Zotob蠕虫(Worm.Zotob)”病毒专杀工具v1.0
该病毒利用了8月9曰微软发布的即插即用中的漏洞(MS05-039),在微软发布安全公告后短短的5天之内即出现该蠕虫,表明病毒作者利用漏洞的能力越来越强。用户电脑感染了该病毒之后,在某些情况下会出现系统频繁重启的现象。同时,该病毒会在用户电脑上开设后门,方便黑客对其进行远程控制。
--==〉
本地下载
“QQ病毒”专杀工具 v3.7
2005年8月12曰3.7版,本次升级增加了近期比较流行的QQRobber,QQPass,QQ3344,Boker等几大家族的QQ病毒,共计760个病毒,这些病毒有的会窃取用户密码,有些会利用QQ进行传播,但是他们的共同点都是会利用OICQ发送大量的垃圾信息QQ病毒变种:
Trojan.QQTail.i ,Trojan.QQTail.i.com.dll ,
Trojan.QQTail.i ,Trojan.QQTail.i.hook.dll ,
Trojan.QQTail.i.Maker ,Trojan.QQtail.j ,
Trojan.QQtail.k ,Trojan.QQtail.l ,Trojan.QQtail.m........
--==〉
本地下载
“Backdoor.Win32.Sdbot”病毒专杀工具 New
该病毒能够释放出Trojan.RootKit.k,然后利用Trojan.RootKit.k隐藏自身的进程。造成用户从系统中无法找到到Backdoor.win32.SDBot病毒进程。Backdoor.win32.SDBot病毒会通过网络共享和系统漏洞进行传播,可以自动猜测系统的密码,并可以利用冲击波和震荡波漏洞进入网络中其他的计算机。大量占用网络资源,使网络的传输速度变慢。
Trojan.RootKit.k会通过拦截系统的进程和网络端口映射,来隐藏进程。但是由于Trojan.RootKit.k自身的Bug,当系统调用被Trojan.RootKit.k拦截的API的时候,会出现系统蓝屏死机的现象。例如:在运行“netstat -ano”的时候,肯定会出现蓝屏死机的问题。
--==〉
本地下载
“新CIH(Win32.Yami)”病毒专杀工具
与CIH一样,被“新CIH”感染的电脑,主板和硬盘数据将被破坏,致使电脑无法启动,硬盘上的数据丢失。不同的是,“新CIH”可以在Windows2000/XP系统下运行(CIH只能在Win 9X系统下运行),因此破坏范围比老CIH大得多。
根据瑞星反病毒专家的分析,“新CIH”和老的CIH病毒一样都是通过感染文件传播,发作后用一些垃圾数据覆盖系统硬盘,造成用户数据丢失,并且较难恢复。它同时会通过改写主板BIOS来对硬件系统进行破坏。
瑞星反病毒专家进一步指出,当年的CIH病毒只能在Windows 9X系统下运行,随着Windows操作系统的不断发展,Win2000/XP逐渐成为主流,使CIH失去了生存空间。如果CIH能够在Windows 2000/XP下面运行,那么每年它还可能会造成巨大损失。而这个“新CIH”病毒,则有可能将这一危险变为现实。
--==〉
本地下载
瑞星听诊器[版 本 号:3.3]
2005年4月1曰更新,增加功能:可以提取灰鸽子病毒,但只是dll文件,主程序没有在内存中。
使用说明:
该工具为配合瑞星杀毒软件使用的辅助工具,该工具的主要功能及使用方法如下
1:诊断功能
诊断功能有下面的两种用途:
一:用于某些对IE设置进行篡改的病毒程序诊断(针对修改IE设置的com组件)。
例如: IE被打开后,总是连接恶意站点
http://www.1235678.com。
二:用于扫描新木马,现在的版本可以检测四个家族(ircbot、huigezi、psw.legend、whboy)的木马程序,但是不提供杀毒功能。
诊断功能的使用:
步骤一:
点击诊断后会弹出一诊断窗口,如下图,您可以在文本框中输入您的IE连接的恶意站点地址,并点击确定。
如:恶意站点
http://www.1235678.com 则输入“1235678.com”,并点击确定。
步骤二:系统自动完成检测,生成如下图的信息,您可以根据该信息将怀疑有病毒的文件邮寄致[url=mailto:master@rising.com.cn]
master@rising.com.cn[/url]进行病毒分析。
附加说明:当该功能用于扫描新木马时,无需在文本框中输入信息,直接点击确定即可。
2:提取功能:
提取功能用于将用户的启动及配置信息进行收集汇总,以便进行后期的系统问题诊断。
提取功能的使用
步骤一:点击“提取”后会弹出如下图的窗口,请您选择欲保留该提取信息的路径,选择后请点击确定。
步骤二:系统会在您选择的路径下创建目录“瑞星用户信息”并在该目录中生成“瑞星用户机器信息.htm”的文件,如下图
步骤三:请您把该文件压缩后的文件发到[url=mailto:master@rising.com.cn]
master@rising.com.cn[/url] 根据您提供的系统信息进行病毒的后期分析。
3:IE重置
该功能用于恢复被病毒修改的IE的设置。
IE重置功能的使用
步骤一:点击”IE重置”将出现下面的窗口,点击是进行对IE的重置。重置后请点击“完成”按钮。
--==〉
本地下载
MSN蠕虫病毒专用查杀工具
2005年03月09曰正式发布 MSN蠕虫病毒专杀工具1.7版本 可查杀新MSN蠕虫病毒及变种:
Worm.MSN.Bropia.v,Worm.MSN.Bropia.w。
2005年03月07曰正式发布 MSN蠕虫病毒专杀工具1.6版本 可查杀新MSN蠕虫病毒及变种。
Worm.MSN.Bropia.m,Worm.MSN.Bropia.n,Worm.MSN.Bropia.o;
Worm.MSN.Bropia.p,Worm.MSN.Bropia.q,Worm.MSN.Bropia.r;
Worm.MSN.Bropia.s,Worm.MSN.Bropia.t,Worm.MSN.Bropia.u;
Worm.MSN.Gnat.a,Worm.MSN.Gnat.b。
2005年02月17曰正式发布 MSN蠕虫病毒专杀工具1.5版本 可查杀新MSN蠕虫病毒及变种。
2005年02月11曰正式发布 MSN蠕虫病毒专杀工具1.4版本 可查杀新MSN蠕虫病毒及变种。
2005年02月07曰正式发布 MSN蠕虫病毒专杀工具1.3版本 可彻底查杀MSN“性感烤鸡(Worm.Msn.Chicken.b)”病毒。
2005年02月03曰正式发布 MSN蠕虫病毒专杀工具1.2版本 可彻底查杀MSN“性感烤鸡(Worm.Msn.Chicken)”病毒。
2004年10月11曰正式发布 MSN蠕虫病毒专杀工具1.1版本 可彻底查杀MSN(Worm.msn.funny) 病毒。
2004年10月10曰正式发布 MSN蠕虫病毒专杀工具1.0 可查杀MSN(Worm.msn.funny) 病毒。
--==〉
本地下载
“SCO炸弹(Worm.Novarg)”病毒专杀工具
病毒名称:SCO炸弹(Worm.Novarg)
这是一个蠕虫病毒。用upx压缩。
病毒行为:
病毒运行后将在系统注册表试着打开HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version这个键。
如果失败病毒将认为是第一次运行在系统中加入该键。并在%temp%目录中随机生成一个文件(内容随机)并用notepad打开该文件。(这是病毒用来伪装的,病毒图标为一个文本文件)病毒将自己复制到%system%目录下,文件名为:taskmon.exe并在注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run加入自己的键值:TaskMon
后门:
病毒释放一个dll文件到%system%目录中。文件名为:shimgapi.dll
并将该文件以系统组件形式植入系统(以便随系统启动时启动)方式为:
在加入注册表HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED} 项。
该模块为一个代理服务器,端口为3127至3198该模块还能根据传来的命令接受一个文件到本地系统并执行。
Dos攻击:
病毒将在一个时段范围内(2004.2.1至2004.2.12向
www.sco.com网站发动Dos攻击)攻击线程达64个。
P2p共享传播:
病毒将通过注册表Software\Kazaa\Transfer查询P2P软件的共享目录并将自己以随机选择体内的文件名将自己复制到该目录。
文件名为:
winamp5,icq2004-final,activation_crack,strip-girl-2.0bdcom_patches,rootkitXP
office_crack,nuke2004
扩展名为:
.pif,.scr,.bat,.exe
邮件传播:
病毒将通过注册表得到当前用户使用的wab文件。并打开搜索其中的email地址。病毒还将遍历所有磁盘文件并从扩展名为:.htm ,.sht ,.php ,.asp ,.dbx ,.tbb ,.adb
.pl ,.wab ,.txt中搜索email地址(病毒将避开.edu结尾的email地址)
并对这些地址进行发送病毒邮件。
病毒邮件的标题为以下其中之一:
test,hi,hello,Mail Delivery System,Mail Transaction Failed,Server Report,Status
Error
邮件内容为:
邮件内容为病毒用随机的数据进行编码。
当编码失败时病毒用
The message cannot be represented in 7 -bit ASCII encoding and has been sent as a binary attachment.
test
The message contains Unicode characters and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.
或空内容作为邮件正文。
邮件的附件名为以下其中之一:
document,readme,doc,text,file,data,test,message,body
扩展名为以下其中之一:
.pif,.scr,.exe,.cmd,.bat,.zip
--==〉
本地下载
爱情后门(Worm.LovGate)病毒专杀工具v3.5(最新)
该病毒集蠕虫、后门、黑客于一身,通过病毒邮件进行邮件传播,通过建立后门给用户的计算机建立一个泄密通道,通过放出后门程序与外界远程木马沟通,通过放出盗窃密码程序主动盗窃计算机密码,通过远程疯狂传播局域网,最终导致所有计算机用户受到病毒控制,网络瘫痪、信息泄露等严重后果。
如果管理员没有密码或者密码过于简单,如12345678,abcdef,888888等,请修改管理员密码,否则病毒可能通过局域网再次感染。
--==〉
本地下载
股票窃密者(TrojanSpy.Stock)病毒专杀工具
一个专门针对数家国内证券公司的网络交易系统编写的木马病毒,中毒之后,病毒会窃取用户的股票网络交易账号和密码,从而可以恶意买卖用户的股票,造成用户的资金损失。
--==〉
本地下载
墨菲(Trojan.Mofei)病毒专杀工具(最新)
该病毒采用UPX压缩,使自身能更迅速地通过网络传播,主要感染win2k、NT、XP、2003server等操作系统。该病毒运行后,会释放三个病毒体到系统目录下:SCARDSVR32.EXE是病毒主体,SCARDSVR32.DLL是病毒的主功能模块,MOFEI.CFG是病毒的配置信息。
--==〉
本地下载
“MSN病毒(Worm.msn.funny)”专杀工具
“MSN(Worm.msn.funny)病毒”专杀工具可以查杀MSN(Worm.msn.funny) 病毒。
--==〉
本地下载
"瑞星图片病毒专用查杀工具(RavJPG.exe)"
图片病毒专用查杀工具可以通过扫描操作系统里面所有的JPEG图片文件,检查这些图片是否利用了微软MS04-028系统漏洞并隐藏了恶意代码,如果发现此类文件将自动清除病毒,防止用户遭受攻击。
--==〉
本地下载
冲击波(Worm.Blaster)病毒专杀工具
据瑞星反病毒专家介绍,RPC(远程过程调用)服务是微软系统中一个重要的服务,用来支持计算机间的相互访问。而今曰截获的这两个病毒并不是第一个利用RPC漏洞的病毒,早在8月初就已经陆续出现了几个相关病毒,微软公司也早在2003年7月21曰公布了有关RPC的最新安全公告,但是由于没能引起广大用户的注意,最终还是导致了部分用户遭受病毒感染。反病毒专家建议系统为WINDOWS NT/2000/XP/server 2003的用户,应该在第一时间对系统进行打补丁,这样可以有效地避免病毒的浸入与感染,同时使用网络版杀毒软件进行全网杀毒。
--==〉
本地下载
:
"QQ病毒"专杀工具
瑞星反病毒工程师提醒用户,该信息是隐藏的,发送方并不知道,因此,当用户收到以上信息后,请不要轻易点击,应该立刻询问一下对方是否发过这类的消息,以防中招。类似病毒还有很多,用户要提高警惕、注意防范,不要轻信陌生信息,以免给自己带来没有必要的损失。
--==〉
本地下载
"QQ病毒"专杀工具
瑞星反病毒工程师提醒用户,该信息是隐藏的,发送方并不知道,因此,当用户收到以上信息后,请不要轻易点击,应该立刻询问一下对方是否发过这类的消息,以防中招。类似病毒还有很多,用户要提高警惕、注意防范,不要轻信陌生信息,以免给自己带来没有必要的损失。
--==〉
本地下载
ADODB.Stream漏洞防范工具 New
工具说明:
1.Windows2000/xp系统中默认安装的ADODB.Stream组件可能会被恶意攻击者利用,本软件可以将之移除,防止木马病毒利用该组件危害系统的安全。
2.如果微软发布了针对此漏洞的补丁,用户可利用此软件恢复被移除的组件后再安装微软补丁。
--==〉
本地下载
“震荡波(Worm.Sasser)”病毒专杀工具
根据分析,“震荡波”病毒会在网络上自动搜索系统有漏洞的电脑,并直接引导这些电脑下载病毒文件并执行,因此整个传播和发作过程不需要人为干预。只要这些用户的电脑没有安装补丁程序并接入互联网,就有可能被感染。
“震荡波”病毒的发作特点,类似于去年夏天造成大规模电脑系统瘫痪的“冲击波”病毒,那就是造成电脑反复重启。
瑞星反病毒专家王耀华介绍,该病毒会通过FTP 的5554端口攻击电脑,使系统文件崩溃,造成电脑反复重启。病毒如果攻击成功,会在C:\WINDOWS目录下产生名为avserve.exe的病毒体,用户可以通过查找该病毒文件来判断是否中毒。
“震荡波”病毒会随机扫描IP地址,对存在有漏洞的计算机进行攻击,并会打开FTP的5554端口,用来上传病毒文件,该病毒还会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中建立:"avserve.exe"=%windows%\avserve.exe的病毒键值进行自启动。
该病毒会使“安全认证子系统”进程━━LSASS.exe崩溃,出现系统反复重启的现象,并且使跟安全认证有关的程序出现严重运行错误。
--==〉
本地下载
:
"网络天空(Worm.Netsky)病毒 "专杀工具
“网络天空”(Worm. Netsky.B)病毒利用电子邮件和共享目录传播,传播的速度极快,在未来的几天里可能造成新一波病毒邮件泛滥。 该病毒利用自带的SMTP邮件引擎发送,邮件发送人随机产生,标题可能为:hello、stolen、warning、unknown、fake,附件后缀为:.scr、.com、.pif、.rtf、 .doc、.htm、.exe等,附件即是病毒体。
瑞星反病毒工程师提醒,如果发现类似可疑邮件,请一定小心处理。 病毒会显示虚假的消息框“The file could not be opened!”,复制自己为系统目录下的services.exe文件,修改注册表实现自启动。病毒会搜索注册表,如果发现“SCO炸弹”病毒留下的键值,则会删除。另外病毒会从注册表中删除俄罗斯杀毒软件AVP的键值,企图阻止该杀毒软件的自启动,加大用户的安全风险。 在硬盘上搜索以eml、txt、htm等等结尾的十几种文件,从中提取电子邮件地址,用病毒体自带的SMTP引擎向这些地址大量发送带毒邮件。带毒邮件的大量传播会严重消耗网络资源,甚至会影响企业的邮件服务器。
--==〉
本地下载
:
"小邮差"专杀工具
这个病毒是Worm.Mimail的变种,都是通过邮件进行病毒传播,但是它比
Worm.Mimail传播速度更快,同时更具有攻击性。。
--==〉
本地下载
“劳拉(Win32.Xorala)”病毒专杀工具
1.3版修改了查毒方法,可查杀当前全部最新Xorala变种。
劳拉病毒属于系统病毒,也就是说,它会感染系统中的所有可执行文件,将自身的病毒代码插入到这些可执行文件体内,然后建立一个名为:“XOR”的病毒“节”,当被感染的文件运行时,病毒就会取得系统控制权,然后继续感染其它文件。病毒的交叉、反复感染,会导致系统文件大量带毒,系统运行缓慢,甚至系统崩溃。
--==〉
本地下载
911(Worm.Neroma)病毒专杀工具
VB写的蠕虫,采用UPX压缩,是一个通过oulook地址薄中的邮箱地址进行邮件传播的蠕虫。
病毒发送邮件时带有信息如下:
标题:It’s Near 911!
正文:Nice butt baby!
附件:911.jpg
此附件并非图片,而是病毒本身,病毒以此来欺骗用户。
破坏方法:
1.修改系统配置文件
system.ini
[boot]
shell=Explorer.exe nerosys.exe
--==〉
本地下载
红色结束符(Redlof)病毒专杀工具
为了防止病毒重复感染,强烈建议您在运行此程序前退出所有其他应用程序!
--==〉
本地下载
“硬盘杀手”(Worm.Opasoft)专杀工具
针对“硬盘杀手”(Worm.Opasoft)病毒的专杀工具。下载工具后直接运行即可。
--==〉
本地下载
求职信(Worm.Klez)系列病毒专杀工具
针对求职信(Worm.Klez) 系列病毒的清除工具。下载工具后直接运行即可。该求职信专杀工具用于非瑞星产品用户针对计算机中求职信病毒的处理,瑞星2004版(含OEM版及下载版) 均已经针对该病毒提供了相应的处理功能, 请瑞星2004版(含OEM版及下载版)用户使用瑞星杀毒软件升级后查杀该病毒,无需使用
该工具。
--==〉
本地下载
求职信文件恢复工具
用来恢复被求职信系列病毒损坏的文件的恢复工具。下载工具后直接运行即可。
--==〉
本地下载
CIH破坏的硬盘数据修复工具
操作步骤:
1、该软件包括两个程序:ANTICIH.EXE 和 RAV.REC,这两个文件必须拷到软盘的同一路径下。
2、用无毒的软盘启动计算机。
3、执行ANTICIH.EXE,该程序将对硬盘进行扫描,以获得有关数据。
4、扫描完成后,程序将给您如下提示:
Hard disk scanned result:
SIZE CYLS HEAD SECTOR
XXXX XXXX XXXX XXXX
Partition:C: D:
Drive C: FAT32
Recover partition table (Y/N)?
SIZE是硬盘的大小,以MB为单位;CYLS是硬盘柱面数,HEAD是硬盘的磁头数,SECTOR是每道扇区数。
对于大于8G的硬盘,只显示硬盘大小。
Partition是找到的分区;Drive C: 是说明C盘的格式,是FAT16或FAT32。
上述提示信息针对不同硬盘不尽相同。
此时请您确认是否要修复主引导记录,要修复请按 "Y". 否则按"N",本程序将退出。
如果您按按了"Y",本程序将为您修复主引导记录,程序进一步提示您:
Recover drive C
Y/N)?
如果您要修复C盘,请按"Y",否则按"N",程序将退出。
如果您的C盘是FAT16,而且破坏比较严重,修复过程可能需要很长时间,请耐心等待。
修复完成后,请重启系统。
--==〉
本地下载
Sircam病毒的修复工具
Sircam病毒会修改系统注册表,可造成机器中的可执行文件无法执行,运行此程序即可解决。
--==〉
本地下载
