查看完整版本: 6.15-6.26感染量上升最快的10大病毒分析及解决方案

6.15-6.26感染量上升最快的10大病毒分析及解决方案

[align=center][size=5][color=Red]6.15-6.26感染量上升最快的10大病毒分析及解决方案[/color][/size]
[/align]

爱毒霸社区提醒您注意，近期肆虐的病毒木马中，排名靠前，对用户产生重大影响的，多数是木马或木马下载器。

本周，利用flash漏洞传播的病毒木马明显上升，在google热搜榜上，ORZ.EXE病毒异军突起，该病毒会破坏多种杀毒软件，释放木马下载器。由木马下载器再完成其它更多木马和病毒的下载，导致系统损坏或盗号现象发生。

有关该病毒的更多信息，请参考：

ORZ病毒攻击实例及完整解决方案（毒霸修复工具见3楼）
[url=http://bbs.duba.net/thread-21934256-1-1.html]http://bbs.duba.net/thread-21934256-1-1.html[/url]

和另一篇文章：警惕利用FLASH漏洞传播的对抗型“特务病毒”（orz.exe病毒）
[url=http://bbs.duba.net/thread-21935583-1-1.html]http://bbs.duba.net/thread-21935583-1-1.html[/url]

对于此类病毒，您需要将磁碟机专杀和清理专家、毒霸联合使用。当毒霸被破坏不能正常升级时，可以从
[url=http://bbs.duba.net/thread-21934256-1-1.html]http://bbs.duba.net/thread-21934256-1-1.html[/url]下载修复工具，以恢复毒霸的升级功能。

如果病毒严重破坏，导致桌面也不能正常登录，请参考下文完成修复
善用清理专家修复顽固病毒（开机进不了桌面）
[url=http://bbs.duba.net/thread-21931759-1-1.html]http://bbs.duba.net/thread-21931759-1-1.html[/url]

论坛的[url=http://bbs.duba.net/forum-6316-1.html]新手杀毒专区[/url]提供了更多对新会员很有价值的帮助信息，建议您阅读这里的帮助文档尝试自助解决。

以下是本周10大病毒列表：

[size=3][color=Red]1.Win32.Troj.PcClient.a.688128[/color][/size]
毒霸07.11.28.18版本即可查杀。

病毒名称(中文):黑客遥控器
威胁级别:★☆☆☆☆
病毒类型:黑客程序
病毒长度:688128
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:
[quote]这是一个黑客程序变种。病毒运行后释放随机文件名病毒文件至系统文件夹，并通过修改注册表添加系统服务rtltvb以开机自启动。病毒尝试读取以下两个注册表ProxyEnable和ProxyServer键值来获取用户代理服务器地址，并记录至 {随机文件名}.pro。病毒还尝试在后台创建多个线程与远程服务器通讯，接受黑客的指令，使得用户的计算机完全处于黑客的控制之下。

    (1)病毒释放文件，然后使用DeleteFileA删除自身
    %sys32dir%\0004bb58.inf
    %sys32dir%\{随机文件名}.dll（如byhfjm.dll）
    %sys32dir%\{随机文件名}.KEY（如byhfjm.KEY）
    %sys32dir%\{随机文件名}.sco（如byhfjm.sco）
    %sys32dir%\drivers\{随机文件名}.sys（如byhfjm.sys）

    (2)病毒增加注册项
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost rtltvb rtltvb
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RTLTVB
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rtltvb

    (3)病毒尝试添加一个系统服务rtltvb
    服务名：rtltvb
    描述：Microsoft .NET Framework TPM
    显示名称：rtltvb
    映像路径：%sys32dir%\svchost.exe -k rtltvb
    启动类型：自动

    (4)病毒尝试读取以下两个注册表ProxyEnable和ProxyServer键值来获取用户代理服务器地址，并记录至{随机文件名}.pro（如byhfjm.pro）
    "Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings ProxyEnable 1"
    "Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings ProxyServer {代理地址}"

    (5)病毒尝试在后台创建多个线程与远程服务器通讯，接受黑客的指令，使得用户的计算机完全处于黑客的控制之下
    0**205.k**p.net（2**.2*7.17.2*6）[/quote]

[size=3][color=Red]2.Win32.Troj.UndefT.js.13264[/color][/size]
查毒日志类似于
[quote]病毒在文件C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~fr2中        Win32.Troj.UndefT.js.13264      
病毒        2008-06-23  12:18:32        病毒在文件C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~fr2中        Win32.Troj.UndefT.js.13264        处理成功（操作：删除）[/quote]

[size=3][color=Red]3.Win32.Adware.Ejik.hk.663040[/color][/size]
这是一个广告软件，金山毒霸病毒信息库08.06.24.10版本可查杀，该广告软件刚出现就占据排行榜的第三位，非常值得关注。

[size=3][color=Red]4.Win32.RiskWare.Shutdown.c.45056[/color][/size]
这是一个风险程序，该程序和病毒木马不同，不具备破坏性。查毒日志类似于
[quote]风险程序 2008-02-16 08:54:55 C:\windows\快速关机(Ctrl+Alt+End).exe Win32.RiskWare.Shutdown.c.45056 隔离成功 [/quote]

[size=3][color=Red]5.Win32.HackTool.RebootOS.16384[/color][/size]
这也是个风险程序
日志类似于
[quote]风险程序    2007-09-30 09:36:57    C:\Program Files\Freesoft\tools\快速重启.exe    Win32.HackTool.RebootOS.16384    隔离成功    [/quote]

[size=3][color=Red]6.Win32.Troj.Agent.ks.57344[/color][/size]
这是个木马下载器，毒霸病毒信息库08.06.18.10版本可查杀
查毒日志类似于
[quote]病毒        2008-06-24  09:18:23        C:\HellBoy.rar\HellBoy\HellBoyDll.dat        Win32.Troj.Agent.ks.57344        跳过，未处理[/quote]

[quote]C:\WINDOWS\HellBoy\HellBoyDll.dat Win32.Troj.Agent.ks.57344
C:\WINDOWS\HellBoy\HellBoyMain.exe Win32.Hack.Rootkit.57344
C:\System Volume Information\_restore{F3E41B89-0B5F-4CAA-BE79-B310608D5707}\RP112\A0087296.exe Win32.Hack.Rootkit.57344[/quote]

[size=3][color=Red]7.Win32.Troj.OnlineGamesT.ea.119304[/color][/size]
这是一个盗号木马，通常是病毒下载器的产物，升级到金山毒霸病毒信息库08.06.23.10版本可查杀
查杀日志类似于
[quote]病毒 2008-06-22 15:48:29 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\678RSBUD\r2[1].exe Win32.Troj.OnlineGamesT.ea.119304 清除成功 [/quote]

[size=3][color=Red]8.Win32.Adware.ADLoad.y.122880[/color][/size]
这是一个广告软件，毒霸06.10.27.10版本可以查杀，老病毒泛滥显然是木马下载器的功劳。
查毒日志类似于
[quote]金山清除不了风险软件Win32.Adware.ADLoad.y.122880
风险程序        2008-02-03  20:16:12        C:\Program Files\WinKld\Winkld.dat        Win32.Adware.ADLoad.y.122880        操作失败[/quote]
可尝试使用金山清理专家百宝箱，文件粉碎器，将这个dat文件彻底删除。

[size=3][color=Red]9.Win32.Troj.OnlienGamesT.ny.254464[/color][/size]
这是一个盗号木马，毒霸病毒信息库08.06.14.10版本可查杀。这是木马下载器的产物，通常发现这个病毒的机器上还能发现更多的其它病毒。
查毒日志类似于
[quote]病毒 2008-06-22 15:47:49 C:\windows\system32\mfc40u.dll Worm.Downloader.pu.924432 发现病毒
病毒 2008-06-22 15:47:49 C:\windows\system32\mfc40u.dll Worm.Downloader.pu.924432_Failed 操作失败
病毒 2008-06-22 15:47:42 C:\windows\temp\~f8.tmp Win32.Troj.OnlienGamesT.ny.254464 清除成功
病毒 2008-06-22 15:47:42 C:\windows\temp\~f7.tmp Win32.Troj.OnlienGamesT.ny.254464 清除成功
病毒 2008-06-22 15:47:42 C:\windows\temp\~f6.tmp Win32.Troj.OnlienGamesT.ny.254464 清除成功
病毒 2008-06-22 15:47:42 C:\windows\temp\~f5.tmp Win32.Troj.OnlienGamesT.ny.254464 清除成功
病毒 2008-06-22 15:47:42 C:\windows\temp\~f4.tmp Win32.Troj.OnlienGamesT.ny.254464 清除成功
病毒 2008-06-22 15:47:42 C:\windows\temp\~f3.tmp Win32.Troj.OnlienGamesT.ny.254464 清除成功
病毒 2008-06-22 15:47:42 C:\windows\temp\~f2.tmp Win32.Troj.OnlienGamesT.ny.254464 清除成功
病毒 2008-06-22 15:47:42 C:\windows\temp\~f1.tmp Win32.Troj.OnlienGamesT.ny.254464 清除成功 [/quote]

在这样的电脑上，金山清理专家可发现若干恶意软件被安装
[quote]信息 2008-06-22 15:45:11 发现恶意软件：恶意软件残留的注册表项   
信息 2008-06-22 15:45:11 发现恶意软件：恶意执行挂钩   
信息 2008-06-22 15:45:11 发现恶意软件：严重漏洞(Adobe flash player)   
信息 2008-06-22 15:45:11 发现恶意软件：logogo(Troj.AgentT.ge)   
信息 2008-06-22 15:45:11 发现恶意软件：未知的AppInit_Dll   
信息 2008-06-22 15:45:11 发现恶意软件：未知的ShellExecuteHooks   
信息 2008-06-22 15:45:11 发现恶意软件：被感染的lsass.exe   
信息 2008-06-22 15:45:11 发现恶意软件：PopWinIe_B(Troj)   
信息 2008-06-22 15:45:11 发现恶意软件：nod32ui(Worm)   
信息 2008-06-22 15:45:11 发现恶意软件：xuedfvs(Troj)   
信息 2008-06-22 15:45:11 发现恶意软件：AV 终结者(Troj)   
信息 2008-06-22 15:45:11 发现恶意软件：OSO蠕虫   [/quote]

应该将金山清理专家和磁碟机专杀以及毒霸主程序查杀相结合来清除这些病毒。

[size=3][color=Red]10.Win32.Adware.Ejik.gy.228352 [/color][/size]
这是一个广告软件，毒霸病毒信息库08.06.18.10版本可查杀。

[size=4][color=Red]针对流行病毒的解决方案：[/color][/size]
请参考以下内容，感染的病毒现象可能稍有不同，但处理的思路大同小异，请读者从中找到处理病毒的规律：
[url=http://bbs.duba.net/thread-21902724-1-1.html]http://bbs.duba.net/thread-21902724-1-1.html[/url]

[url=http://bbs.duba.net/thread-21896365-1-1.html]http://bbs.duba.net/thread-21896365-1-1.html[/url]

[size=4][color=Red]有关此类病毒的预防[/color][/size]
参考“狗犬不惊”之防狗秘笈（[url=http://bbs.duba.net/thread-21893089-1-1.html]http://bbs.duba.net/thread-21893089-1-1.html[/url]）

貌似沙发是我的{chinaz4}

不错不错

{chinaz8} 顶！·········

病毒主要是自动执行命令,要是能智能拦截就好了,特别是VB编写的"视频宝宝变种版"!

[[i] 本帖最后由 ofturboc 于 2008-6-27 09:02 编辑 [/i]]

只看该作者

很有感受...........

没想到金山还是挺有心的，看来选金山选对了！！！！！！！{chinaz12} {chinaz3}

还想问下，对金山来说，是剑侠重要还是毒霸重要？？？？我也玩剑侠……{jx32}

金山在手 病毒无忧

{chinaz3} {chinaz3} {chinaz3} 学习学习

{yct67} 不错！

了解一下

崇拜上将，给上将发了短消息，希望上将有时间指导我一下，这个是我遇见最厉害的病毒了。{chinaz2}

我有6项系统漏洞，无法修复
请高手帮帮忙，谢谢了
我的QQ137287636
我的电话15883446610
谢谢了，{chinaz2}

感受

谢谢金山公司了！{chinaz6}

{chinaz6} {chinaz2} {chinaz14} {tsj27} {tsj27} {tsj27} {tsj27} {tsj27} {tsj27}

还有一个

毒名：Win32.Troj.Agent.90112

JS.Multi.xs.4828请问这是个什么病毒?怎么杀不干净?

病毒        2008-06-29  18:15:52        C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\L5M3IJ9O\list[2].js        JS.Multi.xs.4828        清除成功       
病毒        2008-06-29  18:15:52        C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\L5M3IJ9O\list[1].js        JS.Multi.xs.4828        清除成功       
病毒        2008-06-29  17:58:10        C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\UNE25ZT6\list[1].js        JS.Multi.xs.4828        清除成功       
病毒        2008-06-29  17:58:10        C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\XDPZXA4N\list[1].js        JS.Multi.xs.4828        清除成功       
病毒        2008-06-29  17:58:10        C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\AHE9270R\list[1].js        JS.Multi.xs.4828        清除成功       

但是马上又有了请高手帮帮忙谢谢了!!

我是新手什么都不懂

今天用一键恢复  恢复了一天到现在还没搞好

讨厌的病毒！！！！！！！！！！！

感谢总结，呵呵

求助!!!!!!!!!!!!!!!!!!!!!!!!!!!!

求高人相助啊,我电脑中毒了,老是自动弹出   [url]http://www.xiguatou.cn/tanqq.htm[/url]  这个网站,哪个大哥告诉我怎么杀这个毒啊,会的请加QQ:185989823
谢谢啦!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

病毒,杀杀杀{yxh85}

{sun09} 很好很强大！！！！

讨厌的病毒！！！！！！！！！！！

知己知彼，百战不殆！{chinaz14}

还有一个毒

win32.troj.adload.bs.33792这是什么毒,怎么杀不掉?

讨厌的病毒！！！！！！！！！！！{yxh153}

晕倒~~木马好多！

Win32.Troj.Agent.ks.57344我中过