Red de conocimiento informático - Conocimiento de la instalación - Código fuente invitado

Código fuente invitado

Método de limpieza:

Primero elija dos herramientas antivirus: una es el software de solución de desbloqueo (haga clic para descargar); la segunda, el software antivirus IceSword (haga clic para descargar) (se utiliza principalmente para limpiar el registro). .

1. Instale y ejecute el software de la solución de desbloqueo. Este software es una herramienta de extensión de clic derecho. Después de la instalación, se puede integrar en el funcionamiento con el botón derecho del ratón. Cuando el usuario descubre que un archivo o directorio no se puede eliminar, solo necesita presionar el botón derecho del mouse para "desbloquear", y el programa mostrará inmediatamente qué programas ocupan el directorio o archivo, y luego simplemente presione "desbloquear". en la ventana emergente para desbloquear sus archivos. (Dado que el archivo de virus es un parásito en otros archivos del sistema, es necesario descomprimirlo para ver su verdadera cara, de modo que pueda eliminarse fácilmente). La diferencia entre Unlocker y otros programas de desbloqueo es que desbloquea archivos según el relación entre archivos y programas, en lugar de forzar el cierre del programa, por lo que no causará una posible pérdida de datos al usuario debido a forzar el cierre del programa como otros programas de desbloqueo. Después de instalar y ejecutar el desbloqueador, busque el archivo de virus en C:\WINDOWS\system32 (es un archivo DLL compuesto de letras y números. Kaspersky puede encontrar el virus pero no puede eliminarlo, por lo que Kaspersky puede encontrar el nombre del archivo del virus). Después de encontrar el archivo que contiene el virus, haga clic derecho y seleccione el desbloqueo en el menú desplegable para desbloquearlo (después de instalar el software, se generará un elemento de menú de desbloqueo en el menú contextual). Se puede eliminar manualmente después del desbloqueo. Kaspersky también puede eliminarlo.

Después de eliminar los archivos dll que contienen virus en system32, vaya a C:\WINDOWS\system32\drivers y busque ×. archivo sys (×tiene el mismo nombre que el archivo dll anterior, pero tiene una extensión diferente). Utilice el mismo método para desbloquear y luego eliminar manualmente. Después de eliminar, tome nota de vaciar la Papelera de reciclaje. Luego ejecute regedit para abrir el editor de registro, respectivamente en

HKEY _ LOCAL _ MACHINE \ SYSTEM \ control set 001 \ Services

HKEY _Local_Machine\System\Control Set 003 (o 002) \Services

En HKEY_Local_Machine\System\Current Control Set\Services, busque el elemento que lleva el nombre del archivo de virus y elimínelo (este es el elemento de registro para eliminar el archivo de virus). En este punto, el odioso Trojan-downloader.win32.qqhelper.mo fue eliminado. Reinicie la computadora y Kaspersky ya no dará alarma ni gritará.

Pero el virus no ha sido completamente eliminado y aún queda un gancho conectado con el mundo exterior. Una vez que sea el momento adecuado, se descargará y ejecutará desde el sitio web del virus. Así que matad a la presa juntos. Esta captura está en el registro:

En HKEY-LOCA-machine/system/control set 001/enum/Root/legacy _ nutfpv20 (tal vez el nombre del archivo del virus en su computadora no sea este nutfpv 20, pero Todo en Root), este rasguño no se puede eliminar en circunstancias normales y se deben utilizar las siguientes herramientas.

2. Ejecute el software de escaneo y eliminación IceSword (la instalación de este software es gratuita). Después de abrir, haga clic en "Registro" y busque NUTFPV20 según la dirección HKEY-LOCA-Machine/System/control set 001/enum/root/legacy _ NUTFPV20 (NUTFPV20 es el nombre de archivo del virus. Es posible que el suyo no sea el nombre de archivo , pero la naturaleza es la misma), elimine todos los valores clave de nutfpv 20 en la columna de la derecha.

¡En este punto, ya has terminado! ¡Tu estado de ánimo y tu amor son brillantes y felices! Los virus rebeldes que no se pueden eliminar en el futuro también se pueden resolver con métodos similares ~

(Se adjunta una introducción a los nueve virus más importantes del mundo)

1 Introducción al virus Nimda<. /p>

El virus Nimda se propagó globalmente desde septiembre de 2001 hasta septiembre de 20018. Es un virus hacker altamente contagioso. Utiliza la propagación de correo electrónico, el ataque activo a servidores, la propagación de herramientas de mensajería instantánea, la propagación del protocolo FTP y la propagación de la navegación web como sus principales medios de propagación. Puede transmitirse a través de una variedad de canales de transmisión y es altamente contagioso.

Para las PC de usuarios individuales, "Nimda" puede infectarse simultáneamente a través de correos electrónicos, herramientas de mensajería instantánea en línea y "programas FTP" para servidores, "Nimda" utiliza un método similar al virus "Red Team", es decir, la vulnerabilidad que Se propagan ataques a programas de servidor de Microsoft. Dado que el virus ocupa una gran cantidad de ancho de banda de la red y recursos informáticos internos en el proceso de autoinfección, muchas redes corporativas se han visto muy afectadas y algunas incluso han quedado paralizadas. En el caso de los PC personales, también se producirá una notable desaceleración.

Dos. Introducción a la nueva variante del virus de Nimda

Esta nueva variedad de Nimda se denomina gusano concepto 118788. 48687. Se caracteriza por una descripción en el código fuente del virus: concepto virus (cv) v.6, Copyright. (c) 2001, (Esto es cv, no motor). Este es un virus conceptual, no un virus Nimda. ) Realiza los siguientes cambios en la enfermedad de Nimda (gusano). Concept.57344):

lEl nombre del archivo adjunto se cambia de Readme.exe a Sample.exe;

lEl archivo generado al infectar el sistema IIS se cambia de Admin.dll a Httpodbc.dll;

lEn NT/2000 y sistemas relacionados, el virus se copia en el directorio del sistema de Windows. Este directorio ya no se llama mmc.exe, sino que utiliza el nombre de Csrss.exe.

Tres. Introducción al virus "Wantjob"

Este virus no solo tiene las funciones destructivas del virus Nimda, como envío automático de cartas, ejecución automática e infección de LAN, etc. , y continuará consultando el proceso en la memoria después de infectar la computadora para ver si hay algún software antivirus (como AVP/NAV/NOD/Macfee, etc., si existe, el proceso del antivirus). El software antivirus será cancelado. Comprueba el proceso cada 0,1 segundos para evitar que se ejecute este software antivirus.

Si un virus infecta una computadora que ejecuta Windows NT/2000, se registrará como un proceso de servicio del sistema, lo que dificultará su detección y eliminación mediante métodos generales. También seguía enviando correos electrónicos, disfrazados de archivos "Htm, Doc, Jpg, Bmp, Xls, Cpp, Html, Mpg, Mpeg". Los nombres de los archivos también se generaban aleatoriamente y estaban muy ocultos.

Cuatro. introducción. Virus Codeblue

"Codeblue" es un virus tipo gusano que puede infectar servidores de sistemas Windows NT y Windows 2000. Debido a la explotación de una vulnerabilidad en el programa inetifo.exe de Microsoft y a la implantación de un programa hacker llamado SvcHost.EXE, el gusano generará continuamente nuevos subprocesos en la memoria del servidor, lo que eventualmente provocará que el sistema funcione lentamente o incluso falle.

La característica del "Código Azul" es que puede destruir directamente el servidor después del ataque, provocando que el servidor se paralice. Estaba configurado para atacar el sitio web de Lu Meng a través de un servidor infectado, pero no se implementó debido a un error en el programa de virus. El sitio web de Lu Meng es un famoso sitio web anti-hackers.

Verbo (abreviatura de verbo). Introducción al virus VBS.happytime

VBS.happytime es un virus script que infecta archivos VBS, html y script. El virus está escrito en el lenguaje VBScript y puede propagarse a través de Internet mediante correo electrónico o infectarse localmente a través de archivos. Cuando el archivo HTML infectado se abre con un navegador, el virus establecerá el evento de interrupción de tiempo de la página web y ejecutará Help.vbs cada 10 segundos. El archivo se almacena en el primer subdirectorio de la unidad C:\. Si el virus se activa a través de un archivo hta, el virus también generará y ejecutará el archivo Help.hta en el primer subdirectorio de la unidad C:\.

El virus vbs.happytime es muy dañino y puede destruir el contenido de archivos html, htm, htt, vbs y asp (modificarlos en códigos de virus). Distribuya correos electrónicos masivos con virus, corrompa la vista web predeterminada en el Explorador de Windows, etc.

Verbo intransitivo. VBS. Introducción al virus de la página de inicio.

VBS. La página de inicio es un gusano de red creado y cifrado por la herramienta de escritura de virus VBS.

Después de ejecutar el virus desde el archivo adjunto del correo electrónico, buscará en todas las libretas de direcciones de Outlook, recopilará todas las direcciones de contacto y luego enviará el correo electrónico. La información del correo electrónico es la siguiente: Asunto del correo electrónico: página de inicio, cuerpo del correo electrónico: ¡Hola! ¡Debes revisar esta página! Realmente genial;0) Archivo adjunto de correo electrónico: página de inicio. HTML.vbs (código de virus disfrazado de página de inicio, tamaño 2436 bytes).

Este virus puede afectar al funcionamiento normal de la red y modificar el registro.

Siete. Introducción al virus .Win32.HLLW.Matcher.28672

Win32. HLLW.Matcher.28672 es un nuevo virus informático troyano que se está propagando rápidamente. Cuando el destinatario abre el archivo adjunto. EXE, el virus se enviará a todas las direcciones en el buzón de Outlook del usuario. El título del archivo de virus es "Matcher" y el archivo adjunto del correo electrónico es MATCHER.EXE. Su mensaje es: ¡Quieres encontrar a tu pareja amorosa! ! ! /Prueba esto, es genial... / La apariencia y la actitud coinciden con las del sexo opuesto.

El virus envía una copia de sí mismo al directorio del sistema de Windows y modifica el registro y AUTOEXEC. Los archivos BAT permiten que la máquina ejecute automáticamente programas antivirus cada vez que se inicia. En el peor de los casos, el virus del brote se replica una vez por minuto, paralizando los servidores informáticos.

Ocho. . Introducción al virus VBS.LoveLetter

El virus "ILOVEYOU" se propaga a través del sistema de correo electrónico Microsoft Outlook. El asunto del correo electrónico es "iloveyou" y contiene un archivo adjunto. Una vez que se abre este correo electrónico en Microsoft Outlook, el sistema copiará y enviará automáticamente este virus a todas las direcciones de correo electrónico de la libreta de direcciones. El virus "I Love You" es un gusano que puede sobrescribir algunos archivos en discos duros locales y de red.

Nueve. Introducción. Virus CIH

CIH es un virus puro de Windows 95/98. Mediante la copia mutua de software y el uso de CD pirateados, la expansión de Internet se ha extendido a un área amplia. Cuando el virus CIH estalla, sobrescribirá el campo 1024K frente al disco duro con datos desordenados, destruirá el chip de memoria flash Bios de la placa base y hará que la máquina no pueda iniciarse. Esto sólo es posible cuando se permite escribir en la memoria flash, pero normalmente no tiene ningún efecto cuando se escribe en la memoria flash utilizando interruptores DIP. Sin embargo, la mayoría de las placas base modernas no pueden protegerse contra escritura mediante interruptores DIP, por lo que el virus destruirá la BIOS Flash de la mayoría de las placas base actualizables en caso de brote. Tiene la capacidad de destruir completamente los sistemas informáticos. Los virus pueden sobrescribir el área de inicio del área de inicio principal del disco duro y reescribir los datos del disco duro.