论坛风格切换
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 2124阅读
  • 1回复

[已解决]如何清除“求职信”病毒? [复制链接]

上一主题 下一主题
离线gsl27
 

发帖
4831
今日发帖
最后登录
2023-11-18
只看楼主 倒序阅读 使用道具 楼主  发表于: 2008-06-20 16:46:48
如何清除“求职信”病毒?

  一、病毒简介
  这是一个高危险性的恶性邮件病毒,因为病毒中带有特征字句“I want a good job,I must support my parents.(我必须找到一分工作来供养我的父母)”,因此被称之为“求职信”病毒。它与Nimda病毒同样利用了Iframe ExecCommand漏洞,使没有打IE补丁的用户收到邮件后会自动运行,具有非常强的传播性。
  “求职信”不仅具有尼姆达病毒自动发信、自动执行、感染局域网等破坏功能,而且在感染计算机后还不停的查询内存中的进程、检查是否有一些杀毒软件存在。如果存在则将该杀毒软件的进程终止。每隔0.1秒就循环检查进程一次,以至于这些杀毒软件无法运行。该病毒每过8小时就搜寻一切可写的网络资源(如局域网的完全共享目录),随机产生一个文件名,加密后把复制过去。因此感染性极强。
  该病毒如果感染的是Windows NT/2000系统的计算机,即把自己注册为系统服务进程,一般方法很难杀灭。它还不停地向外发送邮件,把自己伪装成”Htm、Doc、Jpg、Bmp、Xls、Cpp、Html、Mpg、Mpeg“类型文件中的一种,文件名也是随机产生的,很具隐蔽性。
  当计算机时间为每年单月13日时,该病毒将会自动搜索硬盘,用内存中的随机数据覆盖硬盘上的所有文件,因此会给用户数据带来无法估量的损失。


  二、中毒特征
  当你觉察系统资源变少,机器速度变慢,硬盘空间非正常减少,共享目录被非法写入文件时,很有可能中毒了。进一步的确认请依照以下方法进行:
  1、 在操作系统目录下检查是否包含WQK.exe和Krn132.exe两个文件,如果有则已感染病毒;
  2、运行Regedit,展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\,检查其中是否包含WINDOWS\SYSTEM\KRN132.EXE和WINDOWS\SYSTEM\WQK.EXE,如有则已感染病毒。

  三、清除方法
  1、断开网络,禁止网络共享或给网络共享目录加上口令;
  2、运行REGEDIT,展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\,将其中WINDOWS\SYSTEM\KRN132.EXE和WINDOWS\SYSTEM\WQK.EXE的键值删除;
  3、使用专用杀毒工具,如金山毒霸“求职信”专杀工具。清除该病毒后请重启动;
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 沙发  发表于: 2008-06-20 17:01:47
求职信似乎是很早以前的吧~~现在的杀软一般都能防住了