澳门新浦京8455com

[网络中心]关于清除U盘病毒和罗姆病毒的通知


“罗姆”病毒干掉杀毒App发起ARP攻击

中文名:罗姆

影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003

该病毒会导致大量安全App运行失败(即便是将病毒解决掉以后,还是会发现
杀毒App不能运行);会下载大量盗号木马到用户计算机来盗取用户帐号信息。

该病毒严重影响局域网,发送大量ARP欺骗数据包,造成企业网络中断。

以下是关于这个病毒的详细分析,清除病毒后,需要手工删除“ws2_32.dll”文件夹,以修复杀毒App的正常功能。毒霸的修复工具稍后提供。

1、释放以下病毒文件:

系统分区:\Program Files\Internet Explorer\romdrivers.dll

系统分区:\Program Files\Internet Explorer\romdrivers.bak

系统分区:\Program Files\Internet Explorer\romdrivers.bkk

2、创建以下注册表项来使病毒文件随系统启动来启动(其CLSID不定):

3.会发动对校内网的ARP攻击

4、通过查询以下注册表项的某些键值来获取相关安全App的安装目录,在获得
安装目录下生成以系统文件名"ws2_32.dll"命名的文件夹,从而使相关安全App运行失败。

SOFTWARE\\rising\\Rav    SOFTWARE\\Kingsoft\\AntiVirus    SOFTWARE\\JiangMin    SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
SOFTWARE\\KasperskyLab\\SetupFolders SOFTWARE\Network Associates\TVD\Shared Components\Framework SOFTWARE\Eset\Nod\CurrentVersion\Info SOFTWARE\\Symantec\\SharedUsage SOFTWARE\微软\Windows\CurrentVersion\App Paths\360safe.exe

5、将NOD32的库文件nod32.000改名为nod32.000.bak,从而使NOD32无法查杀病
毒。

6、尝试查找并关闭窗口名为“卡巴斯基反病毒Personal”的窗口和其所属的线程。

7、添加以下注册表项来记录当前在用户计算机上的病毒个数及每个病毒的版本信
息,以便病毒升级,如下:其中"Me"记录病毒本体的版本,数字表示下载的病毒的序号,其值记录相应病毒的版本信息。

HKEY_CURRENT_USER\Software\SetVer\ver Me "1.32"    HKEY_CURRENT_USER\Software\SetVer\ver 1 "2.96"    HKEY_CURRENT_USER\Software\SetVer\ver 2 "2.98"    HKEY_CURRENT_USER\Software\Set
 
清除办法:1.首先用USBCleaner检测清除U盘

病毒,并且把隐藏的文件和文件夹还原.
         2.把del ws2.exe放到杀毒App文件夹下,运行
         3.升级杀毒App全盘杀毒
 下载App:killrome.rar
 


XML 地图 | Sitemap 地图