2007年1月12日更新:
警告:此病毒十分危险,请发现此病毒即可在局域网内找到带毒机子并清除。
具体症状:
1.无法进入安全模式
2.系统正常启动后,极为缓慢,后台自动运行zaq1.exe(zaq2...10.exe),G_server.exe、imapi.exe、spoclsv.exe、rund1132.exe、sxs.exe、A00000.exe(A后的数字任意,有时候能产生数千个exe文件,类似的还有update)等程序,并在之后蓝屏死机。
3.感染并生成很多熊猫图标的exe文件,一种是图标变化并修改exe文件注入病毒脚本,每次运行都会自动在系统盘及其他根目录生成病毒文件并且加速exe文件感染;一种是exe文件名后多了.exe文件。比如excel.exe.exe。
解决方法:
由于无法进入安全模式,而正常模式进入后不久便会死机,则以下方法在病毒发作到这个程度时便无效。
如果您的机子有ghost备份,并做好了C盘资料的备份,那么格盘重装非常省时省力。但请务必注意格盘后,删除D盘E盘等非系统盘根目录下的autorun.inf与setup.exe文件(还有共享文件夹中的gamesetup.exe),并且在格盘重装后用瑞星专杀工具扫描一次所有硬盘,下载地址:
http://download.rising.com.cn/zsgj/NimayaKiller.scr
下面的方法适用于不想重装系统,比如C盘有重要文件来不及备份等重装以后损失较大的情况。(事先准备一U盘里面装有sreng2.0、hijackthis、copylocks这三个程序,最好是非解压格式,因为病毒会修改rar程序关联)
手动杀毒方法如下(需要一定的操作技巧和较快的操作水平):
(1)开机闪3屏后,不停按F8,进入“最后一次正确配置”(这个项目的作用是取最近一次正常启动的注册表设置),正常启动后显示“加载个人设置时”立即按Ctrl+shit+esc调出任务管理器。
结束程序 G_server.exe、userinit.exe(因为病毒修改并挂钩此程序)、zaq5.exe(其中5是随机数字),最后结束 explore.exe。
(以上步骤需要较快完成,请把握节奏,如果在主病毒程序spoclsv.exe加载以后再操作则无效,因为这个程序会自动关闭杀毒软件、任务管理器等,并引导其他病毒程序的生成与加载。如果失败,则重启按上述方法多试几次)
(2)一旦成功,则成功从病毒手中取得了任务管理器的控制权,算是好的开头。接着马上点“文件”->“新建任务(运行)”->输入“D:”点浏览(假设三个工具放在D盘根目录的话,这样操作是防止病毒通过关联感染)->定位到 sreng.exe(假设在d盘根目录)->点“确定”运行
打开sreng->系统修复 文件关联->勾“全选”->点“修复”
winshell->勾“全选”->点“修复”
winsock供应者->点左下角红字“重置所有内容为默认值”
自动修复->推荐修复等级,点“修复”
点“启动项目”->点“注册表”把与以下列表相关的启动项删除
wsd_sock32.dll
xpicfopt.dll
windds32.dll
windhcp.ocx
userspi.dll
winlogin.exe
run1132.dll
msccrt.dll
wsvbs.dll
cmdbcs.dll
spoclsv.exe
security.exe
zaq1.exe(zaq2.exe ... zaq10.exe等)
点“服务”->“win32服务应用程序”与“驱动”
=>先点“隐藏已认证的微软项目”,然后把非正常的皆删除(正常驱动列表如下:)
(3)打开hijackthis,扫描并修复。修复完检查C:\windows\system32\drivers\etc目录下的hosts是否被修改。(这里操作和上面一样,比如需要进C盘,则点文件(F)->新建任务(运行)->输入“C:”点浏览)
(4)到这里基本上就差不多可以松口气了。如果想手动完成所有工作的话可以看下去。否则的话,重启以后进入安全模式用瑞星专杀工具全面杀一次即可。
(5)接上
A.运行,输入 regedit,查找run,点第一个与第四个,搜到一个继续搜下一个。删除所有右边除ctfmon.exe的所有非常用项目。
依次展开SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
在把右边的CheckedValue值修改为1。
然后点“工具”->“文件夹选项”->“查看”
把“隐藏受保护的操作系统文件(推荐)”前的勾取消,并点选下面“显示所有文件和文件夹”
B.文件(F)->新建任务(运行)->输入“explorer.exe”调出界面,进入我的电脑,并在上方地址栏选择C盘(小心操作别双击进入)->然后点上方的“搜索”按钮,并在左侧搜索选项中,=>点“什么时候修改的?”->“指定日期”->“创建日期”->输入最近的一段时间(比如2007年1月1日至2007年1月11日);=>点“其他高级选项”->勾选“搜索隐藏的文件及文件夹”、“搜索系统文件夹”、“搜索子文件夹”;=>在“全部或部分文件名”的框中填入“*.exe *.dll *.inf”(中间都有一个空格)
C.删除所有的搜索到的文件(除非有些文件是你已确定的无害文件,具体请参考上面的病毒文件列表)
D.如遇到删除不了的文件,请使用copylocks文件删除。
E.搜索desktop_.ini并删除
注意,如果有很多exe程序已经被感染的话,当运行时,病毒会重新发作。
此时,如果感染文件很多则使用专杀工具全面扫描一次即可;如果感染比较少且并不重要,则直接搜索并删除即可。
具体搜索办法:打开搜索,选择所有硬盘,点“什么时候修改的?”->“指定日期”->“创建日期”->输入最近的一段时间(比如2007年1月1日至2007年1月11日);=>)点“其他高级选项”->勾选“搜索隐藏的文件及文件夹”、“搜索系统文件夹”、“搜索子文件夹”;=>在“全部或部分文件名”的框中填入“*.exe”
搜索完以后,查看右边的列表,凡是图标成为熊猫图标的即是被感染的程序。
