语言栏丢失无法切换输入法
产生原因:
病毒利用映像劫持技术劫持了输入法相关文件ctfmon.exe,导致语言栏出故障。
处理方案:
1.升级毒霸2008与金山清理专家到最新版本后全盘杀毒处理掉病毒。
2.手工删除注册表表中病毒写入的劫持。如图所示:
免费下载金山毒霸2008
金山毒霸2008其他下载
金山毒霸问题分类
链接
这个下载器体积非常小,它利用网页挂马和感染VBS文件等方式来进行传播的。在顺利进入用户系统后,它会搜索系统中是否未安装MS06-014补丁,如果没有安装,那么病毒就可以利用WINDOWS系统的Microsoft Data Access Components (MDAC) 漏洞实现启动,在后台悄悄连接病毒作者指定的地址http://www.ley***8.cn/。
当连接成功,病毒就会开始下载其它病毒程序,这个过程与其它的木马下载器无异。被下载的病毒程序会被保存到用户电脑系统的临时目录中,名称为5713.exe。
随后,该文件自动启动,释放出大量木马程序和间谍软件,盗窃用户系统中有价值的数据资料
这个蠕虫病毒和它的同类相比,基本原理相近,都是利用感染正常文件的方式实现传播。它本身对系统不具备破坏能力,真正危害在于,该毒在进入系统后,会连接病毒作者指定的地址,下载更多的病毒文件。
病毒随着被感染的文件进入用户系统,它在系统盘的创建目录%windows%目录下创造出一个“Tasks”目录,然后将病毒文件0×01xx8p.exe、spoolsv.ext、SysFile.brk释放到其中,同时在%WINDOWS%目录中生成病毒文件spoolsv.exe。完成这一步骤,病毒就删除自己的原始文件,让用户难以发现它的痕迹。
(more…)
这是一个原理普通的木马下载器,为了对抗安全软件的查杀,病毒作者给它设置了多层加壳,并故意加入大量垃圾代码,不过毒霸依然可以对它进行查杀。
病毒进入系统后,在系统盘的%WINDOWS%目录下释放出病毒文件mrofinu.exe,并在注册表下添加病毒版本等信息。随后,病毒会根据这些信息判断自身是否是最新版本,如不是新版本,则到地址http://pmg73.a1.wrs.*****.com/下载新版本运行。 (more…)
这个病毒是一个广告木马,如果能顺利运行起来,就会弹出大量广告页面,骗取用户点击或刷流量。这一做法和大多数广告木马无异,但它给用户带来的真正麻烦是会关闭一些安全软件的进程,造成电脑丧失防御能力,从而给其它病毒的入侵提供机会。
经毒霸反病毒工程师分析,该毒可通过网页挂马、捆绑文件、以及下载器下载等方式进行传播。它进入用户电脑后,会立刻修改系统时间为1987年,造成卡巴斯基等依赖系统时间进行激活和升级的安全软件瘫痪。并紧接着搜索系统中正在运行的进程,如果发现江民、瑞星、360安全卫士等安全软件的进程,就将它们关闭。在此过程中,如过安全软件试图弹出询问提示框,病毒就会抢在窗口显示出来之前,模拟用户操作的信号点击允许选项。
(more…)
这个病毒会利用网页挂马和QQ聊天工具进行传播。一些“求图心切”的网民,在网上看到艳照链接就会“本能”地去点击,这样一来,便感染上了病毒。如果用户电脑上安装得有QQ即时聊天工具,病毒会利用它,更高效地传播自己。它读取用户当前的聊天窗口,向好友发送含一个名为“陈冠希原版相片.rar”压缩包,骗取好友接收。为避免该压缩包被发送到QQ邮箱中,当QQ弹出询问“是否通过QQ邮箱发送”时,病毒会模拟用户的鼠标操作,点击“否”按钮。
压缩包里的病毒是无法自动运行起来的,它需要用户解压后才能自由行动,如果解压成功,病毒就会自动调用IE浏览器,弹出一个名为http://www.b***uoo.com的网站。该网站会将用户引导到雅虎网。注意,这个动作是病毒使的障眼法,它这样做是为了让用户们以为接收到的是个普通的刷流量软件,一删了之,而不会去想是否有别的古怪。而实际上,病毒已成功潜入电脑系统了。 (more…)
这个病毒是一个盗号木马,它并没有特定的作案对象,而是对用户输入的所有数据下手。该病毒在进入系统、完成文件释放后,立即修改系统的SSDT(系统服务调度表),从而解除具有主动防御功能的杀毒软件的武装,然后将病毒文件注入到系统桌面进程中,监视用户的鼠标、键盘操作,从而获得用户的游戏帐号和密码信息。
成功获取信息之后,病毒便将信息加密,以邮件的形式,通过SMTP(一种为提高电脑用户的通讯效率而设置的免验证通讯方式),以及网页收信空间的方式发送给木马作者。木马作者一旦获得这些数据,他只需经过简单的计算,便可从中筛选出有价值的信息,从而给用户带来虚拟财产、商业机密的损失,甚至个人隐私的泄露。
AV终结者又一次成为了毒霸反病毒工程师们注意的目标。在近日统计的病毒传播趋势资料中,AV终结者的这个变种显得十分活跃,这也许与有人故意进行传播有关。
该病毒进入系统后执行的操作,与以前的版本基本无异,都是先释放出病毒文件,然后修改系统注册表实现自动启动,并紧接着执行映象劫持,将用户系统中安装的安全软件弄瘫痪,以便于病毒以后的破坏操作。病毒释放出的文件wuauc1t.exe和sssurl.dll会被伪装成系统文件,隐藏在%WINDOWS%根目录下。 (more…)
