关于“美女游戏.exe”病毒处理方法
作者: 瑞星客户服务中心 来源: 瑞星客户服务中心
知识库编号: RSV0704690
内容分类: 蠕虫病毒
适用产品分类:瑞星杀毒软件.单机版.标准版.2007
瑞星杀毒软件.单机版.升级版.2007
瑞星杀毒软件.单机版.下载版.2007
关键词: 美女游戏;Worm.Pabug
『故障现象』计算机感染了此类病毒后,瑞星杀毒软件、瑞星防火墙软件、瑞星卡卡上网安全助手等都无法使用。并且此病毒禁用了注册表编辑器和系统配置实用程序等命令,同时还会修改系统Hosts文件,使计算机无法访问反病毒网站,并且导致用户无法升级杀毒软件。瑞星命名该病毒为Worm.Pabug.*(其中*为变种名称)。本文提供针对此病毒的手动处理方法。
【中毒症状】可能存在下面一种或多种症状:
1、无法打开瑞星主程序、瑞星监控,无法升级;
2、部分与瑞星相关的网页无法打开,如产品升级页面、用户注册页面、卡卡安全助手页面等等,提示“无法显示该页”;
3、很多反病毒软件、反流氓软件以及检测工具都无法使用,包括regedit、msconfig、卡卡上网安全助手、超级兔子、360安全卫士、AVP、IceSword等等;
4、无法显示隐藏文件;
5、hosts文件内容被恶意篡改,且文件属性为隐藏;
6、系统时间被修改。
【处理方法】
情况1:病毒已被杀毒软件清除,只是未解除应用程序的劫持,处理方法如下:
这种情况下,当运行被劫持的程序时会提示(如图 1),下图以运行瑞星杀毒软件程序为例:
步骤1、把卡卡上网安全助手主程序Ras.exe复制,打开复制后的文件,打开“系统启动项管理”-“应用程序劫持项”,把所有的勾选项都取消(如图 2)。
步骤2、打开卡卡上网安全助手主程序“IE及系统修复”页面,如果检测到Hosts项有异常,则点击“修复”按钮。
情况2:病毒正在系统中运行,没有被清除的情况,则处理方法如下:
步骤1、如果已经安装有卡卡上网安全助手,则直接跳到步骤3,如果没有安装请做步骤2;
步骤2、
① 显示隐藏文件。如果注册表被病毒修改,则按照瑞星知识库文章处理,知识库编号RSQ0607685
http://csc.rising.com.cn/KnowledgeBase/detailInfo.aspx?Action=ViewInfo&InfoID=711&Channel=RSQ
②修复\%windows\%system32\Drivers\etc\Hosts文件
③访问http://tool.ikaka.com/,下载并安装卡卡上网安全助手
步骤3、
①把卡卡上网安全助手主程序(默认路径C:\Program Files\Rising\AntiSpyware\Ras.exe)复制到其他目录,把复制后的文件改名,运行改名后的卡卡主程序,打开“系统启动项管理”-“应用程序劫持项”,把所有的勾选项都取消(如图 1)
②打开“系统启动项管理”-“登录项”,取消勾选病毒的自启动项
步骤4、打开瑞星杀毒软件主程序,并升级到最新版,然后全盘查杀病毒。
根据情况,有时重新启动计算机后,病毒程序会依据启动项的键值被重新加载,从而可能会恢复部分应用程序劫持项但不是所有的。?此时需要重新利用卡卡安全助手取消应用程序劫持后再升级。
以上的方案适用于很多靠“应用程序劫持”来实现自己运行的病毒。
图1:
õ&dot°r2 Ñ&decbbs.ikaka.com¿*Qóöh¥�§
