电脑中了Backdoor.Gpigeon.zku病毒,用瑞星杀毒后提示清楚成功

发布网友 发布时间：2024-09-27 14:53

我来回答

共5个回答

热心网友 时间：2024-10-03 21:20

您好：如果怀疑系统存在病毒，建议您安装瑞星杀毒软件V16版本升级到最新病毒库后进行病毒扫描查杀，下载地址：http://pc.rising.com.cn/

热心网友 时间：2024-10-03 21:17

楼上的注意了，我对这个病毒特别有经验，具体杀毒方法，已经写成文章发布到以下论坛，可以直接去看看，

热心网友 时间：2024-10-03 21:21

OK，你可找对人了
到这里下个专杀：
http://www.jiangmin.com/News/jiangmin/index/important/2006810172130.htm
绝对搞掉病毒文件全体

接下来，很重要的一步，修复电脑中全部的.htm .html .asp三种类型文件
因为落雪在感染电脑时，把这三种文件的尾部，就加上了一行链接代码，如：
<frame src=http://www.ac66.cn/88/index.htm ........>
这段代码就是导致落雪病毒杀死后，不断幽灵再现的原因，我就被搞了不少于3次
可以用记事本打开自己电脑的htm或html网页文件，看看尾部的这段代码，每当这些文件被IE打开一次，就会再次复发落雪病毒
清除的方法是下载一个文件内容批量替换工具，如：Advanced Find and Replace中文版，把电脑内的全部三种文件的尾部的链接代码都去掉，就OK了

热心网友 时间：2024-10-03 21:19

Rahack.a破解Radmin口令感染电脑，江民率先截获

--------------------------------------------------------------------------------

www.jiangmin.com 2005-1-14 16:27:56 作者:Author 信息出自:江民科技

病毒名称：I-Worm/Rahack.a
病毒类型：网络蠕虫
病毒大小：96631
传播方式：网络
危害等级：**
2005年1月6日，江民反病毒中心截获网络蠕虫I-Worm/Rahack.a。该蠕虫通过猜解著名远程控制软件Radmin的口令来感染那些运行该软件的计算机。
具体技术特征如下：
1. 病毒运行后，创建下列文件：
a) %System%\mscolsrv.exe
b) %System%\server.dll
c) %System%\svchsot.exe
d) %System%\syshid.exe
e) %UserProfile%\Start Menu\Programs\Startup\system.vbs
2. 在注册表启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current
Version\Run下创建键值：
“sysser" = "%System%\svchsot.exe"
这样，病毒在Windows启动时就得以运行。

在注册表HKEY_CLASSES_ROOT\exefile\shell\open\command下创建键值：
"(Default)"= "syshid.exe "%1" %*""
这样，用户在打开任何exe程序时病毒都会被运行。

创建下列注册表键值：
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSCoolServ
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSCoolServ
HKEY_LOCAL_MACHINE\SOFTWARE\RAdmin\v1.1
HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0
3. 创建服务名MSCoolServ
4. 遍历盘符从C到Z的所有驱动器（光盘驱动器除外），寻找以.htm或者.html为扩展名的文件，找到后病毒以相同名字拷贝自身，但扩展名为.exe。.
5. 在注册表HKEY_CLASSES_ROOT\CLSID\[random CLSID]下创建下列键值：
"(Default)" = "sysser"
"(Default)" = "[path to executable]"
6. 查找以.html结尾的文件，找到后插入一个标签，该标签指向病毒在注册表中创建的CLSID键值入口
这样，用户在打开任何html文件时病毒都会被运行。
7. 通过扫描IP地址从[first octet][second octet].0.1到[first octet][second octet].255.255上所开启的TCP4899端口来查找运行Radmin的计算机。
[first octet]从下列数字中随机选择：
12, 14, 24, 61, 62, 63, 64, 65, 66, 67, 68, 69, 80, 81, 82, 83, 84, 195, 199, 200,
201, 202, 203, 207, 209, 210, 211, 212, 213, 216, 217, 218, 219, 220, 221, 222
[second octet]从下列数字中随机选择：
0, 20, 40, 60, 80, 100, 120 ,140, 160, 18, 200, 220, 240
8. 当病毒发现目标计算机后通过尝试以下一些弱口令来试图控制远程运行Radmin的电脑：
123456789
11111111
12345678
password
qwertyui
00000000
12341234
8. 病毒拷贝自身到远程计算机的C:\wutemp目录下，改名为srvsxc.exe，然后运行。

针对该病毒，江民公司已经在第一时间升级了病毒库，请您及时升级到1月6日病毒库，并打开KV的所有监控，即可全面查杀该病毒，保护您的系统不受其侵害。

热心网友 时间：2024-10-03 21:18

找个灰鸽子专杀试试
用EWIDO应该可以