rss地图
社区应用
帖子
相册
日志
群组
热榜
分享
记录
社区服务
闪电银行
转帖工具
邀请注册
勋章中心
道具中心
打工赚钱
找回密码
统计排行
基本信息
到访IP统计
管理团队
管理统计
在线会员
会员排行
版块排行
帖子排行
管理监督
下拉
用户名
UID
电子邮箱
用户名
密 码
记住登录
登录
找回密码
注册
微博帐号登录
快捷通道
关闭
您还没有登录,快捷通道只有在登录后才能使用。
立即登录
还没有帐号? 赶紧
注册一个
首页
闪电联盟论坛
闪电软件园
每日打卡
电魂充值
勋章中心
我的帖子
论坛资料设置
帖子
日志
用户
版块
群组
帖子
搜索
wind8black
tiboo
pink87
wind8gray
linkt
wind
wind8purple
新年
jyezu87
植树节
经典蓝色
购买邀请后未收到邀请联系sdbeta@qq.com
软件定制服务联系3766906032@qq.com
闪电联盟软件论坛
>
『技术问题交流』
>
如何彻底清除Sircam病毒
发帖
回复
返回列表
新帖
2173
阅读
0
回复
[
已解决
]
如何彻底清除Sircam病毒
[复制链接]
上一主题
下一主题
离线
gsl27
UID:5632
注册时间
2008-05-07
最后登录
2023-11-18
发帖
4831
搜Ta的帖子
精华
0
访问TA的空间
加好友
用道具
UID: 5632
闪电元勋
关闭
个人中心可以申请新版勋章哦
立即申请
知道了
发帖
4831
今日发帖
最后登录
2023-11-18
加关注
发消息
只看楼主
倒序阅读
使用道具
楼主
发表于: 2008-06-20 16:42:52
自助获取论坛邀请码
如何彻底清除Sircam病毒
一种在全球50多个国家通过电子邮件快速传播的恶性网络蠕虫W32.Sircam病毒在国内大面积爆发。我国著名反病毒企业北京瑞星公司率先捕获并将其彻底查杀。瑞星公司告诫广大计算机用户:请尽快将瑞星杀毒软件升级到12.33以上版本,并开启实时监控,可避免受到该病毒的侵袭。
据瑞星公司反病毒专家介绍,“W32.Sircam.Worm”病毒是一种首发于英国的恶性网络蠕虫病毒,具有较高的危害程度,主要通过电子邮件附件进行传播。在电子邮件中该病毒表现为:正文是一段首尾两句不变的英文或西班牙文字,其中英文邮件的首尾两句为:“Hi! How are you?”、“See you later. Thanks”,西班牙文则为:“Hola como estas?”、“Last line: Nos vemos pronto, gracias.”。邮件的附件和主题一样,并在后面加上了双扩展名,其扩展名称可能是:"PIF", "LNK", "BAT", "EXE" 或"COM" 五种中的任意一种。
用户一旦打开附件,该网络蠕虫病毒将达到以下破坏目的:
1.随意选择机器硬盘内的文件作为附件,向外发送,导致机器内重要文件对外公开;
2.病毒发作时自动删除C盘所有文件;
3.每一次启动时自动在硬盘中写入垃圾文件,直至吞噬硬盘所有可用空间,导致系统无法工作。
瑞星敬告所有电脑用户,如果没有使用瑞星杀毒软件,应将具有以上特征的可疑邮件及时删除,以保护电脑中宝贵信息。
病毒资料及解决办法:
病毒名称:W32.Sircam.Worm@mm
别名: W32/SirCam@mm, Backdoor.SirCam
蠕虫W32.Sircam.Worm@mm自身包含 SMTP引擎,感染方式有点类似W32.Magistr.Worm。
该蠕虫目前已经被列为危险级病毒。
病毒行为:
蠕虫将染毒机器中产生的随机文档隐藏到自身代码中;
蠕虫将删除C盘上的所有文件及文件夹,仅当系统日期格式为 D/M/Y(日/月/年);
每次启动时蠕虫通过向c:\recycled\sircam.sys文件中添加文本使硬盘上的空余空间被充满,
文本中包含下面的字符串:
[SirCam_2rp_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
或
[SirCam Version 1.0 Copyright ¬ 2000 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico];
病毒的传播形式:
1.蠕虫复制自身到 %TEMP%\ 、 C:\recycled\其中包含附件中的文档(doc,xls.zip)。
2.拷贝自身到C:\recycled\sirc32.exe 、 %System%\scam32.exe。
3 添加注册键的值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
值:Driver32=%System%\scam32.exe
创建注册键HKEY_LOCAL_MACHINE\Software\SirCam 其中包含下列值:FB1B - 保存蠕虫在recycled目录中的文件名。
FB1BA -保存 SMTP的 IP地址。
FB1BB - 保存发送者的邮件地址。
FC0 - 保存蠕虫已经执行的次数。
FC1 - 保存蠕虫的版本。
FD1 - 保存已经执行的蠕虫文件名。
设置注册键HKEY_CLASSES_ROOT\exefile\shell\open\command
为 C:\recycled\sirc32.exe "%1" %*"
作用是当任何一个EXE文件运行时,都会执行蠕虫。
4、按照注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup\Personal
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup\Desktop
指定的路径搜索下列类型的文件 .DOC, .XLS, .ZIP, 和 .EXE,找到匹配的文件后将添加蠕虫,新文件将作为邮件附件被发送。
5、当蠕虫执行8000次后,会停止执行。
手工解决办法:
1、清空回收站,因为Sircam.sys文件将隐藏在回收站中
2、在DOS模式下打开Autoexec.bat文件,如果有如下字段则删除"@win \recycled\sirc32.exe"
3、更改注册表
将regedit.exe 改名为 regedit.com 因为此种病毒在每运行一次exe文件的同时都会发作一次
进入dos模式,键入"copy regedit.exe regedit.com"。
回到windows模式,进入注册表编辑器,查找主键:
HKEY_CLASSES_ROOT\exefile\shell\open\command
删除其原有键值,并将其键值改为 "%1" %*
查找主键 HKEY_LOCAL_MACHINE\Software\SirCam 并将其删除
查找主键 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
在其右侧的面板中,如果有 Driver32. 则坚决删除
共
条评分
回复
举报
发帖
回复
返回列表
隐藏
快速跳转
闪电联盟欢迎你!
『新人实习会员交流区』
≡闪电联盟资讯区≡
『实时追踪 [IT区] 』
【论坛信息速递】
≡闪电技术共享区≡
『软件下载交流』
『绿色软件下载』
『技术问题交流』
『资源美化模型专版』
≡闪电资源交流区≡
『虚拟物品交易区』
『免费资源交流区』
≡闪电娱乐休闲区≡
『休闲茶馆』
『图音画坊』
≡闪电站务管理≡
『 站务公告 』
『 申请专区 』
关闭
关闭
选中
1
篇
全选