|
繼上週出現的PE_KRIZ一隻舊的Windows32-bits病毒,本週再度出現一隻舊的Windows32-bits病毒--PE_FUNLOVE.4099,這是一隻舊病毒,最近在北美有再度蔓延之虞。
此 Win32 病毒具有感染 Windows 9x 及 Windows NT 4.0 的能力。它會感染 Windows 以及 Program Files 資料夾及其子目錄中所有 Win32 類型(PE)的檔案,如: .EXE、.SCR 以及 .OCX。此病毒還會尋找所有具有寫入存取權的網路共享資料夾,以感染其中的檔案。病毒會修補 NT 環境下的整合檢查,以感染系統檔案。
您必須使用 PC-cillin 產品提供的「緊急救援磁片」來清除這些檔案。 帶有預設設定的「緊急救援磁片」,略過或遺失具有 .OCX 及 .SCR 副檔名的檔案,而 PE_Funlove.4099 會將它自己插入那些檔案。要去除那些檔案,請在包含 /V 及 /C 選項的「緊急救援磁片」中加入 /A 及 /NOBCK 選項。這可以讓「緊急救援磁片」掃瞄及清除具有 .OCX 及 .SCR 副檔名的含入檔。當您使用「緊急救援磁片」時,請加上 /A 與 /NOBKUP 以及 /V 和 /C 選項,以便掃瞄特殊副檔名的檔案。
請依下列步驟來手動清除留下的檔案 FCLSS.EXE:
1. 使用乾淨的開機片重新啟動電腦
2. 從 Windows 系統目錄(c:\windows\system)及子目錄找出並刪除留下的檔案
3. 將電腦重新開機為 Windows 在 NT 的環境下,NTLDR 及 NTOSKRNL.EXE 檔必須經由清除檔案來加以取代。
要完成此步驟,需要使用乾淨的磁片開機,然後以乾淨的副本覆寫 NTLDR 及 NTOSKRNL.EXE 檔。
請用防毒軟體掃描系統並刪除所有偵測為PE_FUNLOVE.4099 的檔案。
所有 Internet 使用者若要快速檢查您的 PC 是否還含有病毒, 請利用 HouseCall ─這是趨勢科技的線上掃毒程式。這項工具可偵測出您的 PC 中潛藏的病毒。
PE_KRIZ.4050是一隻舊的Windows32-bits病毒,最近收到來自許多國家的報導。因為這隻病毒可能附在一些遊戲軟體中,所以PE_KRIZ.4050很有可能就像許多舊型病毒一般,隨時可能因此而反撲。PE_KRIZ.4050的破壞性,類似PE_CIH,會改變CMOS訊息,以及flash的BIOS。
基於此,趨勢科技建議所有用戶立刻更新最新病毒碼。所有 Internet 使用者若要快速檢查您的 PC 是否還含有病毒, 請利用 HouseCall ─這是趨勢科技的線上掃毒程式。這項工具可偵測出您的 PC 中潛藏的病毒。
請在MSDOS模式下以PC-cillin救援磁片清除此病毒。
1. 在未受感染的電腦中,由此
http://www.antivirus.com/pc-cillin/edisks.htm下載一塊緊急救援磁片。
2.以此張救援磁片開機。
3.掃描系統並刪除]所有偵測為PE_KRIZ.4050的檔案。
4.重新啟動系統
請趨勢科技用戶立即更新病毒碼單812(含)以上, VSAPI 掃瞄引擎 5.20。
TROJ_SHOCKWAVE.A是特洛依木馬型(Trojan)病毒,以信件主旨為:"A great Shockwave flash movie",信件內容"Check out his new flash movie that I download just now...It's Great.",並夾帶著"CREATIVE.EXE"檔案的電子郵件進行散播。使用者中毒後,病毒會將自己寄給使用者Outlook通訊錄裡的所有名單,自動對這些郵件地址發送垃圾郵件以達到擴散的目的。
除了大量將自己寄給使用者Outlook通訊錄中的人以外,這個病毒會尋找使用者硬碟中所有*.JPG, *.ZIP檔案,將其移往C:硬碟的根目錄下,更改檔案附檔名,增加下列文字"change atleast now to LINUX",例如:XXXX.ZIP 變成 "XXXX.ZIPchange atleast now to LINUX"。病毒會在C:根目錄下加入messageforu.txt文字檔,紀錄所有被搬移檔案的原始位置。
此外不得不順帶一提的是,該病毒最特殊之處,在於以多媒體檔來吸引電腦使用者開啟,近年來,愈來愈多的電子賀卡、卡通、遊戲及廣告改以多媒體方式來表現,網友間分享動畫檔的情況也相當普遍,使得TROJ_SHOCKWAVE.A這隻病毒更易趁虛而入。特別是聖誕節將至,電子賀卡流傳將會更廣,網友不得不謹慎。
清除方式
刪除 C:\CREATIVE.EXE file
若在啟動內被加入 CREATIVE.EXE .將檔案刪除
開啟C:\messageforu.txt 並且依照所列出的原始檔案位置將檔案還原
刪除 C:\messageforu.txt
如果c:\windows\system 中沒有MSVBVM60.DLL .則病毒檔案不會執行起來
[我想深入瞭解]
[更新病毒碼]
這是一個會以一張有可怕眼睛的女鬼圖企圖讓用戶受到驚嚇的笑話程式,一旦這個笑話程式進駐用戶的記憶體,這張圖就會在每二分鐘後出現,每次出現約三秒鐘,之後便在回覆為原來的畫面,直到程式從記憶體移除。
這個笑話程式是TSR(Terminate but Stay Resident) 程式,他首先會出現黑色螢幕,並且有綠色ASCII 程式文字,然後幾分鐘後,會出現一個有麥當勞標誌及以下文字 " Email_xu_yxfy@yeah.net ___628526xx ____________"的視窗,此時即使你已經關閉視窗它仍然會停留在你的記憶體中,接下來就像之前所說,你的心臟每二分鐘要接受一次這張女鬼圖的考驗!
由於此程式對電腦或檔案並不會造成任何破壞行為,因此僅要將正在執行中的程式關閉即可.共有二個方式可關閉程式的執行
A:
1.點選開始 | 關機 | 重新啟動電腦
2.刪除MC.EXE檔案
B:
1.同時按下 CTRL-ALT-DELETE 三個按鍵 .即會開啟關閉程式的視窗
2.選擇MC.後.點選結束工作
3.刪除MC.EXE檔案
請趨勢科技用戶立即更新病毒碼單802(含)以上, VSAPI
掃瞄引擎 5.20。
聖誕將至,
網路上病毒開始加速流竄, 除了上週的Navidad.a之外,最近又有另一隻TROJ_MUSIC.A,會以主題為:
"Testing to send file",內文為:"Hi,just testing
email using Merry Christmas music file, not bad music."或者是內文為:
"Hi, just testing email using Merry Christmas music file,you'll
like it."這隻特洛伊會以附加檔案將自己傳送到受感染用戶的email
adderss中的每一位。而當它被執行,會出現一個有音量的圖表並再送上一個聖誕老人圖,或者是大大的
"Merry Christmas"
。當然,既然叫做音樂,送上一段聖誕音樂是少不了的囉!
解決方案:
1.按一下「開始」按鈕, 接著選取「執行」
2.輸入「regedit」。按一下「確定」。
3.在左邊視窗,按一下含有 "+"
記號的方塊以展開節點來尋找下列登錄
HKEY_LOCAL_MACHINE
4.在右邊視窗,以展開節點來尋找含有步驟一所列之下列登錄的記錄值並Delete
5.重新啟動機器。
使用趨勢科技防毒軟體掃瞄系統, 刪除所有偵測為TROJ_MUSIC.A的檔案。
請趨勢科技用戶立即更新病毒碼798(含)以上, VSAPI
掃瞄引擎 5.20。所有 Internet
使用者若要快速檢查您的 PC 是否還含有病毒, 請利用
HouseCall ─
這是趨勢科技的線上掃毒程式。這項工具可偵測出您的
PC 中潛藏的病毒。
TROJ_BLEBLA.A 又是一隻新的透過網路散佈的特洛伊木馬,11月16日於波蘭發現。這隻特洛伊以一封附帶二個檔案MyJuliet.CHM
and MyRomeo.EXE.的HTML郵件出現。用戶必須特別小心的是,一旦開啟這個郵件,這個HTML檔就執行了,並且會複製,
然後再度以HTML檔並附加.CHM和.EXE的檔案形式傳送給受感染用戶記事本中的所有email
address中。
解決方案:
一
1.將regedit.exe改為regedit.com
2. 按一下「開始」按鈕, 接著選取「執行」
3.輸入「regedit」。按一下「確定」。
4.在左邊視窗,按一下含有 "+" 記號的方塊以展開節點來尋找下列登錄
HKEY_CLASSES_ROOT/rnjfile/shell/open/command="c:\windows\sysrnj.exe"%1"%*"
5.請您將rnjfile這個目錄刪除之
6.重新啟動電腦,並使用防毒軟體下去掃,將感染此病毒的檔案刪除之
請使用趨勢科技防毒軟體掃瞄系統,
刪除所有偵測為TROJ_BLEBLA.A的檔案。
並立即更新病毒碼798(含)以上,
VSAPI 掃瞄引擎 5.20。
二.請使用以下清除程式
1.將blebla.exe 存至一張空白磁片中
2.點選開始 | 執行
3.輸入a:blebla.exe並按確定
4.重新啟動電腦
5.使用防毒軟體掃瞄所有檔案.並將偵測出病毒檔案刪除
|
又是一隻叫"NAVIDAD"的新蠕蟲,這次是在南美洲發現,NAVIDAD在西班牙文中為"聖誕節"之意。甫出現便已在各地傳出感染災情。其中毒症狀是當執行被感染檔案時,會出現標題為 "error" 的對話框,框內的文字為 "UI" ,如果中毒用戶按下ok,會在螢幕右下方出現一個眼睛icon,游標指向眼睛icon,會出現"Lo estamos mirando..."的字,意思是 "We are watching you"。接著若點選眼睛icon,又會出現以下對話框 "Nunca presionor este boton" 意思是"never press this button.",若不信邪,再點選玩下去,跟著就會有一錯誤訊息出現意思是: "Merry Christmas, Unfortunately you've given in to temptation and lose your computer."也就是說,悲劇降臨你的電腦了。
TROJ_NAVIDAD.A病毒利用Microsoft Exchange Messaging API(MAPI),以email夾帶附加檔案"NAVIDAD.EXE"進行散播。當使用者在不知情的狀況下執行該附帶檔,電腦隨即中毒。病毒會將自己寄給使用者通訊錄裡所有的名單,並修改windows registry。該病毒最特殊之處為,病毒會尋找收件匣中的寄件者名單,自動回覆帶有病毒檔案的email,因為該信件與一般回覆信件無異,使用者不會對其存有戒心,執行附加檔後將造成連鎖性的感染。例如:Carolyn寄電子郵件給電腦中毒的John,病毒會自動回覆該信件,並夾帶病毒檔案,Carolyn見John回信,不疑有他,執行email附檔案,即遭TROJ_NAVIDAD.A病毒感染。
解決方案:
一、自動清除程式:
1. 請至趨勢科技網站下載自動清除程式 "knvd.com".
2. 在另一台沒有中毒的電腦中下載knvd.com
3. 將knvd.com存至一張空白磁片中
4. 將磁片拿至中毒的電腦
5. 點選開始 | 執行
6. 輸入a:\knvid.com 並按確定
7. 重新啟動電腦
8. 掃瞄所有檔案.將偵測出TROJ_NAVIDAD.A 檔案全部刪除
二、手動清除程式:
1. 從「開始」|「程式集」|「MS-DOS模式」
2. 鍵入DOS指令以重新命名regedit.exe為 regedit.com 語法如下
cd\
cd windows
ren regedit.exe regedit.com
3.鍵入Exit指令並按「確定」,回到Windows。
4.按一下「開始」按鈕, 接著選取「執行」
5.輸入「regedit」。按一下「確定」。
6.在左邊視窗,按一下含有 "+" 記號的方塊以展開節點來尋找下列登錄
HKEY_CLASSES_ROOT
exefile
shell
open
command
7.在右邊視窗,以展開節點來尋找含有下列登錄的記錄值並點選(Default) = "%
windir%\SYSTEM\WINSVRC.EXE"%1""%*" where %windir%
8.當編輯視窗出現,將所有整個部分刪除,只留下 "%1"%*"。
9.同步驟 3-5,輸入「regedit」。按一下「確定」,進入以下註冊機值。
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
10.點選Win32BaseServiceMOD = %windir%\SYSTEM\WINSVRC.EXE ,並按「刪除」
11.從「開始」|「程式集」|「MS-DOS模式」
12.鍵入DOS指令並按「確定」,重新命名regedit.com為 regedit.exe。
13.使用趨勢科技防毒軟體掃瞄,刪除所有偵測為TROJ_NAVIDAD.A的檔案。
更多有關TROJ_NAVIDAD.A病毒資料,請至趨勢科技網站查詢
所有 Internet 使用者若要快速檢查您的 PC 是否還含有病毒, 請利用 HouseCall ─ 這是趨勢科技的線上掃毒程式。這項工具可偵測出您的 PC 中潛藏的病毒。
|
