按下F8進入安全模式。一，運行PowerRmv，點擊“鎖定目標”在路徑c:\winnt\system32或者c:\windows\system32下找到severe.exe的文件，進行殺滅。iwbkvd.exe同樣。powerrmv網上有得下，您可以下載一個。二，使用卡卡的IE修復功能進行IE修復三，使用卡卡的啟動項管理功能查看病毒的登陸項進行刪除，并找到對應的病毒程序文件進行清除。四，使用卡卡的啟動項管理功能查看病毒的應用程式劫持項進行刪除。五，使用SREng修復系統的文件關聯。SREng工具網上下六，使用SREng修復系統的SHELL外殼七，使用SREng修復系統的Hosts文件八，修復隱...

Modified: 2008年5月8日, 18:52:32MD5: 7009AC302C6D2C6AADEDE0D490D5D843SHA1: 0E10DA72367B8F03A4F16D875FEA251D47908E1ECRC32: DCE5AE5A病毒运行后：1.释放一个sbl.sys到%system32%\drivers下面，并拷贝一份覆盖beep.sys，之后加载该驱动，恢复SSDT钩子，导致某些杀毒软件的主动防御功能失效。2.结束很多杀毒软件和安全工具的进程诸如：Quote:360rpt.exe360Safe.exe360tray....

样本信息：File: login.exeSize: 25428 bytesModified: 2008年4月25日, 16:30:08MD5: 9777E8C79312F2E3D175AA1F64B07C11SHA1: 4236D76C4FAEFE1CDF22414A25E946E493E0D52ECRC32: 5A5622031.病毒初始化:创建互斥量HGFSMUTEX，保证系统内只有一个实例在运行2.释放如下文件或者副本%systemroot%\system32\Autorun.exe%systemroot%\...

文件MD5：e98a4571cf72b798077d12d6c4894629行为分析：1、拷贝文件：C:\windows\system32\diskregerl.exe  45,056 字节2、无添加启动项举动。3、释放2个批处理：内容分别为：22483172132518761332269025373date 2004-08-1719477time 20:00:00ping 127.0.0.1 -n 5sc.exe create diskregerl BinPath= "C:...

 病毒具体分析如下：Quote:File: bsmain.exeSize: 131072 bytesFile Version: 20.00Modified: 2008年3月7日, 22:18:04MD5: 1EFE96D8D20513351DB5C1681D7BBAFESHA1: 3447D88F4789A1F969F7E0A2501CE16B629DC63D1.病毒初始化，试图卸载瑞星杀毒软件，首先尝试直接启动C:\Program Files\Rising\Rav\update\se...

释放c:\setup.exe Size: 28,672 bytes c:\Documents and Settings\user\Local Settings\Temp\rs.bat Size: 105 bytes %windir%\system32\microsoft.exe Size: 28,672 bytes %windir%\system32\SP00LV.exe Size: 28,672 bytes&nbs...

这是之前niu.exe病毒的最新变种，最近该病毒的新变种传播又有所抬头，希望大家注意。Quote:File: Discovery.exeSize: 74240 bytesModified: 2008年2月2日, 0:03:34MD5: 2DA55F2A36E852EE6FC96D34DD520979SHA1: 44CE8F1C1A02591A88867F421C0C658B200D94C1CRC32: E20E292D 1.病毒运行后，衍生如下副本及文件：Quote:%systemroot%\system...

发现病毒，无法清除怎么办？ Q：发现病毒，但是无论在安全模式还是Windows下都无法清除怎么办？ A：由于某些目录和文件的特殊性，无法直接清除（包括安全模式下杀毒等一些方式杀毒），而需要某些特殊手段清除的带毒文件。以下所说的目录均包含其下面的子目录。 1、带毒文件在\Temporary Internet Files目录下。 由于这个目录下的文件，Windows会对此有一定的保护作用（未经证实）。所以对这个目录下的带毒文件即使在安全模式下也不能进行清除，对于这种情况，请先关闭其他一些程序软件，然后打开IE，选择IE工具栏中的"工具"\...

文件名称：IRAT.rmvb\mm.exe文件大小：140800 byteAV命名：Downloader.Win32.Delf.dqu（卡巴斯基）MultiDropper-JD（迈克菲）Downloader/W32.Agent.137216.I（nProtect）加壳方式：未编写语言：Delphi文件MD5：1b2cf1cdcb03c7c990c6ffe5a75e0f9b病毒类型：后门行为分析：1、 释放病毒副本：C:\WINDOWS\system32\IRAT.rmvb  130194 字节2、 注册为系统服务，开机由Svchost...

最新病毒结合auto.exe,游戏盗号木马下载者手工查杀下面是启用病毒的代码microsofts.vbs[code]Set Lovecuteqq = CreateObject("Wscript.Shell")Lovecuteqq.run ("C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\microsofts.pif")[/code]木马名称：Trojan-PSW/Win32.OnLineGames.lxt路径：C:\WINDOWS\system32\k11987380222.exe查杀时间 ：2007-12-27&nbs...

下载FileMonNT软件,用来做文件操作监视.将监视目标指向TEMP目录,对Create进行监视,以查找是哪个文件生成了这批TMP病毒,最后终于发现生成他们的程序文件居然是:DWHwizrd.exe,这个程序文件是诺顿的升级向导!!!无语中....难怪今天偶删除了诺顿,再次重装时却发现状态一直是等待更新,页LiveUpdate却提示所有产品是最新的,郁闷.分析一下事情经过:1.偶设置诺顿为每天凌晨5点左右自动更新2.LiveUpdate按规定下载了更新文件,并生成临时文件DWH*.TMP将文件存放于临时目录.3.实时监控程序RtvScan.exe却直接将LiveUpdate生成的DWH*.T...