帕蟲”(瑞星) “AV終結者”（金山）“U盤寄生蟲”（江民）』查殺綜述

關鍵詞:帕蟲 AV終結者 U盤寄生蟲

最近“帕蟲”（瑞星命名），AV終結者（金山命名）U盤寄生蟲（江民命名）瘋狂傳播
主要症狀是 打不開殺毒軟件，防火牆，以及某些殺毒輔助的小工具，打不開帶有“殺毒”“反病毒”等字樣的窗口。安全模式被破壞，不能顯示隱藏文件,下載木馬.....等
這是繼熊貓燒香後又一次大範圍的病毒爆發
其實這些病毒就是我們所稱的隨機7位字母，8位數字和字母組合的病毒
主要通過U盤等移動存儲傳播
網上也有了一些專殺和手動查殺方法，爲了方便大家，給大家總結一下，網上目前流行的專殺和手動查殺的地址
如果有一定水平的話可以推薦手動查殺

在查找資料同時 首先應該判斷你是屬於哪種情況
方法：打開任務管理器 查找類似不規則的7位字母（兩個）的進程（需要熟悉計算機常見進程）
可以被排除的常見進程如下：
taskmgr.exe,explorer.exe,svchost.exe(多個),lsass.exe,services.exe,winlogon.exe,iexplore.exe,smss.exe..
如果發現了兩個不規則的7位字母的進程 那麼你就中了那個7位隨機字母的病毒
可以參考如下文章
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/c7ff5731702b4718ebc4afd9.html
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/512e9d1b2ccc1a188618bfb8.html
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/40043130296b7798a9018eea.html
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/67186ca74e1b0e94d1435802.html
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/5991e5ef9a17b737acafd539.html
http://hi.baidu.com/newcenturysun/blog/item/683c772707ab2c02918f9dc9.html
http://hi.baidu.com/newcenturysun/blog/item/db3da71be85d3e188618bf5a.html

如果沒有發現兩個不規則的7位字母的進程 你就可能中了那個8位隨機字母數字組合的病毒
可以參考如下文章
http://hi.baidu.com/newcenturysun/blog/item/2ad3d7cedcea3c0292457e2c.html
http://hi.baidu.com/newcenturysun/blog/item/76c1e41ffb59c4f4e0fe0bc6.html
http://hi.baidu.com/newcenturysun/blog/item/3f7b424e42983908b3de0596.html
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/4f43b02fa60ec3391f308921.html
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/ff17fa07495a3ccc7b8947ba.html
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/c14b171206b97850f819b885.html
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/230a82af1f6619cd7cd92a9d.html

使用金山毒霸的用戶可以參考：http://hi.baidu.com/litiejun/blog/item/479cdaed7d4ff84e78f055f0.html

綜合查殺方法：http://hi.baidu.com/litiejun/blog/item/479cdaed7d4ff84e78f055f0.html
如果不太熟悉手工查殺 那麼可以試試以下專殺

瑞星橙色八月專殺
下載地址http://it.rising.com.cn/Channels/Service/2006-08/1154786729d36873.shtml

金山AV終結者專殺
http://down.www.kingsoft.com/db/download/othertools/DubaTool_AV_Killer.COM
http://duba-011.duba.net/duba/kavtools/DubaTool_AV_Killer.COM
http://down.www.kingsoft.com/db/download/othertools/DubaTool_AV_Killer.COM

江民社區專殺（民間版）
【06-16更新】隨機七、八位數病毒專殺！輕鬆解決！
http://forum.jiangmin.com/dispbbs.asp?boardID=2&ID=483589&page=1

安天實驗室專殺（官方版）
http://www.antiy.com/about/news/20070616.htm

在使用專殺殺毒後我們還需要作一些後續的恢復系統的工作
一般恢復系統工作步驟如下
1.恢復IFEO 映像劫持
可以使用autoruns這個軟件 http://www.skycn.com/soft/17567.html
由於這個軟件也被映像劫持了 所以我們要把他改個名字
打開這個軟件後 找到Image hijack (映像劫持）
刪除除了Your Image File Name Here without a pathSymbolic Debugger for Windows 2000 Microsoft Corporation c:/windows/system32/ntsd.exe 以外的所有項目
也可以使用空指針的IFEO映像劫持修復工具
http://www.mopery.cn/mopery/IFEO重定向劫持修復工具.exe
2.恢復顯示隱藏文件
把下面的 代碼拷入記事本中然後另存爲1.reg文件
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]
"RegPath"="Software//Microsoft//Windows//CurrentVersion//Explorer//Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

雙擊1.reg把這個註冊表項導入
3.恢復安全模式
下載sreng
http://www.kztechs.com/sreng/download.html
打開sreng
系統修復 高級修復 點擊修復安全模式 在彈出的對話框中點擊是
4..最後也是最重要的 就是刪除各個分區下面的autorun.inf和7位或者8位隨機數字母的exe
注意：一定不要雙擊 也不能右鍵打開 一定用winrar刪除

對於下載的木馬我們需要用殺毒軟件全盤殺毒或者到論壇求助
希望大家能夠針對自己的情況參考如上所述的專殺和手工查殺方法順利幹掉可惡的病毒！！！