本文目录一览:
急~我中了很厉害的病毒~解决了愿意送上所有分
这是被镜像劫持了。病毒通过修改注册表来屏蔽对手的软件及网站。只要相关杀软的网络IP被列入注册表被禁止项就无法打开该网站。(一打开就自动关闭)把相关的注册表项删掉后杀毒就好了。具体如Image File Execution Options (IFEO in short)劫持
一、典型症状:双击某些可执行程序无法正常执行(或者说执行了没看到预期的结果)但改一个名字就可以。
二、典型案例:OSO.exe新变种60{.exe 美女游戏.pif (转载如下)
============================= 转载Start================================
OSO.exe 新变种
这是OSO.exe,美女游戏.pif,重要资料.exe的又一个新变种,以前截获的样本名为Worm.Pabug.ck ,这次由用户上报的病毒瑞星,金山均没有命名,但在病毒行为上大同小异。以下是具体分析:
此样本于2007年02月01日截获,跟上次的变种一样是采用记事本的图标,是一类IFEO映象劫持病毒。(变种不同这处用红色加粗标识)
病毒行为分析:病毒运行后,会不断打开run time error的消息提示,直到系统资源耗尽,当然用任务管理器,结束error窗口可暂时减少提示的生成。生成文件如下:(以系统盘为C盘,XP SP2为例)oso.exe的分析:生成文件:C:\WINDOWS\system32\drivers\60{.exe 38,510
C:\WINDOWS\system32\drivers\conime.exe 38,510
C:\WINDOWS\system32\severe.exe 38510
C:\WINDOWS\system32\.exe 38510
C:\WINDOWS\system32\.dll 38400C:\WINDOWS\system32\hx1.dat 生成运行后自删除 C:\WINDOWS\system32\noruns.reg 生成运行后自删除
C:\WINDOWS\system32\kakatool.dll 删除卡卡助手的动态链接库C:\WINDOWS\system32\drivers\etc\Hosts 1,465 字节 修改HOSTS文件,屏避对手的网站:127.0.0.1 localhost
127.0.0.1 mmsk.cn
127.0.0.1 ikaka.com
127.0.0.1 safe.qq.com
127.0.0.1 360safe.com
127.0.0.1
127.0.0.1
127.0.0.1 tool.ikaka.com
127.0.0.1
127.0.0.1 zs.kingsoft.com
127.0.0.1 forum.ikaka.com
127.0.0.1 up.rising.com.cn
127.0.0.1 scan.kingsoft.com
127.0.0.1 kvup.jiangmin.com
127.0.0.1 reg.rising.com.cn
127.0.0.1 update.rising.com.cn
127.0.0.1 update7.jiangmin.com
127.0.0.1 download.rising.com.cn
127.0.0.1 dnl-us1.kaspersky-labs.com
127.0.0.1 dnl-us2.kaspersky-labs.com
127.0.0.1 dnl-us3.kaspersky-labs.com
127.0.0.1 dnl-us4.kaspersky-labs.com
127.0.0.1 dnl-us5.kaspersky-labs.com
127.0.0.1 dnl-us6.kaspersky-labs.com
127.0.0.1 dnl-us7.kaspersky-labs.com
127.0.0.1 dnl-us8.kaspersky-labs.com
127.0.0.1 dnl-us9.kaspersky-labs.com
127.0.0.1 dnl-us10.kaspersky-labs.com
127.0.0.1 dnl-eu1.kaspersky-labs.com
127.0.0.1 dnl-eu2.kaspersky-labs.com
127.0.0.1 dnl-eu3.kaspersky-labs.com
127.0.0.1 dnl-eu4.kaspersky-labs.com
127.0.0.1 dnl-eu5.kaspersky-labs.com
127.0.0.1 dnl-eu6.kaspersky-labs.com
127.0.0.1 dnl-eu7.kaspersky-labs.com
127.0.0.1 dnl-eu8.kaspersky-labs.com
127.0.0.1 dnl-eu9.kaspersky-labs.com
127.0.0.1 dnl-eu10.kaspersky-labs.com
X:\autorun.inf (X在此指非系统盘,不包括移动设备)
X:\oso.exe (X在此指非系统盘,不包括移动设备)
U:\autorun.inf (U指移动设备 )
U:\oso.exe
U:\重要资料.exe
U:\美女游戏.pif 注册表修改情况:添加自启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
60{
C:\WINDOWS\system32\.exe---------------------HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
@ ---默认项
C:\WINDOWS\system32\severe.exe被映象劫持的软件名列表(这次被劫持和软件名多了NOD32杀毒软件和EGHOST) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe
Debugger
C:\WINDOWS\system32\drivers\60{.exe 都是指向此项,以下不一一列述
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exeHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EGHOST.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exeHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NOD32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQDoctor.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe
用一个批处理hx1.dat修改系统时间为2004-1-22 使防病毒软件失效 由于此病毒修改的内容较多手动修复相当麻烦,U盘病毒专杀工具USBCleaner可彻底清除此病毒。此版本已在之官方网站发布,欢迎下载使用! 永久转向域名:友情提示:U盘病毒专杀工具USBCleaner 为免费绿色的查杀U盘类病毒木马的小工具
============================= 转载End================================
三、解决方法:
可以手动删除添加的非法 IFEO 劫持项目,重启后即可。
具体方法:
1、进入系统目录。例如 C:\windows
2、找到 regedit.exe ,复制,粘贴 ,运行“附件 regedit.exe”
3、按上面说的方法删除相应的被劫持项目即可。
四、提示:
防止Image File Execution Options hijack(映象劫持)的方法是通过在SSM等行为防火墙中添加一条注册表的监控规则(如下图)来防御,具体可google ,或点此此处链接。
下:
木马病毒是干什么的?还有它的原理是什么?
. 网络游戏木马
随着网络在线游戏的普及和升温,我国拥有规模庞大的网游玩家。网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。与此同时,以盗取网游帐号密码为目的的木马病毒也随之发展泛滥起来。
网络游戏木马通常采用记录用户键盘输入、Hook游戏进程API函数等方法获取用户的密码和帐号。窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。
网络游戏木马的种类和数量,在国产木马病毒中都首屈一指。流行的网络游戏无一不受网游木马的威胁。一款新游戏正式发布后,往往在一到两个星期内,就会有相应的木马程序被制作出来。大量的木马生成器和黑客网站的公开销售也是网游木马泛滥的原因之一。
2. 网银木马
网银木马是针对网上交易系统编写的木马病毒,其目的是盗取用户的卡号、密码,甚至安全证书。此类木马种类数量虽然比不上网游木马,但它的危害更加直接,受害用户的损失更加惨重。
网银木马通常针对性较强,木马作者可能首先对某银行的网上交易系统进行仔细分析,然后针对安全薄弱环节编写病毒程序。如2004年的“网银大盗”病毒,在用户进入工行网银登录页面时,会自动把页面换成安全性能较差、但依然能够运转的老版页面,然后记录用户在此页面上填写的卡号和密码;“网银大盗3”利用招行网银专业版的备份安全证书功能,可以盗取安全证书;2005年的“新网银大盗”,采用API Hook等技术干扰网银登录安全控件的运行。
随着我国网上交易的普及,受到外来网银木马威胁的用户也在不断增加。
3. 即时通讯软件木马
现在,国内即时通讯软件百花齐放。QQ、新浪UC、网易泡泡、盛大圈圈……网上聊天的用户群十分庞大。常见的即时通讯类木马一般有3种:
一、发送消息型。通过即时通讯软件自动发送含有恶意网址的消息,目的在于让收到消息的用户点击网址中毒,用户中毒后又会向更多好友发送病毒消息。此类病毒常用技术是搜索聊天窗口,进而控制该窗口自动发送文本内容。发送消息型木马常常充当网游木马的广告,如“武汉男生2005”木马,可以通过MSN、QQ、UC等多种聊天软件发送带毒网址,其主要功能是盗取传奇游戏的帐号和密码。
二、盗号型。主要目标在于即时通讯软件的登录帐号和密码。工作原理和网游木马类似。病毒作者盗得他人帐号后,可能偷窥聊天记录等隐私内容,或将帐号卖掉。
三、传播自身型。2005年初,“MSN性感鸡”等通过MSN传播的蠕虫泛滥了一阵之后,MSN推出新版本,禁止用户传送可执行文件。2005年上半年,“QQ龟”和“QQ爱虫”这两个国产病毒通过QQ聊天软件发送自身进行传播,感染用户数量极大,在江民公司统计的2005年上半年十大病毒排行榜上分列第一和第四名。从技术角度分析,发送文件类的QQ蠕虫是以前发送消息类QQ木马的进化,采用的基本技术都是搜寻到聊天窗口后,对聊天窗口进行控制,来达到发送文件或消息的目的。只不过发送文件的操作比发送消息复杂很多。
4. 网页点击类木马
网页点击类木马会恶意模拟用户点击广告等动作,在短时间内可以产生数以万计的点击量。病毒作者的编写目的一般是为了赚取高额的广告推广费用。此类病毒的技术简单,一般只是向服务器发送HTTP GET请求。
5. 下载类木马
这种木马程序的体积一般很小,其功能是从网络上下载其他病毒程序或安装广告软件。由于体积很小,下载类木马更容易传播,传播速度也更快。通常功能强大、体积也很大的后门类病毒,如“灰鸽子”、“黑洞”等,传播时都单独编写一个小巧的下载型木马,用户中毒后会把后门主程序下载到本机运行。
6. 代理类木马
用户感染代理类木马后,会在本机开启HTTP、SOCKS等代理服务功能。黑客把受感染计算机作为跳板,以被感染用户的身份进行黑客活动,达到隐藏自己的目的。
首先找到感染文件,其手动方法是结束相关进程然后删除文件,但是现在有很多木马专杀的软件.可以借助软件删除。
木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说呢?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术. "木马"不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为"木马"程序。
一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好像有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能。
还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒.每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.省去普通病毒代码检验,是不是就提高了效率,提高了速度呢? 也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马!
一部叫《零之使魔》的动画的相关问题
再修改补充一下吧= =····~
哈哈,我是把看3部看完了~
呵呵好看·~
回答1:
至于动画的话= =。。已经出了三部了。。莫非LZ不知道啊?动画完结了= =
至于第四部还没有可靠的消息呢·
至于漫画的话似乎只有1-4的官方漫画。。。听说画风不好。。。。
(根据其他回答有15卷,相关网址:
回答2:
如果在线看的话不如去优酷网看吧!
具体到零之使魔的网址是:
注释:这个是具体的到零之使魔的网址了,全部都是一个个的专辑,看看那个快就去那个看,并且1到三部绝对全还有OVA等~
漫画嘛~
去这个吧
不过这个网站不知道你上会不会快,你大百度查查应该会很多的~
回答3:
这个嘛~
o(∩_∩)o...哈哈我喜欢看
《魔法老师》(或者叫魔法先生)这个好看~校园魔法+恋爱~嘿嘿 貌似是54个女生= =囧
还有嘛~
《魔法禁书目录》(没出完呢)这个也好看~
《心跳回忆ONLY LOVE》这个没有魔幻但是是校园恋爱~超级强~不过结局男主角走了= =。。。哎···
《SHUFFLE》 1季2季都不错。。。神的女儿和魔的女儿来抢男主角~额=v=··
·
《初音岛》这个用我多说吗?爱情为主魔幻喂次的校园恋爱···
蓝兰岛漂流记(后宫+搞笑)
忍了··太多了····= =
你需要的画给我发百度信息吧···= =
回答4:
和你一样。。。不过到了后来喜欢的男主角的人悦来越多··我喜欢的人也变多了= =
补充答案:
= =。。你的要求有点难喽~不如去新发布个问题不要把两次的问题弄一块儿啊~= =
给你这个网址~7首在一起的专辑~= =
补充问题答案:
才人手上的印记是卢恩字母的 Gandalfr,以平假名写出来是“ガンダールヴ”发音为Gandāruvu
才人用的剑“智慧之剑”(Derflinger)
“纲达鲁布”〈Gandalfr〉
这是全部答案了吧?
····
···
··怕你再问什么东东
我把一二季的歌词也弄上来得了···
零之使魔第一季
OP(片头)
“FirstKiss”
作词:ICHIKO
作曲 / 编曲:新井 理生
歌:ICHIKO
FirstKissから始まる
从FirstKiss 开始了
First Kiss ka ra ha ji ma ru
ふたりの恋のヒストリー
两人的恋情史
fu da ri no ko i no hi su to ri i
この运命に魔法かけた
对命运施展魔法
ko no u n me ni ma ho u ka ke ta
君が突然 现われた
你 突然出现在我眼前
ki mi ga to tsu ze n a ra wa re ta
月がふたつ 消えない空
两轮明月,永不消失的天空
tsu ki ga fu ta tsu ki e na i so ra
ありえない事だよね
都只是纯粹的幻想
a ri e na i ko to da yo ne
始めてだよ こんな气持ち
这是第一次,我会有如此的感觉
ha ji me te da yo ko n na ki mo chi
やけにここがここちよくなってゆく
心情变的异常的美好
ya ke ni ko ko go ko ko chi yo ku na te yu ku
もし君が踬いて落ち迂んでも
如果你受到挫折,即使你会消沉
mo shi ki mi ga tsu ma zu ki te o chi ko n de mo
仆がきゅっと 君をずっと 抱き缔めてあげる
我都会紧紧地、永远地拥抱你
bo ku ga kyu to ki mi o zu to da ki shi me te a ge ru
SweetKiss まで褪めない
SweetKiss将永不退色
Sweet Kiss ma de sa me na i
あの日出会えたストーリ
从相逢之日开始了我们的故事
a no hi de a e ta su to o ri
ほら君の魔法かけて
请施展你的魔法
ho ra ki mi no ma ho u ka ke te
愿いはきっと叶うから
你的愿望一定会实现的故事
ne ga i ha ki to ka na u ka ra
FirstKissから始まる
从FirstKiss 开始了
First Kiss ka ra ha ji ma ru
ふたりの恋のヒストリー
两人的恋情史
fu da ri no ko i no hi su to ri i
この运命に魔法かけた
对命运施展魔法
ko no u n me ni ma ho u ka ke ta
君が突然 现われた
你 突然出现在我眼前
ki mi ga to tsu ze n a ra wa re ta
ED(片尾)
作词:森由 里子
作曲 / 编曲:新井 理生
歌:ホントノキモチ(CV:钉宫 理惠)
リアルな魔法に 挂ったみたいに
如同中了真实的魔法般
ri a ru na ma ho u ni ka ga a ta mi ta i ni
この胸に烧きついた 眩しい笑颜
在胸口燃烧着那灿烂的笑容
ko no mu ne ni ya ki tsu i ta ma ku shi i e ka o
だけど会う度に
可是每当我们相逢
da ke do a u ta bi ni
つんつん冷たくしちゃうの
你都会显得傲慢且冷淡
tsu n tsu n tsu me ta ku shi cha u no
何故谁より君なるのに
明明比起任何人来我都还要喜欢你
na ze da re yo ri ki mi na ru no ni
いじわるをしちゃんだろう
是不是因为我的恶作剧
i ji wa ru o shi cha n da ro u
本当の气持ち 切なさの欠片が
真正的心意,痛苦的碎片
ho n to u no ki mo chi se tsu na sa no ka ke na ra
このココロの一番奥
在心灵的最深处
ko no ko ko ro no i chi ba n o ku
君を呼んでいるよ
呼唤着你的名字
ki mi o yo n de i ru yo
ゼロから始まる日を
从零开始的那一天起
ze ro ka ra ha ji ma ru hi o
零之使魔第二季
OP
ISAY YES
TVアニメ「ゼロの使い魔 ~双月の骑士~」OP
作词:森 由里子 / 作曲:坂部 刚 / 编曲:新井理生
演唱:ICHIKO
【我们的命运之所以会偶然相遇
是因为我听见了你的呼唤
即使危机不断向我们袭来
只要与你相伴就能够一同跨越
无论是心动的我 还是好强的我
口是心非的我 其实是为你担忧
留下来陪我 我只希望将你守护
哪怕我们来自于相隔遥远的世界
我愿答应你 永远陪伴在你身边
无论未来会给予我们怎样的考验 直到永远…
即使这份爱情只是魔法的结果
它的效果也永远不会消失
再也不要回到遥远的往日
不要变回与你相遇之前的自己
无论是专注的我 还是任性的我
有的时候 还是会为你心跳加速
留下来陪我 我再也不会扔下你
因为我们的相遇就好像奇迹一般
我愿答应你 永远成为你的依靠
哪怕周遭的一切都被时光所改变 直到永远…
无论是逞强的我 还是软弱的我
口是心非的我 其实是为你担忧
留下来陪我 我只希望将你守护
哪怕我们来自于相隔遥远的世界
因为我们的相遇就好像奇迹一般
因为我们的相遇就好像奇迹一般
我愿答应你 永远陪伴在你身边
无论未来会给予我们怎样的考验 直到永远…
ED
スキ!?キライ!?スキ!!!
钉宫理惠
《喜欢?讨厌!喜欢!》
你…你…你…这个…笨狗!
给我好好呆在这里
就在我的身边
要一直一直一直地看着我
你在朝边上看
看着其他的GIRL
下流的家伙
我要好好地,好好地,好好地教训一下你
我不会听你的解释
我很累
把肩膀借给我靠一下
喜欢你
骗你的
讨厌你
这也是骗你的
NO NO NO
你千万不要误会了
所以
我不会对你说喜欢
NO NO NO
如你去了别的地方
我绝对不会原谅你的
因为
我其实比任何人都更想在你的身边用爱的铁链散步去吧
其实
其实呢
我可能喜欢你的
零之使魔第三季
OP
YOU'RE THE ONE
演唱:ICHIKO
YOU'ER THE ONE,把我的未来交给你,
即使行走在没有路标的路上也没关系,只求两人在一起。
看不到终点的旅途,迷茫中前行,终于找到了,
我的容身之处,就是你的身旁。
争吵之后,无数次的,
我都想要抓住你离去的手,将你拥入怀中。
现在,YOU'ER THE ONE,把我的未来交给你,
如果你被泪雨打湿,I WANNA HOLD,
马上呼唤吧,我的名字。
我会去紧紧的拥抱你,
悲伤也好,逞强也罢,
都由我的双手,来承受。。。。。。。。
ED
ゴメンネ~ (抱歉了!)
演唱:钉宫理惠
哈啊.....怎么可能......但是......
突然背着你跑开,因为看到你对别的女孩温柔。
BOY,拜托你,来追我吧,我已经不好下台了。
哼........哼哼..........
I'M SO SORRY,“对不起”这三个字我说不出口。
对不起哦,明明是信任你的,却忍不住要对你凶。
没办法变成可爱的女孩,真对不起哦。
在下着绵绵细雨的街道里,抓住我,我就会回头。
亲一下作为和好的凭证,让我睡在你温暖的臂弯里吧.........
OP——I say yes
作词:森 由里子
作曲:坂部 刚
编曲:新井理生
歌:ICHIKO
I SAY YES ずっと 君の傍にいるよ
I say yes zu tto ki mi no so ba ni i ru yo
我愿答应你 永远陪伴在你身边
どんな未来が仆らを试したって きっと
don na mi ra i ga bo ku ra wo ta me si ta tte ki tto
无论未来会给予我们怎样的考验 一定能够…
Ah ふたりの运命 めぐり逢えたのは
Ah hu ta ri no un me mu ghu ri da a e ta no wa
我们的命运之所以会偶然相遇
君の声 聴こえたから
ki mi no ko e ki ko e ta ka ra
是因为我听见了你的呼唤
そう ピンチな出来事 押し寄せて来ても
soo pin tsi na de ki ko to no si yo se te ki te mo
即使危机不断向我们袭来
君といれば 乗り越えられる
ki mi to i re ba no ri ko e ra re ru
只要与你相伴就能够一同跨越
ときめきと 负けん気と
to ki me ki to ma ken ki to
无论是心动的我 还是好强的我
裏腹でハラハラするけど
na ka ha ra de ha ra ha ra su ru ke do
口是心非的我 其实是为你担忧
STAY WITH ME ただ 君を守りたいよ
stay with me ta da ki mi wo ma mo ri ta i yo
留下来陪我 我只希望将你守护
远い世界で生まれたふたりだけど
to o i se ga i de u ma re ta hu ta ri da ke do
哪怕我们来自于相隔遥远的世界
I SAY YES ずっと 君の傍にいるよ
I say yes zu tto ki mi no so ba ni i ru yo
我愿答应你 永远陪伴在你身边
どんな未来も希望に変えよう Forever
don na mi ra i mo ki boo ni ka e yoo Forever
无论未来会给予我们怎样的考验 直到永远…
Ah たとえばこの恋 魔法だとしても
Ah da to e ba ko no ko i ma ho da to si te mo
即使这份爱情只是魔法的结果
永远に解けないはず
e en ni to ke na i ha zu
它的效果也永远不会消失
そう もどれやしないよ 遥かなあの日に
soo mo do re ya si na i yo ha ru ka na a no hi ni
再也不要回到遥远的往日
君と出会う前の自分に
ki mi to de a iu ma e no ji ben ni
不要变回与你相遇之前的自己
ひたむきで 生意気で
hi ta mu ku de u yi ki de
无论是专注的我 还是任性的我
时々はドキドキするけど
to ki do ki wa do ki do ki su ru ke do
有的时候 还是会为你心跳加速
STAY WITH ME もう ひとりにはしないよ
Stay with me moo hi to ri ni wa si na i yo
留下来陪我 我再也不会扔下你
奇迹みたいに出会えた仆らだから
ki se ki mi ta i ni de a e ta bo ku ra da ka ra
因为我们的相遇就好像奇迹一般
I SAY YES ずっと 君を支えたいよ
I say yes zu tto ki mi wo sa sa e ta i yo
我愿答应你 永远成为你的依靠
时间がすべての景色をかえても Forever
to ki ga su be te no ke si ki wo ka e te mo Forever
哪怕周遭的一切都被时光所改变 直到永远…
强がりで 弱虫で
tsu yo ga ri de yo wa mu si de
无论是逞强的我 还是软弱的我
裏腹でハラハラするけど
na ka ha ra de ha ra ha ra su ru ke do
口是心非的我 其实是为你担忧
STAY WITH ME ただ 君を守りたいよ
stay with me ta da ki mi wo ma mo ri ta i yo
留下来陪我 我只希望将你守护
远い世界で生まれたふたりだけど
to o i se ga i de u ma re ta hu ta ri da ke do
哪怕我们来自于相隔遥远的世界
STAY WITH ME もう ひとりにはしないよ
Stay with me moo hi to ri ni wa si na i yo
留下来陪我 我再也不会扔下你
奇迹みたいに出会えた仆らだから
ki se ki mi ta i ni de a e ta bo ku ra da ka ra
因为我们的相遇就好像奇迹一般
I SAY YES ずっと 君の傍にいるよ
I say yes zu tto ki mi no so ba ni i ru yo
我愿答应你 永远陪伴在你身边
どんな未来も希望に変えよう Forever
don na mi ra i mo ki boo ni ka e yoo Forever
无论未来会给予我们怎样的考验 直到永远…
qq木马怎么杀??
朋友,你去安全模式杀毒吧.你用的是什么木马软件?我推荐你使用security suite 和QQ病毒专杀.
发现如下盗号木马,请重新启动电脑完成清除。查看被感染文件列表
Win32.QQPsw.VKTail.a
W32.Licum.vyb.dll
木马svhost32.exe、dms.dll手动删除
2007-01-07 13:01
病毒名称:N/A(Kaspersky)
病毒别名:Win32.Troj.PcRob.bh.60693(毒霸)
病毒大小:60,693 字节
传播方式:通过恶意网页传播,其它木马下载
技术分析
==========
病毒临时文件自解压在:
C:\Documents and Settings\user(你的计算机用户名)\Local setting\Temp下
病毒运行后复制自身到目录:
%ProgramFiles%\Microsoft\svhost32.exe
释放%System%\dms.dll注入进程。
创建自启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ms"="%ProgramFiles%\Microsoft\svhost32.exe"
清除步骤:
1. 删除病毒自启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ms"="%ProgramFiles%\Microsoft\svhost32.exe"
2. 用IceSorld 1.2 强制删除病毒文件:
%ProgramFiles%\Microsoft\svhost32.exe
%System%\dms.dll
【CISRT2006071】木马下载器 WinInfo.rxk WinInfo.bak 解决方案
2006-11-15 19:32
转自,
【CISRT2006071】木马下载器 WinInfo.rxk WinInfo.bak 解决方案
档案编号:CISRT2006071
病毒名称:N/A(Kaspersky)
病毒别名:
病毒大小:20,791 字节
加壳方式:UPX
样本MD5:ef13c880f2a5cfd628e352ebcf29527b
样本SHA1:bfe0314fe943c1d9eb589a79ec3a6e086619e6c9
发现时间:2006.11
更新时间:2006.11
关联病毒:传播方式:通过恶意网页传播、其它木马下载
技术分析
==========
运行后复制自身到:
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\WinInfo.bak
在相同目录下释放WinInfo.rxk,注入Explorer.exe进程:
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\WinInfo.rxk
创建启动信息,通过ShellExecuteHooks启动:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explore
r\ShellExecuteHooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
[HKEY_CLASSES_ROOT\CLSID\{06A48AD9-FF57-4E73-937B-B493E72F4226}\InProcServer32]
@="%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\WinInfo.rxk"
尝试访问网络下载其它病毒、木马或其它恶意程序。
清除步骤
==========
1. 删除病毒创建的ShellExecuteHooks启动信息:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explore
r\ShellExecuteHooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"
[HKEY_CLASSES_ROOT\CLSID\{06A48AD9-FF57-4E73-937B-B493E72F4226}]
2. 重新启动计算机
3. 删除文件:
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\WinInfo.rxk
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\WinInfo.bak
中了svohost.exe或sxs.exe的网友看过来
--svohost.exe或sxs.exe杀毒方法
发现硬盘老是有个程序删不掉我就知道中毒了,把我的杀毒软件都关了,在重装根本就装不上,真是郁闷,就上网上查一下解决方法,整整用了四个小时才把病毒搞定。
有史以来第一次遭遇如此顽固的病毒,网上找了找,没有统一的名字,瑞星称为 Trojan.PSW.QQPass.pqb 病毒,我就叫它 sxs.exe病毒吧
重装系统后,双击分区盘又中了,郁闷,瑞星自动关闭无法打开,决定手动将其删除
现象:系统文件隐藏无法显示,双击盘符无反映,任务管理器发现 sxs.exe 或者 svohost.exe (与系统进程 svchost.exe 一字之差),杀毒软件实时监控自动关闭并无法打开
找了网上许多方法,无法有效删除,所谓的专杀工具根本对它没什么用。综合几个人的杀毒方法才把它彻底清除。
现在把方法总结如下:
在以下整个过程中不得双击分区盘,需要打开时用鼠标右键——打开
一、关闭病毒进程
Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉(我的电脑里出现的是SVCHOST)注意别搞错了。
二、显示出被隐藏的系统文件
运行——regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
除病毒
在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。
四、删除病毒的自动运行项
打开注册表运行——regedit
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
下找到 SoundMam 键值,可能有两个,删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的
最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe
重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。
五、后续
杀毒软件实时监控可以打开,但开机无法自动运行
最简单的办法,执行杀毒软件的添加删除组件——修复,即可
六、最新消息
瑞星已出了专杀工具,不幸中此病毒的朋友可以去下面地址,下载“橙色八月专用提取清除工具”
引用说明:
8月初出现了大量针对主流杀毒软件编写的恶性病毒。它们除了具有常见危害外,还会造成主流杀毒软件和个人防火墙无法打开,甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。
瑞星“橙色八月专用提取清除工具”专门针对此类病毒编写,可清除“QQ通行证(Trojan.PSW.QQPass)”、“传奇终结者(Trojan.PSW.Lmir)”、“密西木马(Trojan.psw.misc)”等病毒及其变种。没有安装瑞星杀毒软件的用户可免费下载使用。
注:建议您重新启动计算机,按住F8键,选择“安全模式”,进入后使用此工具杀毒。
附:病毒列表上的病毒主要针对以下安全软件
卡巴斯基
Symantec AntiVirus
瑞星
江民杀毒软件
天网防火墙个人版
噬菌体
木马克星
金山毒霸
SVOHOST.EXE是什么进程
答案之一:“武汉男生变种MN(Trojan.QQMSG.WHboy.mn)”病毒:
警惕程度★★★,木马病毒,通过网络传播,
依赖系统:WIN9X/NT/2000/XP。
病毒运行后将自身复制到Windows系统目录下,文件名为“svohost.exe”,同时修改注册表项目实现开机自动运行。
病毒将IE的首页修改为“. ***iex.com”,使用户每次打开IE都会浏览该病毒网站。
答案之二:
windows下面的木马病毒。会自动关闭系统里的杀毒软件及注册表,任务管理器等窗体!病毒还会修改IE的主页,自动从网络上下载病毒并运行!
删除方法:
1) 运行DOS命令行(开始--运行--输入CMD--回车),在提示符下输入tasklist 。应该会发现你说的svochost.exe这个进程。
2)taskkill /f /im svochost.exe 关闭进程。
3)搜索系统里的svochost.exe文件(包括隐藏文件和系统文件)还有lsasa.exe这个也要删除。
4)运行相关杀毒软件杀毒!
5)即使病毒删除后,还会有一些负面影响,比如txt,exe文件的关联被修改..===
SVOHOST的解决方法!
我电脑最近开机就出现SVOHOST这个进程(任务管理器中)。点击结束进程就行。但每次都出现。用超级兔子木马专杀试了下,不管用,安全状态下也不管用。我的卡巴斯基根本检查不出来,怎么办呢?
svohost.exe是Trojan-Proxy.Win32.Agent.if木马相关程序,建议立即删除。
病毒运行后会将自身复制到系统目录下,文件名为“SVOHOST.exe”和“hsoft.exe”。同时在注册表中添加Run/SoundMam信息,实现开机自动运行或打开文本文件时自动运行。
该病毒会自动向QQ好友发送内容为“让我成功申请x位QQ号和Q币动画,朋友推荐我的,你看看http: //www.***iex.com/abc.exe”等的消息,用户点击消息中的网址就有可能被病毒感染。
同时还有以下症状:
1、卡巴司机无法启动(后来知道是系统服务被禁用了)。
2、无法察看隐藏文件(修改注册表)
3、病毒文件在system32文件夹找不到
4、在启动项里面有个svohost.exe,改启动项之后发现还是会被自动添加
估计病毒文件是隐藏的。。
后来我再来补另一位朋友的解决心得吧:
病毒的删除
1.打开CMD.输入命令tasklist回车查看一下..果然发现了这个进程:svohost.exe(虽然他禁用了任务管理器,但在CMD下用tasklist命令还是可以查看到进程信息的)
2.关了他.输入命令taskkill /f /im svohost.exe
提示成功.
3.搜索svohost.exe这个文件(把搜索隐藏文件也勾上)搜索到后删除!似乎有两个.一个是完全大写的.一个是完全小写的.
事实上还有一个程序叫lsasa.exe的也得删除.他模仿的是WINDOWS的正常进程lsass.exe.操作到这里大家应该可以打开注册表 任务管理器了但是得恢复TXT文件关联和恢复EXE文件关联
备注 部分会员出现结束进程后病毒 暂时失效 但是重起后死灰复燃 请注意在造作成功后 马上利用自己的杀毒工具 或者 QQ专杀进行杀毒 因为这个时候病毒的壳被去掉了 我们可以抓住这个时机做下杀毒
4.本以为没问题了.后来还发现一个问题.他还修改了注册表的一处,使文件夹选项中对隐藏文件的设置始终为"不显示隐藏文件",这么做的主要目的在于让你在WINDOWS环境下找不到被设定隐藏属性的病毒源文件.但这里还有几种手段可以找到他.
1.用WINDOWS的搜索.只要在高级选项里把"搜索隐藏的文件和文件夹"勾上就可以找到了.
2.在命令提示符里用dir /a命令也可以查看到.麻烦一点罢了.由于WINDOWS和SYSTEM32目录下文件太多.用dir命令的时候.最好再加一个参数.dir /a /p这样会更好.
我们到注册表里去把他改回正常状态.
打开注册表.找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL这个键.看右边.找到一个CheckedValue的值.我注意到这个该死的病毒居然把他改成了字符串值.如果你不小心的话.也许会认为改了也没用.把这个值删除.重建一个DWORD的值为CheckedValue.把他的值设为1.
改了注册表,显示了隐藏文件把svohost删了好像就没有事了
常见的QQ病毒有哪些
一.“ QQ尾巴”病毒
病毒主要特征:
这种病毒并不是利用QQ本身的漏洞 进行传播。它其实是在某个网站首页上嵌入了一段恶意代码,利用IE的iFrame系统漏洞自动运行恶意木马程序,从而达到侵入用户系统,进而借助QQ进行垃圾信息发送的目的。用户系统如果没安装漏洞补丁或没把IE升级到最高版本,那么访问这些网站的时候其访问的网页中嵌入的恶意代码即被运行,就会紧接着通过IE的漏洞运行一个木马程序进驻用户机器。然后在用户使用QQ向好友发送信息的时候,该木马程序会自动在发送的消息末尾插入一段广告词,通常都是以下几句中的一种。
QQ收到信息如下:
1. HoHo~~ **.com刚才朋友给我发来的这个东东。你不看看就后悔哦,嘿嘿。也给你的朋友吧。
2. 呵呵,其实我觉得这个网站真的不错,你看看***.com/
3. 想不想来点摇滚粗口舞曲,中华 DJ 第一站,网址告诉你**.com.。不要告诉别人 ~ 哈哈,真正算得上是国内最棒的 DJ 站点。
4. http//***.com 帮忙看看这个网站打不打的开。
清除方法:
1.在运行中输入MSconfig,如果启动项中有“Sendmess.exe”和“wwwo.exe”这两个选项,将其禁止。在C:\WINDOWS一个叫qq32.INI的文件,文件里面是附在QQ后的那几句广告词,将其删除。转到DOS下再将“Sendmess.exe”和“wwwo.exe”这两个文件删除。
2.安装系统漏洞补丁
由病毒的播方式我们知道,“QQ尾巴”这种木马病毒是利用IE的iFrame传播的,即使不执行病毒文件,病毒依然可以借由漏洞自动执行,达到感染的目的。因此应该敢快下载IE的iFrame漏洞补丁。
二. QQ“缘”病毒
病毒特征:
该病毒用VB语言编写,采用ASPack压缩,利用QQ消息传播。运行后会将IE默认首页改变为:.**115.COM/,如果你发现自己的IE首页被修改成以上网址,就是被该病毒感染了。
病毒会利用QQ发送例如“今天在网上下了本电子书,书名叫《缘》,写得不错,而且书的作者的名字很巧…………点击下面这个地址可以下载这本书”;“1937年12月13日,300000南京人民被侵华日军集体大屠杀!!!所有的中国人都不应忘记这个日子,从始至终日本人都没有改变它们的野心!中华儿女要团结自强牢记历史,我们要时刻警惕日本人的野心,钓鱼岛是中国的领土!!!台湾是中国不可分割的一部份!!!请你将此消息发给你QQ上的好友!”等消息,消息里的链接是病毒网址。
清除方法:
使用了下面的办法将其彻底删除。
找到下列文件:
C:\windows\system\noteped.exe
C:\windows\system\Taskmgr.exe
C:\Windows\noteped.exe
C:\Windwos\system32\noteped.exe
删除掉:其中Taskmgr.exe 要先打开"window 任务管理器",选中进程"Taskmgr.exe",杀掉
注意:有两个名字叫"Taskmgr.exe"进程,一个是QQ病毒,一个是你刚才打开的"Window 认为管理器"然后到注册表中找到"\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run"找到"Taskmgr" 删除
如果你还不明白那请你先找到那几个文件,然后再按下面步骤操作:
1.在任务栏上点击鼠标右键,选择任务管理器
2.选择进程里的Taskmgr.exe,但我后来又测试也进行名称不一定是大写的,也有可能是小写,一般排在上面的一个是。
3.点击开始-运行,输入Regedit进入注册表
4.在注册表中找到 "\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run,将Taskmgr"项删除"。
删除后重启计算机,《缘》QQ病毒宣布彻底删除。
另外提醒大家,尽快更新你的IE到IE6 SP1(立即下载) 这样可以减少很多的IE被改机会。
三、“QQ狩猎者”病毒
病毒特征:
1、在进行QQ聊天时会在消息中加入信息"向你介绍一个好看的动画网: "
2、当浏览带毒网站时,会利用IE漏洞,尝试新增sys文件和tmp文件的执行关联,并下载执行病毒文件 b.sys,如果IE已经打上补丁,则会弹出一个插件对话框,引诱用户安装,安装后会将自己安装到 %Windows%Downloaded Program Files 文件夹中,文件名为"b.exe",如果用户拒绝安装该插件,会不断弹出对话框要求用户安装。
3、复制文件:
A、复制病毒体到 %SystemRoot% 文件夹中,文件名为"Rundll32.exe";
B、复制病毒体为 "C:\cmd.exe";
C、试图复制病毒体到共享目录中,名为"病毒专杀.exe"和"周杰伦演唱会.exe"。
4、添加注册表启动项,以随机启动在注册表的主键:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run添加以下键值"LoadPowerProfile"="%SystemRoot%Rundll32.exe"
5、修改和新增以下文件关联
A、修改.exe文件的关联,每当执行exe文件时,即首先执行病毒预先复制的病毒文件。在注册表的主键:HKEY_CLASS_ROOT\exefile\shell\open\command 修改如下键值:默认="C;\cmd.exe %1 *"
B、新增.sys文件的执行关联,使得在浏览带毒网站时执行病毒文件 b.sys在注册表的主键: HKEY_CLASS_ROOT\sysfile\shell\open\command修改如下键值:默认="""%1"" %*"
C、新增.tmp文件的执行关联在注册表的主键:HKEY_CLASS_ROOT\tmpfile\shell\open\command修改如下键值:默认="""%1"" %*"
6、试图偷传奇游戏的密码,并通过自带的邮件引擎以"mj25257758@263.sina.com"的名义发送到"scmsmj@tom.com"信箱中。
7、在Win2000、WinXP、Win2003系统中,系统文件"Rundll32.exe"就在系统目录中,因而病毒会尝试将该文件覆盖,但这几个系统都能自动保护并恢复受到破坏的系统文件,因而病毒不能正常加载,但仍可以通过EXE关联被加载.
清除方法:
A、关闭Windows Me、Windows XP、Windows 2003的“系统还原”功能;
B、重新启动到安全模式下;
C、先将regedit.exe改名为regedit.com,再用资源管理器结束cmd.exe进程,然后运行regedit.com,将EXE关联修改为""%1" %*",再删除以下文件:C:\cmd.exe、%Windows%\Download Program Files\b.exe。对于Win9x系统,还要删除%SystemRoot%\Rundll32.exe,再到共享目录中看有没有"病毒专杀.exe"和"周杰伦演唱会.exe"这两个文件,文件大小为11184字节,如果有,将其删除。
D、清理注册表:
打开注册表,删除主键 HKEY_CLASSES_ROOT\sysfile\shell\open、HKEY_CLASSES_ROOT\tmpfile\shell\open 修改 HKEY_CLASSES_ROOT\exefile\shell\open\command 的键值为 "%1" %*
防范措施:
不要轻易点击QQ上的不明链接,不要安装来历不明的插件(如该病毒网站上所谓的"动画播放插件2.0")。
四、“武汉男生”病毒
病毒特性:
此病毒是“武汉男生”的一系列新变种,病毒发作后会利用QQ聊天工具进行传播,定时给QQ网友发送包含网址的信息来诱使用户点击,该网页利用了IE的Object Data漏洞下载并运行病毒本身,该漏洞是由HTML中OBJECT的DATA标签引起的。对于DATA所标记的URL,IE会根据服务器返回的HTTP头来处理数据。如果HTTP头中返回的URL类型Content-Type是Application/hta,那么该URL指定的文件就能够执行,无论IE设置的安全级别有多高。
该变种较明显的特点是,病毒运行后,除定时发给QQ网友同样的网址外还会趁机盗取“传奇”游戏的帐户、密码以及其他信息,并以邮件形式发给盗密码者,还会结束多种反病毒软件,以保护自身不被清除。
(1)如果点击病毒网页,将会显示美女图片,而同时弹出一个标题为“asp空间”的不可见窗口。此网页利用IE漏洞,下载并运行leoexe.gif和leo.asp文件,其中leoexe.gif并不是图像文件,而是exe类型的病毒体,leo.asp是病毒释放器;
(2)病毒一旦运行,将结束大部分杀毒软件、防火墙以及某些病毒专杀工具;
(3)每隔一段时间给QQ网友发送信息
(4)病毒运行后会复制自身到系统目录下,文件名是updater.exe、Systary.exe、sysnot.exe,并在注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中添加:
“windows update” = “%安装目录%\system\updater.exe” %安装目录% 是Windows 系统的安装目录,在不同系统下该目标表现可能不同,可能的有:c:\windows;c:\winnt 等。
(5)修改文本文件(*.txt)关联和可执行文件关联,直接指向病毒本身,如果用户运行任意的txt文件和exe文件都会激活病毒。
(6)病毒会在计算机中搜索传奇游戏的帐户、密码以及其他信息,发送到指定的E-Mail信箱。
清除病毒
1、删除病毒在系统目录下释放的病毒文件
2、删除病毒在注册表下生成的键值
3、运行杀毒软件,对病毒进行全面清除
五、“爱情森林”病毒
(一)病毒特征
该木马程序原始文件名为hack.exe,用Delphi编写,并用UPX进行了压缩。木马程序被运行后会:
1、复制自身到Windows操作系统的system目录(通常为windowssystem)下,并改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会迷惑用户,使用户误认为这是一个正常的系统文件。
2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Explorer="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录)
3、该木马程序还会在站点下载文件update.exe,
并执行下载下来的程序,进行其它的破坏活动。
清除方法
(1)先打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。
(2)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。
(二)变种一病毒特征
该病毒运行后会:
1、复制两个自己的拷贝到Windows的系统目录(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下,并分别更名为rundll.exe和sysedit32.exe。
2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值intarnet="%windowssystem%rundll.exe",使木马程序在开机后自动运行(其中%windowssystem%为Windows的系统目录)。
3、修改注册表,修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为%windowssystem%sysedit32.exe,关联记事本,使用户打开txt文件时木马程序能获得运行机会。
4、该木马会通过QQ程序向其它的QQ用户发送“,你快去看看”
的消息,诱导用户浏览含有恶意代码的网页。
5、该木马还会尝试盗取QQ用户的密码并将其发送至指定的邮箱。有趣的是,由于病毒作者使用了一个组件来发送邮件,因此当木马程序执行发送邮件的操作时,该组件可能会弹出两个对话框,其中一个的内容为“220 welcom to coremail system(With Anti-Spam) 2.1”,另外一个对话框为“Cannot open file .mima.txt”。
清除方法
(1)打开任务管理器,结束掉RUNDLL和SYSEDIT32进程。
(2)删除系统文件夹(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下名为RUNDLL.exe和sysedit32.exe的文件(文件大小为1781752字节)。
(3)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为intarnet=%windowssystem%rundll.exe\"的键值。恢复HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为Notepad %1。(其中%windowssystem%为Windows的系统文件夹)
(4)若根目录下存在文件setup.txt或mima.txt,将其删除。
(三)变种二病毒特征
该木马程序被包装在一个名为s.eml的邮件中,并且利用了Iframe漏洞。当没有打补丁的用户浏览含有该邮件的网页时,邮件中的木马程序(Hack.exe)就会自动运行。
木马程序被运行后会:
1、复制自身到Windows系统目录(通常为windowssystem)下,改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会使用户误认为这是一个正常的系统文件。
2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Intarnet="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录)
3、该木马程序会通过QQ的“发送消息”窗口给QQ用户的网友发送如下信息“去看看,很好看的”,
当用户点击该网址浏览时,木马程序就会被再次激活,从而使该木马通过QQ聊天工具不断地传播自己。
清除方法:
(1)打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。
(2)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。
(四)变种三病毒特征
该病毒运行后会:
1、复制两个自己的拷贝到Windows的系统目录(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下,并分别更名为rundll.exe和sysedit32.exe。
2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值intarnet="%windowssystem%rundll.exe",使木马程序在开机后自动运行(其中%windowssystem%为Windows的系统目录)。
3、修改注册表,修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为%windowssystem%sysedit32.exe,关联记事本,使用户打开txt文件时木马程序能获得运行机会。
4、修改注册表,修改IE浏览器的默认页,开始页,起始页。
5、该木马会通过QQ程序向其它的QQ用户发送“,你快去看看”
的消息,诱导用户浏览含有恶意代码的网页。
6、该木马还会尝试盗取QQ用户的密码并将其发送至指定的邮箱。
清除方法:
(1)打开任务管理器,结束掉RUNDLL和SYSEDIT32进程。
(2)删除系统文件夹(Win9x通常为Windows\\system,WinNt通常为WinNt\\system32)下名为RUNDLL.exe和sysedit32.exe的文件(文件大小为1781752字节)。
(3)打开注册表编辑器,删除HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下名为intarnet=%windowssystem%\\rundll.exe\"的键值。恢复HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command的默认键值为Notepad %1。(其中%windowssystem%为Windows的系统文件夹)
(4)恢复IE的设置。打开注册表编辑器,恢复HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page,HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Default_Page_URL,HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Local Page的设置为原来的内容。
(五)变种四病毒特征
该木马程序用Delphi编写,并用UPX进行了压缩,但该程序需要用户的机器上安装了Delphi的动态库才能运行。该程序具有同“爱情森林”的第一个版本相同的特征,因此极有可能是病毒作者对“爱情森林”的第一个版本重新编译后生成的。木马程序被运行后会:
1、复制自身到Windows操作系统的system目录(通常为windowssystem)下,并改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会迷惑用户,使用户误认为这是一个正常的系统文件。
2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Explorer="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录)
3、该木马程序还会在站点下载文件update.exe,
并执行下载下来的程序,进行其它的破坏活动。
清除方法
(1)先打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。
(2)打开注册表编辑器,删除HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下名为Explorer的键值
六、“QQ女友”病毒
病毒特征:
利用QQ发送诱惑信息,导致用户上当。病毒发送一些诱惑新的文字和链接给在线的好友,致使不明真相的用户上当。
1.复制自己到系统目录:
%SYSDIR%\internet.exe
%SYSDIR%\svch0st.exe
2.修改如下注册表键值病毒自启动的伎俩:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Network Associates, Inc." = "INTERNET.EXE"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"S0undMan" = "%SYSDIR%\SVCH0ST.EXE"
3.病毒运行后将建立一个HTTP服务器,监听TCP端口20808
该功能将响应远程的下载请求,将本地的病毒文件复制到远程机器。
4.病毒搜索QQ聊天软件,向在线的好友发送诱惑信息,内容如下:
“你是那样地美,美得象一首抒情诗。你全身充溢着少女的纯情和青春的风采。
留给我印象最深的是你那双湖水般清澈的眸子,以及长长的、一闪一闪的睫毛。
像是探询,像是关切,像是问候……………………
这是你需要的东西:
下载地址1
http://*.*.*.*::20808//%DRIVE%c:\\filename.exe
下载地址2
http://*.*.*.*::20808//%DRIVE%c:\\filename.exe”
其中*.*.*.*为本机地址,%filename%为下列之一:
"c:\setup.exe"
"c:\hello.exe"
"c:\flash.com"
"c:\123456.exe"
"c:\pass.exe"
"c:\game.exe"
"c:\my_photo.exe"
"c:\update.exe"
"c:\mp3.exe"
"c:\666666.exe"
这些都是病毒本身。
5.鉴于该病毒的特殊性,尤其是女性的使用QQ的用户,请看到上述信息时请不要上当。
清除方法
(1)打开任务管理器查看是否存在进程名为: INTERNET.EXE或SVCH0ST.EXE,终止它
(2)打开注册表编辑器,删除如下键值如果存在的话:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Network Associates, Inc." = "INTERNET.EXE"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"S0undMan" = "%SYSDIR%\SVCH0ST.EXE"
(3)将%WINSYS%目录下的文件: SVCH0ST.EXE和SVCH0ST.EXE删除
注:%WINSYS%位Windows系统的安装目录,在win9x,winme,winxp下默认为:C:\WINDOWS\SYSTEM,win2k下默认为:C:\WINNT\SYSTEM32。