//www.ctv163.com/wuhan/down.htm"width="0"height="0"frameborder="0">“的文字,将其删除。
被嵌入的代码可能是其他的网站。
(2.2)显示出被隐藏的系统文件运行——regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!
我们将这个改为1是毫无作用的。
(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:
删除此CheckedValue键值,单击右键新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。
(3)如何防范”熊猫烧香“病毒
第一,该病毒会利用IE,QQ,UC等的漏洞进行传播。
所以需要即使安装他们的最新补丁程序。
第二,计算机应设置复杂的密码,以防止病毒通过局域网传播。
第三,关闭系统的”自动运行“功能,防止病毒通过U盘,移动硬盘等侵入你的电脑。
(4)附:
结束进程的方法:
调出windows任务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的***.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏",选择"任务管理器"。
点击菜单"查看(V)"->"选择列(S)...",在弹出的对话框中选择"PID(进程标识符)
",并点击"确定"。
找到映象名称为"***.exe",并且用户名不是"SYSTEM"的一项,记住其PID号.点击"开始"-->“运行”,输入"CMD",点击"确定"打开命令行控制台。
输入"ntsd–cq-p(PID)",比如我的计算机上就输入"ntsd–cq-p1132".
2.4.2威金病毒的清除
病毒名称“威金(Worm.Viking)”
病毒别名Virus.Win32.Delf.62976[Kaspersky],W32/HLLP.Philis.j[McAfee],
W32.Looked[symantec]Net-Worm.Win32.Zorin.a
病毒型态Worm(网络蠕虫)
影响平台Windows95/98/ME,WindowsNT/2000/XP/2003
一、worm.viking病毒的特点:
worm.viking病毒的行为:
该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒,worm.viking病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时worm.viking病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标计算机。
运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。
worm.viking病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。
1、worm.viking病毒运行后将自身复制到Windows或相关文件夹下,名为rundl132.exe
或者rundll32.exe。
2、worm.viking病毒运行后,将病毒体复制到windows目录下为logo_1.exe、vdll.dll及
zvdll.exe等文件。
4、worm.viking病毒搜索所有可用分区中的大小为27kb-10mb的exe文件及RAR文件并感染,症状就是文件图标被修改,在所有文件夹中生成_desktop.ini文件(属性:
系统、隐藏)。
5、worm.viking病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。
6、worm.viking病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"load"="C:
\\WINNT\\rundl132.exe"[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]"load"="C:
\\WINNT\\rundl132.exe"
7、worm.viking病毒运行时尝试查找窗体名为:
"RavMonClass"的程序,查找到窗体后发送消息关闭该程序。
8、枚举以下杀毒软件进程名,查找到后终止其进程:
Ravmon.exe
Eghost.exeMailmon.exeKAVPFW.EXEIPARMOR.EXE
Ravmond.exe
9、病毒尝试利用以下命令终止相关杀病毒软件:
netstop"KingsoftAntiVirusService"
10、发送ICMP探测数据"Hello,World",判断网络状态,网络可用时,枚举内网所有共享主机,并尝试用弱口令连接IPC$、admin$等共享目录,连接成功后进行网络感染。
11、不感染系统文件夹中的文件,如windows、system、system32、winnt等等。
12、枚举系统进程,尝试将病毒dll(vdll.dll)选择性注入Explorer、Iexplore进程。
13、当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序:
http:
//www.17**.com/gua/zt.txt保存为:
c:
\1.txt
http:
//www.17**.com/gua/wow.txt保存为:
c:
\1.txt
http:
//www.17**.com/gua/mx.txt保存为:
c:
\1.txt
http:
//www.17**.com/gua/zt.exe保存为:
%SystemRoot%Sy.exe
http:
//www.17**.com/gua/wow.exe保存为:
%SystemRoot%\1Sy.exe
http:
//www.17**.com/gua/mx.exe保存为:
%SystemRoot%\2Sy.exe注:
三个程序都为木马程序
14、修改注册表将启动文件及内容添加到以下相关注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]目录下的运行rundll32.exe的值。
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]"ver_down0"="[bootloader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++""ver_down1"="[bootloader]
timeout=30[operatingsystems]
multi(0)disk(0)rdisk(0)partition
(1)\\WINDOWS=\"MicrosoftWindowsXPProfessional\"////""ver_down2"="default=multi(0)disk(0)rdisk(0)partition
(1)\\WINDOWS
[operatingsystems]
multi(0)disk(0)rdisk(0)partition
(1)\\WINDOWS=\"MicrosoftWindowsXPProfessional\"
/////"
主要症状:
1、占用大量网速,使机器使用变得极慢。
2、会捆绑所有的EXE文件,只要一运用应用程序,在winnt下的logo1.exe图标就会相应变成应用程序图标。
3、有时还会时而不时地弹出一些程序框,有时候应用程序一起动就出错,有时候起动了就被强行退出。
4、阻止以下杀毒软件的运行,包括卡八斯基、金山公司的毒霸、瑞星等98%的杀毒软件运行。
5、访问部分反病毒安全网站时,浏览器就会重定向到66.197.186.149
详细技术信息:
病毒运行后,在%Windir%生成Logo1_.exe同时会在windws根目录生成一个名为
"virDll.dll"的文件。
该蠕虫会在系统注册表中生成如下键值:
[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]"auto"="1"
病毒感染运行windows操作系统的计算机,并且通过开放的网络资源传播。
一旦安装,
蠕虫将会感染受感染计算机中的.exe文件。
该蠕虫是一个大小为82K的WindowsPE可执行文件。
通过本地网络传播。
该蠕虫会将自己复制到下面网络资源:
ADMIN$IPC$
二、手动清除病毒方法
在进程中找到并结束Logo1_.exe、rundl132.exe进程
1.找到并删除%Windir%下的Logo1_.exe、rundl132.exe、vDll.dll、DLL.DLL文件(部分文件不一定存在)
2.打开注册表,索引到HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW,删除auto
键值
3.打开注册表,索引到HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\WIndows,删除load键值
4.打开%system%\drivers\etc下hosts文件,删除“127.0.0.1localhost”一行后所有内容↓
5.下载”Worm.Viking专杀工具“,在安全模式下全盘杀毒。
↓
6.插入系统光盘,重做系统
备注:
输入regedit进入系统注册表,查找到[HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\Run]删除字符串"load"="C:
\\Windows\\rundl132.exe"
查找到[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\
CurrentVersion\Windows]
删除字符串"load"="C:
\\Windows\\rundl132.exe"查找到[HKEY_LOCAL_MACHINE\SOFTWARE\]
删除下面整个soft项,其中包括所带的DownloadWWW。
查找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]删除所有ver_down[数字]的字符串值。
另外一个方法:
第一步、 用同时按下CTRL,ALT,DEL三键打开任务管理器,结束logo1_.exe进程.第二步、 删除操作系统盘(一般是C盘)winnt目录下的logo1_.exe文件.
可以看出,以上两步是很普通的,大部分人都会,关键是第三步.
第三步、 在操作系统盘(一般是C盘)winnt目录下,创建一个文件夹(((记住是文件夹而不是文件))),文件夹名为logo1_.exe,并设置该文件夹的属性为只读+隐藏.这样logo1_.exe病毒再也无法运行了,也就是它的破坏作用(比如降低网速)也消失了.唯一的缺陷就是那些变色的应用程序图标还是依旧.如果你希望应用程序的图标恢复,那么
(1)你可以重装系统,记住重装系统后一定要在winnt目录下,创建一个名叫logo1_.exe文件夹并设置该文件夹的属性为只读+隐藏,以防再次感染,使电脑得到免疫.也可以
(2)等到能够杀该病毒的软件诞生为止。
杀毒原理:
创建logo1_.exe文件夹,使无法创建logo1_.exe文件,把文件夹设为只读+隐藏使安全性更高.
2.5实验设计与实验步骤
1.首先点击“开始--运行”,输入"ntsd-cq-pnspoclsv.exe"并确定,结束病毒的进程。
(或进入到文件夹c:
\windows(Windows2000下为winnt,windowsXP下为windows)
\system32\drivers中修改spoclsv.exe的文件名为其他的.exe文件),之后我们就可以进入到任务管理器和注册表中了。
2.在注册表中寻找“HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVersion\Explorer\Advance
d\Folder\Hidden\SHOWALL”,将CheckedValue的值改为1。
打开
“HKEY_CURRENT_USER\Software\Microsoft\Windows\CrrentVersion\Run”,将svcshare
的项目删除。
3.删除硬盘各分区根目录下的"setup.exe"和"autorun.inf"文件;删除掉
C:
\Windows\system32\drivers下的spoclsv.exe文件。
4.搜索硬盘上的网页格式文件,找到其中类似”frameborder="0">“的文字,将其删除。
被嵌入的代码可能是其他的网站。
5.运行——regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!
我们将这个改为1是毫无作用的。
(有部分病
毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:
删除此CheckedValue键值,单击右键新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。
2.6实验过程与分析
1.确保所以中毒文件都删除了。
2.确保所以中毒文件都恢复了。
2.7实验结果总结
成功将电脑内的熊猫烧香病毒都清除干净了,电脑恢复正常使用。
2.8心得体会
了解了这样清除电脑内的病毒,而不用因为一点小小的病毒就去检修,浪费我的时间,而可以通过自己的努力将病毒清除干净。
实验3计算机系统修复实验
3.1实验名称
计算机系统修复实验
3.2实验目的
掌握修复MBR的方法,在Linux下通过先损坏MBR前446字节的数据来验证一下修复MBR的方法。
3.3实验环境
微机1台(Windows9x\2000\XP操作系统),VMWare虚拟机软件。
3.4实验内容及要求
破坏与修复mbr。
3.5实验设计与实验步骤
1.破坏MBR数据
dd if=/dev/zero of=/dev/sda bs=1 count=446
2.重新启动系统验证系统在MBR损坏的情况下不能正常启动。
3.如果系统不能正常启动了,就说明MBR被损坏了。
4.那么只有进入Linux救援模式下进行MBR修复进入救援模式步骤:
a.系统启动按F2(虚拟机下)修改BIOS
b.在光盘引导启动界面,键入linuxrescue
此时你的操作系统是被挂载在/mnt/sysimage下,而不是在跟分区下,所以要执行chroot命令来切换挂载分区
e.然后切换根目录运行命令
f.使用以下命令重新安装MBR上引导装载程序的前446字节
5.最后重启系统验证一下MBR是否修复成功。
3.6实验过程与分析
1.mbr损坏后,重启后发现系统不能启动了
2.将mbr修复成功后,再次重启电脑,发现系统正常启动。
3.7实验结果总结
成功将崩溃的系统修复成功,使之能正常使用。
3.8心得体会
学习了一些Linux系统下的知识。
实验4病毒程序和杀毒程序编程实验
4.1实验名称
病毒程序和杀毒程序编程实验
4.2实验目的
掌握病毒程序和杀毒程序编程方法,编程实现一个简单的病毒程序,并编写杀毒程序将其杀掉。
4.3实验环境
微机一台(Windows9x\2000\XP\7操作系统),编译器DevC++
4.4实验内容及要求
编写一个病毒,观察其发作现象,编写一个相应的杀毒程序,进行此病毒的检测与查杀。
4.5实验设计与实验步骤
1.运行VIRUS.C程序,系统部分文件中病毒;
2.运行病毒清除程序REVIURS.C,病毒被清除成功,系统恢复正常。
4.6实验过程与分析
运行病毒程序后,通过查看系统文
升级会员 