查出有update.exe病毒,但杀不了,怎么办?
打开任务管理器,点击“查看”,再点“选择列”勾“PID(进程标识符)”找到C:\PROGRA~1\OCINS\UPDATE\UPDATE.EXE 的PID,然后单击开始-运行-输入cmd-在命令提符下输入"taskkill /pid PID号,就禁止了病毒的进程,然后打开“文件粉碎机”(推荐用360的),勾选“防止文件再生”再导入病毒的目录,粉碎病毒就行了。
电脑有病毒一般需要使用杀毒软件全盘杀毒,如果遇到查杀不掉的病毒需要分什么情况分析:
1、如果杀毒杀出来的病毒删除不掉,安全模式下查杀,还是不行使用强删工具删除文件。
2、局域网环境,计算机在联网的时候文件能杀掉但是总杀总有,断网可以杀干净,属于局域网感染病毒,修复系统漏洞,对局域网计算机进行杀毒,杀干净再看。
3、断网情况下依然总杀总有,病毒可以杀掉但是反复回写,说明病毒主体没有查杀出来,不停的释放其他病毒文件,使用filemon工具,通过进程动作的监控,查出是哪个进程再不停的释放其他病毒文件,把病毒主体删除,如果这个操作无法自行操作,请联系杀毒软件的技术客服解决。
国家计算机病毒应急处理中心通过监测,于2004年3月2日发现“贝革热” 病毒一个新变种Worm_Bbeagle.J,该变种已经在美国、加拿大等地传播,并且已经在我国出现。
国家计算机病毒应急处理中心提醒广大计算机用户升级杀毒软件,启动“实时监控”,做好病毒的预防工作。
有关该病毒的详细信息如下。
病毒名称:“贝革热”变种(Worm_Bbeagle.J)
其它中文命名:“恶鹰”变种I(金山)、“恶鹰”(瑞星)
其它英文命名:W32/Bagle.j@MM (McAfee)
WORM_BAGLE.J (Trend Micro)
I-Worm.Netsky.d (Kaspersky)
Win32.Bagle.J (Computer Associates)
W32/Bagle-J (Sophos)
病毒类型:蠕虫
感染系统:Windows 95/98/Me/NT/2000/XP
病毒长度:字节
病毒特征:12,288字节
病毒通过电子邮件进行传播,运行后,在系统目录下生成自身的拷贝,修改注册表键值。病毒同时具有后门能力。
1、生成病毒文件
病毒运行后,在%System%文件夹下生成自身的拷贝,名称为irun4.exe。
病毒还在%system%文件夹下生成irun4.exeopen,该文件是一个加过密的.zip文件包,其内容为病毒代码,密码是随机生成的。
(其中,%System%在Windows 95/98/Me 下为C:,在Windows NT/2000下为C:,
在Windows XP下为 C:)
2、修改注册表项
病毒添加注册表项,使得自身能够在系统启动时自动运行,在
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下添加"ssate.exe"="%System%.exe"
3、通过电子邮件进行传播
病毒在被感染用户的系统内搜索以下扩展名的文件,寻找电子邮件地址,并使用的自带的SMTP向这些地址发送带毒的电子邮件。
.wab、.txt、.msg、.htm、.xml、.dbx、.mdx、.eml、.nch、.mmf、
.ods、.cfg、.asp、.php、.pl、.adb、.tbb、.sht、.uin、.cgi
同时,病毒会避免发送病毒邮件到包含下列字符串的邮件地址:
@hotmail.com
@msn.com
@microsoft
@avp.
noreply
local
root@
postmaster@
病毒发送的带毒电子邮件格式如下:
发件人:(为下列之一),其中< recipient domain> 为邮件接收者邮件服务器的域,例如,如果邮件接收者的电子邮件地址为tjbj@163.net,< recipient domain>就为163.net。
management@<recipient domain>
administration@<recipient domain>
staff@<recipient domain>
noreply@<recipient domain>
support@<recipient domain>
主题:(为下列之一)
E-mail account disabling warning.
E-mail account security warning.
Email account utilization warning.
Important notify about your e-mail account.
Notify about using the e-mail account.
Notify about your e-mail account utilization.
Warning about your e-mail account.
内容:相对于同期出现的病毒,该变种的内容较多,可能为下列几部分字符串的任意组合。
第一部分:
(1)Dear user of <domain>,
(2)Dear user of <domain> gateway e-mail server,
(3)Dear user of e-mail server "<domain>",
(4)Hello user of <domain> e-mail server,
(5)Dear user of "<domain>" mailing system,
(6)Dear user, the management of <domain> mailing system wants to let you know that,
第二部分:
(1)Your e-mail account has been temporary disabled because of unauthorized access.
(2)Our main mailing server will be temporary unavaible for next two days, to continue receiving mail in these days you have to configure our free auto-forwarding service.
(3)Your e-mail account will be disabled because of improper using in next three days, if you are still wishing to use it, please, resign your account information.
(4)We warn you about some attacks on your e-mail account. Your computer may contain viruses, in order to keep your computer and e-mail account safe, please, follow the instructions.
(5)Our antivirus software has detected a large ammount of viruses outgoing from your email account, you may use our free anti-virus tool to clean up your computer software.
(6)Some of our clients complained about the spam (negative e-mail content) outgoing from your e-mail account. Probably, you have been infected by a proxy-relay trojan server. In order to keep your computer safe, follow the instructions.
第三部分:
(1)For more information see the attached file.
(2)Further details can be obtained from attached file.
(3)Advanced details can be found in attached file.
(4)For details see the attach.
(5)For details see the attached file.
(6)For further details see the attach.
(7)Please, read the attach for further details.
(8)Pay attention on attached file.
第四部分:<domain> 为邮件服务器的域,如163.net
The <domain> team http://www.<domain>
第五部分:
(1)The Management,
(2)Sincerely,
(3)Best wishes,
(4)Have a good day,
(5)Cheers,
(6)Kind regards,
第六部分:如果病毒邮件的附件为.zip文件,病毒邮件还包含下列字符串之一。其中"<password>"是五位随机数字,为病毒邮件.zip附件的密码。
(1)For security reasons attached file is password protected. The password is "<password>".
(2)For security purposes the attached file is password protected. Password is "<password>".
(3)Attached file protected with the password for security reasons. Password is <password>.
(4)In order to read the attach you have to use the following password: <password>.
附件:附件名称为下列之一,扩展名位.zip或.pif
Attach
Information
Readme
Document
Info
TextDocument
TextFile
MoreInfo
Message
4、通过网络共享进行传播
病毒搜索包含字符串“shar” 的文件夹中,在找到的文件夹下生成病毒文件的副本,并通过网络共享进行传播,病毒文件名字如下:
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
5、后门能力
病毒在被感染的系统中打开TCP端口2745进行监听,以允行攻击者向该端口发送信息,并自动下载新的程序到受感染系统的%Windir%目录中,名字为iuplda<x>.exe,其中<x>为随机字符。
这有可能成为新病毒传播的一个途径。
病毒通过TCP端口80,发送HTTP GET 请求到下列网址,并通过此种方式来获得受感染系统的IP地址和打开的端口号。
postertog.de
www.gfotxt.net
www.maiklibis.de
7、终止进程
病毒会终止以下进程,来阻止和扰乱反病毒软件的升级,是用户的反病毒软件无法处理最新病毒。
Atupdater.exe
Aupdate.exe
Autodown.exe
Autotrace.exe
Autoupdate.exe
Avltmain.exe
Avpupd.exe
Avwupd32.exe
Avxquar.exe
Cfiaudit.exe
Drwebupw.exe
Icssuppnt.exe
Icsupp95.exe
Luall.exe
Mcupdate.exe
Nupgrade.exe
Outpost.exe
Update.exe
手工清除该病毒的相关操作:
1、终止病毒进程
在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE,在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC,选择“任务管理器--〉进程”,选中正在运行的进程“irun4.exe”,并终止其运行。
2、注册表的恢复
点击“开始--〉运行”,输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除面板右侧的"ssate.exe"="%System%.exe"
3、删除病毒释放的文件
点击“开始--〉查找--〉文件和文件夹”,查找文件“irun4.exe”和“irun4.exeopen”,并将找到的文件删除。
4、运行杀毒软件,对系统进行全面的病毒查杀
用户一定要了解该病毒的主要特征,遇到此类邮件立即删除,千万不要打开邮件的附件,避免病毒的感染和进一步的传播。
目前,金山、瑞星公司已经上报解决方案,并对产品进行了升级,都可以有效的清除该病毒。
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心
网 址:http://www.antivirus-China.org.cn
电 话:022-66211488/66211489/66211490
传 真:022-66211487
电子邮件:security@tj.cnuninet.net
杀不掉?找我啊,给你个绝对能杀掉的软件,给我留言吧,你说的太笼统,不知道该怎么帮你
电脑为什么总出现update. exe?
平常应加强信息安全意识,对来源不明的可执行程序绝不好奇。 2.更新操作系统,让操作系统的安装程序重新拷贝正确版本的系统文件、修正系统参数。有时候操作系统本身也会有BUG,要注意安装官方发行的升级程序。update.exe应用程序错误、update.exe已停止工作、update.exe,这个英文是程序名,到网上搜索一下看看...
电脑出现update. exe-系统错误怎么办?
1、以WIN7系统为例,右击电脑下方的任务栏,弹出右击的下拉子菜单,在子菜单中可以看到“启动任务管理器”。2、点击“启动任务管理器”,打开任务管理器窗口,在窗口上方可以看到“进程”。3、点击“进程”,进入到任务管理器的进程页面,可以在进程的页面上找到“update.exe”的进程。4、然后右击“updat...
电脑一直出现update.exe-应用程序错误怎么办?
update.exe应用程序错误、update.exe已停止工作、update.exe,这个英文是程序名,到网上搜索一下看看是什么程序,或你在操作什么出现的?找到相关程序后卸载。还是不行,可能是木马、恶意程序引起的,建议,下载Win清理助手查杀木马,还原一下系统或重装(你在操作什么出现的?出事前你是怎么操作的?下载什么...
查出有update.exe病毒,但杀不了,怎么办?
我在电脑中根本搜不到有update.exe这个东西,进入安全模式也同样搜不到。注册表中也没有什么update.exe链接。该怎么办啊???谢谢cdcd888,不过我的进程里没有irun4.exe这个进程。另外,点击“开始--〉查找--〉文件和文件夹”,也找不到“irun4.exe”和“irun4.exeopen”文件。 展开 我来答 提示该问答中...
电脑弹出update. exe已停止工作是什么问题?
电脑弹出“update.exe已停止工作”的问题通常是由于软件冲突、系统错误或更新文件损坏导致的。这个问题出现时,通常意味着系统中的某个程序或进程无法正常运行。其中,“update.exe”通常是某个软件或系统更新的执行文件,当它遇到问题时,可能会导致更新进程中断,或者在尝试启动时失败...
电脑上一直出现Updateexe应用程序错误怎么办
1. **检查病毒和木马**:首先,使用可靠的杀毒软件全面扫描系统,确保没有病毒或木马程序干扰。这类恶意软件可能会修改系统文件或注册表,导致Update.exe等程序运行异常。2. **更新或卸载相关软件**:Update.exe通常是某个软件的更新程序。如果确定该程序与错误相关,尝试更新该软件到最新版本,或者如果...
电脑上一直出现“Update.exe-应用程序错误”怎么办
电脑上一直出现“Update.exe-应用程序错误”的解决方法是检查系统更新、执行病毒扫描、重新安装相关软件或执行系统还原。首先,这种错误可能是由于系统文件损坏、软件冲突、病毒感染或是操作系统的问题。为了解决这一问题,用户应该首先尝试检查电脑是否有可用的系统更新。有时候,操作系统或者相关软件...
电脑经常弹出Update.exe应用程序错误
系统更新错误。请用系统自带的系统还原,还原到你没有出现这次故障的时候修复(或用还原软件进行系统还原,如果进不了系统,开机按F8进入安全模式还原系统)。2、如果故障依旧,使用系统盘修复,打开命令提示符输入SFC \/SCANNOW 回车(SFC和\/之间有一个空格),插入原装系统盘修复系统,系统会自动对比修复的...
Win7系统总是弹出update.exe已停止工作 怎么解决??
Win7系统总是弹出update.exe已停止工作是设置错误造成的,解决方法为:1、回到桌面,右键单击任务栏空白处,如下图所示。2、右键菜单点击启动任务管理器,如下图所示。3、进入任务管理器,点击文件,如下图所示。4、点击新建任务运行,如下图所示。5、运行中输入explorer.exe点击确定,如下图所示。6、...
电脑出现windowsupdate是什么意思?
Windowsupdate是由Microsoft提供的自动更新工具。一般来说,当计算机发现错误或驱动程序有问题,或有软件更新时,它会自动更新。windowsupdate顾名思义就是系统升级,而当电脑显示器显示出“配置windowsupdate请勿关闭计算机”时,说明电脑系统已作出修改,系统正处于自我调整状态。WindowsUpdate,一般指Windows更新...
应奔抒彤: 这是正常文件,一般是杀毒软件的升级程序,像瑞星就有,也有可能是其它升级程序.UPDATE就有升级的意思.
荣昌县15945428065: 为什么我的电脑老出现这个东西??
应奔抒彤: update.exe是病毒程序,系统文件有update,正确进程是wuauclt.exe,负责系统更新,但是肯定没有update.exe,你的情况极可能是update.exe被杀毒软件杀了,但是不是太干净.进入安全模式,查杀病毒,并且搜索update.exe删除.
荣昌县15945428065: update.exe - 应用程序错误怎么解决 - ?
应奔抒彤: update.exe应用程序错误、update.exe已停止工作、update.exe,这个英文是程序名,到网上搜索一下看看是什么程序,或你在操作什么出现的?找到相关程序后卸载.还是不行,可能是木马、恶意程序引起的,建议,下载Win清理助手查杀木马...
荣昌县15945428065: 怎样清除 UPdate.exe 病毒??
应奔抒彤: 这是感染性病毒,感染了几乎所有的exe文件.处理感染性病毒要特别谨慎,因为很多杀毒软极不是修复文件而是直接删除.双击360系统急救箱,然后单击“开始系统急救”. 系统引擎初始化完成后,单击“修复”,勾选需要修复的类型,然后单击“立即修复”,完成后重新启动电脑.如果你不知道属于哪一类故障不懂得应该修复哪一类可以使用系统推荐的修复级别,不用选择而直接单击“立即修复”,或者勾选“全选”然后直接单击“立即修复”.
荣昌县15945428065: updateexe问题?麻烦经常中毒,而且喜欢篡改我的IE我的 ?
应奔抒彤: 放心删除吧,这个是病毒,并不是系统本身的升级程序,是一个蠕虫病毒,会随着Windows的启动运行,它就会寻找具有下列扩展名.DOC、.TXT或者是.EXE的文件.这个蠕虫不会修改这些文件的内容,但是会在这些文件所在的目录里存放自己的副本.而且副本的名字和它找到的文件的文件名一样,同时在原文件的文件名后面增加一个扩展名.VBS,不过这个病毒出现的比较早,可以放心查杀,但是最好是进入安全模式查杀,因为会随电脑启动,所以在安全模式下才能查杀的比较彻底
荣昌县15945428065: update.exe - ?
应奔抒彤: 是Windows的自动更新进程,也有可能是病毒伪装.具体看在哪个文件夹下.另外,不管是真的还是假的,都请结束该进程,因为Windows的自动更新问题极多.更新系统补丁用360安全卫士或者金山清理专家就可以.
荣昌县15945428065: update病毒这个一定是病毒类似是一个蠕虫病毒大神如何解决360杀毒解决不了问题 - ?
应奔抒彤: 1.update.exe在启动项里启动,文件位置在把C:Program FilesCommon FilesUpdate下,包括把update.dat和update.exe,删除 2.在其他系统文件夹下C:windows和C:windowsSYSTEM32下查找可疑文件,可疑文件是任意生成的...例如up.dll、Update.exe、spted.dll等 ,删除 3.删除C:windowsSYSTEM32WBEMIRJIT.dll 4.运行中输入regedit.exe,打开注册表,在注册表中搜索IRJIT.dll字串,将查找到的相应服务信息删除 5.重新启动计算机
荣昌县15945428065: 电脑总是出update.exe 是什么意思啊 - ?
应奔抒彤: 这个问题是诸多原因引起的,归纳起来很麻烦..仔细检查也费事..病毒、硬件不兼容,盗版等都能引起这个问题.建议.重新安装操作系统.如果还出现这个问题,先更换内存条..然后排查其它硬件.这样做比较简单.
荣昌县15945428065: 电脑进程里有个updatev.exe占用内存有时候到百分之七十左右,结束不了,是怎么回事?而且是系统的,不是用户的?
应奔抒彤: 种病毒了..... 清除update.exe病毒update.exe会在启动项里添加, 把C:\Program Files\Common Files\UPDATE 把update.dat和update.exe删除还可能会有Quote: C:\Program Files\Common Files\SAND updatesr.ini svr.dat qqfacerclient.exe ...
荣昌县15945428065: 每次开机任务栏会显示"Update.exe - 损坏文件",怎么回事??
应奔抒彤: 你中了病毒了 ,1 开机 进入安全模式 允许 msconfig 然后 选择启动标签 找到 update.exe 取消前面的对号 ,然后安装杀毒软件 更新到最细病毒库 杀毒
