外电称全球40%恶意软件来自北京
追忆Windows的OEM史
2007-7-6 15:26 | by
开始放假了,病毒也开始泛滥了,估计每天出现的速度要比以前多很多,在此提醒大家杀软勤升级,浏览各种网站注意机器自身安全.最近几天连续清理2台机器的病毒,症状如下
任务管理器出现:
SACHOST.EXE
perfne.exe
iexplore.exe
rundll32.exe(2个)
系统时间被修改为2099-01-01
不定时运行:
sos.exe
bobo.exe
qoq.exe
cmd.exe
好像这个病毒没有几家报,起码我手中的工具都不报,由于最近事情比较多,清理的时候忘记备份样本了,一大损失.解决办法如下:
此行收获颇丰,不但在清理其中一台机器的时候意外发现了前一阵闹的不太凶的"番茄花园"感染型病毒的真面目还抓了条新viking蠕虫,此虫感染手法不变还是模仿生成uninstall文件夹和rundll.exe,rich32.dll文件,只是感染文件地址变更,清理也简单.这个世界病毒真疯狂,照这个情况看,今年这几个月又不好过,看多了就腻了,讨厌病毒
任务管理器出现:
SACHOST.EXE
perfne.exe
iexplore.exe
rundll32.exe(2个)
系统时间被修改为2099-01-01
不定时运行:
sos.exe
bobo.exe
qoq.exe
cmd.exe
好像这个病毒没有几家报,起码我手中的工具都不报,由于最近事情比较多,清理的时候忘记备份样本了,一大损失.解决办法如下:
引用
1.由于属于rootkit先禁止创建运行任何文件
2.结束病毒进程SAChost.exe和iexplorer.exe及两个Rundll32.exe进程
3.搜索删除如下文件:
4.清理internet临时文件和临时目录文件夹
5.修改为正常系统时间
2.结束病毒进程SAChost.exe和iexplorer.exe及两个Rundll32.exe进程
3.搜索删除如下文件:
D:\WINNT\system32\MPG4C32.exe
D:\WINNT\system32\inetres.exe
d:\winnt\system32\sscvlsrv.dll
D:\WINNT\system32\eventrep.dll
D:\WINNT\system32\bobo.exe
D:\WINNT\system32\sos.exe
d:\winnt\system32\wbem\sachost.exe
d:\winnt\system32\wbem\perfne.exe
D:\WINNT\system32\inetres.exe
d:\winnt\system32\sscvlsrv.dll
D:\WINNT\system32\eventrep.dll
D:\WINNT\system32\bobo.exe
D:\WINNT\system32\sos.exe
d:\winnt\system32\wbem\sachost.exe
d:\winnt\system32\wbem\perfne.exe
4.清理internet临时文件和临时目录文件夹
5.修改为正常系统时间
此行收获颇丰,不但在清理其中一台机器的时候意外发现了前一阵闹的不太凶的"番茄花园"感染型病毒的真面目还抓了条新viking蠕虫,此虫感染手法不变还是模仿生成uninstall文件夹和rundll.exe,rich32.dll文件,只是感染文件地址变更,清理也简单.这个世界病毒真疯狂,照这个情况看,今年这几个月又不好过,看多了就腻了,讨厌病毒
如果是专业版的XP,为了防止它修改时间,可以修改策略组,不给任何用户分配修改时间的权限,然后我们的卡巴斯基就可以正常的搞定它了。
所谓瑞星,多次事件之后,得出结论,他的确很垃圾……
记得Autorun病毒刚出来的时候,瑞星不报警,大概2个星期之后才可以查出来。而卡巴斯基当时就可以查杀。
如opera8.54。
我的瑞星,一星期升级一次。
中病毒的话
都是用ie中的。。。。。。
http://hi.baidu.com/wulm_sz/blog