本页主题: 我刚发现了卡巴斯基查CHM文件特别慢。。 打印 | 加为IE收藏 | 复制链接 | 收藏主题 | 上一主题 | 下一主题

ivw
级别: 圣骑士


精华: 2
发帖: 254
威望: 73 点
金钱: 453 静电币
支持度: 0 点
在线时间:0(小时)
注册时间:2003-02-09
最后登录:2004-11-29

 我刚发现了卡巴斯基查CHM文件特别慢。。

慢得太厉害了。。
Posted: 2004-08-08 12:27 | [楼 主]
bbsriver
杀人游戏MVP勋章I 杀人游戏MVP勋章II
级别: 管理员


精华: 52
发帖: 17391
威望: 8729 点
金钱: 7064 静电币
支持度: 19801 点
在线时间:13725(小时)
注册时间:2002-11-21
最后登录:2016-12-22

 

哈哈,CHM里面会夹带病毒也是新闻~
Posted: 2004-08-08 22:18 | 1 楼
bbsriver
杀人游戏MVP勋章I 杀人游戏MVP勋章II
级别: 管理员


精华: 52
发帖: 17391
威望: 8729 点
金钱: 7064 静电币
支持度: 19801 点
在线时间:13725(小时)
注册时间:2002-11-21
最后登录:2016-12-22

 

偶的意思是说:不用查
Posted: 2004-08-08 23:58 | 2 楼
bbsriver
杀人游戏MVP勋章I 杀人游戏MVP勋章II
级别: 管理员


精华: 52
发帖: 17391
威望: 8729 点
金钱: 7064 静电币
支持度: 19801 点
在线时间:13725(小时)
注册时间:2002-11-21
最后登录:2016-12-22

 

Quote:
下面是引用lvdo于2004-08-9 1:01 PM发表的 :
倒是奇怪我每次查这个CHM文件
卡巴基斯就跳出警报
搞不懂什么意思


这不就是那著名的“新欢乐时光”吗?

Quote:
HTML.Redlof.A 是一种多态、加密的 Visual Basic 脚本病毒,会感染所有驱动器上的 .html、.htm、.asp、.php、.jsp 和 .vbs 文件。该病毒将自身复制到 %windir%\System\Kernel.dll 或 %windir%\System\Kernel32.dll,这取决于 Windows System 文件夹的位置。它会更改 .dll 文件的默认关联。

HTML.Redlof.A 运行时会执行下列操作:

将自己的病毒体解密并执行它。

病毒会将自身复制为下列文件之一,这取决于 Windows System 文件夹的位置:

%windir%\System\Kernel.dll
%windir%\System\Kernel32.dll

注意:%windir% 是一个变量。蠕虫会找到 Windows 主安装文件夹(默认位置是 C:\Windows 或 C:\Winnt),然后将 自身复制到该位置。

病毒对注册表进行以下更改以使 .dll 文件可以作为脚本文件执行:
1. 验证注册表键
HKEY_CLASSES_ROOT\.dll

的(默认)值是否为
dllfile

2. 对于注册表键
HKEY_CLASSES_ROOT\.dll


病毒验证
Content Type

的值是否为
application/x-msdownload

3. 在注册表键
HKEY_CLASSES_ROOT\dllFile

中,病毒更改下列子键值:

DefaultIcon
更改为与注册表键
HKEY_CLASSES_ROOT\vxdfile 下的 DefaultIcon 子键值相同
添加子键 ScriptEngine

并将其值更改为
VBScript
添加子键 ScriptHostEncode

并将其值更改为
{85131631-480C-11D2-B1F9-00C04F86C324}

4. 在注册表键
HKEY_CLASSES_ROOT\dllFile\Shell\Open\Command\
中,病毒添加(默认)值
"%windir%\WScript.exe ""%1"" %*"

"%windir%\System32\WScript.exe ""%1"" %*"


5. 在注册表键
HKEY_CLASSES_ROOT\dllFile\ShellEx\PropertySheetHandlers\WSHProps
中,病毒将(默认)值设置为
{60254CA5-953B-11CF-8C96-00AA00B8708C}


病毒在所有文件夹和所有驱动器上搜索文件扩展名为 .html、.htm、.asp、.php、.jsp 和 .vbs 的文件,然后感染这些文 件。

HTML.Redlof.A 通过将自身添加为用于创建邮件的默认信笺进行传播:

1. 它将自身复制到 C:\Program Files\Common Files\Microsoft Shared\Stationery\Blank.htm,如果此文 件已存在,则将自身追加到此文件中。
2. 然后,将 Outlook Express 设置为默认使用该信笺。为完成此操作,病毒在注册表键
HKEY_CURRENT_USER\Identities\[Default Use ID]\Software\Microsoft\Outlook Express\[Outlook Version].0\Mail
中,将
Compose Use Stationery
的值设置为 1。


3. 然后,如果以下值不存在,病毒将创建该值,并为其指定以下值数据:

在注册表键
HKEY_CURRENT_USER\Identities\[Default Use ID]\Software\Microsoft\Outlook Express\[Outlook Version].0\Mail
中,将
Stationery Name
的值数据更改为
C:\Program Files\Common Files\Microsoft Shared\Stationery\blank.htm

在注册表键
HKEY_CURRENT_USER\Identities\[Default Use ID]\Software\Microsoft\Outlook Express\[Outlook Version].0\Mail

中,病毒将
Wide Stationery Name

的值数据更改为
C:\Program Files\Common Files\Microsoft Shared\Stationery\blank.htm

4. 在注册表键
HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail

中,病毒将
EditorPreference

的值数据设置为
131072


5. 接下来,如果下列值不存在,病毒将创建该值,并将其设置为“空”:

值:
001e0360

位于以下注册表键:
HKEY_CURRENT_USER\Software\Microsoft\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings\0a0d020000000000c000000000000046

值:
001e0360

位于以下注册表键:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings\0a0d020000000000c000000000000046

值:
NewStationery

位于以下注册表键:
HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Common\MailSettings

6. 在注册表键
HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail\EditorPreference

中,病毒将
EditorPreference

的值设置为
131072


7. 最后,在注册表键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

中,病毒添加值
Kernel32

并将其设置为
SYSTEM\Kernel32.dll 或 SYSTEM\Kernel.dll

扫描和删除受感染文件:

……
行完整的系统扫描。
如果有任何文件被检测为感染了 HTML.Redlof.A,请单击“删除”。然后以干净的备份替换被删除 的文件,或者重新安装这些文件。

[b病毒对注册表所做的更改:

1.“开始”,然后单击“运行”。将出现“运行”对话框。

2.键入 regedit,然后单击“确定”。“注册表编辑器”打开。

3.导航至键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4.在右窗格中,删除值
Kernel32

5.导航至键
HKEY_CURRENT_USER\Identities\[Default Use ID]\Software\Microsoft\Outlook Express\[Outlook Version].0\Mail

6.在右窗格中,删除值
Compose Use Stationery
Stationery Name
Wide Stationery Name

7.导航至键
HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail

8.在右窗格中,删除值
EditorPreference

9.导航至下列子键并将其删除:
HKEY_CLASSES_ROOT\dllFile\Shell
HKEY_CLASSES_ROOT\dllFile\ShellEx
HKEY_CLASSES_ROOT\dllFile\ScriptEngine
HKEY_CLASSES_ROOT\dllFile\ScriptHostEncode

10.退出“注册表编辑器”。





source: http://www.symantec.com/region/cn/techsupp/avcenter/venc/data/cn-vbs.redlof.a.html
Posted: 2004-08-10 01:34 | 3 楼
bbsriver
杀人游戏MVP勋章I 杀人游戏MVP勋章II
级别: 管理员


精华: 52
发帖: 17391
威望: 8729 点
金钱: 7064 静电币
支持度: 19801 点
在线时间:13725(小时)
注册时间:2002-11-21
最后登录:2016-12-22

 

那能证明什么呢?即便你昨天还没有病毒,也不能证明你今天没有病毒
当然不排除误报,要证实也很简单,运行一遍带毒文件,再看看你的system目录下有没有Kernel.dll或Kernel32.dll就知道了
Posted: 2004-08-10 22:53 | 4 楼
帖子浏览记录 版块浏览记录
狗狗静电BBS - wwW.DoGGiEhoMe.CoM » 电脑全方位 Computer Guide

沪ICP备05008186号
Powered by PHPWind Styled by MagiColor