神马品牌网地板辐射采暖的优点:如何杀syshost这个病毒
来源:百度文库 编辑:神马品牌网 时间:2024/05/11 00:54:18
杀了又出现。。
我用的ewido的杀毒。
启动项中对应的项已删掉。进程结束,删掉了病毒文件,删掉了注册表中的键值。
但是,它在某个时候开始又出现了。
杀毒后,我已经安装了补丁。(中文版补丁,以及那个中文修复版补丁【说是中文版的没用,就用它】)。
所以,我最想知道的是,它都在哪些地方留了副本。
病毒特性: Win32.Evaman.D是通过邮件传播的蠕虫病毒。它的大小一般为22,016字节,以PEC格式压缩的win32类可执行文件也可能是附在邮件里的ZIP文档。感染方式:运行时,Evaman.D尝试访问http://support.microsoft.com/default.aspx?kbid=325126。它把自己当作syshost.exe拷贝到%System% 并且修改注册键值来确保每次系统运行时有病毒的副本运行: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MS Update = "%System%\syshost.exe" 如果失败,它尝试添加下列注册键值: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MS Update = "%System%\syshost.exe" 注意:'%System%'是一个可变的目录,蠕虫根据被感染机器的操作系统决定当前的系统文件夹。默认情况下, WIN2000和NT的安装位置是C:\WINNT\SYSTEM32 ;95,98和ME的是c:\windows\system;xp的是c:\windows\systm32. 它会创建下列注册键值: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SYSHOST 病毒会创建互斥体"NBigUptoMDauthor_thx4sharing"来确保在系统中只有一个副本在运行。 传播方式:通过邮件传播:病毒首先搜索本地用户的地址目录来获得邮件地址,文件在网络临时文件夹内,文件有下列扩展名: txt htm .... wab 病毒还可以搜索C:到Z:有上面扩展名的文件。病毒忽视包含下列的邮件地址: .gov.gov.mil@avp@domai@foo@iana@messagelabSPAMSpamabuseacketstahooampleandaarin.ating@berkeleyborlanbsdbuse@cafeeccouncertebmaster@ecurertificervicefestefidofsf.gnuhelphotmailibmicrosofinfoirusisc.o isi.eistserkaspkernellinuxmathmit.emsnmydomnprisntiviontact@oogleophoostmaster@pagepdatepgprfc-edriperivacyroot@ruslissalesenetsoftspamspmsymatanford.eubmit@ugs@unixupportutgers.edwinrarwinzipxampleyou Evaman.D利用自己的SMTP服务器。它发现SMTP服务器通过在本地系统的DNS服务器上执行MX lookups应用到每个接受范围。携带病毒的邮件的题目,主体和附件都是可变的。通常利用下列域伪装发信人地址: @aol.com .... @yahoo.com 利用下列用户名: Alex Barbara .... Robert Susan 题目可能是下列的: § Album § Ok, here it is... § You'v got 1 VideoMail! § You've received a Postcard! 邮件的主体分几部分,第一部分是: § my pics...like it? .... § You have received a new postcard from Flashecard.com! 第二部分是: § <空 designtimesp=29486> § From: 第三部分是: § humm sexy :) huh? heheh § later. § To view your new video mail message follow the link ..... or click the attached link. 第四部分是: § <空 designtimesp=29488> .... § We hope you enjoy your postcard, and if you do, please take a moment to send a few yourself! 第五部分是: § <空 designtimesp=29489> § (Your message will be available for 30 days.) Please visit our site for more information. 第六部分是: § <空 designtimesp=29490> § http://www.videomail-direct.com § http://www.flashecard.com 附件名称由下列构成: photo_album budget_report www.videomail-direct.com?download-video?mpg www.flashecard.com?postcard=viewcard?3490 跟着下列: .scr .exe .pif .html.scr 附件中通常含有ZIP压缩文件文件名称是相同的。请看下列病毒样本: 危害:终止进程 Evaman.D努力停止名字中有下列的进程: AV Av IEFrame KV MC Mc ..... scn task
清除:
kill版本杀
确认是病毒吗?
安装卡巴斯基5.0.391,安全模式下查杀看看
怀疑是你的杀毒软件杀毒能力太弱了
进程文件: syshost or syshost.exe
进程名称: W32.Francette.Worm
进程类别:存在安全风险的进程
英文描述:
syshost.exe is a process which is registered as the W32.Francette.Worm . It takes advantage of the Windows LSASS vulnerability, which creates a buffer overflow and instigates your computer to shut down. To see more information about this vulnerability p
中文参考:
syshost.exe是W32.Francette.Worm蠕虫病毒相关程序。该病毒利用Windows LSASS漏洞,制造缓冲区溢出导致你的计算机关机。更多信息参考:http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
出品者:na
属于:W32.Francette.Worm
系统进程:No
后台程序:Yes
网络相关:Yes
常见错误:N/A
内存使用:N/A
安全等级 (0-5): 4
间谍软件:No
广告软件:No
病毒:Yes
木马:Yes
更新杀毒软件,进入安全模式下进行查杀!
一般情况下,杀毒软件只要能告诉你木马病毒的名称,肯定就能识别并删除,只是要注意方式方法(下面有介绍)。经常有网友问为何自己的杀毒软件提示了某某木马,却无法清除成功(比如隔离失败、杀毒软件提示下次重启就OK,结果还是不OK等):
木马病毒(特洛伊 后门等)一般情况下都比较顽固,常规模式下不好清除。
(容易隐藏病毒文件 容易与其他系统文件关联)
首先重启电脑,进入安全模式运行电脑,再启动你的杀毒软件扫描一遍就可以了。
安全模式:启动的时候按住 F8 键,出现选择的时候 选“进入安全模式”