相信不少使用個人電腦的用戶,都會安裝名叫迅雷的軟件,迅雷的普及程度相當高,但近日就有消息指,有許多用戶發現電腦操作系統內部有可疑程序正在運行,這程序主要來自迅雷,原來是病毒程式,正以飛快的速度擴散中,已感染超過數千萬電腦,更會感染智能手機。
根據360、金山等等的殺毒軟件公司,確認一個位於C:\Windows\System32目錄中,一個名為“INPEnhSvc.exe”帶有迅雷數字簽名的檔案是一個典型病毒程式,分析後發現INPEnhSvc.exe有數個主要危險,分別是:
1.未經用戶允許安裝在Windows系統中,開機自動啟動。
2.未經用戶允許在用戶電腦上修改IE瀏覽器首頁,在IE收藏夾中添加網址。
3.病毒內含多種apk(Android 安裝程式,當用戶將手機連接至電腦上,這些apk會在用戶手機上自動安裝多個程式。
軟件隱藏性極高,即使用戶使用系統管理及檢測工具,病毒程式會自動暫停運行,讓檢測工具難以發現它的存在,加上所有動作都是在用戶毫不知情的情況下在背景進行的,各位要盡量小心,暫時避免安裝迅雷啊。
1) 通過文件夾選項的設置顯示出所有隱藏文件,包括操作系統文件,然後全盤搜索lpk.dll,這時會發現很多目錄下都存在lpk.dll文件,大小一致,屬性為隱藏。
請格友直接GOOGLE:LPK.DLL
近來藤跟同業也都有遇到這問題。
基本上單做C槽重灌,確實是沒用,因為其它槽區的LPK.DLL病毒馬上就感染回C槽,包括你所使用的隨身碟也都會被感染。
藤本身是用江民2011或是2012版本直接偵測到並殺毒。
*金山毒霸無法完全清除。更不用說別套防毒軟體能偵測到或是殺毒了。
網友也可以用輔助程式加以掃描清潔↓
使用lpk.dll专杀工具可以轻松清除木马病毒伪装的lpk.dl文件……
2.巨盾lpk.dll usp10.dll感染病毒专杀工具
1、运行专杀软件,会自动查找系统中usp10/lpk.dll病毒感染线程,发现后提示用户手动选择挂起。
2、用户可以选择全盘扫描/指定盘符扫描。
3、对于查找到的dll病毒,会在备份在专杀目录下以木马MD5命名的文件夹中,在文件名前添加gg_(已无任何危害),可以由用户可手动清除!
3.RavRbot(LPK.DLL)专杀工具
工具名称:RavRbot(LPK.DLL)专杀工具
软件版本:1.0.0.1
软件大小:289KB
应用平台:仅适用于 32 位 Windows 2000/XP/Server 2003/Vista/Windows 7/Server 2008
更新时间:2011-8-17
发布时间:2011-8-17
发布公司:北京瑞星信息技术有限公司
免费下载:本地下载
工具说明
RavRbot 专杀是针对Backdoor.Win32.Rbot后门病毒的专用清除工具,Backdoor.Win32.Rbot病毒是一个恶意后门病毒,中毒的机器会在后台下载更多恶意程序,可造成用户机器被远程控制,资料被盗等。该病毒最典型的特征是在有可执行文件的目录下生成LPK.DLL文件,当同目录中的 EXE运行时,会被WINDOWS动态链接,从而激活病毒,导致不能彻底清除。
RavRbot针对该病毒进行全部彻底的清除,删掉激活的病毒活体,并全盘查杀此类文件,可避免病毒再次出现。
使用方法
点击杀毒即可进行全盘扫描并删掉所有病毒文件。
注意事项
1、杀毒前请关闭其它的应用软件
2、扫描完成若有无法清除的病毒,会在扫描结束后进行强制删除(此过程可能会有出现报错信息,但不影响杀毒效果,请等待专杀工具运行直到彻底完成)。
防毒軟體也擋不住! 史上最強病毒「火焰」現身!
記者甘偉中/綜合報導
一種極為複雜的電腦病毒近日被各大資安研究單位發現,此病毒被精心設計成具有多種功能,並且還會聰明的避開防毒軟體偵測,即使是更新到最新的 Windows 7 電腦,也難逃此病毒的感染。
位於中東、美洲、歐洲的資安研究單位陸續發現此病毒的存在,並對它有不同的命名方式,伊朗電腦緊急應變團隊(Computer Emergency Response Team,MAHER)稱它為 Flamer,卡巴斯基實驗室(Kaspersky Lab)稱之為 Worm.Win32.Flame、賽門鐵克(Symantec)稱其為 Win32.Flamer,歐洲加密及系統安全實驗室(Laboratory of Cryptography and System Security,CrySyS)則把它叫做 sKyWIper,本文暫稱其為「火焰」。
卡巴斯基分析火焰原始碼發現,它與著名的病毒 Stuxnet 與 Duqu 類似,Stuxnet 當年曾感染伊朗 3 萬多台電腦,並對其核能控制系統發動攻擊。Duqu 與 Stuxnet 有相同的核心,被設計用以遠端操控、收集資料。火焰感染的地區與攻擊目標與上述兩種病毒類似,但在功能上卻複雜的多。
火焰經由感染受害者的 USB 隨身碟進行擴散,並設計成模組化架構,具有非常多樣的攻擊方式,可以勝任各種不同的間諜任務,例如:透過受害者電腦的麥克風錄音、擷取電腦畫面、紀錄鍵盤操作行為、偵測網路流量、與週邊藍牙設備進行通訊等。
更可怕的是,火焰可能已經潛伏在我們周圍長達兩年了!卡巴斯基實驗室首席惡意軟體專家 Vitaly Kamluk 表示,分析火焰中的程式碼,發現最早的創造日期是在 2010 年,顯示這兩年來,火焰是無聲無息的在我們身旁蔓延,到底有多少電腦已經被入侵?目前仍是個未知數,因為火焰被設計成會避開防毒軟體的偵測,這也是為什麼它會這麼久才被發現的原因。而在目前已知受害的電腦中,也發現即使是更新到最新的 Windows 7,也難逃中招的命運。
抓微軟視窗瑕疵 火焰趁虛而入
中央社 – 2012年6月5日 下午10:10
(中央社波士頓5日綜合外電報導)軟體巨擘微軟公司(Microsoft)警告,視窗(Windows)作業系統的一個瑕疵,讓中東各地個人電腦感染火焰(Flame)病毒,微軟已釋出修補程式,對抗這個上週浮現的間諜工具。
安全專家說,他們對攻擊者使用的方式感到驚訝且印象深刻,手法是將火焰偽裝成微軟發展的合法程式。
俄羅斯防毒業者卡巴斯基實驗室(Kaspersky Lab)的研究人員舒溫伯格(Roel Schouwenberg)說:「我知道這個消息時,簡直無法置信。我還問『我是不是看錯了?』」舒溫伯格是協助發現火焰病毒的研究人員之一。
專家形容這種手法很「精明」,他們認為這可能用來釋出尚未被辨識出來的其他網路武器。
防毒軟體製造商芬安全(F-Secure)的研究長海波寧(Mikko Hypponen)說:「推定他們會同時把這種軟體用在其他地方上,是很合理的。」
防毒公司CrowdStrike的情報總監麥爾斯(AdamMeyers)說,微軟已經察覺到這個問題,如果有其他種類的網路武器,意圖使用跟火焰一樣的方法,傳送到受害個人電腦內,如今很快就會被揭發。
資訊安全公司Accuvant的首席研究科學家史密斯(Ryan Smith)說,使用虛假微軟程式碼的網路武器,將會不再奏效,或喪失部分偽裝。
至於是否有其他病毒利用Windows的這種暇疵,或微軟的安全團隊是否正在尋找作業系統中的類似瑕疵,微軟發言人不願置評。
卡巴斯基實驗室指出,上月發現到的神秘電腦病毒,試圖竊取中毒電腦內的設計圖與PDF檔案。這種病毒被用來發動大規模網路攻擊,主要是針對伊朗。
全球數一數二防毒軟體製造商卡巴斯基實驗室上月宣布發現火焰病毒,並形容火焰是歷來最大且最精密的惡意軟體。
在卡巴斯基昨晚公布的最新病毒分析報告中,卡巴斯基首席安全專家高斯德夫(Alexander Gostev)說,這種惡意軟體的開發者聚焦於像是PDF與AutoCAD等檔案格式。AutoCAD是電腦設計與繪圖軟體。
高斯德夫在聲明中說:「攻擊者似乎對AutoCAD圖檔很有興趣。」
他又說,這種惡意軟體也會「搜查PDF與文字檔案等其他文件,還會製作簡短摘要。」
他說:「此軟體也會搜尋電子郵件與其他『有趣』(高價值)檔案,這些檔案會在惡意軟體的組態中明確設定。」
他證實伊朗是目前最大的攻擊目標,總共有185起中毒案例,其次是以色列與巴勒斯坦地區的95起、蘇丹的32起與敘利亞的29起。(譯者:中央社張曉雯)1010605
下面文章轉自:我是江民達人!!
電腦病毒「火焰」,江民防毒已有專殺工具可供下載!!
“火焰”病毒的全名為Worm/Flame,它是一種後門程序和木馬病毒,同時又具有蠕蟲病毒的特點。只要其背後的操控者發出指令,它就能在網絡、移動設備中進行自我複制。一旦電腦系統被感染,病毒將開始一系列複雜的行動,包括監測網絡流量、獲取截屏畫面、記錄音頻對話、截獲鍵盤輸入等。被感染系統中所有的數據都能通過鏈接傳到病毒指定的服務器,讓操控者一目了然。據江民科技安全實驗室監測數據統計,迄今發現感染該病毒的案例主要發生在伊朗、以色列和巴勒斯坦。蘇丹、敘利亞、黎巴嫩、沙特阿拉伯和埃及等國也有個別案例。
下載檔案是江民推出的專殺工具,懷疑自身電腦異常者請下載掃描之,沒掃到也不會對你的電腦有任何損傷,請安心使用~
因為此專殺工具尚無直接下載點,所以我抓下來以後再轉傳免費空間供大家下載,可存放時間為90天。已安裝可正常更新的江民防毒者無須下載使用,江民防毒本身已可查殺!
下載點:http://www.badongo.com/file/27251218
該專殺工具為簡體版本,使用時可能會出現亂碼,但如果出現如上圖之對話框(可能也是亂碼)即確定無感染,可安心關閉!
如出現其它對話框,請與您的防毒軟體公司聯絡解決方式!
2012年02月02日21:34 蘋果即時
一種新的電子郵件病毒正在快速蔓延,以往的電郵病毒都需要收件人打開附件後才會遭到感染,但這種新型態的病毒只要打開郵件,畫面顯示「載入中」(Loading),電腦就中招。
防毒專家警告,如果收到標題為《銀行保安更新》(Banking Security Update)的電郵,千萬小心不要瀏覽內容,直接刪除就是。這種新型電郵病毒,就像是有毒網站,一旦上站瀏覽就立刻中招,也被稱為「電郵驅動病毒」(drive-by email)。專家建議,個人電腦使用者應該將防毒軟體中電郵保安的部份設到最高等級,並且定期更新瀏覽器,以免遭殃。
新型態電腦病毒肆虐,專家建議使用者應該將防毒軟體的電郵部分設到最高等級。翻攝網路
由於人氣愈來愈旺,社交網路已持續成為網路犯罪份子用以施展惡意技倆的目標。趨勢科技 又收到另一個Facebook臉書垃圾訊息。
這封電子郵件以Facebook臉書通知訊息做偽裝,利用成人主題的字串誘騙使用者開啟附加檔。附加檔的.ZIP,檔名Twitter.zip,含有twitter.html檔案,內嵌了惡意程式JS_REDIR.AE。
圖1、垃圾訊息郵件樣本螢幕畫面
圖2、垃圾訊息郵件附件內容
社交網路尚未攀升到頂峰狀態,因為愈來愈多的使用者花更多的時間在管理帳戶上。根據Nielsen尼爾遜調查最新的調查發現,人們在線上的時間平均每4分半鐘內的1分鐘,是花在社交網路和部落格上。
Facebook臉書目前仍是世界上最熱門的社交媒體網站之一,Twitter推特則落後不遠,網路犯罪份子恐怕只會更常利用這些網站來散佈惡意程式碼。
對Trend Micro趨勢科技產品使用者來說很幸運的是,Smart Protection Network主動式雲端截毒技術防阻惡意檔案在使用者系統中運作。
此種病毒會造成 yahoo 信箱進去不易
及某些程式會在執行時,發生錯誤 user32.dll
病毒在註冊檔的2個地方寫入敍述,造成一開機即啟動
1.
HKEY_LOCAL_MACHINE\123\Microsoft\Windows NT\CurrentVersion\Drivers32下的
midi9"="C:\\DOCUME~1\\Judy\\LOCALS~1\\Temp\\fup.bak 2nADJIIHEP
2.
HKEY_LOCAL_MACHINE\123\Microsoft\Windows NT\CurrentVersion\Windows下的
AppInit_DLLs"="winmm.dll"
作者:Det Caraig (趨勢科技 技術通訊)
誘騙使用者下載假防毒軟體是行之有年至今仍然有效的網路犯罪招術。因此假防毒軟體的數量持續增加,到今天仍持續誘騙不知情的受害者。事實上,聯邦調查局(Federal Bureau of Investigation,簡稱FBI)最近就對假防毒軟體所形成的威脅提出警告,表示該威脅已對受害者造成了超過美金1億5千萬元的損失(US$150 million in losses to victims)。
圖1、最早的假防毒軟體利用恐嚇軟體scareware tactics 手法
圖2、今天他們使用SEO搜尋引擎最佳化 Black_Hat SEO手法
散發假防毒軟體
有些假防毒軟體採用“勒索軟體”手法(“ransomware” tactics)。它們將檔案轉成密碼成為人質,讓使用者無法使用。使用者必須去下載付費版本的程式,但就如這個手法的前輩們一樣,付費下載只是一個騙局。付費版本的程式所修復的問題就是造成問題的同一個程式,不過當然是在使用者被逼付完費後才會進行修復。
圖3、有些假防毒軟體採用勒索軟體手法
圖4、另一個散佈假防毒軟體體的天才社交工程手法
牽涉到解碼器的利用
網路犯罪份子使用了多個社交工程陷阱手法在電腦使用者中散發假防毒軟體。大量散發的訊息中夾帶了可以下載假防毒軟體URL的例比比皆是。不過有部份則特別的有想像力,操縱搜尋結果(rigging search engine results),將可以下載看來像是合法防毒軟體體應用程式的網站連結放在搜尋結果中。
另一個散佈假防毒軟體的天才社交工程手法牽涉到解碼器(codecs)的利用。由於有數種媒體的檔案需要利用解碼器來播放,欲進行影像串流的使用者往往因下載偽裝成影片解碼器的假防毒軟體而受害。名人之死訊(如柯拉蓉.艾奎諾Corazon Aquino,更多名人被駭請參考最毒名人錄)及悲劇事件(如熱帶風暴tropical storms)也成了假防毒軟體的幫凶
拜KOOBFACE殭屍網路/傀儡網路 Botnet專屬假防毒軟體安裝元件之賜,社交網站(Social networking sites)如Twitter和臉書Facebook也成了假防毒軟體的來源。
TrendLabs趨勢科技 已觀察到假防毒軟體的作者,販售者及轉售者使用了強化的社交工程陷阱手法,操作熱門搜尋引擎中的流行話題;也發現他們使用了GeoIP的追蹤。這些攻擊手法皆使用類似駭客搜尋引擎最佳化攻擊手法Black_Hat SEO,只是目標較為專注集中。
網路犯罪份子將不休止地增進牟取暴利的騙局手法。而儘管使用者一再地被警告不要去接近從不明使用者處傳來的,不管是在電子郵件中或推文內的連結;但好奇心依然讓他們持續受網路犯罪份子利用網路中大量的假防毒軟體來造成感染。
所幸的是,Trend Micro 趨勢科技的主動式雲端截毒服務Smart Protection Network)能保護使用者免受這類假防毒軟體和其它類似的惡意軟體威脅。
@原文來源Rogue AV Scams Result in US$150M in Losses
【台灣醒報記者林永富報導】病毒程式愈來愈難防,防毒軟體公司發現一種新蠕蟲病毒,會自動將被感染的電腦自遠方開啟,還會修改登錄檔,讓防毒軟體難清除,並在自行開啟後竊取資訊。專家建議電腦用戶要勤於更新防毒病毒碼,最好不要使用電腦的網路共用功能,以免感染。
防毒軟體公司賽門鐵克發布資訊指出,這種新發現的「W32.Gosys」蠕蟲病毒,散播管道通常是透過以行動儲存裝置如USB隨身碟或外接硬碟,或是網路共用空間等,來傳播病毒程式。還會自動啟開USB隨身碟等裝置,病毒自動複製到這些儲存裝置中,再傳播給更多使用者。
該公司還發現,一旦被感染,此一病毒會從遠程下載被加密的檔案,並自行備份到多個系統目錄中,使防毒軟體難以完全清除。隨後又修改使用者的登錄檔,可自行啟動被感染者電腦,監控電腦使用者的按鍵紀錄,讓其形同完全不設防,並趁機竊取資訊,且將竊得的資訊自動發送到指定的電子郵件地址。
如何避免被蠕蟲病毒感染?防毒公司建議,企業應提升安全性更高的軟硬體。個人方面,如非必要,儘量不要使用電腦的網路共用功能。在使用行動儲存裝置時,先以防毒軟體掃描,確認安全後再打開;使用後,最好斷開電腦與行動儲存裝置的接頭,以杜絕病毒傳播管道。
文章來源:http://jolanlee.pixnet.net/blog/post/24275383
隨身碟病毒肆虐這麼久了,微軟總算做出了重大修正,下載並安裝以下的修正檔將不顯示除光碟機以外的usb儲存裝置的autoplay功能,以後隨身碟裝置插入以後就不會因為點了播放而中毒囉~
有些人裝了可能不會有任何感覺,因為你或許早已停用此功能,但下次你重新安裝作業系統後請務必記得再度安裝!
網頁伺服器以IE為主流~常常是病毒(木馬)攻擊的對象~所以當系統的網路元件損壞或是遺失~IE就會產生錯誤的情形~你確定你的作業系統有更新到最新嗎?有很多系統漏洞的攻擊~是針對網路功能而來的~不重灌的修護方式~提供幾個給你參考
一.IE無法打開新窗口
在瀏覽網頁過程中,單擊超級鏈接無任何反應。多半是因為IE新建窗口模塊被破壞所致,可以按下面的方法去解決該問題:
01.在"開始"菜單中打開"運行"窗口,在其中輸入"regsvr32 actxprxy.dll",然後"確定",接著會出現一個信息對話 框"DllRegisterServer inactxprxy.dll succeeded",再次點擊"確定"。
02. 再次打開"運行"窗口,輸入"regsvr32 shdocvw.dll
03 再次打開"運行"窗口,輸入"regsvr32 oleaut32.dll
04 再次打開"運行"窗口,輸入"regsvr32 actxprxy.dll
05 再次打開"運行"窗口,輸入"regsvr32 mshtml.dll
06 再次打開"運行"窗口,輸入"regsvr32 msjava.dll(很可能會出現錯誤提示,需要下載.DLL文件,http://www.dll-files.com/dllindex/dll-files.shtml?msjava下載,下載之後解壓到windows\system32文件夾,然後再運行這個命令一般就可以徹底解決這個問題)
07. 再次打開"運行"窗口,輸入"regsvr32 browseui.dll
08. 再次打開"運行"窗口,輸入"regsvr32 urlmon.dll
如果排除病毒問題後,做完上面的幾個IE組件注冊一般問題即可得到解決。
二.升級安裝成IE7.0(或是重新安裝原本的6.0)
IE 6.0正式版
http://www.microsoft.com/windows/ie_intl/tw/download/default.mspx
IE 7.0 Beta版...
http://www.microsoft.com/taiwan/windows/ie/default.mspx
三.如果還是不行~應該是你系統受損的不只是IE~
如果你電腦比較不強的話~我建議你用作業系統裡面的~系統還原功能~
http://myweb.hinet.net/home14/libura/6.htm(很簡單~在月曆上面選電腦還正常的日期)
Panda線上掃毒
http://www.pandasoftware.com.tw/freescan/activescan.htm
TrendMicro(趨勢科技)線上掃毒
http://housecall.antivirus.com/housecall/start_frame.asp
TrendMicro(趨勢科技)TrendSecure 線上安全服務
http://www.trendsecure.com.tw/
Kaspersky(卡巴斯基)線上掃毒{整個系統}
http://www.kaspersky.com.tw/virusscanner/
Window Security TrojanScan 線上掃描木馬
http://www.windowsecurity.com/trojanscan/trojanscan.asp
Spyware Stormer-廣告間諜與廣告程式的線上掃瞄網站
http://www.spywarestormer.com/
掃木馬軟體推薦您使用AVG Anti-Spyware 7.5.0.50加強版 英文有中文化有版權
http://free.grisoft.com/doc/20/lng/us/tpl/v5 英文free的版本
SpyBot-Search&Destroy 1.4 中文free
http://www.safer-networking.org/ct/download/index.html
http://public.planetmirror.com/pub/spybot/spybotsd14.exe
noadware5 英文可free使用
http://www.noadware.net/noadware.exe
這是朋友轉寄的MSN解毒方式,
不過我週遭的人沒中過,我也沒解過,所以不知道是否可以解決大部人的需求,
至少....朋友是這樣解的....
這是用手動的方式去處理把電腦機碼改回來,
步驟比較繁複些....
請先進入安全模式
1. C:Documents and Settings{中毒該使用者名稱} 下面會生出一堆莫名奇妙的檔案, 數量不定,但是都是六個字母, 用時間排序去找就可以很容易找到了. 先把所有的檔名寫下來, 然後殺掉
2. 用 regedit 根據上面所有的檔名一一搜尋, 找到就殺,
- 原則上會是在 HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersi onRun 找到
- 但是如果你之前有用 msconfig 試圖過 disable 這些程式的話, 會在 HKEY_LOCAL_MACHINESOFTWARE MicrosoftShared ToolsMSConfigstartupreg 裡找到
3. C:WINDOWSsystem32 下會出現一個新的 dll. 目前在網路上搜尋所看到的檔名有超過六種, 族繁不及備載, 不確定的話請用時間排序來找. 先把那個檔名記下來, 然後殺掉
4. 接下來用 REGEDIT 去搜尋 3. 中所得的那個檔名, 會在 HKEY_CLASSES_ROOTCLSID 下面找到一個
先把它所在的 key (機碼)名 {xxxxxxxx-xxxx-xxxx-xxxx -xxxxxxxxxxxx} 記下來
然後把整個 key 殺掉
5. 到 HKEY_LOCAL_MACHINEsoftware microsoftwindowscurrentversi onshellserviceobjectDelayLoad
找到一項 data 內容與 4. 的 key 相符的資料, 殺掉
6. 最後, 在電腦裡搜尋 MSN 收下來的那個 zip 檔, 應該除了文件夾下的已接收檔案 folder 內以外, 還會有一份被拷貝到 C:WINDOWS 或是 C:WINDOWSsystem32 下面. 全部殺掉. (其實這 zip 檔本身你不解壓縮並執行的話是無害的, 但是為了永除後患, 一定要記得清掉)
7. 重開機進入一般模式, 正常使用電腦.
