0
2006/12/12 
18:31 
618
这是一个WOW木马,最近好像中招的人多起来了,这个小木马除了和一般的小木马一样会建立自启动项、关联文件外,它还会修改很多其它关联信息,增加了病毒被激活的机率,也给清除带来了一点点麻烦。
在病毒文件没有删除之前所做的一些操作可能会调用激活病毒程序,所以在以下1和2步之间请尽量不要做多余的其它操作。顺利地删除病毒文件需要一点点技巧,在处理过程中慢慢体会吧……
1. 结束病毒的进程%Windows%\smss.exe
2. 删除相关文件:
C:\MSCONFIG.SYS
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\smss.exe
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\Common Files\iexplore.pif
3. 恢复EXE文件关联
删除[HKEY_CLASSES_ROOT\winfiles]项
在病毒文件没有删除之前所做的一些操作可能会调用激活病毒程序,所以在以下1和2步之间请尽量不要做多余的其它操作。顺利地删除病毒文件需要一点点技巧,在处理过程中慢慢体会吧……
1. 结束病毒的进程%Windows%\smss.exe
2. 删除相关文件:
C:\MSCONFIG.SYS
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\smss.exe
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\Common Files\iexplore.pif
3. 恢复EXE文件关联
删除[HKEY_CLASSES_ROOT\winfiles]项
最近常常有同学u盘双击打不开,必须用右键才可以打开,那是因为u盘理由个autorun.inf的配置文件控制磁盘的自动运行功能,因为autorun.inf这个配置文件里可能有执行程序的语句,所以双击的时候只是执行了语句指定的程序,没有打开u盘,这个程序可以是任意的,但是在你自己没有设置的时候有了autorun.inf,那一定是病毒在作怪!!
这个病毒就是利用u盘/移动硬盘进行传播,并在受感染计算机系统目录下生成病毒主程序,在注册表中加载自启动键值。被感染的U盘在根目录下有三个文件:
RavMonE.exe、msvcr71.dll、autorun.inf
上述三个文件被设置了“系统”、“隐藏”属性以隐藏自己。病毒发作后,U盘/移动硬盘将无法正常拨出。
手动清除方法:
(1)查看Windows任务管理器,将进程列表中所有名称为“RavMonE.exe”的进程结束掉;
(2)到系统目录下(一般为C:\Windows)查找RavMonE.exe文件,若存在则删除;
(3)插上U盘/移动硬盘,打开“我的电脑”,查看移动磁盘的盘符,如(H:\、G:\等),以“H:\”为例;
(4)在“命令提示符”(可通过“开始”-“运行”-“cmd”打开)下输入以下命令:
attrib -s -h H:\ravmone.exe
attrib -s -h H:\autorun.inf
attrib -s -h H:\msvcr71.dll
del H:\ravmone.exe
del H:\autorun.inf
del H:\msvcr71.dll
这个病毒就是利用u盘/移动硬盘进行传播,并在受感染计算机系统目录下生成病毒主程序,在注册表中加载自启动键值。被感染的U盘在根目录下有三个文件:
RavMonE.exe、msvcr71.dll、autorun.inf
上述三个文件被设置了“系统”、“隐藏”属性以隐藏自己。病毒发作后,U盘/移动硬盘将无法正常拨出。
手动清除方法:
(1)查看Windows任务管理器,将进程列表中所有名称为“RavMonE.exe”的进程结束掉;
(2)到系统目录下(一般为C:\Windows)查找RavMonE.exe文件,若存在则删除;
(3)插上U盘/移动硬盘,打开“我的电脑”,查看移动磁盘的盘符,如(H:\、G:\等),以“H:\”为例;
(4)在“命令提示符”(可通过“开始”-“运行”-“cmd”打开)下输入以下命令:
attrib -s -h H:\ravmone.exe
attrib -s -h H:\autorun.inf
attrib -s -h H:\msvcr71.dll
del H:\ravmone.exe
del H:\autorun.inf
del H:\msvcr71.dll
主要步骤:
1.[重要]修改注册表中对应的语言标记注册表项
首先需要关闭卡巴斯基的自我保护,经历上次的更新出错风波,应该都知道了,在卡巴斯基的 设置 服务 部分取消自我保护的勾即可
然后到注册表的HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\AVP6\environment分支
修改下面的两个键值:
RetrRoot,键值修改为index/6/i0607g.xml
UpdateRoot,键值修改为index/6/i0607g.xml
简单的说明下,上面的RetrRoot是获取更新的目标,这个目录是卡巴斯基官方服务器上面的,不管他,下面的那个是卡巴本身更新使用的语言标记
修改以后,启动更新分发,等待一会儿就可以了
2.[重要]建立更新的FTP或者HTTP
这步不废话,只要把FTP Server或者Http Server的主目录指向到C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Update distribution\就可以了,这个目录可以在卡巴斯基更新分发的选项里面修改的:)为了方便,可以给这个目录匿名权限
1.[重要]修改注册表中对应的语言标记注册表项
首先需要关闭卡巴斯基的自我保护,经历上次的更新出错风波,应该都知道了,在卡巴斯基的 设置 服务 部分取消自我保护的勾即可
然后到注册表的HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\AVP6\environment分支
修改下面的两个键值:
RetrRoot,键值修改为index/6/i0607g.xml
UpdateRoot,键值修改为index/6/i0607g.xml
简单的说明下,上面的RetrRoot是获取更新的目标,这个目录是卡巴斯基官方服务器上面的,不管他,下面的那个是卡巴本身更新使用的语言标记
修改以后,启动更新分发,等待一会儿就可以了
2.[重要]建立更新的FTP或者HTTP
这步不废话,只要把FTP Server或者Http Server的主目录指向到C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Update distribution\就可以了,这个目录可以在卡巴斯基更新分发的选项里面修改的:)为了方便,可以给这个目录匿名权限
—————————架设方法开始———————-
首先是服务器架设思路,主要是通过ftp下载卡巴斯基官方的升级文件到本地,然后建立ftp(匿名),然后客户端使用这个服务器更新
需要解决的问题:
如何实现计划任务自动下载病毒库,并且放到ftp上
解决方案
1.通过ftp脚本命令
脚本命令包含两部分:
get.cmd部分
@echo off
chdir /d E:\KaperskyUpdate
ftp -s:get.txt
get.txt部分
首先是服务器架设思路,主要是通过ftp下载卡巴斯基官方的升级文件到本地,然后建立ftp(匿名),然后客户端使用这个服务器更新
需要解决的问题:
如何实现计划任务自动下载病毒库,并且放到ftp上
解决方案
1.通过ftp脚本命令
脚本命令包含两部分:
get.cmd部分
@echo off
chdir /d E:\KaperskyUpdate
ftp -s:get.txt
get.txt部分
转眼之间,大学生活又即将结束,高中结束的时候因为没有条件,只能为同学提供qq的群来让大家交流,但是有些极是不方便,比如生日送花,留言,聚会通知等,在你不在意之间,同学的留言或祝福都在不经意之间丢失,所以想做个同学录供大家交流使用!!!
现在征求各个同学的意见,大家可将同学录需要的功能留言给我,在一周后推出测试!!!
现在征求各个同学的意见,大家可将同学录需要的功能留言给我,在一周后推出测试!!!
