1.不能复制粘贴,word文档变成exe文件
查杀方法:
1、结束任务管理器中的EXPLORER.exe,
2、搜索EXPLORER.exe,或者打开c:/winnt(windows)/sysytem32/
3、找到word图标的EXPLORER.exe,删除掉
4、搜索注册表:开始/运行:regedit
查找:explorer,删除键值是C:\WINNT\system32\EXPLORER.exe(在hkcu/soft
ware/microsoft/windows/current version/run里面)
5、检查一下word是不是可以粘贴和复制啦
ps:1、运行第二步时可以打开文件夹选项,使系统显示隐藏文件和扩展名,
注意不要删除错了!
2、移动存储设备注意写保护
3. word文档都在打开方式里面选择用word打开,要是错误的把exe文件都设定
为word打开,运行cmd进入命令行模式,输入ftype exefile="%1" %* 恢复
文件关联.
防治方法:
移动存储设备打好写保护,特别是U盘
复旦校内的同学去复印小店要特别注意,那里是这个病毒的发源地
附:
如果运行文本文件的时候说windows找不到EXPLORER.exe,无法运行
到工具->文件夹选项->文件类型
找到.txt类型
修改打开文件为notepad.exe
2.W32.Setclo
1.关掉系统还原(xp/me系统)
2.更新病毒库(现在基本的杀毒软件都已经可以查到了)
3.重起进入安全模式、
4.启动杀毒软件全局扫描
5.后续清理工作
运行regedit进入注册表编辑器
删除以下键值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"svchost"="[Path to file]\SETUP.EXE"
关闭编辑器(编辑前请先备份,防止误操作)
(当然第五步也可以由msconfig里面删除对应启动项来完成)
6.如果是95/98/ME系统的话
运行--输入edit c:\autorun.inf
在文件[autorun]部分找到
open=setup.exe
删除之
保存.退出。
3.五一震荡波病毒,Worm.Sasser
现象:
1进程中出现 avserve.exe 和 *****_up.exe,占用大量资源
其中*****为从0~65535之间的随机数字
2出现LSA Shell错误;
3导致系统进程lsass.exe错误,并进而导致计算机强迫重启;
4有网友反馈计算机的管理员权限帐户口令被修改
查杀方法:
下载安装微软提供的系统补丁KB837001,KB828741,KB835732
http://securityresponse.symantec.com/avcenter/FxSasser.exe下载专杀工具安全模
式下扫描
预防:
及时windows update打好所有的系统补丁
4.lovgate
现象:
系统自动向外发送电子邮件
出现letter.rar、letter.zip、setup.rar、setup.zip、WORK.rar、WORK.zip、pass.ra
r等文件
查杀方法:
http://securityresponse.symantec.com/avcenter/FixLG.com 下载专杀,安全模式
下连续运行两次
预防:(**这个病毒的特点在于难防而不在于难杀**)
设置足够复杂的系统密码
取消共享目录
禁用guest用户
附:另一篇有关爱情后门病毒的查杀方法:
发信人: lightwhite (浅白色~~), 信区: Virus
标 题: Lovgate.r/supnot.w/supnot.r病毒解决方法
发信站: 武汉白云黄鹤站 (2004年04月27日14:32:06 星期二), 站内信件
解决方法:
建议关闭网络共享,改一个强健的管理员密码。
用以下的专杀:
http://bbs.whnet.edu.cn/upload/FixLGate.com
病毒特征:
1.d,e,f,g盘不能双击打开,硬盘驱动器根目录下存在Autorun.inf
2.在每个硬盘驱动器根目录下存在很多.zip和.rar压缩文件,文件名多为pass,work,insta
ll,letter,大小约为126K
3.在每个硬盘驱动器根目录下存在COMMAND.EXE
4.hxdef.exe、IEXPLORE.EXE、NetManager.exe、NetMeeting.exe、WinHelp.exe等进程占
用了cpu。
5有可能出现rpc关闭也倒计时重启的现象
6.瑞星杀毒后出现Windows无法找到COMMAND.EXE文件,要求定位该文件。
7.在任务管理器上看到多个cmd.exe进程.
病毒技术:
I-Worm.supnot.w分析报告
作者:北信源咨讯 来自:北信源 时间:2004-4-8
一、[病毒特征]:
1、病毒英文名:I-Worm.supnot.w
2、病毒中文名:爱情后门
3、病毒 大小 :125K
二、[病毒分析]:
该病毒为爱情后门病毒的最新变种。大小约为125K,采用ASPACK2.12压缩。
病毒被执行以后在system目录下生成了以下文件
hxdef.exe
ravmond.exe
iexplore.exe
kernel66.dll
odbc16.dll
msjdbc11.dll
MSSIGN30.DLL
spollsv.exe
NetMeeting.exe
a
在windows目录下生成:
SYSTRA.EXE
在每个分区根根目录下生成以下文件:
bak.rar
bak.zip
install.rar
install.zip
letter.rar
letter.zip
pass.rar
pass.zip
setup.rar
setup.zip
work.rar
work.zip
autorun.inf
command.exe
在被执行的病毒文件所在的目录下会生成以下文件:
results.txt
win2k.txt-----当当前系统是windows2000时产生
winxp.txt-----当当前系统是windows XP时产生
写以下注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run]
"Hardware Profile"="%Windir%\\System32\\hxdef.exe"
"VFW Encoder/Decoder Settings"="
RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
"Program In Windows"="%Windir%\\System32\\IEXPLORE.EXE"
"Shell Extension"="%Windir%\\System32\\spollsv.exe"
"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\runServices]
"SystemTra"="%Windir%\\SysTra.EXE"
添加以下服务:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
Windows Management Protocol v.0 (experimental)]
病毒自带FTP服务器端,它会在15436端口提供一个FTP服务,这样病毒就可以通过建
立一个文本方式的下载脚本文件来从被感染计算机上下载病毒可执行文件。病毒会利用共
享
方式进行传播,共享传播主要通过netmeeting.exe来进行,它会扫描网络内的共享资源,
并
尝试将自身复制到远程共享。
病毒会使用windows的程序CMD.EXE写文本文件a,内容如下:
open 127.0.0.1 15436
ftp
ftp
bin
get hxdef.exe
bye
并使用该文件来下载病毒可执行文件,病毒会不停调用cmd.exe程序,由于cmd.exe
为
隐藏运行,用户可以在进程管理器中看到1个以上的cmd.exe进程。
病毒还自带SMTP引擎,它将使用该引擎向从被感染计算机上搜集到的电子邮件地址发送带
病
毒附件的垃圾邮件,邮件内容如下:
发件人:从搜索到的电子邮件地址中随机获取
收件人:从搜索到的电子邮件地址中随机获取
主题:
正文:
附件:大小125K左右,扩展名为以下类型的文件:
.exe
.scr
.pif
.cmd
.bat
.zip
.rar
病毒会尝试感染网络中的共享资源(探测网络内计算机的135、139、445等端口),当
发现有可写的共享资源时,病毒会将自己的副本写入该共享,如果病毒探测到被感染计算
机
的有权限用户的弱口令(使用自带的密码库),病毒会远程将病毒执行起来达到网络传染
的
目的。
病毒会搜索本地除了系统盘以外的所有分区上的EXE文件并尝试将其扩展名改为.zmx
,并将属性设置为隐藏+系统,然后将病毒的副本复制到EXE文件所在目录病毒将名称改为
该
EXE的名称。另外病毒也会将自身的副本随机复制到任意目录当中(名称主要有自带的列表
和从被感染计算机上搜索到的EXE文件名两种,自带的文件名列表略)。
解决方法:
建议关闭网络共享,改一个强健的管理员密码。
用以下的专杀:
http://bbs.whnet.edu.cn/upload/FixLGate.com
==============如果杀毒完毕存在这样的问题:===========
=
========
d、e、f、g盘(如果有的话)双击不能直接打开,说Windows无法找到COMMAND.EXE文件,
要
求定位该文件,定位为C:\windows\explorer之后每次打开会提示“/StartExplorer”出错
,然后依然能打开驱动器文件夹。
==============这是杀毒软件没有搞定,留下的后遗症========
=
=
解决方法参见本版3238贴,内容如下:
病毒在你的每个驱动器下面写入了一个AutoRun.inf文件内容为:
open="X:\command.exe" /StartExplorer X为驱动器盘符
所以,如果你没有杀毒,每次点开/D/E/F/G盘都会激活病毒
瑞星比较笨不会帮你搞定这个问题(就算升级到最新版也没有用,瑞星网站上专杀也无法
解
决,且无相关说明),需要自己手工解决。
解决方法如下(以D盘为例):
===================
开始
运行
cmd(打开命令提示符)
D:
dir /a (没有参数A是看不到的,A是显示所有的意思)
此时你会发现一个autorun.inf文件,约49字节
attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性,否则无法
删除
del autorun.inf
到这里还没完,因为你双击了D盘盘符没有打开却得到一个错误。要求定位command.exe,
这
个时候自动运行的信息已经加入注册表了。下面清除注册表中相关信息:
开始
运行
regedit
编辑
查找
command.exe
找到的第一个就是D盘的自动运行,删除整个shell子键
完毕,双击D盘,是不是可以打开了?
=====================
重复以上操作数次,解决其他驱动器的问题,注册表中的信息是在一起的,在删除
D盘Shell\Open\Autorun的时候顺便都删除了吧。
