查看: 2284|回复: 1
收起左侧

卡巴提示Email-Worm.Win32.Brontok.a,但是删除不掉

[复制链接]
fingerling
发表于 2007-7-20 22:23:16 | 显示全部楼层 |阅读模式
请大家帮个忙吧
327935796
头像被屏蔽
发表于 2007-7-22 09:00:38 | 显示全部楼层
可以用 Brontok Washer清除和修复。
下载地址:
http://jeruk.padinet.com/~ertanto/ ,请查询最新版本。
http://jeruk.padinet.com/~ertanto/BrontokWasher.zip
http://wirusy.antivirenkit.pl/en/szczepionki/Brontok.html
你看完这篇文章就明白了。

发作特征:病毒名叫Brontok,瑞星对它的编码为worm.mail.brontok.bm,它在我电脑(比如我的文档,我的图片里)许多关键的地方复制了自己,把自己伪装成视窗自带的文件,命令在每次开机时运行它,在可能对自己造成危险时重新启动(这就是无法更新瑞星的原因),在我的电脑里收集邮箱地址,没事就发发邮件。该病毒为了防止被删除,删除了 打开我的电脑后, 工具-〉文件夹选项。使人不能察看隐藏文件。(、如果你输入病毒所在的路径,试图手工清除,该病毒会迫使电脑立刻重新启动;在打开命令行窗口时也会重新启动)。

引用别人一段话来说明该病毒所在路径:文中所有的 %System% 字眼,是你安装windows得途径。通常是
C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000),
C:\Windows\System32 (Windows XP).

%UserProfile% 则是你的用户名以下的文件,通常在
C:\Documents and Settings\[你的windows用户名] (Windows NT/2000/XP).

举例:

当你看到 %UserProfile%\APPDATA\winlogon.exe
通常是指 C:\Documents and Settings\[你的windows用户名]\APPDATA\winlogon.exe

同样的, %System%\3D Animation.scr
在XP是指 C:\Windows\System32 Animation.scr
而如果你用win98,它则是 C:\Windows\System\3D Animation.scr

因为病毒会侵入各种版本的windows,所以病毒所在的途径也很难根据各个版本来写出,所以用 %System% 来代替。

其他描述:
当你不小心开到感染了病毒的文件,它会自动在这几个地方加入它的病毒文件
C:\Windows\PIF\CVT.exe
%UserProfile%\APPDATA\IDTemplate.exe
%UserProfile%\APPDATA\services.exe
%UserProfile%\APPDATA\lsass.exe
%UserProfile%\APPDATA\inetinfo.exe
%UserProfile%\APPDATA\csrss.exe
%UserProfile%\APPDATA\winlogon.exe
%UserProfile%\Programs\Startup\Empty.pif
%UserProfile%\Templates\A.kotnorB.com
%System%\3D Animation.scr


%System% 是你安装windows的途径. 通常是
C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000),
C:\Windows\System32 (Windows XP).

%UserProfile% 则是你的用户名以下的文件,通常在
C:\Documents and Settings\[你的windows用户名] (Windows NT/2000/XP).

然后会创出这个folder
%UserProfile%\Local Settings\Application Data\Bron.tok-24

然后会在 C:\Autoexec.bat 写上
"pause" 覆盖之前的内容

然后会在注册表内添加内容
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"Tok-Cirrhatus" = "%UserProfile%\APPDATA\IDTemplate.exe"
"Bron-Spizaetus" = "C:\WINDOWS\PIF\CVT.exe"
(这个记得要删除)

如果感染了,registry会被锁,照这个方法开启

在start>>Run > 打 Reg ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f

接着
在Run > 打 regedit

去到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

洗掉
"Bron-Spizaetus" = "C:\WINDOWS\PIF\CVT.exe"
"Tok-Cirrhatus" = "%UserProfile%\APPDATA\IDTemplate.exe"

然后手工清除上面所提到的所有病毒文件。

推荐的清除工具washer下载地址:
http://jeruk.padinet.com/~ertanto/ ,请查询最新版本。
http://jeruk.padinet.com/~ertanto/BrontokWasher.zip
http://wirusy.antivirenkit.pl/en/szczepionki/Brontok.html

注意,在某些电脑上,用washer清除可能会造成电脑不正常重新启动。请进入安全模式运行
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 20:45 , Processed in 0.161243 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表