最近的新变种分析http://forum.ikaka.com/topic.asp?board=28&artid=8340289
此新变种下面的专杀暂时不能查杀最近“帕虫”(瑞星命名),AV终结者(金山命名)U盘寄生虫(江民命名)疯狂传播
主要症状是 打不开杀毒软件,防火墙,以及某些杀毒辅助的小工具,打不开带有“杀毒”“反病毒”等字样的窗口。安全模式被破坏,不能显示隐藏文件,下载木马.....等
这是继熊猫烧香后又一次大范围的病毒爆发
其实这些病毒就是我们所称的随机7位字母,8位数字和字母组合的病毒
主要通过U盘等移动存储传播
网上也有了一些专杀和手动查杀方法,为了方便大家,给大家总结一下,网上目前流行的专杀和手动查杀的地址
一、手动查杀方法首先应该判断你是属于哪种情况
方法:打开任务管理器 查找类似不规则的7位字母(两个)的进程(需要熟悉计算机常见进程)
可以被排除的常见进程如下:
taskmgr.exe,explorer.exe,svchost.exe(多个),lsass.exe,services.exe,winlogon.exe,iexplore.exe,smss.exe..
如果发现了两个不规则的7位字母的进程 那么你就中了那个7位随机字母的病毒
可以参考如下文章
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/c7ff5731702b4718ebc4afd9.html
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/512e9d1b2ccc1a188618bfb8.html
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/40043130296b7798a9018eea.html
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/67186ca74e1b0e94d1435802.html
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/5991e5ef9a17b737acafd539.html
http://hi.baidu.com/newcenturysun/blog/item/683c772707ab2c02918f9dc9.html
http://hi.baidu.com/newcenturysun/blog/item/db3da71be85d3e188618bf5a.html
如果没有发现两个不规则的7位字母的进程 你就可能中了那个8位随机字母数字组合的病毒
可以参考如下文章
http://hi.baidu.com/newcenturysun/blog/item/2ad3d7cedcea3c0292457e2c.html
http://hi.baidu.com/newcenturysun/blog/item/76c1e41ffb59c4f4e0fe0bc6.html
http://hi.baidu.com/newcenturysun/blog/item/3f7b424e42983908b3de0596.html
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/4f43b02fa60ec3391f308921.html
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/ff17fa07495a3ccc7b8947ba.html
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/c14b171206b97850f819b885.html
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/230a82af1f6619cd7cd92a9d.html
使用金山毒霸的用户可以参考:http://hi.baidu.com/litiejun/blog/item/479cdaed7d4ff84e78f055f0.html
综合查杀方法:http://hi.baidu.com/litiejun/blog/item/479cdaed7d4ff84e78f055f0.html
二、
专杀查杀瑞星橙色八月专杀下载地址http://download.rising.com.cn/zsgj/orangeaug.com
金山AV终结者专杀(推荐使用,效果不错)
http://down.www.kingsoft.com/db/download/othertools/DubaTool_AV_Killer2.COM
http://duba-011.duba.net/duba/kavtools/DubaTool_AV_Killer2.COM
http://down.www.kingsoft.com/db/download/othertools/DubaTool_AV_Killer2.COM
江民社区专杀(民间版)【06-22更新】随机七、八位数病毒专杀!轻松解决!(需注册)
http://forum.jiangmin.com/dispbbs.asp?boardID=2&ID=489462&page=1
安天实验室专杀(官方版)http://www.antiy.com/download/AVLPK.BAT
在使用专杀杀毒后我们还需要作一些后续的恢复系统的工作
一般恢复系统工作步骤如下
1.恢复IFEO 映像劫持
可以使用autoruns这个软件 http://www.skycn.com/soft/17567.html
由于这个软件也被映像劫持了
所以我们要把他改个名字打开这个软件后 找到Image hijack (映像劫持)
删除除了Your Image File Name Here without a pathSymbolic Debugger for Windows 2000 Microsoft Corporation c:\windows\system32\ntsd.exe 以外的所有项目
也可以使用空指针的IFEO映像劫持修复工具
http://www.mopery.cn/mopery/IFEO重定向劫持修复工具.exe
2.恢复显示隐藏文件
把下面的 代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
双击1.reg把这个注册表项导入
3.恢复安全模式
下载sreng
http://www.kztechs.com/sreng/download.html
打开sreng
系统修复 高级修复 点击修复安全模式 在弹出的对话框中点击是
4..最后也是最重要的 就是删除各个分区下面的autorun.inf和7位或者8位随机数字母的exe
注意:一定不要双击 也不能右键打开 一定用winrar删除对于下载的木马我们需要用杀毒软件全盘杀毒或者到论坛求助
希望大家能够针对自己的情况参考如上所述的专杀和手工查杀方法顺利干掉可恶的病毒!!!
附件:
5543452007612191349.jpg
哪里有错? 
应该不是...