W32/Pate.a 病毒处理小记
一、Win32.parite.a病毒介绍:
简单的说Win32.parite.a通过在Win32PE类型文件(如:scr屏幕保护程序文件、exe可执行文件)的尾部加入加密的程序,PE的执行入口被修改为指向病毒解密代码,使它运行时转到病毒处,执行完病毒的流程然后再返回到宿主程序的代码从而可执行程序便无法正常工作。任何exe和scr文件一旦运行,马上就被感染。
病毒名称:Win32.parite.a(Win32.Pinfi.a)
其它名称:Win32.Parite.a【KAV】、W32/Pate.a【McAfee】、Win32.Pinfi.A【CA】、PE_PARITE.A 【Trend】、W32/Parite-A【Sophos】、W32.Pinfi.a【Symentec】、Win32/Parite.A【RAV】
影响系统:Windows 95、Windows 98、Windows NT、Windows 2000、Windows XP、Windows Me
开发工具:Microsoft Visual C++ 6.0
传播途径:通过映射驱动器和网络共享来传播
二、Win32.parite.a病毒病毒行为:
1、第一次运行时,Win32.parite.a病毒会在TEMP文件夹下创建一个临时文件,而文件名则是随机的,比如: C:\Documents and Settings\Administrator\Local Settings\Temp\lqfc3.tmp(也可能在C:\Window\Temp\*.tmp)。这是一个动态链接库文件,它包含了病毒的主要功能。病毒会感染本地及它可以访问的网络驱动器上的exe和scr文件。任何exe和scr文件一旦运行,马上就被感染。
三、如何查杀病毒
我使用的是McAfee8.5.0i,访问保护一直提示:
2009-11-17 17:18:34 已由访问保护规则禁止 YZL\zqonline C:\WINDOWS\Explorer.EXE D:\Temp\1\pja13.tmp 防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件 已阻止的操作: 执行
只要一运行.EXE文件,就会出现相应的提示。由于我是在服务器上,规则方面设置了禁止从TEMP文件夹中运行文件。
在这个过程中我使用过相应的专杀工具和360也不行。后来直接使用McAfee全盘查杀,反现了一千多个EXE文件被感染,直接清除病毒,这里也比较担心,EXE文件是否还可以运行。事实证明我的担心是多于的。完全扫描杀毒后,系统正常。进行第二次杀毒时没有发现病毒。在网上查了相应的资料,大多数都是说需要进到安全模式或使用DOS启动盘来杀毒,由于环境的原因,只能在Windows下杀毒,我想能完全杀除病毒,主要是我限制了不能在临时目录里运行文件的原因,病毒不能大面积染。
如果还遇着类似的病毒,可以设置temp目录的访问权限,估计也是一个可性的方案。
转载于:https://www.cnblogs.com/zqonline/archive/2009/11/18/1605272.html
W32/Pate.a 病毒处理小记相关推荐
- 裸奔一年机器中毒了 W32/Pate.b
今天上班像平常一样开机,打开谷歌浏览器,但浏览器一起启就提示崩溃,重启谷歌浏览器,重启电脑都不顶用.按谷歌提供的解决方法都试了也不能解决,试了IE\Firefox都能用,开始怀疑是谷歌浏览器的问题.暂 ...
- centos随机名、自我保护的木马病毒 清除小记
这种病毒是进行了自我保护的,直接删除文件或修改文件都会导致其变身重新复制,需逐步清除: 这个木马的主程序是:/lib/libudev.so 1.一般来说,病毒会在cron.hourly里面有sh脚本( ...
- linux检测木马病毒做什么,Linux下木马病毒清理小记
昨天下午接到朋友的电话,说其一台业务服务器被机房告知因为大量Out Bound流量,被断网要求清查.因为急于恢复业务,因此需要先进行清理保证机器不再出现恶意流量,恢复网络然后再进行进一步处理.估将主要 ...
- w32.downadup.b蠕虫病毒详解及清除攻略(转)
这两天在搞测试机房的虚拟化,不知道什么原因,整个临时局域网都感染受了W32.Downadup.B蠕虫病毒.杀毒软件可以查杀,但是都不彻底,一边清除,一边又继续生成,让人不胜其烦.发这篇日志,就是让今后 ...
- Svchost.exe病毒
Svchost.exe是病毒的两种情况 1.利用假冒Svchost.exe名称的病毒程序 这种方式运行的病毒并没有直接利用真正的Svchost.exe进程,而是启动了另外一个名称同样是Svchost. ...
- Svchost.exe进程详解及Svchost.exe病毒清除方法
Svchost.exe是什么? svchost.exe是nt核心系统的非常重要的进程,对于2000.xp来说,不可或缺.很多病毒.***也会调用它.所以,深入了解这个程序,是玩电脑的必修课之一. ...
- Svchost.exe是病毒的两种情况
1.利用假冒Svchost.exe名称的病毒程序 这种方式运行的病毒并没有直接利用真正的Svchost.exe进程,而是启动了另外一个名称同样是Svchost.exe的病毒进程,由于这个假冒的病毒进程 ...
- 向这个病毒的编写者致以最高的敬礼!!!(是中国人必顶)
向这个病毒的编写者致以最高的敬礼!!!(是中国人必顶) 近日,某公司全球反病毒监测网在国内率先截获一个"冲击波杀手"病毒的变种(W32.Welchia.B)病毒.据该反病毒工程师介 ...
- 网络安全(一)_病毒、蠕虫、木马、炸弹的区别及常见的病毒
背景知识 先来看看计算机网络通信面临的威胁: 截获--从网络上窃听他人的通信内容 中断--有意中断他人在网络上的通信 篡改--故意篡改网络上传送的报文 伪造--伪造信息在网络上传送 截获信息的攻击称为 ...
最新文章
- Lumen / Laravel 使用网易邮箱 SMTP 发送邮件
- 年度编程语言最佳候选人:Kotlin vs. C
- C#学习笔记—了解C#
- 超详细 1小时学会Python输入和输出!
- 阿里DataV可视化大屏介绍
- TCP与UDP的区别(未完成,待补充)
- 浙大29岁“粉色系”女博导获百万大奖!最爱少女粉的她,既是实验高手还是个“大厨”......
- python树代码_浅析AST抽象语法树及Python代码实现
- chk mysql.sh_zabbix监控mysql_MySQL
- promise async await
- Wget 命令用法详解
- vs2015ef链接mysql_【转载】VS2015 + EF6连接MYSQL5.6
- python函数参数是数据库表名_Python-sqlite中的变量表名称
- js基础-7-数组去重的es5和es6写法、数组扁平化
- mobi格式电子书_没有Kindle,如何看Kindle电子书?
- 解决高德地图闪屏黑屏
- R语言面积图 area chart
- 机器人定位误差标定模型
- pxe网络安装服务器的部署
- 多个订单待付款半小时倒计时功能