篇一:w32.downadup.b蠕虫病毒详解及清除攻略
w32.downadup.b蠕虫病毒详解及清除攻略
最近经常到几个工厂走动,发现有的局域网都感染受了W32.Downadup.B蠕虫病毒。杀毒软件可以查杀,但是都不彻底,一边清除,一边又继续生成,让人不胜其烦。发这篇日志,就是让今后遇到该问题的朋友能够舒心点。
W32.Downadup.B可利用Microsoft Windows服务器服务RPC的远程代码执行漏洞进行传播,也可利用弱密码保护的网络共享进行感染。W32.Downadup.B会在硬盘上新建autorun.inf文件,若用户进入硬盘空间,恶意代码便会自动运行。同时,它还会监控是否有其他可移动存储设备连接到已感染病毒的计算机上。一旦连接,此蠕虫病毒会在这个新硬盘空间建立一个autorun.inf文件。此外,W32.Downadup.B还会监测计算机发出的DNS请求中是否有某些特定字符串,并以“超时,访问不成功”的方式阻止计算机访问某些网站(如安全更新网站)。这意味着受感染的计算机可能无法安装补丁或更新杀毒软件,从而无法清除病毒威胁。W32.Downadup.B病毒介绍
Worm:W32/Downadup.AL [F-Secure], Win32/Conficker.B [Computer Associates], W32/Confick-D [Sophos], WORM_DOWNAD.AD [Trend], Net-Worm.Win32.Kido.ih [Kaspersky]蠕虫
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
W32.Downadup.B是蠕虫病毒,通过攻击 Microsoft Windows Server Service RPC Handling 远程编码执行漏洞 (BID 31874) 进行传播。 它还尝试传播到弱密码保护的网络共享,并阻止访问与安全相关的网站。W32.Downadup.B病毒会修改 tcpip.sys 文件。
一旦执行,蠕虫会检查下列注册表项是否存在,如果不存在将创建这些注册表项:* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"
然后,它会将其自身复制为下列文件中的一个或多个:
* %ProgramFiles%\Internet Explorer\[RANDOM FILE NAME].dll
* %ProgramFiles%\Movie Maker\[RANDOM FILE NAME].dll
* %System%\[RANDOM FILE NAME].dll
* %Temp%\[RANDOM FILE NAME].dll
* C:\Documents and Settings\All Users\Application Data \[RANDOM FILE NAME].dll它创建具有下列特征的新服务:
服务名称:[PATH TO WORM]
显示名称:[WORM GENERATED SERVICE NAME]
启动类型:自动
接下来通过创建下列的注册表项注册为服务:
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\Parameters\"ServiceDll" = "[PATH TO WORM]"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"Type" = "4"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"Start" = "4"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"ErrorControl" = "4"
注意:[WORM GENERATED SERVICE NAME] 表示从下列单词列表中选取的两个单词组合:* Boot * Center * Config * Driver * Helper * Image *
Installer * Manager * Microsoft * Monitor * Network * Security * Server * Shell * Support * System * Task * Time * Universal * Update * Windows
该蠕虫会创建下列注册表项,以便在每次启动 Windows 时运行:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM NAME]" = "rundll32.exe "[RANDOM FILE NAME].dll", ydmmgvos"
接下来,蠕虫会删除所有用户创建的系统还原点。
然后蠕虫运行一个命令,通过禁用 Windows Vista TCP/IP 自动微调加快对受感染计算机的网络访问,从而加速传播。
蠕虫还修改下列注册表项,以便更快速地传播到整个网络:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\ "TcpNumConnections" = "00FFFFFE"
接下来,蠕虫会结束下列两项 Windows 服务:
* 后台智能传输服务 (BITS)
* Windows 自动更新服务 (wuauserv)
然后蠕虫修改下列文件,以禁用在 Windows XP SP2 中引入的半开放连接限制:%System%\drivers\tcpip.sys
它还尝试通过修改下列注册表值在系统上将自身隐藏:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0"
下一步,蠕虫会枚举可用的 ADMIN$ 网络共享资源。 然后,它枚举这些共享资源中的用户,并尝试使用下列密码之一以现有用户的身份建立连接:
请注意:根据账户锁定设置,蠕虫的多次身份验证尝试可能会导致这些账户被锁定。如果建立成功,则蠕虫将自身作为下列文件复制到共享:
[SHARE NAME]\ADMIN$\System32\[RANDOM FILE NAME].dll
然后在远程服务器上创建计划的作业,以便每日运行下列命令组合:
"rundll32.exe [RANDOM FILE NAME].dll, [RANDOM PARAMETER STRING]"
接下来,蠕虫连接到下列 URL 以获取受感染计算机的 IP 地址:
*
* http://getmyip.co.uk
* http://checkip.dyndns.org
蠕虫在本地网络网关设备上创建防火墙规则,以允许远程攻击者连接到受感染计算机并通过随机端口从受感染计算机的外部 IP 地址进行下载。
然后蠕虫以下列格式通过随机端口在受感染计算机上创建 HTTP 服务器:
http://[COMPROMISED COMPUTER EXTERNAL IP ADDRESS]:[RANDOM PORT]
然后将此 URL 发送到远程计算机。
接下来蠕虫尝试通过攻击下列漏洞进行传播,以便远程计算机连接到上述命名 URL 并下载该蠕虫。
Microsoft Windows Server Service RPC 处理远程编码执行漏洞 (BID 31874)蠕虫尝试将自身作为下列文件复制到任意可访问的映射驱动器:
%DriveLetter%\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[RANDOM FILE NAME].dll
蠕虫还尝试在任意可访问的映射驱动器中创建下列文件,以便在访问驱动器时执行:%DriveLetter%\autorun.inf
它还监控受感染计算机上的所有其他新设备,并尝试以同样的方式感染这些新添加的设备。
蠕虫获取大量的 Window API 调用以进行传播,并使其难于删除。
该蠕虫还获取 NetpwPathCanonicalize API,并在调用该 API 时,它会检查 PathName 的长度以避免进一步攻击漏洞。如果 PathName 包含该蠕虫原来具有的签名,则 PathName 可能包含加密的 URL,并且蠕虫通过此 URL 可以下载文件并执行该文件。
蠕虫在内存中修补下列 API:
* DNS_Query_A
* DNS_Query_UTF8
* DNS_Query_W
* Query_Main
* sendto
蠕虫监控向域发出的包含下列任意字符串的 DNS 请求,并阻止访问这些域以便显示网络请求超时:
* ahnlab * arcabit * avast * avg. * avira * avp. * bit9. * ca. * castlecops * centralcommand * cert. * clamav * comodo * computerassociates * cpsecure * defender * drweb * emsisoft * esafe * eset * etrust * ewido * f-prot * f-secure * fortinet * gdata * grisoft * hacksoft * hauri * ikarus * jotti * k7computing * kaspersky * malware * mcafee * microsoft * nai. * networkassociates * nod32 * norman * norton * panda * pctools * prevx * quickheal * rising * rootkit * sans. * securecomputing * sophos * spamhaus * spyware * sunbelt * symantec * threatexpert * trendmicro * vet. * virus * wilderssecurity * windowsupdate
它联系下列站点之一以获取当前日期:
* baidu.com * google.com * yahoo.com * msn.com * ask.com * w3.org * aol.com * cnn.com * ebay.com * msn.com * myspace.com然后检查受感染计算机上的日期是否为最新日期,即 2009 年 1 月 1 日。
然后蠕虫以下列格式基于该日期生成域名列表:
[GENERATED DOMAIN NAME].[TOP LEVEL DOMAIN]
注意: [TOP LEVEL DOMAIN] 表示下列顶级域:
* .biz
* .info
* .org
* .net
* .com
* .ws
* .cn
* .cc
注意: [GENERATED DOMAIN NAME] 表示蠕虫创建的域名,例如基于 2009 年 1 月 1 日生成的下列域名列表示
然后蠕虫基于生成的域名联系下列远程位置:
http://[GENERATED DOMAIN NAME]。[TOP LEVEL DOMAIN]/search?q=%d
然后它从此远程位置下载更新的自身副本。
蠕虫还会与其他受感染计算机通信,通过对等连接机制接收并执行文件。这些文件需要恶意软件的作者植入蠕虫的网络中。
W32.Downadup.B病毒专杀方法
1.安装微软安全更新MS08-067,安装地址:
/china/technet/security/bulletin/ms08-067.mspx
2.禁用系统还原(WindowsMe/XP)
如果正在运行WindowsMe或WindowsXP,建议您暂时关闭系统还原功能。此功能由系统默认为启用状态,一旦计算机中的文件遭到破坏,WindowsMe/XP可使用此功能还原文件。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法清除SystemRestore文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
此外,病毒扫描也可能在SystemRestore文件夹中检测到威胁,即使您已清除此威胁。注意:当您完全完成杀毒步骤,并确定威胁已清除后,请按照上述文档中的说明重新启用系统还原。
3.更新病毒定义。
4.查找并终止服务
(1)单击“开始”>“运行”。
(2)键入services.msc,然后单击“确定”。
(3)查找并选择检测到的服务。
(4)单击“操作”>“属性”。
(5)单击“停止”。
(6)将“启动类型”更改为“手动”。
(7)单击“确定”,然后关闭“服务”窗口。
(8)重新启动计算机。
5.根据需要,查找并删除任务计划
(1)单击“开始”>“程序文件”。
(2)单击>“附件”。
(3)单击>“系统工具”。
(4)单击>“任务计划”。
(5)找到并选择任务计划。
(6)单击删除此项目
(7)单击是并关闭“任务计划”窗口。
(8)重新启动计算机。
6.运行全面系统扫描
7.从注册表中删除键值
(1)单击“开始”>“运行”。
(2)键入regedit,
(3)然后单击“确定”。
(4)导航至下列注册表项并将其删除:
*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"
[RANDOMNAME]"="rundll32.exe"[RANDOMFILENAME].dll",ydmmgvos"
*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"dl"="0"*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\ "dl"="0"
*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"ds"="0"*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\ "ds"="0"
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
[WORMGENERATEDSERVICENAME]\"DisplayName"="[WORMGENERATEDSERVICENAME]"*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
[WORMGENERATEDSERVICENAME]\"Type"="4"
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
[WORMGENERATEDSERVICENAME]\"Start"="4"
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
[WORMGENERATEDSERVICENAME]\"ErrorControl"="4"
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
[WORMGENERATEDSERVICENAME]\"ImagePath"="%SystemRoot%\system32\svchost.exe-k*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
[WORMGENERATEDSERVICENAME]\Parameters\"ServiceDll"="[PATHTOWORM]"
(5)根据需要,将下列注册表项恢复到其以前的值:
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\ "TcpNumConnections"="00FFFFFE"
*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ Advanced\Folder\Hidden\SHOWALL\"CheckedValue"="0"
(6)退出注册表编辑器。
注意:如果该风险在HKEY_CURRENT_USER下面创建或修改了注册表子项或注册表项,则其可能会为受感染的计算机上的每个用户创建这些项。若要删除或恢复所有注册表子项或注册表项,请使用各个用户帐户登录,然后检查上面所列的所有HKEY_CURRENT_USER项。
篇二:Mydoom邮件蠕虫病毒查杀
W32.Mydoom.M@mm邮件蠕虫病毒
一、基本介绍:
类型: Worm (蠕虫病毒)
感染长度: 28,800 bytes
受感染的系统: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
W32.Mydoom.M@mm 是群发邮件蠕虫,它使用自己的 SMTP 引擎通过电子邮件传播,该蠕虫使用 UPX 打包。
附件名称: Varies with .cmd, .bat, .com, .exe, .pif, .scr, or .zip file extension.
运行端口: 1034/tcp
二、W32.Mydoom.M@mm 运行时会执行的操作
1. 将自身复制到:
* %Windir%\java.exe
* %Windir%\services.exe
* C:\Document and Settings\user\Local Setting\Temp\services.exe * %systemroot%\system32\explroer.exe
* %systemroot%\system32\systen32.exe
* %systemroot%\system32\systen.exe
* %systemroot%\system32\svch0s.exe
* %systemroot%\system32\Such0st.exe
注意:: %Windir%是一个变量。 蠕虫会找到 Windows installation 文件夹,并将自身复制到其中。 默认情况下,此文件夹为C:\Windows or C:\Winnt
2.病毒会创建定时任务计划
"%systemroot%\Tasks\At*.job"
3. 它会创建以下注册表值,以便在Windows系统启动时运行:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run JavaVM="%Windows%\java.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Services" = %WinDir%\SERVICES.EXE
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run “Services” = C:\Docume~1\user\Locals~1\Temp\services.exe
HKEY_LOCAL_MACHINE\System\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy “Services” = “C:\Documents and Settings\User\Loacl Setting\temp\services.exe”或者“Services” = “C:\windows\services.exe”
HkEY_USERS\Default\Software\Microsoft\Windows\ShellNoRoam\MoICache\下有两个键值:C:\Document and Settings\User\Local Setting\Temp\Services.exe和 C:\Windows\services.exe
HKEY_CURRENT_USER\Software\Microsoft\Daemon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Daemon
HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\Acmru\5603
4.创建以下文件:
%Temp%zincite.log
%Temp%[randomly named file].log
5. 试图在所有包含以下字符的文件夹下创建其自身的副本:
* USERPROFILE
* yahoo.com
6. 在具有下列扩展名的文件中搜索电子邮件地址:
*.doc
*.txt
*.htm
*.html
* .hlp
*.tx*
*.asp
*.ht*
*.sht*
*.adb
*.dbx
*.wab
三、运行示例 当蠕虫找到一个打开的Outlook窗口时它会向找到的电子邮件地址发送电子邮件。 此类电子邮件有以下特征:
发件人:可能是经过伪装的发件人地址
主题:
下列之一:
* say helo to my litl friend
* click me baby, one more time
* hello
* error
* status
* test
* report
* delivery failed
* Message could not be delivered
* Mail System Error - Returned Mail
* Delivery reports about your e-mail
* Returned mail: see transcript for details
* Returned mail: Data format error
正文:
电子邮件正为中所包含的内容会根据数种文本选项而不同。 {}括号内的句子与词以"|"分开:
* Dear user {<recipient's email address>|of <recipient's email domain>},{ {{M|m}ail {system|server} administrator|administration} of
<recipient's email domain> would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|:|,}}|||||}
{We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account {has been|was} used to send a {large|huge} amount of
{{unsolicited{ commercial|}|junk} e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week.
{We suspect that|Probably,|Most likely|Obviously,} your computer {had been|was} {compromised|infected{ by a recent v{iru}s|}} and now
{run|contain}s a {trojan{ed|}|hidden} proxy server.
{Please|We recommend {that you|you to}} follow {our |the |}instruction{s|} {in the {attachment|attached {text |}file} |}in order to keep your computer safe.
{{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day}, {<recipient's email domain> {user |technical |}support team.|The <recipient's email domain> {support |}team.}
* {The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}:
Your message {was not|could not be} delivered because the destination {computer|server} was
{not |un}reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configura- tion parameters.
Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now.
* Your message {was not|could not be} delivered within <random number> days:
{{{Mail s|S}erver}|Host} <host used to send the email>} is not responding.
The following recipients {did|could} not receive this message: <<recipient's email address>>
Please reply to postmaster@{<sender's email domain>|<recipient's email domain>}
if you feel this message to be in error.
The original message was received at [current time]{
| }from {<sender's email domain> ]|{<host used to send the email>]|]}} ----- The following addresses had permanent fatal errors ----- {<<recipient's email address>>|<recipient's email address>}
{----- Transcript of {the ||}session follows -----
... while talking to {host |{mail |}server ||||}{<recipient's email domain>.|<host used to send the email>]}:
{>>> MAIL F{rom|ROM}:[From address of mail]
<<< 50$d {[From address of mail]... |}{Refused|{Access
d|D}enied|{User|Domain|Address} {unknown|blacklisted}}|554 <<recipient's email address>>... {Mail quota exceeded|Message is too
large}
554 <<recipient's email address>>... Service unavailable|550 5.1.2 <<recipient's email address>>... Host unknown (Name server: host not found)|554 {5.0.0 |}Service unavailable; ] blocked using
{relays.osirusoft.com|bl.spamcop.net}{, reason: Blocked|}
Session aborted{, reason: lost connection|}|>>> RCPT To:<<recipient's email address>>
<<< 550 {MAILBOX NOT FOUND|5.1.1 <<recipient's email address>>... {User unknown|Invalid recipient|Not known here}}|>>> DATA
{<<< 400-aturner; %MAIL-E-OPENOUT, error opening !AS as output |}{<<< 400-aturner; -RMS-E-CRE, ACP file create failed
|}{<<< 400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded |}<<< 400}|}
The original message was included as attachment
* {{The|Your} m|M}essage could not be delivered
注意:
* <recipient's email address> is the email address of the person receiving the email.
* <recipient's email domain> is the domain of the receiver's email. For instance, if the email address is john_doe@example.com, the domain is "example.com."
* <sender's email domain> is the domain of the sender's email. For instance, if the email address is john_doe@example.com, the domain is "example.com."
* <host used to send the email> is name of the email server used by the infected computer. The worm gathers this information from the infected computer's registry.
四、运行中会产生的后缀 附件: (下列之一)
* readme
* instruction
* transcript
* letter
* file
* text
* attachment
* document
* message
蠕虫总是会使用下面后缀中的一个:
* cmd
* bat
* com
* exe
* pif
* scr
该蠕虫会避开包含下列字符串的电子邮件地址:
* mailer-d
* spam
* abuse
* master
* sample
* accou
* privacycertific
* bugs
* listserv
* submit
* ntivi
* support
篇三:蠕虫病毒删除法
有史以来第一次遭遇如此顽固的病毒,网上找了找,没有统一的名字,瑞星称
Trojan.PSW.QQPass.pqb 病毒,我就叫它 sxs.exe病毒吧
装系统后,双击分区盘又中了,郁闷,瑞星自动关闭无法打开,决定手动将其删除
现象:系统文件隐藏无法显示,双击盘符无反映,任务管理器发现 sxs.exe 或者 svohost.exe (与系统进程 svchost.exe 一字之差),杀毒软件实时监控自动关闭并无法打开。
手动删除“sxs.exe病毒”方法
在以下整个过程中不得双击分区盘,需要打开时用鼠标右键——打开
一、关闭病毒进程
Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉
二、显示出被隐藏的系统
文件运行——regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder \Hidden\SHOWALL,将CheckedValue键值修改为1 这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。
(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。 在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
三、删除病毒
在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。
四、删除病毒的自动运行项
打开注册表 运行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
下找到 SoundMam 键值,可能有两个,删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的
最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe
重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。
五、后续
杀毒软件实时监控可以打开,但开机无法自动运行
最简单的办法,执行杀毒软件的添加删除组件——修复,即可
补充:发现许多朋友都碰到这个病毒,回头来将本文重新补充了下,希望对各位有用。 2006-8-19
2006-8-23 补充更新
瑞星已出了专杀工具,不幸中此病毒的朋友可以去下面地址,下载“橙色八月专用提取清除工具” 点击此处下载 “橙色八月专用提取清除工具”
引用
说明:
8月初出现了大量针对主流杀毒软件编写的恶性病毒。它们除了具有常见危害外,还会造成主流杀毒软件和个人防火墙无法打开,甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。
瑞星“橙色八月专用提取清除工具”专门针对此类病毒编写,可清除“QQ通行证
(Trojan.PSW.QQPass)”、“传奇终结者(Trojan.PSW.Lmir)”、“密西木马(Trojan.psw.misc)”等病毒及其变种。没有安装瑞星杀毒软件的用户可免费下载使用。
注:建议您重新启动计算机,按住F8键,选择“安全模式”,进入后使用此工具杀毒。
附:病毒列表上的病毒主要针对以下安全软件
卡巴斯基
Symantec AntiVirus
瑞星
江民杀毒软件
天网防火墙个人版
噬菌体
木马克星