C:\WINDOWS\linkinfo.dll 病毒如何删除 急
发布网友
发布时间:2022-04-22 21:16
共2个回答
热心网友
时间:2022-04-06 09:59
你中的是蠕虫病毒Win32.Almanahe
其它名称:W32/Alman-A (Sophos), W32/Almanahe.a (McAfee), Virus.Win32.Alman.a (Kaspersky)
病毒属性:蠕虫病毒
危害性:低危害
病毒特性:
Win32.Almanahe是一种通过网络共享复制的病毒。
感染方式:
运行时,Almanahe.A生成文件到以下位置:
%Windows%\linkinfo.dll
%System%\drivers\RioDrvs.sys
%System%\drivers\DKIS6.sys
DLL文件被有意截取调用到一个干净的系统DLL文件%System%\linkinfo.dll。当linkinfo.dll的一个API功能通过任意程序被调用时,在调用原始DLL中被请求的功能之前,Almanahe启动很多线程来运行它复制的代码。
RioDrvs.sys 作为一个服务被安装。DKIS6.sys 加载到kernel memory 中,然后删除这个文件。
注: '%System%'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
传播方式:
通过文件感染进行传播
Almanahe 感染系统中以.exe 为扩展名的文件。病毒可能避免感染以下名称的文件:
.exe
asktao.exe
au_unins_web.exe
audition.exe
autoupdate.exe
ca.exe
cabal.exe
cabalmain.exe
cabalmain9x.exe
config.exe
dbfsupdate.exe
dk2.exe
dragonraja.exe
flyff.exe
game.exe
gc.exe
hs.exe
kartrider.exe
main.exe
maplestory.exe
meteor.exe
mhclient-connect.exe
mjonline.exe
mts.exe
nbt-dragonraja2006.exe
neuz.exe
nmcosrv.exe
nmservice.exe
nsstarter.exe
patcher.exe
patchupdate.exe
sealspeed.exe
trojankiller.exe
userpic.exe
wb-service.exe
woool.exe
wooolcfg.exe
xlqy2.exe
xy2.exe
xy2player.exe
zfs.exe
zhengtu.exe
ztconfig.exe
zuonline.exe
病毒还会感染系统中其它可利用的网络共享。为了在目标系统上安装一个服务,它尝试利用一个简单的密码字典攻击弱口令的管理员帐户。以下是它尝试的密码:
zxcv
qazwsx
qaz
qwer
!@#$%^&*()
!@#$%^&*(
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
654321
123456
12345
1234
123
111
admin
危害:
下载文件
Almanahe.A发送系统信息到tj.imrw0rldwide.com,它从这个站点下载很多文件。
终止进程
如果以下进程正在运行,Almanahe.A就会尝试终止它们,并删除与它们相关的文件:
c0nime.exe
cmdbcs.exe
ctmontv.exe
explorer.exe
*jacks.exe
iexpl0re.exe
iexplore.exe
internat.exe
logo1_.exe
logo_1.exe
lsass.exe
lying.exe
msdccrt.exe
msvce32.exe
ncscv32.exe
nvscv32.exe
realschd.exe
rpcs.exe
run1132.exe
rundl132.exe
smss.exe
spo0lsv.exe
spoclsv.exe
ssopure.exe
svch0st.exe
svhost32.exe
sxs.exe
sysbmw.exe
sysload3.exe
tempicon.exe
upxdnd.exe
wdfmgr32.exe
wsvbs.exe
其中几个文件名被其它病毒利用。
Rootkit 功能
Almanahe.A的 rootkit 功能显示为隐藏文件、注册表键值和与病毒相关的程序信息。
附加信息
Almanahe.A可能生成以下键值:
HKLM\Software\Adobe\Version
解决办法:找专杀
参考资料:http://www.kill.com.cn/vir/ruchong/low/3969.asp
热心网友
时间:2022-04-06 11:17
开机后按F8进入安全模式下杀毒即可搞定~!
