24小时接单的黑客

黑客接单,黑客教程,黑客技术,黑客找黑客,技术黑客

风暴一号病毒是木马病毒吗(暴风一号病毒样本)

本文目录一览:

怎样处理病毒风暴一号

改注册表

病毒会修改以下注册表键值,将其键值指向病毒文件。当用户运行inf,bat,cmd,reg,chm,hlp类型的文件,打开Internet Explorer,或者双击我的电脑图标时,会触发病毒文件,使之运行。

HKLM\SOFTWARE\Classes\inffile\shell\open\Command\

HKLM\SOFTWARE\Classes\batfile\shell\open\Command\

HKLM\SOFTWARE\Classes\cmdfile\shell\open\Command\

HKLM\SOFTWARE\Classes\regfile\shell\open\Command\

HKLM\SOFTWARE\Classes\chm.file\shell\open\Command\

HKLM\SOFTWARE\Classes\hlpfile\shell\open\Command\

HKLM\SOFTWARE\Classes\Application\iexplore.exe\shell\open\Command\

HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command

HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\Command

病毒还会修改以下注册表键值,用于使文件夹选项中的“显示隐藏文件”选项失效。

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

病毒会删除以下键值,使快捷方式的图标上叠加的小箭头消失。

HKCR\lnkfile\IsShortcut

病毒会修改以下注册表键值,开启所有磁盘的自动运行特性。

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutorun

病毒会修改以下键值,使病毒可以开机自启动

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load

4、遍历文件夹

病毒会递归遍历各个盘的文件夹,当遍历到文件夹之后,会将文件夹设置为“隐藏+系统+只读”属性。同时创建一个快捷方式,其目标指向vbs脚本,参数指向被病毒隐藏的文件夹。

由于病毒修改的注册表会使查看隐藏文件的选项失效,也会屏蔽快捷方式图标的小箭头,所以具有很大的迷惑型,让用户误以为打开的是文件夹。

5、关闭弹出光驱

每当系统日期中的月和日相等的时候(比如说1月1日,2月2日……以此类推),病毒激活时,会每隔10秒,打开并关闭光驱。打开光驱的次数由当前月份来决定(如1月1日,每激活一次病毒,就会打开并关闭光驱1次;2月2日,每激活一次病毒,就会打开并关闭光驱2次)。

电脑病毒,电脑中了1kb病毒,似风暴1号

您好,您的情况,建议开机后按F8,进入安全模式,使用杀毒软件全盘查杀。

建议使用腾讯电脑管家,使用国际知名小红伞杀毒引擎,性能强悍,点此下载:腾讯电脑管家官网

*** :

腾讯电脑管家——杀毒——全盘查杀即可。

腾讯电脑管家企业平台:

风暴一病毒

风暴一号病毒 病毒描述:这是一个由VBS脚本编写,采用加密和自变形手段,并且通过U盘传播的恶意蠕虫病毒。 病毒行为: 1、 自变形 病毒首先通过执行strreverse()函数,得到病毒的解密函数 解密代码如下: 这段代码会读取脚本文件的注释部分,将其解密之后 解密运行病毒之后,病毒会重新生成密钥,将病毒代码加密之后,再将其自复制。 所以病毒每运行一次之后,其文件内容和病毒运行之前完全不一样。 2、 自复制 病毒会遍历各个磁盘,并向其根目录写入Autorun.inf以及.vbs文件,当用户双击打开磁盘时,会触发病毒文件,使之运行。 病毒会将系统的Wscript.exe复制到C:WindowsSystemsvchost.exe 如果是FAT格式,病毒会将自身复制到C:WindowsSystem32下,文件名为随机数字。 如果是NTFS格式,病毒将会通过NTFS文件流的方式,将其附加到如下文件中。 C:Windowsexplorer.exe C:WindowsSystem32 *** ss.exe 3、 改注册表 病毒会修改以下注册表键值,将其键值指向病毒文件。当用户运行inf,bat,cmd,reg,chm,hlp类型的文件,打开Internet Explorer,或者双击我的电脑图标时,会触发病毒文件,使之运行。 HKLMSOFTWAREClassesinffileshellopenCommand HKLMSOFTWAREClasse *** atfileshellopenCommand HKLMSOFTWAREClassescmdfileshellopenCommand HKLMSOFTWAREClassesregfileshellopenCommand HKLMSOFTWAREClasseschm.fileshellopenCommand HKLMSOFTWAREClasseshlpfileshellopenCommand HKLMSOFTWAREClassesApplicationiexplore.exeshellopenCommand HKCRCLSIDshellOpenHomePageCommand HKEY_CLASSES_ROOTCLSIDshellopenCommand 病毒还会修改以下注册表键值,用于使文件夹选项中的“显示隐藏文件”选项失效。 HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENCheckedValue HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue 病毒会删除以下键值,使快捷方式的图标上叠加的小箭头 消失。 HKCRlnkfileIsShortcut 病毒会修改以下注册表键值,开启所有磁盘的自动运行特性。 HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDriveTypeAutorun 病毒会修改以下键值,使病毒可以开机自启动 HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsload 4、 遍历文件夹 病毒会递归遍历各个盘的文件夹,当遍历到文件夹之后,会将文件夹设置为“隐藏+系统+只读”属性。同时创建一个快捷方式,其目标指向vbs脚本,参数指向被病毒隐藏的文件夹。 由于病毒修改的注册表会使查看隐藏文件的选项失效,也会屏蔽快捷方式图标的小箭头,所以具有很大的迷惑型,让用户误以为打开的是文件夹。 5、 关闭弹出光驱 每当系统日期中的月和日相等的时候(比如说1月1日,2月2日……以此类推),病毒激活时,会每隔10秒,打开并关闭光驱。打开光驱的次数由当前月份来决定(如1月1日,每激活一次病毒,就会打开并关闭光驱1次;2月2日,每激活一次病毒,就会打开并关闭光驱2次)。 6、 会调用mstha.exe显示如下图片,并且锁定计算机,使用户无法操作。 7、遍历进程,如果发现有regedit.exe、taskmgr.exe等进程,就调用ntsd命令结束进程,使用户无法打开注册表编辑器,和任务管理器等一些基本的系统工具。 杀毒 *** : 首先利用工具,结束掉所有wscript.exe以及路径在C:windowssystemsvchost.exe的进程。 运行”regedit”,打开注册表编辑器,找到”HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsload”,查看其内容所指向的路径。在命令行下,运行del命令删除脚本文件。 使用NTFS文件流相关工具,删除附加在explorer.exe和 *** ss.exe中的文件流。 使用文件关联修复程序,修复被病毒修改过的文件关联。 删除每个磁盘根目录下的autorun.inf以及vbs文件。

  • 评论列表:
  •  可难南简
     发布于 2022-07-17 07:23:46  回复该评论
  • plorer.exe和smss.exe中的文件流。 使用文件关联修复程序,修复被病毒修改过的文件关联。 删除每个磁盘根目录下的autorun.inf以及vbs文件。

发表评论:

Powered By

Copyright Your WebSite.Some Rights Reserved.