媽的,那次我電腦中病毒了,殺毒軟件啟動不了!
“熊貓燒香”其實是壹種蠕蟲病毒的變種,而且變異過很多次。尼米亞變種W(蠕蟲。Nimaya.w)也因中毒電腦的可執行文件中出現“熊貓燒香”圖案而被稱為“熊貓燒香”病毒。用戶電腦中毒後,可能會出現藍屏、頻繁重啟、系統硬盤中的數據文件被破壞等情況。同時,病毒的壹些變種可以通過局域網傳播,進而感染局域網內的所有計算機系統,最終導致企業局域網癱瘓,無法正常使用。
“熊貓燒香”(“衛津”病毒變種)
病毒特征
1.這種病毒會關閉許多防病毒軟件和安全工具。
2.遍歷磁盤目錄,感染文件,並跳過關鍵系統文件。
3.感染所有EXE、SCR、PIF和COM文件。
4.感染所有人。htm/。html/。asp/。php/。jsp/。aspx文件並添加惡意特洛伊代碼。
5.自動刪除*。gho文件(ghost系統備份鏡像文件)
6.該病毒攻擊電腦弱密碼,利用微軟的自動播放功能。
7把圖標改成燒香熊貓(有些變種可能不用熊貓圖標而是改成其他圖標)
“蟲子。Nimaya”病毒:警戒度★★★☆、蠕蟲病毒,通過被感染文件傳播,視系統而定:WIN 9X/NT/2000/XP。
引誘用戶跑步。病毒運行後會自動找到Windows格式的EXE可執行文件並感染。由於該病毒程序存在
問題,部分用戶的軟件可能被它損壞,無法運行。
建議妳去瑞星官網找下壹個查殺工具。
據悉,由於臺灣省地震,壹些使用國外殺毒軟件的電腦用戶無法順利升級自己的病毒代碼庫,使得“衛津”蠕蟲病毒新變種更加猖獗。針對這壹突發情況,包括瑞星公司、姜敏公司、金山公司在內的國內殺毒廠商分別推出了免費版殺毒軟件,供電腦用戶下載使用,以應對這壹突發事件。
病毒名稱:
中文:熊貓燒香病毒(又名武漢男孩)
英語:蠕蟲。WhBoy
目前已發現50多個品種。
典型性能:
被病毒感染後,發現更多。EXE文件圖標變成了燃燒的熊貓,這也是該病毒名字的由來。現在發現的壹些品種不再使用這個眾所周知的圖標。有的變種可以直接通過互聯網更新版本,有的變種可以感染htm、html、asp、php、jsp、aspx等web格式文件。網頁服務器被感染將意味著所有瀏覽這些網頁的電腦都可能自動下載並感染熊貓燒香病毒。
這壹系列變體將發布以下典型文件
在分區根目錄下:setup.exe,autorun.inf,%System%\Fuckjacks.exe,% System % \ drivers \ spoclsv.exe。
局域網環境下:GameSetup.exe
病毒行為:
1.刪除註冊表中常用殺毒軟件的啟動項或服務,終止殺毒軟件的進程,這幾乎涉及到目前所有的殺毒軟件。
2.終止壹些安全輔助工具的進程,比如IceSword和任務管理器taskmon。
3.終止威金Logo1_的相關流程。exe,Logo_1.exe,Rundl123.exe。
4.弱密碼破解了局域網內其他電腦的管理員賬號,用GameSetup.exe復制。
5.修改註冊表項值,這使得無法查看隱藏文件和系統文件。
6.病毒會試圖摧毀壹些。exe,。com,。gho,。pif還有。除了c盤以下目錄以外的其他分區的scr文件,病毒不會感染以下目錄的文件(給了我們解決這個病毒的機會,請看下面的相關描述)。
Windows,Winnt,系統卷信息,回收,Windows NT,Windows Update,Windows MediaP,Outlook Express,Internet Explorer,NetMeeting,公共文件,ComPlus應用程序,Messenger,InstallShield安裝信息,MSN,Microsoft Frontpage,MovieMaker,MSN GaminZone
7.病毒會刪除擴展名為gho的文件,這是壹個系統備份工具GHOST的備份文件,使用戶的系統備份文件丟失。
解決方案:
1,首選查殺工具
查殺工具是最有效的方案,可以對付已知變種。缺點是有新變種後查殺工具需要更新。我建議去www.xiongmaoshaoxiang.com下載《獨家殺戮》。
2、在線殺毒
因為熊貓燒香病毒的特殊性,殺毒軟件本身可能會被感染,病毒會嘗試結束殺毒軟件進程和服務,但病毒不會感染IE瀏覽器,用瀏覽器加載在線殺毒控件清除病毒可以達到奇效。被錄用的可以去shadu.duba.net試壹試。
3.重啟系統至安全模式,連接網絡,升級殺毒軟件後殺毒。可以點擊開始,運行,進入msconfig,打開系統配置實用程序,點擊啟動。INI選項卡,進行如圖所示的更改,並重新啟動以進入帶網絡連接的安全模式。
4、手動拆卸
因為熊貓燒香病毒是壹種傳染性病毒,人工清除相當麻煩。網友公布的手動清除方案只能手動結束病毒進程,壹個已經感染了熊貓燒香病毒的程序會再次中招。下面簡要介紹手動結束病毒進程和修復註冊表項的步驟:
A.斷開網絡、禁用網卡或拔掉網線;
B.結束病毒進程,因為任務管理器和IcdSword已經無法運行,很難在被感染的機器上實現。建議到/TechNet/sys internals/processesandthreads/Process Explorer . mspx下載壹個流程瀏覽器備用。可惜光纜不修,官網下載速度極慢。可以從百度、新浪、華軍、天空下載。如果在這個過程中發現了FuckJacks.exe、setup.exe和spoolsv.exe(註意和正常的打印服務只差壹個字母,打印服務的文件名是spoolsv.exe),就用這個工具結束它。
C.在本地計算機上搜索並刪除以下病毒執行文件:
分區根目錄下:setup.exe,autorun.inf(這不是病毒,只是存在雙擊磁盤自動調用病毒程序,建議刪除)。
% System % \ Fuckjacks.exe%System%\Drivers\spoclsv.exe
局域網環境下:GameSetup.exe
D.開始-& gt;運行->進入regedit,確認後打開註冊表編輯器,刪除病毒創建的啟動項:
[HKEY _當前_用戶\軟件\微軟\ Windows \當前版本\運行]
" fuck jacks " = " % System % \ FuckJacks.exe
[HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ current version \ Run]
" svo host " = " % System % \ fuck jacks . exe "
瀏覽到【HKEY _本地_機器\軟件\微軟\ Windows \當前版本\資源管理器\高級\文件夾\隱藏\ Showall】,右鍵單擊New-DWORD Value-named checked Value(如果已經存在,可以刪除重建),將其鍵值修改為1。恢復文件夾選項中的“顯示所有隱藏文件”和“顯示系統文件”。
E.修復或重裝殺毒軟件,恢復被病毒刪除的註冊鍵值,恢復殺毒軟件的功能。
F.最後,需要更新殺毒軟件並徹底掃描,修復被感染的EXE程序和網頁格式的文件。特別要提醒網頁編輯保護好自己編輯的網頁文檔和自己的網頁服務器。如果發現網站上傳的文件有毒,要及時刪除,重新上傳。
對於這種病毒的預防,請參考www.xiongmaoshaoxiang.com介紹的方法,或者看看這裏的文件,pif,src,html,asp,sp等。被感染的電腦裏全是“熊貓”和“金豬”。它的破壞力非常強,對用戶的計算機系統造成極大的傷害,導致大量應用軟件無法應用。
今年6月5438+10月中旬,湖北省網監部門根據公安部公共信息網絡安全監察局的部署,對“熊貓燒香”病毒的制作者進行了調查。經調查,熊貓燒香病毒的制造者是湖北武漢市的李俊。據李俊交代,他於2006年6月65438+10月65438+6月編寫了“熊貓燒香病毒”,並在網上廣泛傳播。他還通過自己出售或他人出售的方式在網上向120多人出售病毒,非法獲利65438+。經過病毒購買者的進壹步傳播,該病毒的各種變種在互聯網上大面積傳播,對網民的電腦安全造成嚴重損害。
據了解,李俊2003年還寫過“武漢男孩”病毒,2005年寫過“武漢男孩2005”病毒,2005年寫過“QQ尾巴”病毒。此外,本案還有其他幾名重要嫌疑人:雷蕾(男,25歲,武漢市新洲區人)、王樂妍(男,22歲,山東威海人)、葉培新(男,21歲,浙江溫州人)、張順(男,23歲,浙江麗水人)、汪哲(男,24歲,湖北人)。戴光建曾在接受上海東方早報記者采訪時判斷,在預防和查殺“熊貓燒香”病毒的過程中,已經發現有人可能在病毒變形過程中主動操縱病毒,從而獲利。
根據統壹部署,在浙江、山東、廣西、天津、廣東、四川、江西、雲南、新疆、河南等地公安機關的配合下,湖北網監壹舉破獲制作傳播“熊貓燒香”病毒案,抓獲犯罪嫌疑人6名。
據調查此案的警方稱,李俊有很高的編程技能。李俊被捕後,他沒有意識到他制造和傳播病毒是違法的。警方告訴記者,李俊被捕後表示,他編寫“熊貓燒香”病毒是為了展示自己高超的技術。
目前,6名犯罪嫌疑人已被刑事拘留。
可疑文件
李,25歲,湖北武漢市新洲區人,2003年寫武漢男生病毒,2005年寫武漢男生2005病毒和QQ尾巴病毒。
熊貓燒香病毒
病毒的傳播方式多種多樣,所有被感染的程序文件都被改成壹只熊貓拿著三根香的樣子。該病毒具有盜取用戶遊戲賬號和QQ賬號的功能。被感染的電腦還會出現藍屏、頻繁重啟和文件破壞。該病毒會將病毒代碼添加到中毒電腦中所有網頁文件的尾部。截至目前,已有數百萬個人用戶、網吧和企業局域網用戶被感染和破壞。瑞星2006年安全報告將其列為十大病毒之首,並成為2006年中國大陸計算機病毒流行與互聯網安全報告十大病毒排名中的“毒王”。
早報記者殷雨生
參考資料:
/20070213/n 248205274 . shtml