orz.exe
orz.exe是一个网页木马而不是系统进程,主要利用swf溢出漏洞进行传播。
网页木马在连接到主站后会下载大量的盗号木马,因此,在清除该病毒之前,需要先修复swf溢出漏洞。
木马名称:Trojan-Downloader.Win32.Losabel.nx
存在位置:C:\Documents ande Setting\Administrator\Local Settings\Temp\下
文件名称:orz.exe
出品公司:未知
产品名称:未知
版本序号:不详
文件大小:13312byte
MD5值:79DEBC202002BDB95B813C088519C918
描述:这是一个典型的下载者病毒。
木马病毒访问地址:
hXXp://www.dtdtdk.net/dk.txt
下载到:%windir%\nt_file_temp\list.bmp
这是一个下载地址列表,然后从这个列表上逐个下载病毒文件。
orz.exe病毒专杀方法清除步骤:
1.关闭系统还原功能,重启电脑进入安全模式;
2.清除IE临时文件;
3.删除病毒文件及注册表键值;
病毒文件可能存在于以下位置:
C:\WINDOWS\\nt_file_temp\list.bmp
C:\WINDOWS\system32\orz.exe
C:\Documents ande Setting\Administrator\Local Settings\Temp\orz.exe
如果在安全模式下仍然无法删除文件,请使用专业工具。
4.将杀毒软件升级到最新病毒库,进行全盘查杀,避免感染变种病毒。
一.行为概述
1.禁用系统安全中心、windows防火墙、系统还原;关闭毒霸、瑞星等安全软件的进程、并将安全软件的主要程序程序替换为无效的文件;结束360的进程、删除其进程文件.并修改360的设置,使360的保护失效.确信解决掉用户系统中的杀毒软件和安全辅助软件后,此毒就在系统临时目录%temp%中释放出一个木马下载器文件,它会在后台悄悄连接病毒作者指定的远程地址,下载大量盗号木马运行,释放木马下载者病毒.下载工作完成,病毒就调用自己的配置信息,恢复原来的时间,执行自动删除指令,把自己的原始文件、主文件、驱动文件等完全删除,不留下一点痕迹.
2.删除病毒运行过程中生成的所有文件.注:此项可配置,若不设置,病毒会释放副本C:\Progra~1\Realtek\ APPath\RTHDCPL.exe,并为之创建启动项:
HKLM\SoftWare\Microsoft\Windows\ CurrentVersion\Run\Soundman.
二.Orz.exe病毒的删除
一、将本进程文件移动到同盘的根目录,且重命名为x:\NTDUBECT.exe
二、禁用系统安全中心、windows防火墙、系统还原.
三、设置HKLM\software\360safe\safemon子键下的
ExecAccess,SiteAccess,MonAccess,VDiskAccess,ARPAccess,IEProtAccess为0.
检测当前系统中是否有360tray.exe、360safe.exe,若有,结束进程、删除进程文件.
四、检测系统中是否有ravmond.exe、kwatch.exe、kasmain.exe.若有:
1)将进程资源RCDATA/”ANTIR”释放到%temp%\ANTIR.exe.
2)将进程资源RCDATA/”KNLPS”释放到%temp%\ANTIR.sys.
3)生成批处理脚本%temp%\tmp.bat,并使用WinExec(”tmp.bat”,SW_HIDE)执行脚本关闭安全软件的监控进程、删除自身的文件.
4)查询HKLM\SOFTWARE\rising\Rav\installpath键值,得到瑞星的安装路径.将进程资源RCDATA/”SYSFILE”的内容释放为与瑞星的文件同路径的文件,以替换瑞星的程序文件.
五、若生成了NTDUBECT.exe,调用命令行”cmd /c del”删除之.
六、建立映像劫持,此项可由配置信息控制,令很多安全软件不能运行
中毒后ORZ.EXE病毒感染WOW.EXE文件 生成wowinitcode.dll文件,卡巴查到wowinitcode.dll文件后把此文件删除,导致WOW.EXE文件启动时报错 少文件wowinitcode.dll,其实并非WOW所自带文件,此文件为盗号病毒
解决方法很简单 就是将WOW.EXE文件删除,先杀毒,再找朋友或者网上下载WOW.EXE文件,从新运行可解决问题 ,下载地址:魔兽Wow.exe文件
卡巴斯基误报网页统计插件是病毒
卡巴斯基误删魔兽登录器 玩家注意备份文件
提醒:卡巴最新病毒库会造成魔兽文件被删除
“魔兽”变种和“初始页”变种值得关注
魔兽盗号木马中毒现象应对策略:网游大盗131072
来源:游民星空 作者:游民星空
