,是一种安装IRC后门的特洛伊病毒,可能下载并运行任意文件。并且注意!它可以被用于群发恶意邮件,或者被用作黑客的攻击跳板。危险级:高。五个+号。
三、分析和解决:(按先后顺序做)
我查看了网上的所有方法,居然其他人都是用重新做系统的办法搞定,磁盘格式化是必杀技。我没别的意思,只是我坚持一个原则,他既然要逼着你重装系统,应该是有水准的了。我尊重这样的对手,所以我给出一点解法,是基本法,朋友们结合各自的状况去操作,不要拘泥。
1、对付特洛伊,光杀毒是不行的,必须先杀马,然后杀毒。用ewido杀马。这个是个想当一流的软件,下载地址:http://www.greendown.cn/soft/2876.html。
一个朋友解读ewido的文章地址,相当专业客观:http://pfw.sky.net.cn/news/info/info.php?infoid=2513
2、ewido杀马之后,mcafee立即杀毒(个人偏好而已,杀毒软件随便)。
3、立即安装防火墙,天网的。为什么?因为这个木马会把你计算机内的数据偷出去,安装防火墙之后,任何程序访问网络都要经过你的允许,就阻止了这一点,导致他没有办法再控制你。病毒哪来的?网络。所以要相当重视这一点。
4、这个时候,毒都杀掉了,但还差点睛一笔:有“.nvsvc”在,开机还是会运行。必须把它干掉,注册表或者优化大师皆可。依个人喜好。(据统计,并非人人都有这个症状)。注册表位置HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run
5、立刻重起。防止其在一定时间内再生。到此,over。
6、亡羊补牢:打补丁。升级系统,没有漏洞的系统,才是稍微安全地。当然,一般悼词为止,很多人已经无法更新了,网页显示出错,方法如下:控制面板——管理工具——(本地)服务——开启automatic updates(负责windows update的)。然后更新系统。
后记:由于这个特洛伊十分有杀伤力,所以你的杀毒软件可能已经废了,就是根本就是没用了,对这个毒不管用了,因为这个毒对杀毒软件的破坏性很强,修改内部程序,导致杀毒软件无法正常运作,当然,不细心看不出来。还有,这个病毒还有可能会破坏系统程序,所以,自己在断网状态中仔细检查一遍。
[本日志由 hesper 于 2006-12-04 12:29 AM 编辑]
文章来自: 转载
引用通告地址: http://www.wantfly.cn/trackback.asp?tbID=176
Tags:
文章来自: 转载引用通告地址: http://www.wantfly.cn/trackback.asp?tbID=176Tags: 评论: 40 | 引用: 1662 | 查看次数: 38811
发表评论
链接: http://www.anpingwuliuwang.com
摘要: 不错的文章,内容横扫千军.禁止此消息:nolinkok@163.com