快速浏览
≡核心技术社区≡
『Windows 11 专区』
『Windows 10 专区』
『秋无痕原创作品发布』
『Windows 8 | 8.1 专区』
『WINDOWS 7 专区』
『Linux 系统讨论专区』
『Windows XP 专区』
『WINDOWS Vista 专区』
『WINDOWS Server 专区』
≡网络共享社区≡
『Apple(苹果)资源共享区』
『Android(安卓)资源共享区』
『精品软件下载区』
『秋无痕IT资讯区』
『美化资源交流区』
『软件使用交流区』
『硬件使用交流区』
『系统安全综合区』
≡休闲娱乐社区≡
『无痕茶座』
『靓图共赏』
『影视交流』
『天籁之音』
『心情文学』
『无痕商场』
≡站务管理中心≡
『论坛管理』
≡PHPwind Board≡
登录
注册
游客
帖子:
今日:
我的主题
我的回复
我的收藏
好友近况
首页
搜索
社区服务
每日签到
帮助
设为首页
网址导航
常用软件
优惠券网
银行
邀请注册
勋章中心
道具中心
UID超市
社区论坛任务
基本信息
到访IP统计
管理团队
管理操作
在线会员
会员排行
版块排行
帖子排行
推荐排行
fresh
『Windows 11 专区』
『Apple(苹果)资源共享区』
『系统安全综合区』
『硬件使用交流区』
≡PHPwind Board≡
『Windows 10 专区』
秋无痕论坛
»
『系统安全综合区』
»
“帕虫”『又名“AV终结者”(金山)、“U盘寄生虫”(江民)』查杀综述
秋无痕淘宝天猫优惠券网
秋无痕常用软件全功能装机光盘 2023年金秋版
秋无痕一键优化Windows 10专版
秋无痕一键优化Windows 11专版
秋无痕论坛官方QQ群
获取无痕币和提高等级
上一主题
下一主题
新 帖
主题 : “帕虫”『又名“AV终结者”(金山)、“U盘寄生虫”(江民)』查杀综述
使用道具 |
复制链接
|
浏览器收藏
|
打印
加为好友
anhuijinlong
级别: 二分秋色
作者资料
发送短消息
QQ联系
UID:
3038
精华:
0
发帖:
58
威望:
350 点
无痕币:
3724 WHB
贡献值:
1 点
在线时间: 17(时)
注册时间:
2007-12-06
最后登录:
2011-05-29
0
发表于: 2008-02-21 17:38|
请将IE368导航设置为首页,支持论坛
只看楼主
|
小
中
大
0
“帕虫”『又名“AV终结者”(金山)、“U盘寄生虫”(江民)』查杀综述
“帕虫”『又名“AV终结者”(金山)、“U盘寄生虫”(江民)』查杀综述
最近“帕虫”(瑞星命名),AV终结者(金山命名)U盘寄生虫(江民命名)疯狂传播
主要症状是 打不开杀毒软件,防火墙,以及某些杀毒辅助的小工具,打不开带有“杀毒”“反病毒”等字样的窗口。安全模式被破坏,不能显示隐藏文件,下载木马.....等
这是继熊猫烧香后又一次大范围的病毒爆发
其实这些病毒就是我们所称的随机7位字母,8位数字和字母组合的病毒
主要通过U盘等移动存储传播
网上也有了一些专杀和手动查杀方法,为了方便大家,给大家总结一下,网上目前流行的专杀和手动查杀的地址
如果有一定水平的话可以推荐手动查杀
在查找资料同时 首先应该判断你是属于哪种情况
方法:打开任务管理器 查找类似不规则的7位字母(两个)的进程(需要熟悉计算机常见进程)
可以被排除的常见进程如下:
taskmgr.exe,explorer.exe,svchost.exe(多个),lsass.exe,services.exe,winlogon.exe,iexplore.exe,smss.exe..
如果发现了两个不规则的7位字母的进程 那么你就中了那个7位随机字母的病毒
可以参考如下文章
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/c7ff5731702b4718ebc4afd9.html
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/512e9d1b2ccc1a188618bfb8.html
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/40043130296b7798a9018eea.html
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/67186ca74e1b0e94d1435802.html
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/5991e5ef9a17b737acafd539.html
http://hi.baidu.com/newcenturysun/blog/item/683c772707ab2c02918f9dc9.html
http://hi.baidu.com/newcenturysun/blog/item/db3da71be85d3e188618bf5a.html
如果没有发现两个不规则的7位字母的进程 你就可能中了那个8位随机字母数字组合的病毒
可以参考如下文章
http://hi.baidu.com/newcenturysun/blog/item/2ad3d7cedcea3c0292457e2c.html
http://hi.baidu.com/newcenturysun/blog/item/76c1e41ffb59c4f4e0fe0bc6.html
http://hi.baidu.com/newcenturysun/blog/item/3f7b424e42983908b3de0596.html
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/4f43b02fa60ec3391f308921.html
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/ff17fa07495a3ccc7b8947ba.html
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/c14b171206b97850f819b885.html
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/230a82af1f6619cd7cd92a9d.html
使用金山毒霸的用户可以参考:
http://hi.baidu.com/litiejun/blo ... 4ff84e78f055f0.html
综合查杀方法:
http://hi.baidu.com/litiejun/blo ... 4ff84e78f055f0.html
如果不太熟悉手工查杀 那么可以试试
瑞星和金山的专杀
瑞星针对此病毒的专杀叫做
橙色八月
下载地址
http://it.rising.com.cn/Channels ... 4786729d36873.shtml
金山对于此病毒的专杀叫做
AV终结者专杀
[url=http://down.
www.kingsoft.com/db/download/othertools/DubaTool_AV_Killer.COM
http://down.
www.kingsoft.com/db/download/othertools/DubaTool_AV_Killer.COM[/url
]
http://duba-011.duba.net/duba/kavtools/DubaTool_AV_Killer.COM
[url=http://down.
www.kingsoft.com/db/download/othertools/DubaTool_AV_Killer.COM
http://down.
www.kingsoft.com/db/download/othertools/DubaTool_AV_Killer.COM[/url
]
在使用专杀杀毒后我们还需要作一些后续的恢复系统的工作
一般恢复系统工作步骤如下
1.恢复IFEO 映像劫持
可以使用autoruns这个软件
http://www.skycn.com/soft/17567.html
由于这个软件也被映像劫持了
所以我们要把他改个名字
打开这个软件后 找到Image hijack (映像劫持)
删除除了Your Image File Name Here without a pathSymbolic Debugger for Windows 2000 Microsoft Corporation c:\windows\system32\ntsd.exe 以外的所有项目
也可以使用空指针的IFEO映像劫持修复工具
http://www.mopery.cn/mopery/IFEO
重定向劫持修复工具.exe
2.恢复显示隐藏文件
把下面的 代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
双击1.reg把这个注册表项导入
3.恢复安全模式
下载sreng
http://www.kztechs.com/sreng/download.html
打开sreng
系统修复 高级修复 点击修复安全模式 在弹出的对话框中点击是
4..最后也是最重要的 就是删除各个分区下面的autorun.inf和7位或者8位随机数字母的exe
注意:一定不要双击 也不能右键打开 一定用winrar删除
对于下载的木马我们需要用杀毒软件全盘杀毒或者到论坛求助
希望大家能够针对自己的情况参考如上所述的专杀和手工查杀方法顺利干掉可恶的病毒!!!
来自:
评分选定
顶端
回复
引用
评分
分享
上一主题
下一主题
秋无痕论坛
»
『系统安全综合区』
http://bbs.realqwh.cn
访问内容超出本站范围,不能确定是否安全
继续访问
取消访问
Total 0.043666(s) query 3, Time now is:04-27 21:37, Gzip enabled
粤ICP备07514325号-1
Powered by
PHPWind
v7.3.2
Certificate
Code © 2003-13
秋无痕论坛