微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 微点主动防御软件 » 怎么清除runouce.exe病毒  

作者:
标题: 怎么清除runouce.exe病毒
qfb2007
中级用户




积分 289
发帖 287
注册 2007-6-17
来自 深圳
#1  怎么清除runouce.exe病毒

怎么清除runouce.exe病毒,今天中的病毒,微点不能彻底的 删除,急急急

※ ※ ※ 本文纯属【qfb2007】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-12-17 23:20
查看资料  发送邮件  发短消息  QQ   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#2  

请楼主将此文件加密压缩(密码:virus),然后和微点的技术支持信息(微点主界面-->辅助功能-->生成技术支持信息)一起发送给到virus@micropoint.com.cn 邮箱,随信请附带此贴链接。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2008-12-17 23:27
查看资料  发短消息   编辑帖子
qfb2007
中级用户




积分 289
发帖 287
注册 2007-6-17
来自 深圳
#3  

技术支持信息已经发送,请接收

※ ※ ※ 本文纯属【qfb2007】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-12-17 23:37
查看资料  发送邮件  发短消息  QQ   编辑帖子
wsmurderer
高级用户





积分 676
发帖 668
注册 2008-11-21
#4  

恩,被我说中了,虽然是已入库的病毒,但是运行过后就是控制不了!还是那句老话,“智能主动防御”很大的问题!希望微点努力克服这个缺点!

※ ※ ※ 本文纯属【wsmurderer】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-12-18 00:01
查看资料  发送邮件  发短消息   编辑帖子
keyoushi
中级用户




积分 266
发帖 264
注册 2007-2-2
#5  

名称: worm.runoUCe 类别: 蠕虫病毒
  病毒资料:
  病毒在被激活的过程中会把病毒体自身复制到 windows 的系统目录中。
  在windows 9x 系统中复制自身到
  windows\system\runouce.exe .
  在windows 2000和 windows NT系统中复制自身到winnt\system32\runouce.exe。
  然后运行该程序。并且在注册表中加入成自启动。使病毒体每次开机时都被激活。
  在Windows 9x系统上该病毒利用了CIH病毒相同的手法切换到零环,使自己进到系统级。然后复制78个字节到kernel32.dll的地址空间中。(在Windows 98 与windows 95的系统中的偏移地址是 bff70400处。 然后通过CreateKernelThread函数建立一个内核线程。 该线程的入口地址就是bff70400。这个内核线程调用了WaitForSingleObject函数使自身进入等待状态,来等待父进程的结束信号。如果父进程被结束,则该内核线程立即被唤醒。内核线程马上调用了WinExec函数,来重新启动病毒进程。
  这样,在杀毒软件杀掉内存中的病毒进程后。病毒马上又被激活。这样造成杀不掉内存中的病毒。
  该病毒在windows 2000操作系统上以独创的“三线程”结构来传播并保护自己。
  病毒运行后,会先将自己拷贝到windows\system\目录下,并取名为runouce.exe,然后开始搜索本地驱动器及网络驱动器,感染.exe、.scr和系统文件。对于windows\system32\目录,它也会先进行查找。接着在注册表项HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加:RunOuce:System32\RunOuce.exe,这样,每次启动系统,病毒即随之运行。
  对于添加的注册表项,病毒还会创建一个注册表监视的线程,对之不断监视,如果被修改,将立即重新写入病毒项,以保证自己的控制权。
  病毒还有一个外部线程保证自己不断地取得对系统的控制权,使得病毒的清除更加困难! 该病毒通过以上的方法来起到在内存中保护病毒进程的作用。
  该病毒有极强的局域网传染功能。
  病毒通过搜索网上邻居中的可写文件夹,然后在每个可写文件夹中都生成一个以计算机器名命名的eml文件
  。并且该eml文件是有自启动漏洞的eml文件。
  解决方法:
  1、下载金山的专杀工具:"中国黑客"专杀工具
  (http://www.duba.net/zhuansha/17.shtml).
  2、开机按F8启动到安全模式,把C:\WINDOWS\system32下的runouce.exe 删除,运行专杀工具.
  3、开始-运行,输入regedit打开注册表编辑器,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中关于runouce.exe 的注册表项全部删除。并搜索整个注册表中的runouce.exe 查找并删除。
  4、搜索整个硬盘中readme.eml、readme.html文件,删除。
  5、XP记得关闭系统还原。

※ ※ ※ 本文纯属【keyoushi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

用鼠标双击我的钱包,选中一张一百元,然后不停地Ctrl+C,再不停地Ctrl+V...
2008-12-18 03:16
查看资料  发送邮件  发短消息   编辑帖子
qfb2007
中级用户




积分 289
发帖 287
注册 2007-6-17
来自 深圳
#6  

楼上说的不行,我早试过了,现在的runouce.exe病毒变种了,你的方法已经是N年前的了

※ ※ ※ 本文纯属【qfb2007】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-12-18 10:38
查看资料  发送邮件  发短消息  QQ   编辑帖子
心随风落
高级用户





积分 518
发帖 500
注册 2007-1-24
#7  

是一直装着微点的么?

※ ※ ※ 本文纯属【心随风落】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-12-18 10:41
查看资料  发送邮件  发短消息   编辑帖子
wsmurderer
高级用户





积分 676
发帖 668
注册 2008-11-21
#8  

一直装着微点很多时候病毒运行过后微点就控制不住了,哎,无语啊

※ ※ ※ 本文纯属【wsmurderer】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-12-18 10:43
查看资料  发送邮件  发短消息   编辑帖子
wsmurderer
高级用户





积分 676
发帖 668
注册 2008-11-21
#9  

判断病毒很重要,判断过后控制病毒同样重要,让病毒运行过火了就不好了

※ ※ ※ 本文纯属【wsmurderer】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-12-18 10:46
查看资料  发送邮件  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号