高手请进,win98 进系统需要序列号?!
发布网友
发布时间:2022-04-24 02:08
共3个回答
热心网友
时间:2023-10-21 00:05
RedLof病毒的变种介绍
--------------------------------------------------------------------------------
www.rising.com.cn 2003-1-21 13:04:00 信息源:瑞星公司
1.Script.RedLof.Htm.e
破坏方法:此病毒是RedLof病毒的变种,拥有极强的变形功能。病毒将自己的代码随机组合,全部的关键代码一律变形。感染该病毒的机器在浏览文件夹时会变慢。对系统的破坏如下:
一、 将%WINDOWS%\web\Folder.htt 保存到%WINDOWS%\system32\setup.txt和%WINDOWS%\system32\desktop.ini 保存到%WINDOWS%\system32\inet.vxd,感染%WINDOWS%\web\Folder.htt。
二、病毒从后向前枚举用户磁盘盘符。每次感染五个路径。
1)如果当前文件夹没有folder.htt或Desktop.ini,则感染整个文件夹的htm、html、asp、php、jsp、vbs文件。
2)在当前文件夹添加两个隐藏文件:folder.htt和Desktop.ini。folder.htt感染病毒。
3)病毒不重复感染。发现文件中包含Execute(",则认为已经感染。
三、对注册表的修改:
1)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32,值为%windows%\SYSTEM\Kernel.dll或%windows%\SYSTEM\Kernel32.dll
2)修改"HKEY_CLASSES_ROOT\.dll"和"HKEY_CLASSES_ROOT\dllfile"的系列子键
3)修改OutLook的默认页设置,指向病毒。
传播方法:感染该病毒的机器在浏览文件夹时会变慢。
2.Script.RedLof.Head.e
破坏方法:RedLof病毒的变种,拥有极强的变形功能。病毒将自己的代码随机组合,全部的关键代码一律变形。对系统的破坏如下:
一、 将%WINDOWS%\web\Folder.htt 保存到%WINDOWS%\system32\setup.txt和%WINDOWS%\system32\desktop.ini 保存到%WINDOWS%\system32\inet.vxd。感染%WINDOWS%\web\Folder.htt。
二、病毒从后向前枚举用户磁盘盘符。每次感染五个路径。
1)如果当前文件夹没有folder.htt或Desktop.ini,则感染整个文件夹的htm、html、asp、php、jsp、vbs文件。
2)在当前文件夹添加两个隐藏文件:folder.htt和Desktop.ini。folder.htt感染病毒。
3)病毒不重复感染。发现文件中包含Execute,则认为已经感染。
三、对注册表的修改
1)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32,值为%windows%\SYSTEM\Kernel.dll或%windows%\SYSTEM\Kernel32.dll
2)修改"HKEY_CLASSES_ROOT\.dll"和"HKEY_CLASSES_ROOT\dllfile"的系列子键
3)修改OutLook的默认页设置,指向病毒。
传播方法:感染该病毒的机器在浏览文件夹时会变慢。
3.Script.RedLof.Vbs.e
破坏方法:RedLof病毒的变种,拥有极强的变形功能。病毒将自己的代码随机组合,全部的关键代码一律变形。对系统的破坏如下:
一、将%WINDOWS%\web\Folder.htt 保存到%WINDOWS%\system32\setup.txt和%WINDOWS%\system32\desktop.ini保存到%WINDOWS%\system32\inet.vxd。感染%WINDOWS%\web\Folder.htt。
二、病毒从后向前枚举用户磁盘盘符。每次感染五个路径。
1)如果当前文件夹没有folder.htt或Desktop.ini,则感染整个文件夹的htm、html、asp、php、jsp、vbs文件。
2)在当前文件夹添加两个隐藏文件:folder.htt和Desktop.ini。folder.htt感染病毒。
3)病毒不重复感染。发现文件中包含Execute(",则认为已经感染。
三、对注册表的修改
1)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32,
值为%windows%\SYSTEM\Kernel.dll或%windows%\SYSTEM\Kernel32.dll
2)修改"HKEY_CLASSES_ROOT\.dll"和"HKEY_CLASSES_ROOT\dllfile"的系列子键
3)修改OutLook的默认页设置,指向病毒。
传播方法:感染该病毒的机器在浏览文件夹时会变慢。
Funlove病毒简介
--------------------------------------------------------------------------------
www.rising.com.cn 2001-12-27 14:08:00 信息源:瑞星公司
这是WIN32类型的病毒,它可以感染Windows 9x 和Windows NT 4.0操作系统。它感染所有WIN32类型的文件(PE文件),如Windows 和 Program Files 目录及其子目录中的扩展名为.EXE, .SCR, and .OCX 的文件。该病毒搜索所有具有写访问的网络共享文件夹并感染那里的所有的文件。该病毒同时能够修补NT环境的完整性检测,以便能够感染系统文件。
病毒中有'~Fun Loving Criminal~'字样。 该病毒没有故意的破坏性,但是由于NT系统安全性很差而可能造成的破坏还是应当引起注意的。
同一个简单的添加一样,Win32/Funlove.4099将它的代码复制到宿主文件的最后一个扇区的结尾,然后,它修改PE文件头信息以显示新的扇区大小,使扇区的特征适应病毒的需要,同时病毒修改原文件入口点的程序代码以便执行病毒代码。
当一个染毒程序被运行,病毒代码程序获得系统控制权,Win32/Funlove.4099 病毒在系统目录下创建FLCSS.EXE文件,并从染毒宿主文件的最后提取出病毒代码,将其写入该文件中,然后FLCSS.EXE被执行。
如果是在NT的许可权限下运行,FLCSS.EXE会将自身像一个服务程序一样安装到NT机器上。它会以"FLC"显示在标准的NT服务列表中,并且被设置为在每次启动时自动运行此服务。在Windows 9X下,它像一个隐含程序一样运行,在任务列表中是不可见的。
在病毒程序第一次运行时,该病毒会按照一定的时间间隔,周期性地检测每一个驱动器上的EXE,SCR(屏保程序)和OCX(ActiveX control)文件,找到相应的文件就感染它们。它还搜索在网络上可使用的共享资源,并感染任何有访问权限的同一类型的文件。因此,它可以在机器间完全开放权限的共享文件上非常快地传播。该病毒检测以下文件名且不感染它们:ALER*, AMON*, _AVP*, AVP3*, AVPM*, FPR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA*, MPLA*。
尽管该病毒对数据没有直接的破坏性,但是在NT下,Win32/Funlove.4099 病毒还是对NTOSKRNL.EXE 文件做了一个小的修改(patch),使得文件的许可请求总是返回允许访问(access allowed),这意味着被感染机器的安全已受到了极大地威胁。只要是在被修改的机器上,所有的用户都拥有了对每一个文件的完全控制访问权,即使是在系统中可能拥有最低权限的GUEST,也能读取或修改所有文件,包括通常只有管理员才能访问的文件。在NT启动时,NTLDR将检测NTOSKRNL.EXE 的完整性,所以病毒也修改NTLDR,因此NTLDR将允许系统加载修改后的NTOSKRNL文件。这种修改只能在某些NT服务包(service packs)中起作用,但是不管当前机器的SP级别病毒都会申请修改程序。在感染FLC病毒的NT机器上清除病毒后,需要用备份文件对这些被修改的文件进行恢复,或者重新安装这些文件。
如果FLCSS.EXE 运行在DOS下,病毒将显示'~Fun Loving Criminal~'字串,然后它试图通过键盘控制器重新启动系统。这大概是希望Windows被加载且病毒可能有另一个机会去执行。这种尝试经常失败,而计算机则被锁。
说明:你到瑞星网站都可以看到这些信息。~~
热心网友
时间:2023-10-21 00:06
恩! 好同学!
具体的说不太清楚!
毕竟已经离开98多年了!还有就是我们也不是写杀毒软件的!
我们只是学习计算机科学的!一般遇到这种麻烦的病毒
我们就这样:重起机器时候按F8,选择进入安全模式,进去后再查杀。
看问题能解决不?最好能,不能就只有重装了!
热心网友
时间:2023-10-21 00:06
什么时候了,还有98。换了吧
热心网友
时间:2023-10-21 00:05
RedLof病毒的变种介绍
--------------------------------------------------------------------------------
www.rising.com.cn 2003-1-21 13:04:00 信息源:瑞星公司
1.Script.RedLof.Htm.e
破坏方法:此病毒是RedLof病毒的变种,拥有极强的变形功能。病毒将自己的代码随机组合,全部的关键代码一律变形。感染该病毒的机器在浏览文件夹时会变慢。对系统的破坏如下:
一、 将%WINDOWS%\web\Folder.htt 保存到%WINDOWS%\system32\setup.txt和%WINDOWS%\system32\desktop.ini 保存到%WINDOWS%\system32\inet.vxd,感染%WINDOWS%\web\Folder.htt。
二、病毒从后向前枚举用户磁盘盘符。每次感染五个路径。
1)如果当前文件夹没有folder.htt或Desktop.ini,则感染整个文件夹的htm、html、asp、php、jsp、vbs文件。
2)在当前文件夹添加两个隐藏文件:folder.htt和Desktop.ini。folder.htt感染病毒。
3)病毒不重复感染。发现文件中包含Execute(",则认为已经感染。
三、对注册表的修改:
1)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32,值为%windows%\SYSTEM\Kernel.dll或%windows%\SYSTEM\Kernel32.dll
2)修改"HKEY_CLASSES_ROOT\.dll"和"HKEY_CLASSES_ROOT\dllfile"的系列子键
3)修改OutLook的默认页设置,指向病毒。
传播方法:感染该病毒的机器在浏览文件夹时会变慢。
2.Script.RedLof.Head.e
破坏方法:RedLof病毒的变种,拥有极强的变形功能。病毒将自己的代码随机组合,全部的关键代码一律变形。对系统的破坏如下:
一、 将%WINDOWS%\web\Folder.htt 保存到%WINDOWS%\system32\setup.txt和%WINDOWS%\system32\desktop.ini 保存到%WINDOWS%\system32\inet.vxd。感染%WINDOWS%\web\Folder.htt。
二、病毒从后向前枚举用户磁盘盘符。每次感染五个路径。
1)如果当前文件夹没有folder.htt或Desktop.ini,则感染整个文件夹的htm、html、asp、php、jsp、vbs文件。
2)在当前文件夹添加两个隐藏文件:folder.htt和Desktop.ini。folder.htt感染病毒。
3)病毒不重复感染。发现文件中包含Execute,则认为已经感染。
三、对注册表的修改
1)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32,值为%windows%\SYSTEM\Kernel.dll或%windows%\SYSTEM\Kernel32.dll
2)修改"HKEY_CLASSES_ROOT\.dll"和"HKEY_CLASSES_ROOT\dllfile"的系列子键
3)修改OutLook的默认页设置,指向病毒。
传播方法:感染该病毒的机器在浏览文件夹时会变慢。
3.Script.RedLof.Vbs.e
破坏方法:RedLof病毒的变种,拥有极强的变形功能。病毒将自己的代码随机组合,全部的关键代码一律变形。对系统的破坏如下:
一、将%WINDOWS%\web\Folder.htt 保存到%WINDOWS%\system32\setup.txt和%WINDOWS%\system32\desktop.ini保存到%WINDOWS%\system32\inet.vxd。感染%WINDOWS%\web\Folder.htt。
二、病毒从后向前枚举用户磁盘盘符。每次感染五个路径。
1)如果当前文件夹没有folder.htt或Desktop.ini,则感染整个文件夹的htm、html、asp、php、jsp、vbs文件。
2)在当前文件夹添加两个隐藏文件:folder.htt和Desktop.ini。folder.htt感染病毒。
3)病毒不重复感染。发现文件中包含Execute(",则认为已经感染。
三、对注册表的修改
1)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32,
值为%windows%\SYSTEM\Kernel.dll或%windows%\SYSTEM\Kernel32.dll
2)修改"HKEY_CLASSES_ROOT\.dll"和"HKEY_CLASSES_ROOT\dllfile"的系列子键
3)修改OutLook的默认页设置,指向病毒。
传播方法:感染该病毒的机器在浏览文件夹时会变慢。
Funlove病毒简介
--------------------------------------------------------------------------------
www.rising.com.cn 2001-12-27 14:08:00 信息源:瑞星公司
这是WIN32类型的病毒,它可以感染Windows 9x 和Windows NT 4.0操作系统。它感染所有WIN32类型的文件(PE文件),如Windows 和 Program Files 目录及其子目录中的扩展名为.EXE, .SCR, and .OCX 的文件。该病毒搜索所有具有写访问的网络共享文件夹并感染那里的所有的文件。该病毒同时能够修补NT环境的完整性检测,以便能够感染系统文件。
病毒中有'~Fun Loving Criminal~'字样。 该病毒没有故意的破坏性,但是由于NT系统安全性很差而可能造成的破坏还是应当引起注意的。
同一个简单的添加一样,Win32/Funlove.4099将它的代码复制到宿主文件的最后一个扇区的结尾,然后,它修改PE文件头信息以显示新的扇区大小,使扇区的特征适应病毒的需要,同时病毒修改原文件入口点的程序代码以便执行病毒代码。
当一个染毒程序被运行,病毒代码程序获得系统控制权,Win32/Funlove.4099 病毒在系统目录下创建FLCSS.EXE文件,并从染毒宿主文件的最后提取出病毒代码,将其写入该文件中,然后FLCSS.EXE被执行。
如果是在NT的许可权限下运行,FLCSS.EXE会将自身像一个服务程序一样安装到NT机器上。它会以"FLC"显示在标准的NT服务列表中,并且被设置为在每次启动时自动运行此服务。在Windows 9X下,它像一个隐含程序一样运行,在任务列表中是不可见的。
在病毒程序第一次运行时,该病毒会按照一定的时间间隔,周期性地检测每一个驱动器上的EXE,SCR(屏保程序)和OCX(ActiveX control)文件,找到相应的文件就感染它们。它还搜索在网络上可使用的共享资源,并感染任何有访问权限的同一类型的文件。因此,它可以在机器间完全开放权限的共享文件上非常快地传播。该病毒检测以下文件名且不感染它们:ALER*, AMON*, _AVP*, AVP3*, AVPM*, FPR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA*, MPLA*。
尽管该病毒对数据没有直接的破坏性,但是在NT下,Win32/Funlove.4099 病毒还是对NTOSKRNL.EXE 文件做了一个小的修改(patch),使得文件的许可请求总是返回允许访问(access allowed),这意味着被感染机器的安全已受到了极大地威胁。只要是在被修改的机器上,所有的用户都拥有了对每一个文件的完全控制访问权,即使是在系统中可能拥有最低权限的GUEST,也能读取或修改所有文件,包括通常只有管理员才能访问的文件。在NT启动时,NTLDR将检测NTOSKRNL.EXE 的完整性,所以病毒也修改NTLDR,因此NTLDR将允许系统加载修改后的NTOSKRNL文件。这种修改只能在某些NT服务包(service packs)中起作用,但是不管当前机器的SP级别病毒都会申请修改程序。在感染FLC病毒的NT机器上清除病毒后,需要用备份文件对这些被修改的文件进行恢复,或者重新安装这些文件。
如果FLCSS.EXE 运行在DOS下,病毒将显示'~Fun Loving Criminal~'字串,然后它试图通过键盘控制器重新启动系统。这大概是希望Windows被加载且病毒可能有另一个机会去执行。这种尝试经常失败,而计算机则被锁。
说明:你到瑞星网站都可以看到这些信息。~~
热心网友
时间:2023-10-21 00:06
恩! 好同学!
具体的说不太清楚!
毕竟已经离开98多年了!还有就是我们也不是写杀毒软件的!
我们只是学习计算机科学的!一般遇到这种麻烦的病毒
我们就这样:重起机器时候按F8,选择进入安全模式,进去后再查杀。
看问题能解决不?最好能,不能就只有重装了!
热心网友
时间:2023-10-21 00:06
什么时候了,还有98。换了吧
热心网友
时间:2023-10-21 00:05
RedLof病毒的变种介绍
--------------------------------------------------------------------------------
www.rising.com.cn 2003-1-21 13:04:00 信息源:瑞星公司
1.Script.RedLof.Htm.e
破坏方法:此病毒是RedLof病毒的变种,拥有极强的变形功能。病毒将自己的代码随机组合,全部的关键代码一律变形。感染该病毒的机器在浏览文件夹时会变慢。对系统的破坏如下:
一、 将%WINDOWS%\web\Folder.htt 保存到%WINDOWS%\system32\setup.txt和%WINDOWS%\system32\desktop.ini 保存到%WINDOWS%\system32\inet.vxd,感染%WINDOWS%\web\Folder.htt。
二、病毒从后向前枚举用户磁盘盘符。每次感染五个路径。
1)如果当前文件夹没有folder.htt或Desktop.ini,则感染整个文件夹的htm、html、asp、php、jsp、vbs文件。
2)在当前文件夹添加两个隐藏文件:folder.htt和Desktop.ini。folder.htt感染病毒。
3)病毒不重复感染。发现文件中包含Execute(",则认为已经感染。
三、对注册表的修改:
1)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32,值为%windows%\SYSTEM\Kernel.dll或%windows%\SYSTEM\Kernel32.dll
2)修改"HKEY_CLASSES_ROOT\.dll"和"HKEY_CLASSES_ROOT\dllfile"的系列子键
3)修改OutLook的默认页设置,指向病毒。
传播方法:感染该病毒的机器在浏览文件夹时会变慢。
2.Script.RedLof.Head.e
破坏方法:RedLof病毒的变种,拥有极强的变形功能。病毒将自己的代码随机组合,全部的关键代码一律变形。对系统的破坏如下:
一、 将%WINDOWS%\web\Folder.htt 保存到%WINDOWS%\system32\setup.txt和%WINDOWS%\system32\desktop.ini 保存到%WINDOWS%\system32\inet.vxd。感染%WINDOWS%\web\Folder.htt。
二、病毒从后向前枚举用户磁盘盘符。每次感染五个路径。
1)如果当前文件夹没有folder.htt或Desktop.ini,则感染整个文件夹的htm、html、asp、php、jsp、vbs文件。
2)在当前文件夹添加两个隐藏文件:folder.htt和Desktop.ini。folder.htt感染病毒。
3)病毒不重复感染。发现文件中包含Execute,则认为已经感染。
三、对注册表的修改
1)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32,值为%windows%\SYSTEM\Kernel.dll或%windows%\SYSTEM\Kernel32.dll
2)修改"HKEY_CLASSES_ROOT\.dll"和"HKEY_CLASSES_ROOT\dllfile"的系列子键
3)修改OutLook的默认页设置,指向病毒。
传播方法:感染该病毒的机器在浏览文件夹时会变慢。
3.Script.RedLof.Vbs.e
破坏方法:RedLof病毒的变种,拥有极强的变形功能。病毒将自己的代码随机组合,全部的关键代码一律变形。对系统的破坏如下:
一、将%WINDOWS%\web\Folder.htt 保存到%WINDOWS%\system32\setup.txt和%WINDOWS%\system32\desktop.ini保存到%WINDOWS%\system32\inet.vxd。感染%WINDOWS%\web\Folder.htt。
二、病毒从后向前枚举用户磁盘盘符。每次感染五个路径。
1)如果当前文件夹没有folder.htt或Desktop.ini,则感染整个文件夹的htm、html、asp、php、jsp、vbs文件。
2)在当前文件夹添加两个隐藏文件:folder.htt和Desktop.ini。folder.htt感染病毒。
3)病毒不重复感染。发现文件中包含Execute(",则认为已经感染。
三、对注册表的修改
1)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32,
值为%windows%\SYSTEM\Kernel.dll或%windows%\SYSTEM\Kernel32.dll
2)修改"HKEY_CLASSES_ROOT\.dll"和"HKEY_CLASSES_ROOT\dllfile"的系列子键
3)修改OutLook的默认页设置,指向病毒。
传播方法:感染该病毒的机器在浏览文件夹时会变慢。
Funlove病毒简介
--------------------------------------------------------------------------------
www.rising.com.cn 2001-12-27 14:08:00 信息源:瑞星公司
这是WIN32类型的病毒,它可以感染Windows 9x 和Windows NT 4.0操作系统。它感染所有WIN32类型的文件(PE文件),如Windows 和 Program Files 目录及其子目录中的扩展名为.EXE, .SCR, and .OCX 的文件。该病毒搜索所有具有写访问的网络共享文件夹并感染那里的所有的文件。该病毒同时能够修补NT环境的完整性检测,以便能够感染系统文件。
病毒中有'~Fun Loving Criminal~'字样。 该病毒没有故意的破坏性,但是由于NT系统安全性很差而可能造成的破坏还是应当引起注意的。
同一个简单的添加一样,Win32/Funlove.4099将它的代码复制到宿主文件的最后一个扇区的结尾,然后,它修改PE文件头信息以显示新的扇区大小,使扇区的特征适应病毒的需要,同时病毒修改原文件入口点的程序代码以便执行病毒代码。
当一个染毒程序被运行,病毒代码程序获得系统控制权,Win32/Funlove.4099 病毒在系统目录下创建FLCSS.EXE文件,并从染毒宿主文件的最后提取出病毒代码,将其写入该文件中,然后FLCSS.EXE被执行。
如果是在NT的许可权限下运行,FLCSS.EXE会将自身像一个服务程序一样安装到NT机器上。它会以"FLC"显示在标准的NT服务列表中,并且被设置为在每次启动时自动运行此服务。在Windows 9X下,它像一个隐含程序一样运行,在任务列表中是不可见的。
在病毒程序第一次运行时,该病毒会按照一定的时间间隔,周期性地检测每一个驱动器上的EXE,SCR(屏保程序)和OCX(ActiveX control)文件,找到相应的文件就感染它们。它还搜索在网络上可使用的共享资源,并感染任何有访问权限的同一类型的文件。因此,它可以在机器间完全开放权限的共享文件上非常快地传播。该病毒检测以下文件名且不感染它们:ALER*, AMON*, _AVP*, AVP3*, AVPM*, FPR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA*, MPLA*。
尽管该病毒对数据没有直接的破坏性,但是在NT下,Win32/Funlove.4099 病毒还是对NTOSKRNL.EXE 文件做了一个小的修改(patch),使得文件的许可请求总是返回允许访问(access allowed),这意味着被感染机器的安全已受到了极大地威胁。只要是在被修改的机器上,所有的用户都拥有了对每一个文件的完全控制访问权,即使是在系统中可能拥有最低权限的GUEST,也能读取或修改所有文件,包括通常只有管理员才能访问的文件。在NT启动时,NTLDR将检测NTOSKRNL.EXE 的完整性,所以病毒也修改NTLDR,因此NTLDR将允许系统加载修改后的NTOSKRNL文件。这种修改只能在某些NT服务包(service packs)中起作用,但是不管当前机器的SP级别病毒都会申请修改程序。在感染FLC病毒的NT机器上清除病毒后,需要用备份文件对这些被修改的文件进行恢复,或者重新安装这些文件。
如果FLCSS.EXE 运行在DOS下,病毒将显示'~Fun Loving Criminal~'字串,然后它试图通过键盘控制器重新启动系统。这大概是希望Windows被加载且病毒可能有另一个机会去执行。这种尝试经常失败,而计算机则被锁。
说明:你到瑞星网站都可以看到这些信息。~~
热心网友
时间:2023-10-21 00:06
恩! 好同学!
具体的说不太清楚!
毕竟已经离开98多年了!还有就是我们也不是写杀毒软件的!
我们只是学习计算机科学的!一般遇到这种麻烦的病毒
我们就这样:重起机器时候按F8,选择进入安全模式,进去后再查杀。
看问题能解决不?最好能,不能就只有重装了!
热心网友
时间:2023-10-21 00:06
什么时候了,还有98。换了吧
