w32.almanahe.b!inf病毒专杀+w32.almanahe.b!inf病毒处理方法
一个新的文件型病毒,各位千万小心!
症状:
执行某些程序时报错,最典型的就是QQ报“QQ程序出错,请重新安装”,重新安装后可以用,重启后50%几率又报错。
网上有人说是QQ 2006版本不稳定造成的,其实,是病毒!
病毒名称叫做w32.corerink.a!inf,今天早上更新Norton后,名字变成了w32.Almanahe.B!inf,关于该病毒的英文介绍如下:
http://www.symantec.com/security_response/writeup.jsp?docid=2007-041502-1338-99
简单说:他是一个感染EXE文件,会在局域网中主动传播的病毒(传播方式:感染完全共享目录中的可执行文件,并且主动探测使用弱口令的administrator用户,并将病毒拷贝到c:\中)
关键问题是:到现在为止,只有Norton能够察到他(还有一个叫光华的国产杀毒软件声称可以,没测试过),卡巴、买咖啡、瑞星、江民都查不到……
还有更可怕的……Norton在我的机器上杀了4次,总是会再次感染,而每次杀毒过程中总有几个文件因为无法清除而被隔离,现在我机器中已经有200多个EXE文件被隔离了,很多东西都无法运行……
那么你中了没有?只要这样做:打开c:\windows\system32\drivers,里面有一个s3公司的riodrvs.sys文件和rio8drvs.sys,或者在c:\windows下有一个linkinfo.dll(注意c:\windows\system32下的linkinfo.dll是正常文件),那恭喜你,你中了……
现在我在安全模式下用norton杀掉了,不知道还会不会回来了,有同样问题的同志们请一起研究。
经过数天测试:4月18日时用最新病毒库,瑞星、Norton、卡巴终于可以杀到该病毒,但部分只能隔离不能清除;卖咖啡可以全杀掉,但是杀后部分eXe文件竟然不能用了,而且病毒主体linkinfo.dll竟然漏杀(也可能是漏杀riodrv.sys然后再产生的)!
在这个病毒上杀软的反应速度:Norton > 瑞星 > 卡巴 = 卖咖啡
W32/Almanahe.a,这个可恶的病毒,专门感染杀毒软件,嫚媛的电脑就不幸感染了它,从上个月开始,我就开始收拾她的机器,去了2,3趟了,昨天这一趟终于把病毒搞定了,下面来说说经过。
首先,第一次遇见这种病毒的时候,发现跟威金的特征很像,只感染exe文件,发现卡巴没有效果就删了装McAfee 8.0,可是装上之后却启动不起来,但也能勉强杀毒,可是每次开机之后病毒依然存在,导致QQ每次重启之后都要重装,explorer与IE进程偶尔崩溃,昨天这趟过去决定更换杀毒软件,换了McAfee企业版8.5,安装到一半提示一个cab包损坏,装了2次都是同样的毛病,放弃之后安装诺顿企业版,安装倒是挺快,就快装完的时候居然自动重启了,无奈了,又重新安装McAfee 8.0,可是在安装服务的时候停止了,忍无可忍的我狠狠的重启了,重启之后,我看到了一个让我颇感欣慰的画面,McAfee老老实实的躺在系统托盘了,终于挣脱了病毒的束缚,自以为问题终于要解决了,黑暗终于要过去了 ,曙光就要来临了,没想到。。。。杀完病毒之后每次开机总会提示有病毒,杀毒软件倒也敬业,没动它它就开始清除病毒了,再次无奈的我,开始检查Drivers目录,发现一个很可疑的文件:RioDrvs.sys,清除之后,问题依旧。无奈之下用autoruns又看了一遍,发现了一个Outlook没有通过微软签名校验的项:是setup50.exe怀着忐忑的心情在光盘引导的系统中清除之后重启,还是没有解决,我几乎要崩溃了,又重启了一遍,这次想进system32目录仔细看看的,当路过windows目录时,我留意到杀毒软件清除了一个病毒失败,但实际那个病毒已经清除,我永远也忘记不了那一个瞬间:C:\WINDOWS\linkinfo.dll W32/Almanahe.dll (病毒)就是它,让我几乎崩溃的病毒主要文件之一,在无意中被杀毒软件发现了,重启之后,果然,没有病毒了,整个电脑恢复了平静。。。。。。。
W32/Almanahe.a
1、清空IE临时文件。IE菜单/工具/Internet选项:常规/Internet临时文件/删除文件。
2、瑞星升级到最新版本,然后点“设置/详细设置/开机扫描:扫描所有硬盘”
3、禁用系统还原。我的电脑点右键/属性/系统还原:在所有驱动器上禁止系统还原。
4、重新启动,耐心等待瑞星开机扫描完成,然后再重新启动,按F8到安全模式,全部硬盘再扫描一遍。
5、发现有瑞星报毒,但经过上述过程还是不能杀掉的病毒文件,记下来文件名和位置。
6、还是在安全模式下,在资源管理器中找到那些文件,点右键,选粉粹文件。如果找不到那些文件,打开“我的电脑”,选择菜单“工具”-》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,点击“确定”,然后再找。还是找不到,说明病毒有RootKit隐藏,到www.360safe.com下一个文件粉粹工具,直接将那些文件的全路径名导入粉粹之。
7、然后再用瑞星杀一遍。
我不得不承认,我输了,尽管我赢得了胜利,但是我输了,我输在走了弯路,解决问题关键就在走捷径,只有走捷径才能节省时间,时间就是金钱啊!
但是,那个名叫DKIS6.sys的文件,我脑子里一点印象也没有。。。。。。
“马吉斯(Worm.Magistr)”病毒专杀工具
- 工具名称:“马吉斯(Worm.Magistr)”病毒专杀工具
- 软件版本:1.0
- 软件大小:320KB
- 应用平台:Windows平台
- 更新时间:2007-06-12
- 发布时间:2007-06-12
- 发布公司:北京瑞星科技股份有限公司
- 免费下载:本地下载
2、瑞星升级到最新版本,然后点“设置/详细设置/开机扫描:扫描所有硬盘”
3、禁用系统还原。我的电脑点右键/属性/系统还原:在所有驱动器上禁止系统还原。
4、重新启动,耐心等待瑞星开机扫描完成,然后再重新启动,按F8到安全模式,全部硬盘再扫描一遍。
5、发现有瑞星报毒,但经过上述过程还是不能杀掉的病毒文件,记下来文件名和位置。
6、还是在安全模式下,在资源管理器中找到那些文件,点右键,选粉粹文件。如果找不到那些文件,打开“我的电脑”,选择菜单“工具”-》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,点击“确定”,然后再找。还是找不到,说明病毒有RootKit隐藏,到www.360safe.com下一个文件粉粹工具,直接将那些文件的全路径名导入粉粹之。
7、然后再用瑞星杀一遍。
我不得不承认,我输了,尽管我赢得了胜利,但是我输了,我输在走了弯路,解决问题关键就在走捷径,只有走捷径才能节省时间,时间就是金钱啊!
但是,那个名叫DKIS6.sys的文件,我脑子里一点印象也没有。。。。。。
“马吉斯(Worm.Magistr)”病毒专杀工具
- 工具名称:“马吉斯(Worm.Magistr)”病毒专杀工具
- 软件版本:1.0
- 软件大小:320KB
- 应用平台:Windows平台
- 更新时间:2007-06-12
- 发布时间:2007-06-12
- 发布公司:北京瑞星科技股份有限公司
- 免费下载:本地下载