本文目录一览:
全部木马 病毒 名字 特征
怎样通过病毒名称识别病毒的类型 通过判断病毒的类型,就可以对这个病毒有个大概的评估,而通过病毒名我们可以利用查找资料等方式进一步了解该病毒的详细特征。病毒后缀能让我们知道现在在你机子里呆着的病毒是哪个变种。 下面附带一些常见的病毒前缀的解释(针对我们用得最多的Windows操作系统): 1、系统病毒 系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。 2、蠕虫病毒 蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件) 等。 3、木马病毒、黑客病毒 木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。 4、脚本病毒 脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)——可不是我们的老大代码兄哦 ^_^。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。 5、宏病毒 其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,依此类推。该类病毒的公有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。 6、后门病毒 后门病毒的前缀是:Backdoor。该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。 7、病毒种植程序病毒 这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。 8.破坏性程序病毒 破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。 9.玩笑病毒 玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。 10.捆绑机病毒 捆绑机病毒的前缀是:Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。 以上为比较常见的病毒前缀,有时候我们还会看到一些其他的,但比较少见,这里简单提一下: DoS:会针对某台主机或者服务器进行DoS攻击; Exploit:会自动通过溢出对方或者自己的系统漏洞来传播自身,或者他本身就是一个用于Hacking的溢出工具; HackTool:黑客工具,也许本身并不破坏你的机子,但是会被别人加以利用来用你做替身去破坏别人。 你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况,达到知己知彼的效果。在杀毒无法自动查杀,打算采用手工方式的时候这些信息会给你很大的帮助。
怎么样才能知道自己电脑中了威金或者快乐时光等病毒?
威金病毒在每个文件夹下新建一个_desktop.inf文件(隐藏,系统)
快乐时光是_desktop.inf文件和folder.htt文件
下面是在网上找的资料,可以参考一下,有些多,挑着看吧~
名 称:威金(Worm.Viking)
处理时间:2006-06-01 威胁级别:★★
病毒类型:蠕虫 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标计算机。
运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。
病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。
1、病毒运行后将自身复制到Windows文件夹下,文件名为:
%SystemRoot%\rundl132.exe
2、运行被感染的文件后,病毒将病毒体复制到为以下文件:
%SystemRoot%\logo_1.exe
3、同时病毒会在病毒文件夹下生成:
病毒目录\vdll.dll
4、病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕在被感染的文件夹中生成:
_desktop.ini (文件属性:系统、隐藏。)
5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。
6、病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"
7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序,查找到窗体后发送消息关闭该程序。
8、枚举以下杀毒软件进程名,查找到后终止其进程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
9、同时病毒尝试利用以下命令终止相关杀病毒软件:
net stop "Kingsoft AntiVirus Service"
10、发送ICMP探测数据"Hello,World",判断网络状态,网络可用时,
枚举内网所有共享主机,并尝试用弱口令连接\\IPC$、\admin$等共享目录,连接成功后进行网络感染。
11、感染用户机器上的exe文件,但不感染以下文件夹中的文件:
system
system32
windows
documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
12、枚举系统进程,尝试将病毒dll(vdll.dll)选择性注入以下进程名对应的进程:
Explorer
Iexplore
找到符合条件的进程后随机注入以上两个进程中的其中一个。
13、当外网可用时,被注入的dll文件尝试连接以下网站下载并运行相关程序:
**.com/gua/zt.txt 保存为:c:\1.txt
**.com/gua/wow.txt 保存为:c:\1.txt
**.com/gua/mx.txt 保存为:c:\1.txt
**.com/gua/zt.exe 保存为:%SystemRoot%Sy.exe
**.com/gua/wow.exe 保存为:%SystemRoot%\1Sy.exe
**.com/gua/mx.exe 保存为:%SystemRoot%\2Sy.exe
注:三个程序都为木马程序
14、病毒会将下载后的"1.txt"的内容添加到以下相关注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"
二、专杀工具
三、删除_desktop.ini
该病毒会在每个文件夹中生成一个名为_desktop.ini的文件,一个个去删除,显然太费劲,(我的机器的操作系统因安装在NTFS格式下,所以系统盘下的文件夹中没有这个文件,另外盘下的文件夹无一幸免),因此在这里介绍给大家一个批处理命令 del d:\_desktop.ini /f/s/q/a,该命令的作用是:
强制删除d盘下所有目录内(包括d盘本身)的_desktop.ini文件并且不提示是否删除
/f 强制删除只读文件
/q 指定静音状态。不提示您确认删除。
/s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。
/a的意思是按照属性来删除了
这个命令的作用是在杀掉viking病毒之后清理系统内残留的_desktop.ini文件用的
使用方法是开始--所有程序--附件--命令提示符,键入上述命令(也可复制粘贴),首先删除D盘中的_desktop.ini,然后依此删除另外盘中的_desktop.ini。
至此,该病毒对机器造成的影响全部消除。
以下是我自己处理的方法:
(1)先下载好瑞星威金病毒专杀工具;
(2)断开网络;
(3)处理C盘:能系统还原的就系统还原,这样节省时间,不行的就重装系统;
(4)再在安全模式下用刚才下的专杀工具清除掉C盘以外的其它盘的病毒;
(5)用全盘搜索功能(记得在高级选项里把搜索隐藏文件的选项勾上),搜索名为“_desktop.ini”的文件,搜索好后,凡是符合要求的全部删除;
(6)清除完后重启机器即可。
_desktop.ini这个是viking(威金)病毒建立的文件,不是欢乐时光病毒。欢乐时光病毒除了在每个文件夹里面建立desktop.ini还会同时建立folder.htt。
把当前的杀毒软件,如瑞星,金山,江民等升级到最新病毒库,都可以查杀,杀毒时候最好到安全模式查杀。
病毒杀干净后手工删除_desktop.ini文件。
方法:
开始/运行,输入CMD打开DOS窗口,然后输入
del c:\\_desktop.ini /f/s/q/a
强制删除c盘下所有目录内(包括c盘本身,杀完c盘后在把c改为d,e等盘再杀)的_desktop.ini文件并且不提示是否删除
/f 强制删除只读文件
/q 指定静音状态。不提示您确认删除。
/s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。
/a的意思是按照属性来删除了
这个命令的作用是在杀掉viking病毒之后清理系统内残留的_desktop.ini文件用的
参考资料:;id=2211998
专杀folder和desktop病毒
欢乐时光是怎样的病毒?
从国家计算机病毒应急处理中心获悉,目前出现了一种通过电子邮件传播的新的恶性病毒———“欢乐时光”(Happy�time),该病毒将于5月8日首次大爆发。由于该种病毒的传播能力和杀伤力极强,很可能导致计算机系统瘫痪,专家提醒广大计算机用户必须严加防范。
应急中心于4月29日接到首例北京用户感染这种奇怪病毒的报告以来,目前已有数十个
用户发现遭受感染,该病毒被命名为“欢乐时光”(Happytime),中心紧急组织专家对此进行分析。据介绍,“欢乐时光”属于VBS/HTM蠕虫类病毒,通过邮件传播,但不作为邮件的附件,而是作为邮件内容。如果用户使用Outlook收到带毒邮件,即使未打开信件,只要鼠标指向该邮件,“欢乐时光”病毒就被激活了,然后传染硬盘中带.htm、.vbs、.hta、.asp、.html后缀的文件。
专家对“欢乐时光”病毒爆发时间进行了推算:当感染“欢乐时光”的计算机内的时间是日+月=13时,该病毒将逐步删除硬盘中的exe,dll文件,最后导致系统瘫痪。因此该病毒第一次爆发时间应是5月8日,以下依次为6月7日,7月6日,8月5日……
目前,江民公司、瑞星公司、金山公司、创源公司和熊猫公司均提出解决方案,用户可下载他们的升级程序,及时查杀该病毒。同时,国家计算机病毒应急处理中心提醒广大用户,可将Windows Scripting Host卸载,以阻止VBS脚本程序执行,这样即使收到带毒邮件也能防止“欢乐时光”病毒的传染和破坏。
欢乐时光病毒怎么清除
关于_desktop.ini这个文件还要从上次我电脑被病毒强奸了说起。上次中了viking病毒之后,发现某些目
录里有_desktop.ini文件,起初和desktop.ini弄混了,以为是desktop.ini呢,今天往服务器上传东西的
时候才发现不对劲,很多目录里都有这东西,于是上网搜索了一下,原来是杀了viking病毒后遗留下的。
那么多的_desktop.ini该怎么清理呢?下面给出两个清理方法:
方法一:
点开始菜单,然后选运行,输入cmd回车,会出现一个命令提示符窗口,在里面输入如下命令
del d:\_desktop.ini /f/s/q/a
强制删除d盘下所有目录内(包括d盘本身)的_desktop.ini文件并且不提示是否删除,如果你想删除
c盘的_desktop.ini文件,把上面命令改为del c:\_desktop.ini /f/s/q/a即可,以此类推
/f 强制删除只读文件
/q 指定静音状态。不提示您确认删除。
/s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。
/a的意思是按照属性来删除了
成功清除_desktop.ini
@echo off
echo 正在清除文件,请稍等......
del c:\_desktop.ini /f/s/q/a
del d:\_desktop.ini /f/s/q/a
del e:\_desktop.ini /f/s/q/a
del f:\_desktop.ini /f/s/q/a
echo 清除完毕!
exit
新建一个文档,另存为123.bat 然后执行
方法二:
用windows的搜索功能搜索所有盘符的_desktop.ini文件,搜索完后把所有_desktop.ini文件删除即
可。
学盟专版_desktop.ini专杀
今天学盟会员有人中了这个病毒,为了方便以后盟友们的方便,
我做了个简单的专杀!
—— 、
手工杀除:
手动清除方法:
删除病毒文件(无法清除时去安全模式)
把系统盘根目录下的BBwow、MH_File、TODAYZTKING文件夹清除,
系统根目录\_desktop.ini
系统盘根目录\1.txt
病毒所在目录\vDll.dll文件
%Windir%\rundll32.exe
%Program files%\_desktop.ini
%Windir%\0sy.exe
%Windir%\1sy.exe
恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows键值: 字串:
"load "="C:\WINDOWS\rundl132.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadManager\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\ver_down0
值: dsfsfaa[Startup]..AppName=ATISoftwarer=sss
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\键值: 字串: "ver_down1"="COM+[7:18:32]: Setup
started- [DATE:05,22,2006 TIME: 07:18 pm]11111"
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto值: "1"
虽然手动清除病毒,但此病毒在每个目录下留下了一个_desktop.ini文件,
手动删除,根据之前清拉圾文件的脚本写了个小脚本清除这些文件
我的电脑中了“欢乐时光”病毒
变种?
你先打开autorun.inf,把里面的文字发上来,我是指C盘那个,别把木马的发上来(主要我不能从你的描述中判断这个文件属不属于病毒。)还有你在冰刃中的进程截图。
新快乐时光病毒查杀
1.在Windows中杀毒前首先得中止病毒进程。对于WindowsXp/2000,可以使用任务管理器(Ctrl Alt Del三键齐按)来查看当前所有的进程,而对于Windows98/Me,则可以使用“黑客入门工具箱”或ATM来查看进程。确定哪个是来历不明的就停止掉或者看哪个不顺眼就停止哪个,该过程俗称“杀进程”。
不要怕出错,因为不会对电脑造成任何损坏,最多就是死机。注意,杀进程的操作有时得进行两次才成功。有的病毒有两个进程,互相保护,杀掉一个则会被另一个发现并恢复。此时应先把该病毒在注册表中的启动项去掉,然后用突然断电的方式重启电脑,再杀毒。
2.在Windows中使用专杀工具杀毒。得使用最新的杀毒版本。
3.禁用系统还原。在WindowsMe中禁用方法是∶鼠标右键点击“我的电脑”-属性-性能-文件系统-疑难解答-禁止系统还原。在 WindowsXP中禁用方法是∶控制面板-系统-系统属性-系统还原-在所有驱动器上关闭系统还原。然后用软盘或U盘启动电脑,在dos下删除 _RESTORE文件夹。
4.在Dos下杀毒不存在杀不死的问题。一般的杀毒软件都可以制作软盘版(含至少3张软盘),用第一张盘启动(CMOS中必须设定软盘启动在前)后按提示陆续放入其它盘就可以直接杀毒了。瑞星的软盘版需要用鼠标确定杀毒的驱动器,而金山毒霸的软盘版则默认全机查杀。
实际上用金山毒霸在DOS下杀毒还可以更简单,用普通软盘启动盘或U盘启动盘启动电脑后,先换到C盘,然后进入金山毒霸的目录(命令:cd kav或cd kav5,与版本有关),然后输入KAVDX,回车就开始杀毒了。
5.补充操作。病毒杀死后还应该修复注册表。