setup变种病毒,应用程序的图标不变。如何杀????????
作者&投稿:娄刷 (若有异议请与网页底部的电邮联系)
删了!
不可能杀不出来哦!
是不是硬盘里面有大部分带EXE的文件的图标都变了,如果是的话!
呵呵!恭喜你,中了维金病毒啦!到瑞星网站上下载个专杀工具吧!
木马名称:setup.exe
木马大小:91,648字节
所在位置:由C至Z盘的根目录下
附带文件:autorun.inf
文件内容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
所在位置:由C至Z盘的根目录下
木马名称:spoclsv.exe
木马大小:91,648字节
所在位置:C:\windows\system32\drivers\
转载请注明出处[www.wainfu.com]
木马特征:该木马病毒利用微软IE漏洞(IE7.0也未被幸免)通过网站传播,中了此木马的电脑,会有以下特征:
1、在任务管理器里有spoclsv.exe文件进程。
2、在每个盘符的根目录下面生成以上的setup.exe和autorun.inf两个文件,当用户打开电脑的任意一个盘,即执行该木马病毒。
3、该木马会强制关闭用户打开的“任务管理器”。
4、该木马会强制关闭用户打开的“注册表编辑器(regedit)”、“系统配置实用程序(msconfig)”、IceSword等程序文件。
5、该木马会强制关闭用户电脑上安装的防病毒及网络监控软件,其中包括Symantec的norton企业版。
6、该木马修改注册表文件,在[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]下生成"svcshare=C:\WINDOWS\system32\drivers\spoclsv.exe”的字符串值,修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000。
7、该木马会删除电脑默认的共享目录。
另外该木马还会删除并感染.com、.pif、.scr、.exe、html、asp等文件,并生成一个以原文件名.exe.exe文件或.exe的烧香熊猫图标文件,并会寻找并删除.gho备份文件,遍历目录修改htm/html/asp/php/jsp/aspx等网页文件,在这些文件尾部追加信息:
<iframe src="hxxp://www.ctv163.com/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe>
在访问过的目录下生成Desktop_.ini文件,内容为当前日期。
该病毒会禁用一系列服务:
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
还会删除若干安全软件启动项信息:
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse
并且病毒还尝试使用弱密码将副本以GameSetup.exe的文件名复制到局域网内其它计算机中:
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
sex
god
foobar
secret
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root
解决办法:
1、拔掉网线断开网络,打开Windows任务管理器,迅速找到spoclsv.exe,结束进程,找到explorer.exe,结束进程,再点击文件,新建任务,输入c:\WINDOWS\explorer.exe,确定。
2、点击开始,运行,输入cmd回车,输入以下命令:
del c:\setup.exe /f /q
del c:\autorun.inf /f /q
如果你的硬盘有多个分区,请逐次将c:改为你实际拥有的盘符(C盘-->Z盘)。上述两个木马文件为只读隐藏,会修改Windows属性,使用户无法通过设置文件夹选项显示所有文件及文件夹的功能看到。
3、进入注册表,删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下svcshare值。
4、删除C:\windows\system32\drivers\spoclsv.exe
5、修复或重新安装防病毒软件并升级病毒库,彻底全面杀毒,清除恢复被感染的.exe文件。
6、屏蔽熊猫烧香病毒网站pkdown.3322.org和ddos2.sz45.com,具体方法如下:
打开C:\WINDOWS\system32\drivers\etc\host文件,添加修改如下格式:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
127.0.0.1 localhost
127.0.0.1 *.3322.org
127.0.0.1 *.sz45.com
127.0.0.1 *.ctv163.com
7、修复文件夹选项的“显示所有文件及文件夹”的方法:
下载并运行附件的showall.reg注册表文件即可恢复正常。
各盘 重新安装系统
那病毒就是沙干净了,也不能保证EXE文件还完好
参考http://hi.baidu.com/teyqiu/blog/item/6369ddc4c3dc03cb39db496a.html
trojan.agent.ajp是什么病毒?如何解决?谢谢!
trojan.spy.agent 如果你中了这些病毒,只需要两个步骤就可以彻底解决.先要下载Firefox,官方下载以免疫这些病毒,这一步非常重要.然后下载反木马软件 ewido anti spyware 详细说明,一般就解决了,许多的反木马程序中,Ewido 是最好的。国内的木马x星等和它比简直是小儿科了。 最近在http:\/\/www.anti-tro...
亓秒小儿: 清除步骤 ==========1. 断开网络2. 结束病毒进程 %System%\drivers\spoclsv.exe3. 删除病毒文件: %System%\drivers\spoclsv.exe4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件: X:\setup.exe X:...
乐都县13739487093: 电脑右下角有个小电脑(不是本地、宽带),这个图标右上角有个小方框,进程中有个setup.exe,是什么?
亓秒小儿: 楼主,这是瑞星升级程序组件时的进程,你可以在任务管理器中选中这个进程,单击鼠标右键,选择“打开文件位置”,这个文件的位置是C:\Program Files\Rising\RSD.在正常情况下只是偶尔会出现setup.exe这个进程,但是请楼主放心..
乐都县13739487093: 熊猫烧香是什么病毒??
亓秒小儿: 【病毒描述】 [编辑本段] 其实是一种蠕虫病毒的变种,而且是经过多次变种而来的.尼姆亚变种W(Worm.Nimaya.w),由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒.用户电脑中毒后可能会出现蓝屏、频...
乐都县13739487093: X熊猫烧香是怎么回事??
亓秒小儿: 分析,伪装成“熊猫烧香”图案的“威金”蠕虫病毒感染计算机系统后,电脑中所有exe文件都变成了一种怪异的“熊猫烧香”图案,文件将不可执行.其他中毒症状表现为系统蓝屏、频繁重启、硬盘数据被破坏等等. 据悉,由于受台湾地区地...
乐都县13739487093: Cool - GameSetup.exe - ?
亓秒小儿: 该病毒中毒特征为系统进程中出现多个cmd.exe和net.exe,还有TXPlatform进程.此3个进程均为病毒进程.另外伴随特征为隐藏文件无法打开,右下角任务栏出现压缩图标,沙顿软件监控功能无法启动. 查杀方法为完全手杀,首先将我的电脑...
乐都县13739487093: setup.exe是什么呀 - ?
亓秒小儿: SETUP.EXE就是安装程序的意思 也就是说 双击这个图标就可以启动相应软件的安装程序 具体瑞星为什么报为病毒你的看看开机后是否有setup.exe进程,如果有的话那么有可能是病毒,没有的话,也许是误报.
乐都县13739487093: 关于找不到setupAD.exe的问题 - ?
亓秒小儿: 这是一个捆绑木马病毒的自动安装程序,图标为某个安装程序的图标,执行后弹出对话框提示“需要安装DAEMONTOOLS 3.29”,同时后台释放病毒文件 setupAD.exe(毒霸命名为Win32.Troj.Satbo.249586),并将该文件加入系统启动项,等待下次启动系统时运行该病毒.开始运行msconfig在启动项里看看有没有关于这个文件的启动项`要是有就去掉`然后装最新的杀毒软件杀下毒```
乐都县13739487093: 什么是熊猫烧香病毒 - ?
亓秒小儿: 病毒名: 中文:熊猫烧香病毒(又称武汉男生) 英文:Worm.WhBoy 目前发现的变种数已超过50个 典型表现: 感染病毒后发现较多的.EXE文件图标变成点着香的熊猫,这也是该病毒命名的由来.现在发现的部分变种已经不再使用这个广为人...
乐都县13739487093: setup.exe是什么啊每次我都看见它在进程中,就是搞不清楚它是干什么的? - ?
亓秒小儿: 只是一个名字叫setup的应用程序 (这句简直是废话) 只能说一般安装程序会起名字叫做 setup.exe 不能说看到setup.exe就是安装程序 可以做个病毒 名字改成setup 只要读过初中都会改 所以我认为很可能是病毒 建议:在安全模式下进行杀毒 以及 流氓软件的清理 如果不行就用超级兔子之类的工具找到它的位置 如果不是你的系统文件就直接把它删了 然后记得按照它的路径把注册表内完全符合的项都删掉 别删错了哦!~
乐都县13739487093: setup.exe这是木马吗 - ?
亓秒小儿: setup.exe不能确认是木马,因为几乎所有软件的安装程序都是这个,具体到你的情况,你下的这个应该是一个恶意软件,内含木马是板上钉钉的事了,你可以尝试下用杀软清除,然后用360之类的安全软件工具查杀一下.
