La nueva cola QQ, el pelo atraer a los usuarios de Internet confundirse mensaje, haga clic en el enlace para descargar las páginas que tienen en funcionamiento, la intoxicación se sigan dando los Amigos emitió un mensaje similar. El siguiente es un análisis detallado y métodos manuales del retiro:
Nombre del virus: Worm.QQTailEKS.ds.36864
Medios de comunicación: Enviar un mensaje a través de QQ y automática a través del juego y la proliferación página Web maliciosa.
Virus actos:
1. Después de la memoria permanente para ejecutar el virus de replicarse varias copias del directorio de sistema:
cacom.exe% Windows% (% Windows% es normalmente C: directorio windows)
% System% Akica.exe (% system% generalmente se refiere a c: WindowsSystem32 directorio)
En Windows 2000, el virus genera sycacom.exe programa llamado.
2. Sobrescribir sistema de juego "tarjeta" del proceso:
SOL.EXE% System%
driverssol.exe% System% (cuando lo normal es no SOL.EXE tal)
3. Para la partición del sistema que no sea la copia directorio raíz misma:
X: EKS.exe (X es la letra de unidad)
4. Generar "Auto Play" el archivo:
X: Autorun.inf:
Dice:
[] Autorun
abierto = EKS.exe
shellexecute = EKS.exe
shellAutocommand = EKS.exe
shell = Auto
5. Para modificar el Registro, crear una entrada de inicio:
[] HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
"Akica" = "% System% Akica.exe"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices]
"CACOM" = "% Windows% cacom.exe"
6. QQ amigos para enviar el siguiente mensaje con la dirección de virus:
Mira mis amigos, Hangzhou, tez clara, alta y super-ser, yo quiero que convertirse en un amante, en busca de su edificio
Reunión, su vídeo hxxp: / / 2.emeishan-jiudianyuding.cn / / v.asp? Q = 2
Texto pequeño a recordar, ella es ahora la dueña, vestido sexy caliente, conduciendo un BMW, fue un paquete de Hong Kong, no puedo creer para ver
Ver el video en su blog sabes hxxp: / / 2.emeishan-jiudianyuding.cn / / v.asp? Q = 1
Hola, Vamos que me ayude a abrir el sitio, a continuación, haga click en un enlace, hxxp: / / 2.emeishan-
jiudianyuding.cn / / v.asp? q = una URL movies.htm a decir por qué, muy agradecido.
Acabo de descubrir, películas súper emocionante **, rápido gran velocidad, un mes hxxp gratis,: / / 2.emeishan-
jiudianyuding.cn / / v.asp? q = URL-libre-movies.htm
Enviar un mensaje cuadro de diálogo después de tratar de cerrar el chat, el virus también visitará un número de páginas de publicidad.
Manual de métodos para la eliminación:
1. El final del proceso del virus de la
Presione Ctrl + Alt + Supr, inicie el Administrador de tareas para finalizar el proceso vm1.exe (si se reinicia el proceso del virus en akica.exe o cacom.exe).
2. Seleccione Inicio, Ejecutar, escriba regedit, inicie el Editor del Registro, elimine los elementos de virus después de inicio del sistema:
[] HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
"Akica" = "% System% Akica.exe"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices]
"CACOM" = "% Windows% cacom.exe"
3. Utilice el software antivirus o borrar manualmente el archivo de virus.
Se recomienda actualizar inmediatamente después de la muerte de software anti-virus, si no tienes la última versión del software antivirus, puede eliminar manualmente los archivos siguientes.
cacom.exe% Windows%, (%% ventanas normalmente C: directorio windows)
%% System% Akica.exe, (% del sistema normalmente C: WindowsSystem32 directorio)
SOL.EXE% System%
driverssol.exe% System%
4. Restauración "tarjeta de juego"
Virus sustituye a la tarjeta de "jugar con el sistema del procedimiento normal COPIA este juego al sistema de directorio%%.
5. Eliminar las otras particiones del Virus de archivo
Utilice el "Explorer", no el acceso, haga doble clic en el disco, haga doble clic se iniciará automáticamente el juego, todavía hay otra partición se ejecutará automáticamente en el programa antivirus, por lo que, delante de la obra es en vano. Estado para entrar en el árbol de carpetas partición raíz, elimine EKS.exe y Autorun.inf.
6. Desactivar reproducción automática para evitar que estos virus
El virus continúa propagándose a través de la auto-play es muy recomendable usar el Grupo Editor de directivas de la prohibición de todas las unidades de forma automática la reproducción. Operación pasos: Haga clic en Inicio → Ejecutar → escriba gpedit.msc, abra el Editor de directivas de grupo, vaya a Configuración del equipo → → Plantillas administrativas del Sistema, en el panel derecho, haga doble clic en "Desactivar reproducción automática" cuadro de diálogo, seleccione todas las unidades para determinar puede.