发布网友 发布时间:2022-03-18 00:35
共6个回答
热心网友 时间:2022-03-18 02:05
从你描述的现象看,很可能是中了威金病毒变种或者是熊猫烧香变种,专杀工具网上很多,你可以到瑞星官方网站上找上述两种病毒的专杀工具,很容易就能找到,因为是变种,如果专杀工具不能彻底查杀的话,我提供了上述2种病毒的手动清除方法,希望对你有所帮助:
威金病毒表现:
1. 某些杀毒软件的实时监控无法启动(例如:瑞星的实时监控中心)
2. 部分图标变得模糊
3. 进程里面出现例如 Logo_1.exe , 0Sy.exe等莫名其妙的东西
4. C盘隐藏文件出现 _desktop.ini(隐藏文件)
5. 磁盘的autorun被修改,以至于双击磁盘盘符时提示出错
随即用瑞星2006的杀毒软件进行杀毒,但是无法彻底清除。这是感染了"威金"病毒。
该病毒为Windows平台下集成可执行文件感染、网络感染、通过网络下载木马、后门程序或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式攻击其它机器,进而感染目标计算机。
运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。
病毒主要通过共享目录、文件*、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。
1、病毒运行后将自身复制到Windows文件夹下,文件名为:
%Windir%\rundl132.exe
2、运行被感染的文件后,病毒将病毒体复制到为以下文件:
%Windir%\logo_1.exe
3、同时病毒会在病毒文件夹下生成:
%病毒当前目录下%\vidll.dll
4、病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕在被感染的文件夹中生成:
_desktop.ini (文件属性:系统、隐藏。)
5、病毒会尝试修改%SysRoot%\system32\drivers\etc\hosts文件。
6、病毒通过添加如下注册表项实现病毒开机自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="%Windir%\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="%Windir%\rundl132.exe"
7、病毒运行时尝试查找窗体名为:"RavMonClass"的程序,查找到窗体后发送消息关闭该程序。
8、枚举以下杀毒软件进程名,查找到后终止其进程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
regsvc.exe
RavMon.exe
mcshield.exe
9、同时病毒尝试利用以下命令终止相关杀病毒软件:
net stop "Kingsoft AntiVirus Service"
Viking(维金)病毒免疫器 v0.1
名 称:Viking 病毒免疫器
版 本:0.1
文件大小:1,341 字节
编写语言:MASM
压缩方式:FSG v2.0
运行平台:Win2k/xp/2003
文件MD5值:f7c3ae45e3d150aadcb614cc1c7f3d87
病毒分析报告:Analysis.txt(注:各变种版本可能会有所差异,本文档仅供参考)
相关文件说明:
AntiViking.exe.........................................免疫器主程序
Analysis.txt...........................................病毒分析文档
Readme.txt.............................................说明文档
说明:
这段时间viking病毒闹的比较严重,在短时间内出现的变种版本也是很多的,于是乎做了这个小东西对该病毒进行免疫,这个工具主要用于防止在本机运行感染后的程序再对本地文件进行感染,目前还不支持直接运行病毒原体的情况的免疫:-((本想加个驱动进行对原体也进行免疫,但可能导致和其它反病毒软件冲突,所以放弃了)。关于防止运行病毒原体进行网络传播的方法:
1、去除弱口令,用以防止ipc、admin方式进行连接(这个都所有用户);
2、关闭网络共享(对于普通家庭用户);
3、开网络共享,但是设置为只读共享(对于网吧用户);
4、开网络共享,设置可写共享,但必须设置访问密码(对于特殊用户)。
运行AntiViking.exe后,程序会在Windows目录下生成Rundl132.exe和Logo1_.exe文件,同时程序会将自身加入以下注册表自启动项:
主键: [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
键值: AntiViking
熊猫烧香病毒表现为:
用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用。
清除步骤
==========
1. 断开网络
2. 结束病毒进程
%System%\FuckJacks.exe
3. 删除病毒文件:
%System%\FuckJacks.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:\autorun.inf
X:\setup.exe
5. 删除病毒创建的启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%System%\FuckJacks.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%System%\FuckJacks.exe"
6. 修复或重新安装反病毒软件
7. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件
中毒文件的恢复(仅个人观点,只在自己的虚拟机上测试正常)
首先在清除病毒文件的同时不要删除%SYSTEM%下面释放FuckJacks.exe的这个文件,(注册表里要清除干净)
打开运行输入gpedit.msc打开组策略-本地计算机策略-windows设置-安全设置-软件*策略-其它规则
在其它规则上右键选择-新散列规则=打开新散列规则窗口
在文件散列上点击浏览找到-%SYSTEM%下面释放FuckJacks.exe文件.......安全级别选择-不允许的 确定后重启(一定重启)
重启后可以双击运行已经被熊猫感染的程序-运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的)
双击运行被感染的程序已经恢复原来样子了,全部回复后用SRENG2把FuckJacks.exe在注册表里的启动项删除即可!
热心网友 时间:2022-03-18 03:23
建议您安装瑞星杀毒软件V16版本升级到最新病毒库后,重启计算机按F8键选择安全模式,进行全盘病毒扫描查杀,之后使用瑞星安全助手进行电脑修复,下载地址:http://pc.rising.com.cn/
热心网友 时间:2022-03-18 04:57
.
热心网友 时间:2022-03-18 06:49
建议用正版的瑞星杀毒。实在不行从做系统也快
热心网友 时间:2022-03-18 08:57
杀毒就行了
热心网友 时间:2022-03-18 11:21
真的不行了,就重装系统吧