«1 2 » Pages: ( 2/2 total )
本页主题: 我刚发现了卡巴斯基查CHM文件特别慢。。 打印 | 加为IE收藏 | 复制链接 | 收藏主题 | 上一主题 | 下一主题

bbsriver
杀人游戏MVP勋章I 杀人游戏MVP勋章II
级别: 管理员


精华: 52
发帖: 17391
威望: 8729 点
金钱: 7064 静电币
支持度: 19801 点
在线时间:13725(小时)
注册时间:2002-11-21
最后登录:2016-12-22

 

Quote:
下面是引用lvdo于2004-08-9 1:01 PM发表的 :
倒是奇怪我每次查这个CHM文件
卡巴基斯就跳出警报
搞不懂什么意思


这不就是那著名的“新欢乐时光”吗?

Quote:
HTML.Redlof.A 是一种多态、加密的 Visual Basic 脚本病毒,会感染所有驱动器上的 .html、.htm、.asp、.php、.jsp 和 .vbs 文件。该病毒将自身复制到 %windir%\System\Kernel.dll 或 %windir%\System\Kernel32.dll,这取决于 Windows System 文件夹的位置。它会更改 .dll 文件的默认关联。

HTML.Redlof.A 运行时会执行下列操作:

将自己的病毒体解密并执行它。

病毒会将自身复制为下列文件之一,这取决于 Windows System 文件夹的位置:

%windir%\System\Kernel.dll
%windir%\System\Kernel32.dll

注意:%windir% 是一个变量。蠕虫会找到 Windows 主安装文件夹(默认位置是 C:\Windows 或 C:\Winnt),然后将 自身复制到该位置。

病毒对注册表进行以下更改以使 .dll 文件可以作为脚本文件执行:
1. 验证注册表键
HKEY_CLASSES_ROOT\.dll

的(默认)值是否为
dllfile

2. 对于注册表键
HKEY_CLASSES_ROOT\.dll


病毒验证
Content Type

的值是否为
application/x-msdownload

3. 在注册表键
HKEY_CLASSES_ROOT\dllFile

中,病毒更改下列子键值:

DefaultIcon
更改为与注册表键
HKEY_CLASSES_ROOT\vxdfile 下的 DefaultIcon 子键值相同
添加子键 ScriptEngine

并将其值更改为
VBScript
添加子键 ScriptHostEncode

并将其值更改为
{85131631-480C-11D2-B1F9-00C04F86C324}

4. 在注册表键
HKEY_CLASSES_ROOT\dllFile\Shell\Open\Command\
中,病毒添加(默认)值
"%windir%\WScript.exe ""%1"" %*"

"%windir%\System32\WScript.exe ""%1"" %*"


5. 在注册表键
HKEY_CLASSES_ROOT\dllFile\ShellEx\PropertySheetHandlers\WSHProps
中,病毒将(默认)值设置为
{60254CA5-953B-11CF-8C96-00AA00B8708C}


病毒在所有文件夹和所有驱动器上搜索文件扩展名为 .html、.htm、.asp、.php、.jsp 和 .vbs 的文件,然后感染这些文 件。

HTML.Redlof.A 通过将自身添加为用于创建邮件的默认信笺进行传播:

1. 它将自身复制到 C:\Program Files\Common Files\Microsoft Shared\Stationery\Blank.htm,如果此文 件已存在,则将自身追加到此文件中。
2. 然后,将 Outlook Express 设置为默认使用该信笺。为完成此操作,病毒在注册表键
HKEY_CURRENT_USER\Identities\[Default Use ID]\Software\Microsoft\Outlook Express\[Outlook Version].0\Mail
中,将
Compose Use Stationery
的值设置为 1。


3. 然后,如果以下值不存在,病毒将创建该值,并为其指定以下值数据:

在注册表键
HKEY_CURRENT_USER\Identities\[Default Use ID]\Software\Microsoft\Outlook Express\[Outlook Version].0\Mail
中,将
Stationery Name
的值数据更改为
C:\Program Files\Common Files\Microsoft Shared\Stationery\blank.htm

在注册表键
HKEY_CURRENT_USER\Identities\[Default Use ID]\Software\Microsoft\Outlook Express\[Outlook Version].0\Mail

中,病毒将
Wide Stationery Name

的值数据更改为
C:\Program Files\Common Files\Microsoft Shared\Stationery\blank.htm

4. 在注册表键
HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail

中,病毒将
EditorPreference

的值数据设置为
131072


5. 接下来,如果下列值不存在,病毒将创建该值,并将其设置为“空”:

值:
001e0360

位于以下注册表键:
HKEY_CURRENT_USER\Software\Microsoft\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings\0a0d020000000000c000000000000046

值:
001e0360

位于以下注册表键:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings\0a0d020000000000c000000000000046

值:
NewStationery

位于以下注册表键:
HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Common\MailSettings

6. 在注册表键
HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail\EditorPreference

中,病毒将
EditorPreference

的值设置为
131072


7. 最后,在注册表键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

中,病毒添加值
Kernel32

并将其设置为
SYSTEM\Kernel32.dll 或 SYSTEM\Kernel.dll

扫描和删除受感染文件:

……
行完整的系统扫描。
如果有任何文件被检测为感染了 HTML.Redlof.A,请单击“删除”。然后以干净的备份替换被删除 的文件,或者重新安装这些文件。

[b病毒对注册表所做的更改:

1.“开始”,然后单击“运行”。将出现“运行”对话框。

2.键入 regedit,然后单击“确定”。“注册表编辑器”打开。

3.导航至键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4.在右窗格中,删除值
Kernel32

5.导航至键
HKEY_CURRENT_USER\Identities\[Default Use ID]\Software\Microsoft\Outlook Express\[Outlook Version].0\Mail

6.在右窗格中,删除值
Compose Use Stationery
Stationery Name
Wide Stationery Name

7.导航至键
HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail

8.在右窗格中,删除值
EditorPreference

9.导航至下列子键并将其删除:
HKEY_CLASSES_ROOT\dllFile\Shell
HKEY_CLASSES_ROOT\dllFile\ShellEx
HKEY_CLASSES_ROOT\dllFile\ScriptEngine
HKEY_CLASSES_ROOT\dllFile\ScriptHostEncode

10.退出“注册表编辑器”。





source: http://www.symantec.com/region/cn/techsupp/avcenter/venc/data/cn-vbs.redlof.a.html
Posted: 2004-08-10 01:34 | 15 楼
jackyshaojie
级别: 新手上路


精华: 0
发帖: 3
威望: -1 点
金钱: 77 静电币
支持度: 0 点
在线时间:8(小时)
注册时间:2004-02-07
最后登录:2007-02-18

 

装了kva 整理磁盘暴慢 ,装有了软件,尤其是游戏也暴慢, 关了实时监控就好了,不爽
Posted: 2004-08-10 19:45 | 16 楼
lvdo
级别: 侠客


精华: 0
发帖: 34
威望: 3 点
金钱: 95 静电币
支持度: 0 点
在线时间:0(小时)
注册时间:2003-05-11
最后登录:2004-11-10

 

Quote:
下面是引用bbsriver于2004-08-10 1:34 AM发表的 :

不是吧

我以前用诺顿的时候根本没查出有这东西

而且这个文件在我机器里已经待了 有一年多了 也没什么事情发生过啊
Posted: 2004-08-10 22:47 | 17 楼
bbsriver
杀人游戏MVP勋章I 杀人游戏MVP勋章II
级别: 管理员


精华: 52
发帖: 17391
威望: 8729 点
金钱: 7064 静电币
支持度: 19801 点
在线时间:13725(小时)
注册时间:2002-11-21
最后登录:2016-12-22

 

那能证明什么呢?即便你昨天还没有病毒,也不能证明你今天没有病毒
当然不排除误报,要证实也很简单,运行一遍带毒文件,再看看你的system目录下有没有Kernel.dll或Kernel32.dll就知道了
Posted: 2004-08-10 22:53 | 18 楼
lvdo
级别: 侠客


精华: 0
发帖: 34
威望: 3 点
金钱: 95 静电币
支持度: 0 点
在线时间:0(小时)
注册时间:2003-05-11
最后登录:2004-11-10

 

看过注册表了 上面列举的情形都没有

还好 吓我
Posted: 2004-08-10 22:59 | 19 楼
lvdo
级别: 侠客


精华: 0
发帖: 34
威望: 3 点
金钱: 95 静电币
支持度: 0 点
在线时间:0(小时)
注册时间:2003-05-11
最后登录:2004-11-10

 

不过那个是个一个叫沉睡不醒的做得介绍系统漏洞之类的东西

有5M之多   不然发上来给大家看看 看看是不是误报
Posted: 2004-08-10 23:05 | 20 楼
玫瑰刺猬
级别: *


精华: *
发帖: *
威望: * 点
金钱: * 静电币
支持度: * 点
在线时间:(小时)
注册时间:*
最后登录:*

 

我实在忍受不了卡基的速度~~今天把他KILL了~~重新装的毒霸6
Posted: 2004-08-11 16:19 | 未知地址 21 楼
bleusonne
级别: 新手上路


精华: 0
发帖: 4
威望: 3 点
金钱: 97 静电币
支持度: 0 点
在线时间:0(小时)
注册时间:2004-08-22
最后登录:2005-03-01

 

昨天查毒用了三个多小时
都快晕了
Posted: 2004-09-05 12:59 | 22 楼
风の铃音
年度杀人狂 2006
杀人游戏MVP勋章I
级别: 嘉宾


精华: 99
发帖: 3561
威望: 2500 点
金钱: 232 静电币
支持度: 23475 点
在线时间:842(小时)
注册时间:2002-11-17
最后登录:2012-05-22

 

说一句话别不高兴:卡巴斯基不适合新手,不适合不会进行设置、调整的人

如果属于这种人,乖乖卸了用诺顿或者金山最好
月影映上苍白的面庞,眼中便有了光亮
夜风吹散淡然的花香,思绪便恣意飞扬
回忆剥去破碎的点滴,难忘的,仍是那风中铃音的忧伤……
Posted: 2004-09-05 14:07 | 23 楼
bbsbird
轻尘
级别: 贵宾


精华: 3
发帖: 3038
威望: 836 点
金钱: 3075 静电币
支持度: 11 点
在线时间:176(小时)
注册时间:2003-10-16
最后登录:2012-07-23

 

偶机器上的杀毒软件基本上开机运行一会就关掉监控了

用咔吧的朋友建议稍微勤快一点 有一些设置自己修改一下
5.0的个人版也就几个设置选项 又不麻烦
深夜来临的时候,是一个人心灵最脆弱的时候,也是思念最疯狂的时候。其实一个人并不孤单,想念一个人的时候才是真正的孤单。
Posted: 2004-09-05 14:46 | 24 楼
freebeme
级别: 光明使者


精华: 3
发帖: 2079
威望: 270 点
金钱: 2285 静电币
支持度: 0 点
在线时间:47(小时)
注册时间:2002-08-31
最后登录:2015-03-23

 

司机查chm文件慢是因为它把chm文件解成htm,然后检查匹配的超文本语句,有很多匹配项目,很多可疑脚本,一一过滤。应该是快不了。一个chm文件怎么也得解成好几百的htm。。然后再查源码。。
CCIE#14860 & CISSP 306112
http://hu-2.net
Posted: 2004-09-06 23:40 | 25 楼
«1 2 » Pages: ( 2/2 total )
帖子浏览记录 版块浏览记录
狗狗静电BBS - wwW.DoGGiEhoMe.CoM » 电脑全方位 Computer Guide

沪ICP备05008186号
Powered by PHPWind Styled by MagiColor