高分求助,请问这是什么病毒?
今天浏览网页的时候不知怎么了,突然间电脑变慢,打开任务管理器之后就成这样了……
在下对电脑并不怎么太了解,只看到了电脑中出现了N个“WScript.exe”和“GHOST-5072C560E.EXE”
另外发现电脑桌面出现为止文件和软件,都不是我主动安装的。
你立即去下载个木马清道夫,按我说的去做,防火墙功能最强,主动防御的防火墙,有10天免费期,注意木马清道夫的防火墙要把“基本设置”的“木马监控”的所有选项选上,详细看图。该防火墙不会和其它杀软发生冲突的。如果防火墙安装设置好没能主动监测到木马活动,你可以重启下电脑,因为重启电脑好处在,木马防火墙比木马先一步开启,能及时检测到木马发出的对外请求连接的信息,从而判定是木马,或者将木马清道夫更新,然后全盘扫描一次。另外木马清道夫还自带了系统修复功能,点及“扫描硬盘”的“启发式系统感染检测”如果解决不了M我。嘿嘿···
温馨提示:内容为网友见解,仅供参考
第1个回答 2009-11-27
转贴——未经本人验证,谨慎使用,若有不良后果,本人概不负责。
最近有一款病毒甚是猖獗,那就是幽灵(I-Worm.Ghost),本人电脑也不幸中招。
此病毒的运行模式和显示症状大致如下:病毒第一次运行时,会把自己复制到Windows系统的FONTS目录下,文件名随机产生,以COM为后缀。当目录下的病毒得以运行时,它就会把自己复制到硬盘各分区的根目录下,文件名为"Windows.exe"和"Ghost.bat",紧接着它会在硬盘绝大多数的文件夹里释放一个EXE格式的副本,副本图标即为一个文件夹,文件名跟所在的目录名相同。病毒在复制自己的同时会生成病毒自己的""Folder.htt"等病毒文件,这些文件可以使目录被用户打开时病毒得以运行,大量病毒的复制使系统的运行速度变慢,更为严重的是病毒会通过Outlook的邮件地址列表向你的好友发送病毒邮件!
此种病毒在网络上经过一段时间的流传后已经出现了大量的变体,到目前为止大致有C、D、E、F、G、H、I等多种变体,每种变体的表现症状虽然各不相同,但其实也大同小异。
由于I-Worm.Ghost出道的时间比较晚,加之变体繁多,因此到目前为止,国内除瑞星外的大部分杀毒软件都还无法对其进行查杀。
-------------------
可能的解决办法:
传说中幽灵(I-Worm.Ghost)的N型变体病毒。在查杀之前,先把电脑里和文件夹同名的EXE文件都改成异名``` 比如你的C:\ABC目录下可能有个叫ABC.exe的程序,你可以把他改成ABC123.exe,这样做的好处是防止病毒入侵时把你的同名EXE文件覆盖掉,异名的话它就没法覆盖了````
切记在杀毒过程中不要乱点文件夹,否则前功尽弃```
先打开“文件夹选项”,在“查看”标签中勾选“显示所有文件和文件夹”,去除“隐藏已知文件文件类型的扩展名”的勾选。这种病毒很狡猾,每隔一段时间它就会把设置改回到不显示隐藏文件和不显示后缀名的状态,所以在整个杀毒过程中你可能要重新设置好几回。
接下来进入Windows目录下的FONTS文件夹,把后缀名为COM的文件统统删除掉。接着关闭所有窗口,选择“开始”-“搜索”-“文件和文件夹”,搜索“Windows.exe”“Ghost.bat”和“Folder.htt”,找到后不要去打开而直接删除。这三种病毒文件是所有变体都拥有的,针对你中的病毒还要另外查找删除“Nethood.htm”这个文件。
继续使用“查找”程序来查找“*.exe”,从查找结果中把那些图标为文件夹但又和所属目录同名的exe文件一一找出来删掉,如果你的exe文件很多的话那这个工作就显得有些繁琐了,不过也没有别的更好的办法。(如果你的注册表文件在中毒前备份过,将该注册表在恢复一次。)
最近有一款病毒甚是猖獗,那就是幽灵(I-Worm.Ghost),本人电脑也不幸中招。
此病毒的运行模式和显示症状大致如下:病毒第一次运行时,会把自己复制到Windows系统的FONTS目录下,文件名随机产生,以COM为后缀。当目录下的病毒得以运行时,它就会把自己复制到硬盘各分区的根目录下,文件名为"Windows.exe"和"Ghost.bat",紧接着它会在硬盘绝大多数的文件夹里释放一个EXE格式的副本,副本图标即为一个文件夹,文件名跟所在的目录名相同。病毒在复制自己的同时会生成病毒自己的""Folder.htt"等病毒文件,这些文件可以使目录被用户打开时病毒得以运行,大量病毒的复制使系统的运行速度变慢,更为严重的是病毒会通过Outlook的邮件地址列表向你的好友发送病毒邮件!
此种病毒在网络上经过一段时间的流传后已经出现了大量的变体,到目前为止大致有C、D、E、F、G、H、I等多种变体,每种变体的表现症状虽然各不相同,但其实也大同小异。
由于I-Worm.Ghost出道的时间比较晚,加之变体繁多,因此到目前为止,国内除瑞星外的大部分杀毒软件都还无法对其进行查杀。
-------------------
可能的解决办法:
传说中幽灵(I-Worm.Ghost)的N型变体病毒。在查杀之前,先把电脑里和文件夹同名的EXE文件都改成异名``` 比如你的C:\ABC目录下可能有个叫ABC.exe的程序,你可以把他改成ABC123.exe,这样做的好处是防止病毒入侵时把你的同名EXE文件覆盖掉,异名的话它就没法覆盖了````
切记在杀毒过程中不要乱点文件夹,否则前功尽弃```
先打开“文件夹选项”,在“查看”标签中勾选“显示所有文件和文件夹”,去除“隐藏已知文件文件类型的扩展名”的勾选。这种病毒很狡猾,每隔一段时间它就会把设置改回到不显示隐藏文件和不显示后缀名的状态,所以在整个杀毒过程中你可能要重新设置好几回。
接下来进入Windows目录下的FONTS文件夹,把后缀名为COM的文件统统删除掉。接着关闭所有窗口,选择“开始”-“搜索”-“文件和文件夹”,搜索“Windows.exe”“Ghost.bat”和“Folder.htt”,找到后不要去打开而直接删除。这三种病毒文件是所有变体都拥有的,针对你中的病毒还要另外查找删除“Nethood.htm”这个文件。
继续使用“查找”程序来查找“*.exe”,从查找结果中把那些图标为文件夹但又和所属目录同名的exe文件一一找出来删掉,如果你的exe文件很多的话那这个工作就显得有些繁琐了,不过也没有别的更好的办法。(如果你的注册表文件在中毒前备份过,将该注册表在恢复一次。)
第2个回答 2009-11-28
WScript是脚本方面的东西,黑客经常在入侵的时候需要用这个组件来写入shell.
教你一些比较有用的方法。其实遇到高手的话,这些安全工具形同虚设。360安全卫视以前就是搞流氓软件的。木马专家2009一点都不专业。
第一个工具是我兄弟引进的ShadowDefender,在我兄弟的博客里面有下载。在日志里面,中间一点的位置。http://hi.baidu.com/cs%C0%B6%D3%B0
第二个工具是OllyDBG,是个十六进制编辑器。第三个工具是LordPE
你需要做的工作就是
一,
运行ShadowDefender,假如你有CDEF四个盘。你就先CDE进入影子模式。然后清理F盘。用瑞星杀毒软件。狗狗上有瑞星的破解版。瑞星才是最强的。黑客做免杀过瑞星的难度大大超过了过江民的难度。金山和卡巴更是形同虚设。只要随便改个特征码就过了。推进你使用瑞星+冰刃 这两个工具。用瑞星,打开启发式扫描,扫描程度设置为最高。然后把用启发式扫描到的文件全部放在一个文件夹里面,不要点清除。如果无法剪切的,就用冰刃看看有无可疑进程和服务,冰刃可以强行结束之。然后把查到的已知病毒全部清理掉,不能删除的直接找到位置粉碎了。启发式扫描到的全部放在一个文件夹,最好是放到移动设备里面,用LordPE一一加载,然后再乱修改它们的入口点。这样这些可疑的病毒文件就不能运行了。最后F盘就清除干净了。
用同样的方法清除其它盘符。就是要清除哪个盘符,就把其它盘符全部进入影子模式。这样病毒是无法感染其它盘符的。这样一一清理干净。
最后是清理C盘。
清理C盘的时候方法大概相同。如果感染了系统文件,就从网上下载个相同的文件替换之。最后清理好了肯定还有很多未发现的病毒。因为杀毒软件不是万能的。现在就先把注册表权限设置为不可写。防止病毒再次感染。或者全部进入影子模式。再把刚才启发式扫描到的集中起来,用OllyDBG分别加载,会现实很多十六进制代码,和汇编代码。查找它们相同之处。这个工作量巨大。相同之处就是特征码。找到特征码后上报到杀毒网,然后等杀毒软件更新。然后在来查杀未知的病毒。
这个方法太麻烦了,如果你感兴趣到不妨试试。
不过推荐一个简单的方法。
下个win7安装。然后复制出你的重要资料。其它程序全部不要了。
然后用虚拟光驱加载安装win7.要先检测兼容性,然后选择自定义安装,到C盘。不要选择升级。最后安装好了进入win7,把磁盘全部格式化。病毒就没了。
教你一些比较有用的方法。其实遇到高手的话,这些安全工具形同虚设。360安全卫视以前就是搞流氓软件的。木马专家2009一点都不专业。
第一个工具是我兄弟引进的ShadowDefender,在我兄弟的博客里面有下载。在日志里面,中间一点的位置。http://hi.baidu.com/cs%C0%B6%D3%B0
第二个工具是OllyDBG,是个十六进制编辑器。第三个工具是LordPE
你需要做的工作就是
一,
运行ShadowDefender,假如你有CDEF四个盘。你就先CDE进入影子模式。然后清理F盘。用瑞星杀毒软件。狗狗上有瑞星的破解版。瑞星才是最强的。黑客做免杀过瑞星的难度大大超过了过江民的难度。金山和卡巴更是形同虚设。只要随便改个特征码就过了。推进你使用瑞星+冰刃 这两个工具。用瑞星,打开启发式扫描,扫描程度设置为最高。然后把用启发式扫描到的文件全部放在一个文件夹里面,不要点清除。如果无法剪切的,就用冰刃看看有无可疑进程和服务,冰刃可以强行结束之。然后把查到的已知病毒全部清理掉,不能删除的直接找到位置粉碎了。启发式扫描到的全部放在一个文件夹,最好是放到移动设备里面,用LordPE一一加载,然后再乱修改它们的入口点。这样这些可疑的病毒文件就不能运行了。最后F盘就清除干净了。
用同样的方法清除其它盘符。就是要清除哪个盘符,就把其它盘符全部进入影子模式。这样病毒是无法感染其它盘符的。这样一一清理干净。
最后是清理C盘。
清理C盘的时候方法大概相同。如果感染了系统文件,就从网上下载个相同的文件替换之。最后清理好了肯定还有很多未发现的病毒。因为杀毒软件不是万能的。现在就先把注册表权限设置为不可写。防止病毒再次感染。或者全部进入影子模式。再把刚才启发式扫描到的集中起来,用OllyDBG分别加载,会现实很多十六进制代码,和汇编代码。查找它们相同之处。这个工作量巨大。相同之处就是特征码。找到特征码后上报到杀毒网,然后等杀毒软件更新。然后在来查杀未知的病毒。
这个方法太麻烦了,如果你感兴趣到不妨试试。
不过推荐一个简单的方法。
下个win7安装。然后复制出你的重要资料。其它程序全部不要了。
然后用虚拟光驱加载安装win7.要先检测兼容性,然后选择自定义安装,到C盘。不要选择升级。最后安装好了进入win7,把磁盘全部格式化。病毒就没了。
第3个回答 2009-11-28
关于GHOST.EXE文件的评价和解决方案:
GHOST - GHOST.EXE - 进程信息
进程文件: GHOST.EXE
进程名称: 天堂木马变种BV
英文描述: N/A
进程分析: Ghost的Win16版本。SymantecGhost是一款著名的磁盘备份软件,它提供对诸如PC部署、克隆、改变配置选项、用户移植、备份和磁盘镜像恢复之类日常任务的远程控制管理。新版本支持NTFS文件系统格式。 注意:GHOST.EXE也有可能是木马病毒,用于窃取用户密码!
进程位置: 系统或windir
程序用途: 木马病毒 用于窃密
作者: unknown
属于: unknown
安全等级 (0-5): 0 (N/A无危险 5最危险)
间碟软件: 是
广告软件: 是
病毒: 是
木马: 是
系统进程: 否
应用程序: 否
后台程序: 是
使用访问: 是
访问互联网: 否
合作编辑者:蔷薇之花、夜月歌
GHOST - GHOST.EXE - 进程信息
进程文件: GHOST.EXE
进程名称: 天堂木马变种BV
英文描述: N/A
进程分析: Ghost的Win16版本。SymantecGhost是一款著名的磁盘备份软件,它提供对诸如PC部署、克隆、改变配置选项、用户移植、备份和磁盘镜像恢复之类日常任务的远程控制管理。新版本支持NTFS文件系统格式。 注意:GHOST.EXE也有可能是木马病毒,用于窃取用户密码!
进程位置: 系统或windir
程序用途: 木马病毒 用于窃密
作者: unknown
属于: unknown
安全等级 (0-5): 0 (N/A无危险 5最危险)
间碟软件: 是
广告软件: 是
病毒: 是
木马: 是
系统进程: 否
应用程序: 否
后台程序: 是
使用访问: 是
访问互联网: 否
合作编辑者:蔷薇之花、夜月歌
第4个回答 2009-11-27
中什么毒,不清楚。
应该是脚本加木马。
原理可能是,利用脚本循环语气重复运行VBS(进程wscript.exe)。
先禁止注册表写入,然后打开注册表,查找“GHOST-5072C560E.EXE”,查到一个删除一个,直到没有了,查找启动项目,一般就可以解决了。
应该是脚本加木马。
原理可能是,利用脚本循环语气重复运行VBS(进程wscript.exe)。
先禁止注册表写入,然后打开注册表,查找“GHOST-5072C560E.EXE”,查到一个删除一个,直到没有了,查找启动项目,一般就可以解决了。
相似回答
