偶看新闻中药大水飞蓟:美女游戏病毒处理办法
来源:百度文库 编辑:偶看新闻 时间:2024/04/28 07:49:13
熊猫烧香新变种的病毒特征如下:
1、系统时间总是固定到某年某月某天 如2004年1月22日
2、不能更改 显示隐藏所有文件和文件夹 选项 无法显示隐藏的系统文件
3、双击硬盘速度明显变慢 或者弹出选择打开方式
4、打不开杀毒软件
5、打不开任务管理器
6、安全模式也无法结束(绑架了winlogon)
7、无法打开应用程序 office文档等
解决办法
诺顿2006年2月6日的病毒定义 仍不能检测到该病毒!
以下为U盘上的病毒样本 如下图 切记!碰到此类情况不要点击 如果已经发现感染 更不要盲目的重装系统 重做系统没有用的 都不是第一天玩小熊猫了吧 不过这回是个美女 不过我这样的 很少上当 嘿嘿
重要提示:
1、本文操作全程在”安全模式下“进行(其实正常模式也一样 但还是断网吧);
2、不要在杀毒过程中插入软盘 U盘 移动硬盘 Mp3 等移动设备
3、本次杀毒过程中不要双击硬盘分区 如C D E盘 通过右键 ---选择 打开 来打开硬盘分区
4、不要盲目的重装系统 重装系统解决不了任何问题。
5、开始---运行---输入 gpedit.msc 确定
按如下操作提示 关闭自动运行
计算机中毒初期:不会有很明显的症状 打开硬盘分区特别慢!几秒钟之后 几乎所有的程序都打不开了
特别是在运行其中一个exe后 情况变得很糟糕:诺顿无法检测到病毒 打不开进程管理器 打不开诺顿(安全模式一样) 打不开很多东西!无法正常使用
如果你什么都打不开了 可以使用Autoruns这个小程序可以打开注册表
autoruns.rar
点击下载此文件
用autoruns发现不明进程:无法结束
jusodl c:\windows\system32\severe.exe
pnvifj c:\windows\system32\jusodl.exe
severe.exe C:\WINDOWS\system32\severe.exe
conime.exe C:\WINDOWS\system32\drivers\conime.exe
c:\windows\system32\drivers\pnvifj.exe
第一步 注册表清理
大家注意 这几个进程联合作用 但最主要的就是干掉最根本的进程 用autoruns.exe(病毒没有理会这个软件)检查你就会发现这几个进程是互相作用的 由conime.exe绑架winlogon 所以只要你启动计算机就会启动病毒,首先找到conime.exe jusodl.exe 直接按Delete键。
然后打开autoruns上[映像劫持] 你就会发现 包括360在内的流行杀毒软件都被劫持(奇怪~) 把所有的都劫持都删除 留下 Your Image File Name Here without a pathSymbolic Debugger for Windows Microsoft Corporation c:\windows\system32\ntsd.exe 这个是微软的
除了这个ntsd.exe全干掉~不然你打开这些软件 其实打开的是病毒而已 所以 你也打不开这些软件 只要这些劫持在 病毒是杀不干净的
找到{启动执行}删除如下的2个启动项 severe.exe和jusodl.exe 删
安全卫士可以打开了 而且也可以暂时的上一下网 但我估计很快就又被劫持
因为我偏好用安全卫士操作方便直观 所以执行到这里 注册表清理实在是不直观 直接用安全卫士(感觉像在做广告 其实我很鄙视这软件商 但这个软件确实还好用)选中如下的勾勾~往下拉还有很多 然后点下方的修复选中项
使用安全卫士的系统全面诊断 扫描完成后将需要删除的项目选中 本例中 诸如如下字符串的全部选中修复
jusodl
pnvifj
severe.exe
jusodl.exe
CTMONTv.exe
修复hosts文件
注册表清理完毕
注意:用安全卫士修复时 安全卫士会修复注册表并删除该文件 但是要注意的是 病毒很容易会又被创建,杀毒过程中时 应时刻注意使用卫士扫描系统
第二步 显示隐藏的病毒文件
但是病毒还在我们的机器里 继续下面的操作,打开注册表编辑器
1、开始 运行 输入regedit 回车
2、如果打不开 就找到regedit.exe改为regedit.com或者找symantec工具去修复
3、注意 不要随便就重新启动计算机 否则极有可能你上面的工作都白做了
4、接步骤1进行如下操作 找到如下路径
注意:病毒在这里做了手脚 不要以为你改成1就没事了 病毒把CheckedValue值类型改成了二进制 所以即便是你改成1也无法显示隐藏文件!
找到如下注册表路径:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
删除右边的CheckedValue 新建DWORD值 数值改成1
注意:如果操作不当 又释放了病毒 注册表会被改回去
第三步:删除硬盘上的病毒文件
注意杀毒不要双击任何硬盘 尤其是U盘和活动硬盘!!
强烈建议使用dos命令删除
如果你发现删完还会自己生成 请退回步骤1注册表检查 Driver底下的优先删除
c:\windows\system32\drivers\pnvifj.exe (先删这个 这个是关键 切断来源)
C:\WINDOWS\system32\drivers\CTMONTv.exe
C:\WINDOWS\system32\jusodl.dll(删除这个)
C:\WINDOWS\system32\drivers\conime.exe(再删这个)
c:\windows\system32\severe.exe(如果没错的话 这时候使用卫士 卫士会帮你干掉下面2个)
c:\windows\system32\jusodl.exe
(手动删除)
注意:
删除完毕后 使用卫士再扫描一遍 然后再小心清理移动设备上的文件 反复多次 注意一定要确认 不再产生了再重新启动
右键打开CEDF每个硬盘检查一便 删除autorun.inf 、OSO.exe、Setup.exe 当然还有那个美女游戏的dos快捷方式! 如果提示操作失败 快回头看看吧 还是那句话 操作要小心翼翼
修复系统:
双击打不开硬盘分区开始-运行 输入regedit 找到[HKEY_CLASSES_ROOT\Drive\shell]将shell下的全部删除 然后关闭注册表 再打不开还有一种可能就是 就是我也不知道 重新启动一切就ok了
修复Office :重新运行Office安装程序 修复即可
总结:熊猫病毒变种非常的快 这个变种没有太大的危害 感觉像是某些人恶作剧的产物 但通过U盘死而复生 屡禁不止 这个病毒原理很简单 但操作起来需要细心 稍有疏忽便死灰复燃 归根结底还是病毒定义无法检测到的原因而且 病毒会阻止你使用杀毒软件 阻止你下载病毒定义
附美女游戏病毒专杀工具下载地址:http://www.licess.cn/blog/article.asp?id=87
1、系统时间总是固定到某年某月某天 如2004年1月22日
2、不能更改 显示隐藏所有文件和文件夹 选项 无法显示隐藏的系统文件
3、双击硬盘速度明显变慢 或者弹出选择打开方式
4、打不开杀毒软件
5、打不开任务管理器
6、安全模式也无法结束(绑架了winlogon)
7、无法打开应用程序 office文档等
解决办法
诺顿2006年2月6日的病毒定义 仍不能检测到该病毒!
以下为U盘上的病毒样本 如下图 切记!碰到此类情况不要点击 如果已经发现感染 更不要盲目的重装系统 重做系统没有用的 都不是第一天玩小熊猫了吧 不过这回是个美女 不过我这样的 很少上当 嘿嘿
重要提示:
1、本文操作全程在”安全模式下“进行(其实正常模式也一样 但还是断网吧);
2、不要在杀毒过程中插入软盘 U盘 移动硬盘 Mp3 等移动设备
3、本次杀毒过程中不要双击硬盘分区 如C D E盘 通过右键 ---选择 打开 来打开硬盘分区
4、不要盲目的重装系统 重装系统解决不了任何问题。
5、开始---运行---输入 gpedit.msc 确定
按如下操作提示 关闭自动运行
计算机中毒初期:不会有很明显的症状 打开硬盘分区特别慢!几秒钟之后 几乎所有的程序都打不开了
特别是在运行其中一个exe后 情况变得很糟糕:诺顿无法检测到病毒 打不开进程管理器 打不开诺顿(安全模式一样) 打不开很多东西!无法正常使用
如果你什么都打不开了 可以使用Autoruns这个小程序可以打开注册表
autoruns.rar
点击下载此文件用autoruns发现不明进程:无法结束
jusodl c:\windows\system32\severe.exe
pnvifj c:\windows\system32\jusodl.exe
severe.exe C:\WINDOWS\system32\severe.exe
conime.exe C:\WINDOWS\system32\drivers\conime.exe
c:\windows\system32\drivers\pnvifj.exe
第一步 注册表清理
大家注意 这几个进程联合作用 但最主要的就是干掉最根本的进程 用autoruns.exe(病毒没有理会这个软件)检查你就会发现这几个进程是互相作用的 由conime.exe绑架winlogon 所以只要你启动计算机就会启动病毒,首先找到conime.exe jusodl.exe 直接按Delete键。
然后打开autoruns上[映像劫持] 你就会发现 包括360在内的流行杀毒软件都被劫持(奇怪~) 把所有的都劫持都删除 留下 Your Image File Name Here without a pathSymbolic Debugger for Windows Microsoft Corporation c:\windows\system32\ntsd.exe 这个是微软的
除了这个ntsd.exe全干掉~不然你打开这些软件 其实打开的是病毒而已 所以 你也打不开这些软件 只要这些劫持在 病毒是杀不干净的
找到{启动执行}删除如下的2个启动项 severe.exe和jusodl.exe 删
安全卫士可以打开了 而且也可以暂时的上一下网 但我估计很快就又被劫持
因为我偏好用安全卫士操作方便直观 所以执行到这里 注册表清理实在是不直观 直接用安全卫士(感觉像在做广告 其实我很鄙视这软件商 但这个软件确实还好用)选中如下的勾勾~往下拉还有很多 然后点下方的修复选中项
使用安全卫士的系统全面诊断 扫描完成后将需要删除的项目选中 本例中 诸如如下字符串的全部选中修复
jusodl
pnvifj
severe.exe
jusodl.exe
CTMONTv.exe
修复hosts文件
注册表清理完毕
注意:用安全卫士修复时 安全卫士会修复注册表并删除该文件 但是要注意的是 病毒很容易会又被创建,杀毒过程中时 应时刻注意使用卫士扫描系统
第二步 显示隐藏的病毒文件
但是病毒还在我们的机器里 继续下面的操作,打开注册表编辑器
1、开始 运行 输入regedit 回车
2、如果打不开 就找到regedit.exe改为regedit.com或者找symantec工具去修复
3、注意 不要随便就重新启动计算机 否则极有可能你上面的工作都白做了
4、接步骤1进行如下操作 找到如下路径
注意:病毒在这里做了手脚 不要以为你改成1就没事了 病毒把CheckedValue值类型改成了二进制 所以即便是你改成1也无法显示隐藏文件!
找到如下注册表路径:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
删除右边的CheckedValue 新建DWORD值 数值改成1
注意:如果操作不当 又释放了病毒 注册表会被改回去
第三步:删除硬盘上的病毒文件
注意杀毒不要双击任何硬盘 尤其是U盘和活动硬盘!!
强烈建议使用dos命令删除
如果你发现删完还会自己生成 请退回步骤1注册表检查 Driver底下的优先删除
c:\windows\system32\drivers\pnvifj.exe (先删这个 这个是关键 切断来源)
C:\WINDOWS\system32\drivers\CTMONTv.exe
C:\WINDOWS\system32\jusodl.dll(删除这个)
C:\WINDOWS\system32\drivers\conime.exe(再删这个)
c:\windows\system32\severe.exe(如果没错的话 这时候使用卫士 卫士会帮你干掉下面2个)
c:\windows\system32\jusodl.exe
(手动删除)
注意:
删除完毕后 使用卫士再扫描一遍 然后再小心清理移动设备上的文件 反复多次 注意一定要确认 不再产生了再重新启动
右键打开CEDF每个硬盘检查一便 删除autorun.inf 、OSO.exe、Setup.exe 当然还有那个美女游戏的dos快捷方式! 如果提示操作失败 快回头看看吧 还是那句话 操作要小心翼翼
修复系统:
双击打不开硬盘分区开始-运行 输入regedit 找到[HKEY_CLASSES_ROOT\Drive\shell]将shell下的全部删除 然后关闭注册表 再打不开还有一种可能就是 就是我也不知道 重新启动一切就ok了
修复Office :重新运行Office安装程序 修复即可
总结:熊猫病毒变种非常的快 这个变种没有太大的危害 感觉像是某些人恶作剧的产物 但通过U盘死而复生 屡禁不止 这个病毒原理很简单 但操作起来需要细心 稍有疏忽便死灰复燃 归根结底还是病毒定义无法检测到的原因而且 病毒会阻止你使用杀毒软件 阻止你下载病毒定义
附美女游戏病毒专杀工具下载地址:http://www.licess.cn/blog/article.asp?id=87