威金刚病毒手动清除方法
作者:ilank 日期:2007-04-15
近日,金山毒霸反病毒监测中心截获一名为“金刚”(Worm.Kingbox)的恶性蠕虫病毒。该病毒专杀反病毒软件,大部分杀毒软件都难逃被“杀”厄运,用户系统安全性大大降低,网络私有财产面临严重威胁。
据金山毒霸反病毒专家戴光剑介绍,该病毒可在用户毫无察觉的情况下,终止用户电脑中的杀毒软件的进程,隐蔽性极强。中毒电脑由于失去反病毒软件保护,安全性大大降低,更容易受其他病毒的侵害,严重的可造成整个局域网的崩溃。
“金刚”可在磁盘根目录下生成autorun.inf及kingbox.exe病毒文件,当用户双击磁盘时,激活病毒,并利用此方式通过U盘传播。为了不与“熊猫烧香”病毒冲突,它还可自动关闭“熊猫烧香”病毒进程并删除其文件。除了以上的危害外,“金刚”更大的危害在于它会遍历局域网,利用自身的密码字典,尝试通过IPC连接感染局域网。
建议广大用户及时升级杀毒软件,以组织该病毒的入侵。此外,由于“金刚”可利用微软最新公布的ANI漏洞进行传播,所以用户必须及时下载并安全ANI漏洞补丁,并养成定期给操作系统打安全补丁的习惯,同时使用复杂的密码保护,复杂的密码能大大提高计算机的安全系数。
-----------------------------------------------------------------------超华丽的分隔线----------------------------------------------
查看了一下搜索gogole的关键字,基本都是以病毒名关键字搜索的多,尤其是最近的威金刚变种,在这里我大致在说一下该蠕虫手动清除方法
该病毒会在%windir%\program files\下生成3个类似explorer.exe的病毒文件,然后还有在%windir%根目录下生成rundl1.exe,viDll.dll 文件,最明显得特征就是在硬盘中任意目录中都有一个隐藏的_desktop.ini文件,如果看到有这个文件,那你的机器就中招了,还有在%windir%\system32下会有3个dll文件以及一个my_qq.exe的文件,这个好像是类似于QQ尾巴的那种病毒,在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的Userinit键,后面会加载my_qq.exe,去处改文件,然后再HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下删除病毒加载项
在删除硬盘中的病毒文件,如果遇到不能删除dll文件,用工具查看explorer.exe的dll调用情况,里面肯定会有病毒的dll文件被载入,剥离出来在删除,最好在安全模式下删除.
winrar现在是电脑必不可少的东西,这个病毒还会感染rar文件,图标都会变型了,好像是变成白色图形了吧,卸载winrar,重新安装.还有迅雷,千千静听也会被感染的,被感染的最明显得症状就是在%windir%根目录下有这几个软件的可执行文件,如果再次运行这些文件,病毒又会被重新释放出来.该蠕虫感染系统所有小于1MB的可执行文件,系统文件除外~
该病毒是通过共享方式传播,如果电脑上有共享,应该关闭共享或者设置成隐藏共享方式 $即可解决传播途径
至于杀毒软件,用趋势网络版只能查到其中一部分病毒,NOD32还算不错,基本都能查到,卡巴没有测试,BitDefenderPro9很不错,都能查到,推荐!
不过即使查到了也不能立刻杀掉全部的病毒,因为病毒的dll文件正在被window使用中,所以还得手工搞定
据金山毒霸反病毒专家戴光剑介绍,该病毒可在用户毫无察觉的情况下,终止用户电脑中的杀毒软件的进程,隐蔽性极强。中毒电脑由于失去反病毒软件保护,安全性大大降低,更容易受其他病毒的侵害,严重的可造成整个局域网的崩溃。
“金刚”可在磁盘根目录下生成autorun.inf及kingbox.exe病毒文件,当用户双击磁盘时,激活病毒,并利用此方式通过U盘传播。为了不与“熊猫烧香”病毒冲突,它还可自动关闭“熊猫烧香”病毒进程并删除其文件。除了以上的危害外,“金刚”更大的危害在于它会遍历局域网,利用自身的密码字典,尝试通过IPC连接感染局域网。
建议广大用户及时升级杀毒软件,以组织该病毒的入侵。此外,由于“金刚”可利用微软最新公布的ANI漏洞进行传播,所以用户必须及时下载并安全ANI漏洞补丁,并养成定期给操作系统打安全补丁的习惯,同时使用复杂的密码保护,复杂的密码能大大提高计算机的安全系数。
-----------------------------------------------------------------------超华丽的分隔线----------------------------------------------
查看了一下搜索gogole的关键字,基本都是以病毒名关键字搜索的多,尤其是最近的威金刚变种,在这里我大致在说一下该蠕虫手动清除方法
该病毒会在%windir%\program files\下生成3个类似explorer.exe的病毒文件,然后还有在%windir%根目录下生成rundl1.exe,viDll.dll 文件,最明显得特征就是在硬盘中任意目录中都有一个隐藏的_desktop.ini文件,如果看到有这个文件,那你的机器就中招了,还有在%windir%\system32下会有3个dll文件以及一个my_qq.exe的文件,这个好像是类似于QQ尾巴的那种病毒,在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的Userinit键,后面会加载my_qq.exe,去处改文件,然后再HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下删除病毒加载项
在删除硬盘中的病毒文件,如果遇到不能删除dll文件,用工具查看explorer.exe的dll调用情况,里面肯定会有病毒的dll文件被载入,剥离出来在删除,最好在安全模式下删除.
winrar现在是电脑必不可少的东西,这个病毒还会感染rar文件,图标都会变型了,好像是变成白色图形了吧,卸载winrar,重新安装.还有迅雷,千千静听也会被感染的,被感染的最明显得症状就是在%windir%根目录下有这几个软件的可执行文件,如果再次运行这些文件,病毒又会被重新释放出来.该蠕虫感染系统所有小于1MB的可执行文件,系统文件除外~
该病毒是通过共享方式传播,如果电脑上有共享,应该关闭共享或者设置成隐藏共享方式 $即可解决传播途径
至于杀毒软件,用趋势网络版只能查到其中一部分病毒,NOD32还算不错,基本都能查到,卡巴没有测试,BitDefenderPro9很不错,都能查到,推荐!
不过即使查到了也不能立刻杀掉全部的病毒,因为病毒的dll文件正在被window使用中,所以还得手工搞定
评论: 0 | 引用: 0 | 查看次数: 26133
发表评论