分析一下这个病毒(不要轻易打开其中的网址) 把这些code 发给 www.iduba.net让他们分析去把,自己有时间多看看别的! 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 不要随意同意ActiveX运行。特别是那些没有经过知名数字签名机构验证的数字签名的ActiveX程序 打开网页后,病毒自动将邮件中的可执行文件生成在C:\windows\temp下并生成副本C:\WINDOWS\intrenat.exeC:\Windows\system\DirectX.exec:\windows\system\winhelp.exec:\windows\system\winhelp32.exe在system.ini中[boot]项写入shell=Explorer.exe C:\Windows\system\DirectX.exe (本应该只用Explorer.exe的)在注册表HKEY_Local_Machine\......\run\下写入 自动运行 C:\WINDOWS\intrenat.exe和C:\WINDOWS\winhelp.exe在注册表HKEY_LOCAL_Machine\...\runservice\下写入自动运行 C:\WINDOWS\intrenat.exe在win.ini中[windows]项写入run=C:\WINDOWS\winhelp32.exe 这个Love.mht原来是“狩猎者”病毒........请看:http://www.duba.net/download/3/34.shtml问题好像有点复杂。。这不只是一个病毒吧? 不是吧主要问题在于 love.mht上,当love.mht在iframe中打开时,自动会将其中附件jiede.exe下载到临时目录然后运行,运行以后病毒将生成几个副本,并修改注册表和System.ini Win.ini来自动启动它们 晕倒,我打开这个xml文件,NORTON报病毒了....... 晕,只要打开页面,QQ就被感染了。特征是只要打开一个“收发讯息”等几秒就会发送楼主所遇到的情况,解决方法:到金山毒霸搞一个“QQ ICQ安全助手”嵌入就行了! 1、利用IE漏洞,修改注册表,更改IE安全设置,自动下载ACTIVEX组件启用;2、通过<object>的codebase下载木马或病毒程序;3、用木马或病毒程序完成制造者的意图。给IE打补丁,不让修改安全设置就可以了,IE的安全设置是浏览者的大门,要把好门。通常不是很强的人写出来的更改安全设置应该是IE默认的安全设置,IE的安全设置里有信任站点和不信任站点,遇到这样的网站直接啦他去黑名单就行了,不过最根本的还是要靠打补丁。http://www.muchina.com.cn/这个网站也是用类似手段将木马种到浏览者机器里,然后窃取游戏帐号的。(这段程序是可以修改安全设置的,所以根本不会弹出提示,直接下载ACTIVEX,不知道的人可能以为什么也没有发生呢)Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\3\\1004",0,"REG_DWORD");这句 http://bbs.kingsoft.net/index.php?act=ST&f=20&t=235766&s=9ff50226de60b8103e8d5cfac8017db4去这里下载专杀,我试了,可以杀死 修改的是 下载未签名的 ACTIVEX 控件值0代表启用值1代表提示值3代表禁用(手工修改一下,再打开注册表看看值的变化就知道了)从上面一段可以看出它是将该项目启用了。写这个的人真傻,要是我Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\0\\1004",0,"REG_DWORD");Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\1\\1004",0,"REG_DWORD");Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\2\\1004",0,"REG_DWORD");Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\3\\1004",0,"REG_DWORD");Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\4\\1004",0,"REG_DWORD");这样就把所有区域的都设成启用了,这样看拖进黑名单会有点用,因为黑名单里的网站javascript都是不允许执行的,也修改不了了。 网页如何防止被采集 Ext中,如何移除掉window的已注册事件(removeListener无效) 求段JS 问题比较奇怪,高手请进 一个简单的script问题,麻烦大家帮我看看,谢谢! javascript该怎么学才能学好学快? 这种效果 怎么才能一个一个的实现 怎样判断一文本框a输入的是否纯数字? 可不可以把浏览者的浏览器的编码自动换成简体中文的? Mozilla有没有对XML进行控制的功能? 求算法 高分请教滚动连续字幕制作!
特别是那些没有经过知名数字签名机构验证的数字签名的ActiveX程序
C:\WINDOWS\intrenat.exe
C:\Windows\system\DirectX.exe
c:\windows\system\winhelp.exe
c:\windows\system\winhelp32.exe在system.ini中[boot]项写入
shell=Explorer.exe C:\Windows\system\DirectX.exe (本应该只用Explorer.exe的)在注册表
HKEY_Local_Machine\......\run\下写入 自动运行 C:\WINDOWS\intrenat.exe和C:\WINDOWS\winhelp.exe在注册表
HKEY_LOCAL_Machine\...\runservice\下写入自动运行 C:\WINDOWS\intrenat.exe在win.ini中[windows]项写入
run=C:\WINDOWS\winhelp32.exe
请看:http://www.duba.net/download/3/34.shtml问题好像有点复杂。。这不只是一个病毒吧?
主要问题在于 love.mht上,当love.mht在iframe中打开时,自动会将其中附件jiede.exe下载到临时目录然后运行,运行以后病毒将生成几个副本,并修改注册表和System.ini Win.ini来自动启动它们
2、通过<object>的codebase下载木马或病毒程序;
3、用木马或病毒程序完成制造者的意图。给IE打补丁,不让修改安全设置就可以了,IE的安全设置是浏览者的大门,要把好门。
通常不是很强的人写出来的更改安全设置应该是IE默认的安全设置,IE的安全设置里有信任站点和不信任站点,遇到这样的网站直接啦他去黑名单就行了,不过最根本的还是要靠打补丁。http://www.muchina.com.cn/这个网站也是用类似手段将木马种到浏览者机器里,然后窃取游戏帐号的。(这段程序是可以修改安全设置的,所以根本不会弹出提示,直接下载ACTIVEX,不知道的人可能以为什么也没有发生呢)Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\3\\1004",0,"REG_DWORD");这句
去这里下载专杀,我试了,可以杀死
值0代表启用
值1代表提示
值3代表禁用(手工修改一下,再打开注册表看看值的变化就知道了)从上面一段可以看出它是将该项目启用了。写这个的人真傻,要是我Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\0\\1004",0,"REG_DWORD");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\1\\1004",0,"REG_DWORD");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\2\\1004",0,"REG_DWORD");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\3\\1004",0,"REG_DWORD");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\4\\1004",0,"REG_DWORD");这样就把所有区域的都设成启用了,这样看拖进黑名单会有点用,因为黑名单里的网站javascript都是不允许执行的,也修改不了了。