卡巴斯基删除wowinitcode.dll文件解决办法_魔兽世界专区

orz.exe

　　orz.exe是一个网页木马而不是系统进程，主要利用swf溢出漏洞进行传播。

　　网页木马在连接到主站后会下载大量的盗号木马，因此，在清除该病毒之前，需要先修复swf溢出漏洞。

　　木马名称：Trojan-Downloader.Win32.Losabel.nx

　　存在位置：C:\Documents ande Setting\Administrator\Local Settings\Temp\下

　　文件名称：orz.exe

　　出品公司：未知

　　产品名称：未知

　　版本序号：不详

　　文件大小：13312byte

　　MD5值：79DEBC202002BDB95B813C088519C918

　　描述：这是一个典型的下载者病毒。

　　木马病毒访问地址：

　　hXXp://www.dtdtdk.net/dk.txt

　　下载到：%windir%\nt_file_temp\list.bmp

　　这是一个下载地址列表，然后从这个列表上逐个下载病毒文件。

　　orz.exe病毒专杀方法清除步骤：

　　1.关闭系统还原功能，重启电脑进入安全模式；

　　2.清除IE临时文件；

　　3.删除病毒文件及注册表键值；

　　病毒文件可能存在于以下位置：

　　C:\WINDOWS\\nt_file_temp\list.bmp

　　C:\WINDOWS\system32\orz.exe

　　C:\Documents ande Setting\Administrator\Local Settings\Temp\orz.exe

　　如果在安全模式下仍然无法删除文件，请使用专业工具。

　　4.将杀毒软件升级到最新病毒库，进行全盘查杀，避免感染变种病毒。

　　一.行为概述
　　1.禁用系统安全中心、windows防火墙、系统还原;关闭毒霸、瑞星等安全软件的进程、并将安全软件的主要程序程序替换为无效的文件;结束360的进程、删除其进程文件.并修改360的设置,使360的保护失效.确信解决掉用户系统中的杀毒软件和安全辅助软件后,此毒就在系统临时目录%temp%中释放出一个木马下载器文件,它会在后台悄悄连接病毒作者指定的远程地址,下载大量盗号木马运行,释放木马下载者病毒.下载工作完成,病毒就调用自己的配置信息,恢复原来的时间,执行自动删除指令,把自己的原始文件、主文件、驱动文件等完全删除,不留下一点痕迹.
　　2.删除病毒运行过程中生成的所有文件.注：此项可配置,若不设置,病毒会释放副本C:\Progra~1\Realtek\ APPath\RTHDCPL.exe,并为之创建启动项：
　　HKLM\SoftWare\Microsoft\Windows\ CurrentVersion\Run\Soundman.
　　二.Orz.exe病毒的删除
　　一、将本进程文件移动到同盘的根目录,且重命名为x:\NTDUBECT.exe
　　二、禁用系统安全中心、windows防火墙、系统还原.
　　三、设置HKLM\software\360safe\safemon子键下的
　　ExecAccess,SiteAccess,MonAccess,VDiskAccess,ARPAccess,IEProtAccess为0.
　　检测当前系统中是否有360tray.exe、360safe.exe,若有,结束进程、删除进程文件.
　　四、检测系统中是否有ravmond.exe、kwatch.exe、kasmain.exe.若有：
　　1)将进程资源RCDATA/”ANTIR”释放到%temp%\ANTIR.exe.
　　2)将进程资源RCDATA/”KNLPS”释放到%temp%\ANTIR.sys.
　　3)生成批处理脚本%temp%\tmp.bat,并使用WinExec(”tmp.bat”,SW_HIDE)执行脚本关闭安全软件的监控进程、删除自身的文件.
　　4)查询HKLM\SOFTWARE\rising\Rav\installpath键值,得到瑞星的安装路径.将进程资源RCDATA/”SYSFILE”的内容释放为与瑞星的文件同路径的文件,以替换瑞星的程序文件.
　　五、若生成了NTDUBECT.exe,调用命令行”cmd /c del”删除之.
　　六、建立映像劫持,此项可由配置信息控制,令很多安全软件不能运行

中毒后ORZ.EXE病毒感染WOW.EXE文件生成wowinitcode.dll文件，卡巴查到wowinitcode.dll文件后把此文件删除，导致WOW.EXE文件启动时报错少文件wowinitcode.dll，其实并非WOW所自带文件，此文件为盗号病毒

解决方法很简单就是将WOW.EXE文件删除，先杀毒，再找朋友或者网上下载WOW.EXE文件，从新运行可解决问题，下载地址：魔兽Wow.exe文件

魔兽盗号木马中毒现象应对策略：网游大盗131072

来源：游民星空作者：游民星空