蠕虫病毒worm.kido.ih 怎么杀???

很顽固,卡巴斯基杀不死,用卡巴kido专用杀,仍然不行,进入安全模式,用SREngLdr.EXE,把可以启动项全部清除,再用360顽固木马专杀,仍然不行,开机还有,不过以... 很顽固,卡巴斯基杀不死,用卡巴kido专用杀,仍然不行,进入安全模式,用SREngLdr.EXE,把可以启动项全部清除,再用360顽固木马专杀,仍然不行,开机还有,不过以前得可以启动项没有了,病毒少了一些,但是:检测到:病毒 Net-Worm.Win32.Kido.ih 文件: C:\WINNT\System32\agmwg.ez这个始终有,杀了还有,谁有更好得杀死这个病毒得办法???感激!!! 展开
 我来答
3个回答
#热议# 不吃早饭真的会得胆结石吗?
匿名用户
2013-08-31
展开全部
该网络蠕虫通过本地网络和移动存储介质进行传播。该程序是一个Windows PE DLL文件。该蠕虫大小在155KB到165KB之间。使用UPX加壳。 安装 蠕虫复制可执行文件以任意的名字命名。像下面这样显示:%System%\<rnd>dir.dll %Program Files%\Internet Explorer\<rnd>.dll %Program Files%\Movie Maker\<rnd>.dll %All Users Application Data%\<rnd>.dll %Temp%\<rnd>.dll %System%\<rnd>tmp %Temp%\<rnd>.tmp <rnd>是任意字符串。 为了保证蠕虫在下次系统启动时运行,它创建一个系统服务,每次系统启动时运行蠕虫的可执行文件。下面的注册键值将被创建:[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs] 蠕虫也修改下面的系统注册键值:[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs" = "<original value> %System%\<rnd>.dll" 网络传播 该蠕虫运行在HTTP 服务器上的任意端口上,然后使用下载蠕虫的可执行文件到其它计算机上。 该蠕虫会给远程计算机发送一个特定的RPC请求,当netapi32.dll中调用wcscpy_s函数会引起一个缓冲区溢出;用于下载蠕虫文件的可执行代码将会被在受害计算机上运行,并安装该蠕虫文件。 为了利用上述的漏洞,该蠕虫会尝试连接到远程计算机上的管理员账号。该蠕虫使用如下的密码来强制破解账号:99999999
9999999
999999
99999
88888888
8888888
888888
88888
8888
888
88
8
77777777
7777777
777777
77777
7777
777
77
7
66666666
6666666
666666
66666
6666
666
66
6
55555555
5555555
555555
55555
5555
555
55
5
44444444
4444444
444444
44444
4444
444
44
4
33333333
3333333
333333
33333
3333
333
33
3
22222222
2222222
222222
22222
2222
222
22
2
11111111
1111111
111111
11111
1111
111
explorer
exchange
customer
cluster
nobody
codeword
codename
changeme
desktop
security
secure
public
system
shadow
office
supervisor
superuser
share
super
secret
server
computer
owner
backup
database
lotus
oracle
business
manager
temporary
ihavenopass
nothing
nopassword
nopass
Internet
internet
example
sample
love123
boss123
work123
home123
mypc123
temp123
test123
qwe123
abc123
pw123
root123
pass123
pass12
pass1
admin123
admin12
admin1
password123
password12
password19999
999
99
9
11
1
00000000
0000000
00000
0000
000
00
0987654321
987654321
87654321
7654321
654321
54321
4321
321
21
12
fuck
zzzzz
zzzz
zzz
xxxxx
xxxx
xxx
qqqqq
qqqq
qqq
aaaaa
aaaa
aaa
sql
file
web
foo
job
home
work
intranet
controller
killer
games
private
market
coffee
cookie
forever
freedom
student
account
academia
files
windows
monitor
unknown
anything
letitbe
letmein
domain
access
money
campus
default
foobar
foofoo
temptemp
temp
testtest
test
rootroot
root
adminadmin
mypassword
mypass
pass
Login
login
Password
password
passwd
zxcvbn
zxcvb
zxccxz
zxcxz
qazwsxedc
qazwsx
q1w2e3
qweasdzxc
asdfgh
asdzxc
asddsa
asdsa
qweasd
qwerty
qweewq
qwewq
nimda
administrator
Admin
admin
a1b2c3
1q2w3e
1234qwer
1234abcd
123asd
123qwe
123abc
123321
12321
123123
1234567890
123456789
12345678
1234567
123456
12345
1234
123通过可移动存储介质来传播 蠕虫以下面的命名方式复制自身到所有可移动介质:<X>:\RECYCLER\S-<%d%>-<%d%>-%d%>-%d%>-%d%>-%d%>-%d%>\<rnd>.vmx, 为了执行文件,蠕虫在每个磁盘创建下面显示的文件:<X>:\autorun.inf 该文件将在每次打开被感染磁盘的时候运行。 病毒体 当该蠕虫运行时,会把它的代码注入到一个“svchost.exe”系统进程的地址空间中。该代码形成了该蠕虫的恶意负载。禁用如下的服务: wuauserv BITS 阻止访问包含如下字符串的地址:indowsupdate wilderssecurity threatexpert castlecops spamhaus cpsecure arcabit emsisoft sunbelt securecomputing rising prevx pctools norman k7computing ikarus hauri hacksoft gdata fortinet ewido clamav comodo quickheal avira avast esafe ahnlab centralcommand drweb grisoft eset nod32 f-prot jotti kaspersky f-secure computerassociates networkassociates etrust panda sophos trendmicro mcafee norton symantec microsoft defender rootkit malware spyware virus 蠕虫可能从下面显示的链接下载文件:http://<URL>/search?q=<%rnd2%> rnd2 是随机数;URL是根据当前的日期使用特殊的运算法则生成的链接。蠕虫从下面显示一个站点获取当前的日期。http://www.w3.org http://www.ask.com http://www.msn.com http://www.yahoo.com http://www.google.com http://www.baidu.com 由蠕虫下载的文件将会以它原来的名字保存到Windows系统目录下。 处理方法如果您的计算机没有更新到最新的反病毒数据库,或根本没有安装反病毒程序,您可以使用特殊的删除工具 (在这里可以找到) 或按照下面说明执行:1. 删除下面的系统注册表键值:[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs] 2. 从下面显示的系统注册键值中删除 “%System%\.dll” :[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]"netsvcs" 3. 重新启动计算机 4. 删除蠕虫文件的原本(它的位置需要根据恶意程序入侵计算机的方式来确定) 5. 删除蠕虫复制的文件: %System%\<rnd>dir.dll %Program Files%\Internet Explorer\<rnd>.dll %Program Files%\Movie Maker\<rnd>.dll %All Users Application Data%\<rnd>.dll %Temp%\<rnd>.dll %System%\<rnd>tmp %Temp%\<rnd>.tmp 是一串随机的字符6. 从所有移动存储介质中删除如下的文件: <X>:\autorun.inf <X>:\RECYCLER\S-<%d%>-<%d%>-%d%>-%d%>-%d%>-%d%>-%d%>\<rnd>.vmx, 7. 从下面的地址下载和更新操作系统:
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
亚远景信息科技
2024-12-11 广告
上海亚远景信息科技有限公司是国内汽车行业咨询及评估领军机构之一,深耕于ASPICE、敏捷SPICE、ISO26262功能安全、ISO21434车辆网络安全领域,拥有20年以上的行业经验,专精于培训、咨询及评估服务,广受全球车厂及供应商赞誉,... 点击进入详情页
本回答由亚远景信息科技提供
 匿名用户
2013-08-31
展开全部
一般杀毒软件对木马不起作用的,用这个试试,专门杀木马的,查杀速度快,查杀能力强贝壳木马专杀工具专门为网游防盗号量身打造的,完全免费的木马专杀工具;轻小体积,纯绿色的免安装模式,适合用户快速下载使用。http://www.beike.cn
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
匿名用户
2013-08-31
展开全部
用这个方法清除:

你可以先下载360顽固病毒查杀工具及 sreng

SRENG下载地址:http://www.kztechs.com/sreng/download.html

360顽固病毒查杀工具: http://www.360.cn

重启电脑,过四秒钟 按 F8按, 选择“安全模式” 进入系统

进入安全模式是需要几分钟的,多等下!

运行 SRENG 工具,点启动项目, 删除红色和蓝色的项目

运行360顽固病毒查杀工具 进行查杀
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
收起 更多回答(1)
推荐律师服务: 若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询

为你推荐:

下载百度知道APP,抢鲜体验
使用百度知道APP,立即抢鲜体验。你的手机镜头里或许有别人想知道的答案。
扫描二维码下载
×

类别

我们会通过消息、邮箱等方式尽快将举报结果通知您。

说明

0/200

提交
取消

京ICP证030173号-1   京网文【2023】1034-029号     ©2025Baidu  使用百度前必读 | 知道协议 | 企业推广

辅 助

模 式