1. 看考云 > 知识库 >

w32.downadup.b专杀,SERVER2003的系统中了w32.downadup.b病毒,

本文目录索引

1,SERVER2003的系统中了w32.downadup.b病毒,怎么办? 多次往外弹下面的对话框

愿我的答案 能够解决您的烦忧

立刻重启电脑,按F8选择进入联网安全模式,这样就不会一直弹框了

1,然后按照我说的办法开始下载专业杀软安装杀毒即可。

2,建议您现在立刻下载腾讯电脑管家“8.3”最新版,对电脑首先进行一个体检,打开所有防火墙避免系统其余文件被感染。

3,打开杀毒页面开始查杀,切记要打开小红伞引擎。

4,如果普通查杀不能解决问题,您可以打开腾讯电脑管家---工具箱---顽固木马专杀- 进行深度
扫描。

5,查杀处理完所有病毒后,立刻重启电脑,再进行一次安全体检,清除多余系统缓存文件,避免二次感染。

如果您对我的答案不满意,可以继续追问或者提出宝贵意见,谢谢

SERVER2003的系统中了w32.downadup.b病毒,怎么办? 多次往外弹下面的对话框

2,win32.downadup.b 病毒清不干净,公司内部!

嗯,我也遇到同样的情况,不过我们公司小还好一点。
这个不会是ARP,我在装SEP之前就全公司做过ARP清理
感觉是流窜于网络间的
每次symantec都是杀掉的临时文件中生成的文件
感觉是某个exe被感染,但是没查出来
我也在找怎么解决这个问题...
占个坑

找到了!
先是symantec的官方报告
http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-123015-3826-99&tabid=3
下面是中文的清除方法
原文在这里http://hi.baidu.com/wgjbk/blog/item/64daf72a91da42f3e7cd40ce.html

最近搞资产清查系统培训,结果不知谁的原因,整个临时局域网都感染受了W32.Downadup.B蠕虫病毒。杀毒软件可以查杀,但是都不彻底,一边清除,一边又继续生成,让人不胜其烦。发这篇日志,就是让今后遇到该问题的朋友能够舒心点。
W32.Downadup.B可利用Microsoft Windows服务器服务RPC的远程代码执行漏洞进行传播,也可利用弱密码保护的网络共享进行感染。W32.Downadup.B会在硬盘上新建 autorun.inf文件,若用户进入硬盘空间,恶意代码便会自动运行。同时,它还会监控是否有其他可移动存储设备连接到已感染病毒的计算机上。一旦连接,此蠕虫病毒会在这个新硬盘空间建立一个autorun.inf文件。此外,W32.Downadup.B还会监测计算机发出的DNS请求中是否有某些特定字符串,并以“超时,访问不成功”的方式阻止计算机访问某些网站(如安全更新网站)。这意味着受感染的计算机可能无法安装补丁或更新杀毒软件,从而无法清除病毒威胁。
W32.Downadup.B病毒介绍
别称:Worm:W32/Downadup.AL [F-Secure], Win32/Conficker.B [Computer Associates], W32/Confick-D [Sophos], WORM_DOWNAD.AD [Trend], Net-Worm.Win32.Kido.ih [Kaspersky]
类型:蠕虫
受影响的系统:Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
W32.Downadup.B是蠕虫病毒,通过攻击 Microsoft Windows Server Service RPC Handling 远程编码执行漏洞 (BID 31874) 进行传播。它还尝试传播到弱密码保护的网络共享,并阻止访问与安全相关的网站。W32.Downadup.B病毒会修改 tcpip.sys 文件。
W32.Downadup.B病毒行为特征
一旦执行,蠕虫会检查下列注册表项是否存在,如果不存在将创建这些注册表项:
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"
然后,它会将其自身复制为下列文件中的一个或多个:
* %ProgramFiles%\Internet Explorer\[RANDOM FILE NAME].dll
* %ProgramFiles%\Movie Maker\[RANDOM FILE NAME].dll
* %System%\[RANDOM FILE NAME].dll
* %Temp%\[RANDOM FILE NAME].dll
* C:\Documents and Settings\All Users\Application Data \[RANDOM FILE NAME].dll
它创建具有下列特征的新服务:
服务名称:[PATH TO WORM]
显示名称:[WORM GENERATED SERVICE NAME]
启动类型:自动
接下来通过创建下列的注册表项注册为服务:
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\Parameters\"ServiceDll" = "[PATH TO WORM]"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"Type" = "4"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"Start" = "4"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"ErrorControl" = "4"
注意:[WORM GENERATED SERVICE NAME] 表示从下列单词列表中选取的两个单词组合:
* Boot * Center * Config * Driver * Helper * Image * Installer * Manager * Microsoft * Monitor * Network * Security * Server * Shell * Support * System * Task * Time * Universal * Update * Windows
该蠕虫会创建下列注册表项,以便在每次启动 Windows 时运行:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM NAME]" = "rundll32.exe "[RANDOM FILE NAME].dll", ydmmgvos"
接下来,蠕虫会删除所有用户创建的系统还原点。
然后蠕虫运行一个命令,通过禁用 Windows Vista TCP/IP 自动微调加快对受感染计算机的网络访问,从而加速传播。
蠕虫还修改下列注册表项,以便更快速地传播到整个网络:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\"TcpNumConnections" = "00FFFFFE"
接下来,蠕虫会结束下列两项 Windows 服务:
* 后台智能传输服务 (BITS)
* Windows 自动更新服务 (wuauserv)
然后蠕虫修改下列文件,以禁用在 Windows XP SP2 中引入的半开放连接限制:
%System%\drivers\tcpip.sys
它还尝试通过修改下列注册表值在系统上将自身隐藏:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0"
下一步,蠕虫会枚举可用的 ADMIN$ 网络共享资源。 然后,它枚举这些共享资源中的用户,并尝试使用下列密码之一以现有用户的身份建立连接:
请注意:根据账户锁定设置,蠕虫的多次身份验证尝试可能会导致这些账户被锁定。
如果建立成功,则蠕虫将自身作为下列文件复制到共享:
[SHARE NAME]\ADMIN$\System32\[RANDOM FILE NAME].dll
然后在远程服务器上创建计划的作业,以便每日运行下列命令组合:
"rundll32.exe [RANDOM FILE NAME].dll, [RANDOM PARAMETER STRING]"
接下来,蠕虫连接到下列 URL 以获取受感染计算机的 IP 地址:
* http://www.getmyip.org
* http://www.whatsmyipaddress.com
* http://getmyip.co.uk
* http://checkip.dyndns.org
蠕虫在本地网络网关设备上创建防火墙规则,以允许远程攻击者连接到受感染计算机并通过随机端口从受感染计算机的外部 IP 地址进行下载。
然后蠕虫以下列格式通过随机端口在受感染计算机上创建 HTTP 服务器:
http://[COMPROMISED COMPUTER EXTERNAL IP ADDRESS]:[RANDOM PORT]
然后将此 URL 发送到远程计算机。
接下来蠕虫尝试通过攻击下列漏洞进行传播,以便远程计算机连接到上述命名 URL 并下载该蠕虫。
Microsoft Windows Server Service RPC 处理远程编码执行漏洞 (BID 31874)
蠕虫尝试将自身作为下列文件复制到任意可访问的映射驱动器:
%DriveLetter%\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[RANDOM FILE NAME].dll
蠕虫还尝试在任意可访问的映射驱动器中创建下列文件,以便在访问驱动器时执行:
%DriveLetter%\autorun.inf
它还监控受感染计算机上的所有其他新设备,并尝试以同样的方式感染这些新添加的设备。
蠕虫获取大量的 Window API 调用以进行传播,并使其难于删除。
该蠕虫还获取 NetpwPathCanonicalize API,并在调用该 API 时,它会检查 PathName 的长度以避免进一步攻击漏洞。如果 PathName 包含该蠕虫原来具有的签名,则 PathName 可能包含加密的 URL,并且蠕虫通过此 URL 可以下载文件并执行该文件。
蠕虫在内存中修补下列 API:
* DNS_Query_A
* DNS_Query_UTF8
* DNS_Query_W
* Query_Main
* sendto
蠕虫监控向域发出的包含下列任意字符串的 DNS 请求,并阻止访问这些域以便显示网络请求超时:
* ahnlab * arcabit * avast * avg. * avira * avp. * bit9. * ca. * castlecops * centralcommand * cert. * clamav * comodo * computerassociates * cpsecure * defender * drweb * emsisoft * esafe * eset * etrust * ewido * f-prot * f-secure * fortinet * gdata * grisoft * hacksoft * hauri * ikarus * jotti * k7computing * kaspersky * malware * mcafee * microsoft * nai. * networkassociates * nod32 * norman * norton * panda * pctools * prevx * quickheal * rising * rootkit * sans. * securecomputing * sophos * spamhaus * spyware * sunbelt * symantec * threatexpert * trendmicro * vet. * virus * wilderssecurity * windowsupdate
它联系下列站点之一以获取当前日期:
* baidu.com * google.com * yahoo.com * msn.com * ask.com * w3.org * aol.com * cnn.com * ebay.com * msn.com * myspace.com
然后检查受感染计算机上的日期是否为最新日期,即 2009 年 1 月 1 日。
然后蠕虫以下列格式基于该日期生成域名列表:
[GENERATED DOMAIN NAME].[TOP LEVEL DOMAIN]
注意: [TOP LEVEL DOMAIN] 表示下列顶级域:
* .biz
* .info
* .org
* .net
* .com
* .ws
* .cn
* .cc
注意: [GENERATED DOMAIN NAME] 表示蠕虫创建的域名,例如基于 2009 年 1 月 1 日生成的下列域名列表示
然后蠕虫基于生成的域名联系下列远程位置:
http://[GENERATED DOMAIN NAME]。[TOP LEVEL DOMAIN]/search?q=%d
然后它从此远程位置下载更新的自身副本。
蠕虫还会与其他受感染计算机通信,通过对等连接机制接收并执行文件。这些文件需要恶意软件的作者植入蠕虫的网络中。
W32.Downadup.B病毒专杀方法
1.安装微软安全更新MS08-067,安装地址:
http://www.microsoft.com/china/technet/security/bulletin/ms08-067.mspx
2.禁用系统还原(WindowsMe/XP)
如果正在运行WindowsMe或WindowsXP,建议您暂时关闭系统还原功能。此功能由系统默认为启用状态,一旦计算机中的文件遭到破坏,WindowsMe/XP可使用此功能还原文件。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法清除SystemRestore文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
此外,病毒扫描也可能在SystemRestore文件夹中检测到威胁,即使您已清除此威胁。
注意:当您完全完成杀毒步骤,并确定威胁已清除后,请按照上述文档中的说明重新启用系统还原。
3.更新病毒定义。
4.查找并终止服务
(1)单击“开始”>“运行”。
(2)键入services.msc,然后单击“确定”。
(3)查找并选择检测到的服务。
(4)单击“操作”>“属性”。
(5)单击“停止”。
(6)将“启动类型”更改为“手动”。
(7)单击“确定”,然后关闭“服务”窗口。
(8)重新启动计算机。
5.根据需要,查找并删除任务计划
(1)单击“开始”>“程序文件”。
(2)单击>“附件”。
(3)单击>“系统工具”。
(4)单击>“任务计划”。
(5)找到并选择任务计划。
(6)单击删除此项目
(7)单击是并关闭“任务计划”窗口。
(8)重新启动计算机。
6.运行全面系统扫描
7.从注册表中删除值
(1)单击“开始”>“运行”。
(2)键入regedit,
(3)然后单击“确定”。
(4)导航至下列注册表项并将其删除:
*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOMNAME]"="rundll32.exe"[RANDOMFILENAME].dll",ydmmgvos"
*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"dl"="0"
*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"dl"="0"
*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"ds"="0"
*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"ds"="0"
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORMGENERATEDSERVICENAME]\"DisplayName"="[WORMGENERATEDSERVICENAME]"
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORMGENERATEDSERVICENAME]\"Type"="4"
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORMGENERATEDSERVICENAME]\"Start"="4"
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORMGENERATEDSERVICENAME]\"ErrorControl"="4"
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORMGENERATEDSERVICENAME]\"ImagePath"="%SystemRoot%\system32\svchost.exe-k
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORMGENERATEDSERVICENAME]\Parameters\"ServiceDll"="[PATHTOWORM]"
(5)根据需要,将下列注册表项恢复到其以前的值:
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\"TcpNumConnections"="00FFFFFE"
*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"="0"
(6)退出注册表编辑器。
注意:如果该风险在HKEY_CURRENT_USER下面创建或修改了注册表子项或注册表项,则其可能会为受感染的计算机上的每个用户创建这些项。若要删除或恢复所有注册表子项或注册表项,请使用各个用户帐户登录,然后检查上面所列的所有HKEY_CURRENT_USER项。

3,W32.Downadup.B无法彻底查杀

W32.Downadup.B病毒专杀方法
  1.安装微软安全更新MS08-067,安装地址:
  http://www.microsoft.com/china/technet/security/bulletin/ms08-067.mspx
  2.禁用系统还原(WindowsMe/XP)
  如果正在运行WindowsMe或WindowsXP,建议您暂时关闭系统还原功能。此功能由系统默认为启用状态,一旦计算机中的文件遭到破坏,WindowsMe/XP可使用此功能还原文件。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
  Windows禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法清除SystemRestore文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
  此外,病毒扫描也可能在SystemRestore文件夹中检测到威胁,即使您已清除此威胁。
  注意:当您完全完成杀毒步骤,并确定威胁已清除后,请按照上述文档中的说明重新启用系统还原。
  3.更新病毒定义。
  4.查找并终止服务
  (1)单击“开始”>“运行”。
  (2)键入services.msc,然后单击“确定”。
  (3)查找并选择检测到的服务。
  (4)单击“操作”>“属性”。
  (5)单击“停止”。
  (6)将“启动类型”更改为“手动”。
  (7)单击“确定”,然后关闭“服务”窗口。
  (8)重新启动计算机。
  5.根据需要,查找并删除任务计划
  (1)单击“开始”>“程序文件”。
  (2)单击>“附件”。
  (3)单击>“系统工具”。
  (4)单击>“任务计划”。
  (5)找到并选择任务计划。
  (6)单击删除此项目
  (7)单击是并关闭“任务计划”窗口。
  (8)重新启动计算机。
  6.运行全面系统扫描
  7.从注册表中删除键值
  (1)单击“开始”>“运行”。
  (2)键入regedit,
  (3)然后单击“确定”。
  (4)导航至下列注册表项并将其删除:
  *HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"
[RANDOMNAME]"="rundll32.exe"[RANDOMFILENAME].dll",ydmmgvos"
  *HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"dl"="0"
  *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\
"dl"="0"
  *HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"ds"="0"
  *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\
"ds"="0"
  *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
[WORMGENERATEDSERVICENAME]\"DisplayName"="[WORMGENERATEDSERVICENAME]"
  *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
[WORMGENERATEDSERVICENAME]\"Type"="4"
  *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
[WORMGENERATEDSERVICENAME]\"Start"="4"
  *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
[WORMGENERATEDSERVICENAME]\"ErrorControl"="4"
  *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
[WORMGENERATEDSERVICENAME]\"ImagePath"="%SystemRoot%\system32\svchost.exe-k
  *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
[WORMGENERATEDSERVICENAME]\Parameters\"ServiceDll"="[PATHTOWORM]"
  (5)根据需要,将下列注册表项恢复到其以前的值:
  *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\
"TcpNumConnections"="00FFFFFE"  *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\
Advanced\Folder\Hidden\SHOWALL\"CheckedValue"="0"
  (6)退出注册表编辑器。
  注意:如果该风险在HKEY_CURRENT_USER下面创建或修改了注册表子项或注册表项,则其可能会为受感染的计算机上的每个用户创建这些项。若要删除或恢复所有注册表子项或注册表项,请使用各个用户帐户登录,然后检查上面所列的所有HKEY_CURRENT_USER项。

还有一杀手锏,对用户要求较高,见我博客:鬼影病毒终极杀手锏。

4,我们公司的局域网中了W32.Downadup.B蠕虫病毒

大哥,中毒了在去杀你说还有什么用吗。windows里面权限都是平等的。如先中的话杀软可能早以失效了。不过我建议一个方法你可以试下。你还先备份下你的系统。再拿一个空硬盘装上系统,先不要挂有毒盘,装上好点的杀软如卡巴虽有点卡,杀毒还算行吧。然后在接上你现有毒的硬盘去查杀这样的话应可以杀干净。以后不要拿分来说事,我们只是交流分对我没兴趣。

5,电脑中了这个病毒,Virus.Win32.Ramnit.B,每次杀毒都几万个病毒,永远杀不完,怎么办

1、是浏览某些带恶意代码的网页时候被修改了浏览器的默认主页或是标题,还有就是遇到可以格式化硬盘或是令windows不断打开窗口,直到耗尽资源死机。这种情况恶劣得多,未保存和已经放在硬盘上的数据都可能会受到部分或全部的损失。 2、是黑客的潜在的木马发作,或是蠕虫类病毒发作,让机器不断地向外界发送隐私、或是利用名义和邮件地址发送垃圾,进一步传播病毒;还有就是黑客的手工入侵,窥探隐私或是删除破坏文件。 处理办法:马上断开连接,这样能将自己的损失降低的同时,也避免了病毒向更多的在线电脑传播。 3、中毒后,应马上备份转移文档和邮件等 中毒后运行杀毒软件清除是不在话下的了,但为了防止杀毒软件误杀或是删掉你还处理完的文档和重要的邮件,你该首先将它们转移备份到其他储存媒体上。有些长文件名的文件和未处理的邮件要求在windows下备份,所以第一点建议不要退出windows,因为病毒一旦发作,可能就不能进入windows了。 不管这些文件是否带毒了,都应该备份,用标签纸标记为待查即可。因为有些病毒是专门针对某个杀毒软件设计的,一运行就会破坏其他的文件,所以先备份是以防万一的措施。等清除完硬盘内的病毒后,再来慢慢分析处理这些额外备份的文件较为妥善。 4、需要在windows下先运行一下杀CIH的软件(即使是带毒环境) 如果是发现了CIH病毒的,要注意不能完全按平时报刊和手册建议的措施,先关机、冷启动用系统盘来引导再杀毒,应在带毒的环境下也运行一次专杀CIH的软件。 这样做,杀毒软件可能会报告某些文件在受读写保护无法清理,但带毒运行的实际目的不在于完全清除病毒,而是在于把CIH下次开机时候的破坏减到最低,以防它再次开机破坏主板的BIOS硬件,那么就会黑屏,让下一步杀毒无法进行。 5、需要干净的DOS启动盘和DOS下面进行杀毒 到现在,就应该按很多杀毒软件的标准手册去按步就班地做,即关机后冷启动,用一张干净的DOS启动盘引导是不能少的了。 另外由于中毒后可能windows已经被破坏了部分关键文件,会频繁地非法操作,所以windows下的杀毒软件可能会无法运行。所以请也准备一个DOS下面的杀毒软件来以防万一。 即使能在windows下运行杀毒软件的,也请用两种以上工具交叉清理。在多数情况下windows可能要重装,因为病毒会破坏掉一部分文件让系统变慢或出现频繁的非法操作。 比如即使杀了CIH,微软的outlook邮件程序也是反应较慢的。建议不要对某种杀毒软件带偏见,由于开发时候侧重点不同、使用的杀毒引擎不同,各种杀毒软件都是有自己的长处和短处的,交叉使用效果较理想。 扩展资料: 电脑中病毒的症状: 1、文件或文件夹无故消失: 当发现电脑中的部分文件或文件夹无缘无故消失,就可以确定电脑已经中了病毒。部分电脑病毒通过将文件或文件夹隐藏,然后伪造已隐藏的文件或文件夹并生成可执行文件,当用户点击这类带有病毒程序的伪装文件时,将直接造成病毒的运行,从而造成用户信息的泄露。 2、运行应用程序无反应: 部分电脑病毒采用映像劫持技术,将常用的应用程序运行路径进行更改为病毒运行目录,从而当试图运行正常的程序时,其实是运行了病毒程序,导致电脑病毒的启动。 3、电脑启动项含有可疑的启动项: 检查“系统配置实现程序”窗口,如果发现有不明的可执行目录,则可以确定自己的电脑已经中病毒啦。当然更多时候病毒程序是利用修改注册表项来添加自启动项。 4、电脑运行极度缓慢: 当电脑运行速度明显变得缓慢时,就及有可能是电脑中病毒所致。中病毒的电脑,通过病毒程序会在后台持续运行,并且绝大多数病毒会占有过多的CPU及内存,而且木马病毒大都会借助网络来传播用户隐私信息。

6,W32.Downadup.B无法彻底查杀

有点长 你最好耐心看完W32.Downadup.B病毒专杀方法
1.禁用系统还原(WindowsMe/XP)
如果正在运行WindowsMe或WindowsXP,建议您暂时关闭系统还原功能。此功能由系统默认为启用状态,一旦计算机中的文件遭到破坏,WindowsMe/XP可使用此功能还原文件。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法清除SystemRestore文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
此外,病毒扫描也可能在SystemRestore文件夹中检测到威胁,即使您已清除此威胁。

注意:当您完全完成杀毒 步骤,并确定威胁已清除后,请按照上述文档中的说明重新启用系统还原。
有关其他信息,以及禁用WindowsMe系统还原的其他方法,请参阅Microsoft知识库文章:病毒防护工具无法清除_Restore文件夹中受感染的文件(文章编号:Q263455)。
2.更新病毒定义
赛门铁克安全响应中心在我们的服务器上发布任何病毒定义之前,会对其进行全面测试以保证质量。可以通过两种方式获得最新的病毒定义:
*运行LiveUpdate,这是获得病毒定义最简便的方法。
如果是使用NortonAntiVirus、SymantecAntiVirusCorporateEdition10.0或更新版本的产品,请每天更新一次LiveUpdate病毒定义。这些产品使用了更新的技术。
如果使用NortonAntiVirus2005、SymantecAntiVirusCorporateEdition9.0或更早版本的产品,请每周更新一次LiveUpdate病毒定义。出现重大病毒爆发的异常情况时,定义更新会更加频繁。

*使用智能更新程序下载病毒定义:智能更新程序病毒定义每天发布一次。您应当从赛门铁克安全响应中心网站下载定义并手动安装它们。

最新的IntelligentUpdater病毒定义可由此处获得:IntelligentUpdater(智能更新程序)病毒定义。有关详细说明,请参阅文档:如何使用IntelligentUpdater(智能更新程序)更新病毒定义文件。
3.查找并终止服务
1.单击“开始”>“运行”。
2.键入services.msc,然后单击“确定”。
3.查找并选择检测到的服务。
4.单击“操作”>“属性”。
5.单击“停止”。
6.将“启动类型”更改为“手动”。
7.单击“确定”,然后关闭“服务”窗口。
8.重新启动计算机。
4.根据需要,查找并删除任务计划
1.单击“开始”>“程序文件”。
2.单击>“附件”。
3.单击>“系统工具”。
4.单击>“任务计划”。
5.找到并选择任务计划。
6.单击删除此项目
7.单击是并关闭“任务计划”窗口。
8.重新启动计算机。
5.运行全面系统扫描
1.启动赛门铁克防病毒程序,并确保已将其配置为扫描所有文件。
对于NortonAntiVirus单机版产品:请参阅文档:HowtoconfigureNortonAntiVirustoscanallfiles(如何配置NortonAntiVirus以扫描所有文件)。
对于SymantecAntiVirus企业版产品:请参阅文档:HowtoverifythataSymantecCorporateantivirusproductissettoscanallfiles(如何确定赛门铁克企业版防病毒产品是否已设置为扫描所有文件)。
2.运行全面系统扫描。
3.如果检测到任何受感染文件,请按照防病毒程序所显示的指示操作。
重要:如果您无法开始您的Symantec抗病毒产品或产品报道它不可能删除一个检测文件,您可能需要从为了去除它的运行终止风险。要完成此操作,请在安全模式下运行扫描。有关指示,请参阅文档:如何以安全模式启动计算机。以安全模式重新启动后,再次运行扫描。
删除文件后,以正常模式重新启动计算机,然后继续执行下一部分。
计算机重新启动时可能会显示警告消息,因为此时威胁尚未得到完全清除。可以忽略这些消息并单击“确定”。清除作业彻底完成后,重新启动计算机时这些消息将不再出现。所显示的消息可能如下所示:
标题:[文件路径]
邮件正文:Windows无法找到[文件名]。请确保键入了正确的名称,然后重试。要搜索文件,请单击“开始”按钮,然后单击“搜索”。
6.从注册表中删除值
切记:赛门铁克强烈建议在对注册表进行任何更改之前先进行备份。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的子项。有关说明,请参阅文档:如何备份Windows注册表。
1.单击“开始”>“运行”。
2.键入regedit,
3.然后单击“确定”。
注意:如果无法打开注册表编辑器,则威胁可能已经修改了注册表以防止进入注册表编辑器。安全响应中心已开发了一种工具以解决此问题。下载并运行此工具,然后继续杀毒。
4.导航至下列注册表项并将其删除:
*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOMNAME]"="rundll32.exe"[RANDOMFILENAME].dll",ydmmgvos"
*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"dl"="0"
*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"dl"="0"
*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"ds"="0"
*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"ds"="0"
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORMGENERATEDSERVICENAME]\"DisplayName"="[WORMGENERATEDSERVICENAME]"
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORMGENERATEDSERVICENAME]\"Type"="4"
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORMGENERATEDSERVICENAME]\"Start"="4"
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORMGENERATEDSERVICENAME]\"ErrorControl"="4"
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORMGENERATEDSERVICENAME]\"ImagePath"="%SystemRoot%\system32\svchost.exe-k
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORMGENERATEDSERVICENAME]\Parameters\"ServiceDll"="[PATHTOWORM]"
5.根据需要,将下列注册表项恢复到其以前的值:
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\"TcpNumConnections"="00FFFFFE"
*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"="0"
6.退出注册表编辑器。
注意:如果该风险在HKEY_CURRENT_USER下面创建或修改了注册表子项或注册表项,则其可能会为受感染的计算机上的每个用户创建这些项。若要删除或恢复所有注册表子项或注册表项,请使用各个用户帐户登录,然后检查上面所列的所有HKEY_CURRENT_USER项

7,电脑杀毒

一,唯一的方法,格式化所有硬盘,如果你的资料在D,E盘存放拿不出来而且很重要,那先把C盘格了
二,重装你认为合适的系统
三,这一步很关键,在装好系统以后,看清楚了:
(1)在一个绝对干净的U盘里放最新杀毒软件的安装包。
(2)千万别打开D,E盘,因为只有重装过的C盘是干净的,你去D盘查个资料或者去E盘看个照片,那么,恭喜你你的系统白装了,潜伏在D,E盘的病毒启动程序又会完全感染你的电脑。
(3)只在C盘操作,装进最新的杀软以后,立即进行全面的杀毒,D,E盘的,内存里的,其它角落里的病毒就都杀干净了。
(4)别进安全模式,只要你不联网就好。杀完电脑上的,先用Usbcleaner做个全盘免疫,在插上你的病毒优盘,杀掉所有敌人。
成功!按我说的做,没问题的。
分拿来吧!
PS:企业内网本来不好弄,不找专业人员你自己弄的话,只好这样,如上述。

8,w32.downadup.b病毒 有办法彻底解决吗?

下载地址:
http://www.369ol.com/intranet/赛门铁克杀毒软件.rar


1月14日消息,赛门铁克安全响应中心近期发现,在新年假期期间,受W32.Downadup蠕虫病毒感染计算机数量明显增多。2008年12月30日,赛门铁克开始监测到一种名为W32.Downadup.B的新变种,该变种不仅可利用Microsoft Windows服务器服务RPC的远程代码执行漏洞进行传播,使用弱密码保护的网络共享也容易感染此蠕虫。赛门铁克目前已监测到约20种变体。赛门铁克建议用户,特别是中小企业用户安装针对MS08-067的最新修补程序,并下载赛门铁克防病毒产品的最新安全更新,以保护计算机不受侵害。

W32.Downadup.B会在硬盘上新建autorun.inf文件,当用户进入硬盘空间时,恶意代码便会自动运行。同时,它还会监控是否有其他可移动存储设备连接到已感染病毒的计算机上。一旦连接,此蠕虫病毒会立刻在这个新硬盘空间中建立一个autorun.inf文件。此外,W32.Downadup.B还会监测计算机发出的DNS请求中是否有某些特定字符串,并以“超时,访问不成功”的方式阻止计算机访问某些网站(如安全更新网站)。这意味着受感染的计算机可能无法安装补丁或更新杀毒软件,从而无法清除病毒威胁。

赛门铁克建议用户安装自动更新补丁防患未然

赛门铁克已经向其用户预警这一新变种威胁,并强烈建议用户:

◆ 立刻安装针对Microsoft Windows服务器服务RPC的远程代码执行漏洞的补丁

◆ 采取措施以安全使用会调用autorun.inf文件的应用程序或移动存储设备

◆ 加强密码保护机制

◆ 赛门铁克已针对W32.Downadup病毒特征发布了新的病毒定义:“W32.Downadup!autorun”,用以清除恶意.inf文件,建议用户立刻更新使用。

同时,在春节假日期间,用户若无法按时手动安装补丁或更新杀毒软件,病毒可能趁机攻击防范较弱的计算机和网络。因此在这种特殊时段,用户可考虑采用计算机自动更新的解决方案,以及时排除潜在威胁。