读者来信:这两天我的系统不知道是什么原因,常常会不定时地弹出一个Limit计时器,倒数15分钟就自动关机。其间任务管理器和注册表编辑器都打不开,杀毒软件也查不出是什么病毒。冲击波、震荡波的专杀工具我也用了,同样没有解决问题。
最后没有办法了,只得重装操作系统。可是每次重装后又出现倒计时,请问《电脑报》的安全专家,是什么原因造成15分钟倒计时关机的?为什么重装系统后又很快出现了?
安全专家:从读者来信中我们知道,他碰到了15分钟倒计时关机的情况,这是因为操作系统受到了“五月莉娜”计算机病毒的侵害。“五月莉娜”病毒因为很多人对它都不甚了解,网上也只有很少的介绍,所以用户很难找到它的清除方法,更不用说有什么专杀工具可以使用。
一旦中了“五月莉娜”病毒,系统目录中的一些重要文件就会被替换,比如任务管理器、注册表管理器、系统配置程序,以及命令提示符等等。其实该病毒还是属于现在非常流行的闪存盘病毒这一个大类,通过闪存、移动硬盘等移动设备来进行传播。
不过本报第31期讲的闪存盘病毒通用解决方案在这里就不完全有用了,因为该病毒除了可以利用移动设备进行传播外,还可以利用网页木马等其他方式来进行传播。再加上其他磁盘目录里面“五月莉娜”残留的病毒存在,因此用户很容易在重新安装系统后再次被感染。
另外,“五月莉娜”病毒和其他的闪存盘病毒还有所差别的是,该病毒并不会在右键菜单多出一个“Auto”命令,因此也很难让用户发现隐藏在该目录下的病毒文件。WWW.ItCompuTEr.cOM.cN正是这样的原因造成了上面那位读者多次重装系统,才勉强将病毒从系统成功清除。
“五月莉娜”完全清除方案
方法一:菜鸟清除法
首先重新安装系统,完成后不要立即打开任何磁盘。点击开始菜单中的“运行”命令输入“CMD”,然后在弹出的命令提示符窗口中执行“attrib autorun.inf -s -h -r”,这样做是为了去除该文件的隐藏等属性内容。
最后再在窗口中执行“del autorun.inf”和“del limit.exe”就可以了(图1)。需要特别注意的是,对所有的磁盘分区都要这样操作,要不然病毒又会自动感染其他的磁盘分区。
方法二:老鸟操作法
首先重新启动系统(该方法不用重装系统),并按F8进入安全模式。接着利用《冰刃》等安全工具删除所有磁盘分区下的autorun.inf和Limit.exe等病毒文件,删除c:\windows下的regedit.exe文件夹和图标为批处理的一个可执行文件MSCONFIG.EXE(图2)。
删除c:\windows\system32下的cmd.exe文件夹、command.exe文件夹、taskmgr.exe文件夹,删除c:\windows\system32\dllcache下生成的cmd.com、cmd.exe、regedit.com、regedit.exe、command.com、command.exe等文件夹,这种对系统重要文件进行替换正是很多系统工具无法使用的原因。
再打开注册表编辑器,先在启动项中删除空白的项目MSCONFIG.EXE,接着在注册表中分别搜索msconfig、Limit等关键字,然后将查找到的所有可疑的注册表项目和它对应键值统统删除。
然后从其他干净的操作系统中复制regedit.exe、taskmgr.exe、msconfig.exe、cmd.exe等文件到系统中,再利用Copy命令复制到以前的位置,例如copy c:\cmd.exe c:\winedows\system32。
最后重新正常启动后发现系统已经恢复正常,有时系统会跳出Windows修复程序,将系统安装盘插入到光驱后即可自动修复。
编辑观点:安装闪存病毒防御软件
由于“五月莉娜”病毒清理起来还是比较棘手的,所以这里用户可以根据自己的实际情况来选择一种清除方法。如果你对系统操作不熟,就通过第一种方法来解决;如果你对系统操作很熟练,第二种方法应该更适合你。
此外,还需要为操作系统安装MS06014和MS07017两个漏洞补丁。建议安装闪存病毒防御安全工具。例如《Autorun病毒防御者》(下载地址:http://www.cpcw.com/bzsoft/),具体工具选择可以参考《电脑报》第32期《4款闪存杀毒软件综合能力测试》。
电脑蓝屏的原因之一
我是一个超级电影迷,最喜欢在网上看电影,可是最近家中的电脑莫名其妙开始闹脾气,玩起了蓝屏、死机。开始以为是正常的系统蓝屏,可是重启后没过多久情况依旧,不仅如此,过了几天后,我的电脑就几乎半瘫了,杀毒软件和安全软件都不能使用了。我怀疑是病毒造成的,可我不清楚这是什么病毒,这种病毒是怎么进入到我电脑的?
医生:根据你的描述,这应该是近段时间比较流行的“Win32.Troj.DelfT.zy.92215”病毒,又名“蓝屏使者92215”,这种病毒和“AV终结者”、“下载者”等病毒类似,通过恶意网站网页传播感染,只要你浏览了带病毒的网页,它会在用户不知晓的情况下连接http://j**st.y******7.com,在指定的网址下载大量各类其他病毒及木马,你的电脑经常突然蓝屏、死机,应该就是它的“杰作”了。
小提示:在“蓝屏使者”下载的木马中,大部分具备盗号和系统破坏等功能,因此,如果此病毒进入电脑系统,它将带来对系统的严重破坏以及造成用户虚拟财产的损失。
其实这个病毒主要利用你们这些网虫喜欢看大片的心理,在最热闹的电影下载页面利用页面漏洞、跨站攻击、后台管理员破解、数据库路径截获等手段来攻陷网络,并最终达到在其目标中写入木马的效果。在你们平时浏览或下载时无形中在后台直接下载编写好的木马病毒,当病毒被挟带在影视影片中运行时,则自动激活本身原体,导致你们的电脑出现蓝屏、死机。
蓝屏是怎么造成的
病人:谢谢医生的解答,我现在知道引起我电脑蓝屏的罪魁祸首是“蓝屏使者”这款病毒了,但是我还想知道它是怎么造成我的电脑蓝屏的?
医生:“蓝屏使者”运行过程较熊猫烧香、AV终结者来说要简单。病毒在运行后首先会在用户电脑中的系统目录“program files\Common Files\Microsoft Shared\MSINFO\”目录下释放临时备份文件System6.tmp及副本System36.jup(图1)。
当以上两个文件生成后,就会再重新释放一个System6.ins文件添加到系统目录ProgramFiles\Internet Explorer\shellexecute hooks\下,而注册表的启动项ShellExecuteHooks中就会显示相对应的键值,蓝屏病毒就是利用此项让病毒自启动的(图2)。
当完成上述释放后,病毒会修改注册表将自身添加到自动启动项目中,然后将它的DLL注入到explorer.exe进程中,实现跟随系统启动的目的。这样当我们这些中毒的网虫每次启动计算机时,该病毒程序就会自动启动。
该病毒本身对用户的操作系统破坏力不大,但中招的计算机却会在用户不知情的情况下下载各种病毒及木马感染用户操作系统,这时系统就会经常蓝屏、死机,除此之外很多木马还趁机盗取用户的游戏账号、网银密码、股市信息及个人隐私,其危害不容小视,也不可不防。
彻底清除“蓝屏使者”
病人:“蓝屏使者”实在太让人头痛了,尤其像我这样喜欢在网上看电影的网虫来说,一个接一个的病毒让我怕到一般的网页都不敢打开了,现在又来了个能把电脑玩死的“蓝屏使者”,那我以后不是连看电影的爱好都要被抹杀了呀!要怎样才能清除“蓝屏使者”病毒呢?
医生:“蓝屏使者”清除的方法比较简单,升级当前计算机中所用的杀毒软件到最新病毒库进行全面查杀即可,也可以利用手工的方式进行查杀。操作步骤如下:
第一步:进入系统目录C:\program files\Common Files\Microsoft Shared\MSINFO\文件夹下,删除System6.tmp及System36.jup两个文件。
第二步:进入系统目录C:\ProgramFiles\Internet Explorer\shellexecutehooks\下,找到System6.ins文件并将它删除。
第三步:利用Procexp软件将系统中陌生(以及除系统本身外)的进程结束掉(还可以利用其他安全软件)(图3)。
小提示:Explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:\Windows”目录,除此之外则为病毒。
第三步:最后用《360安全卫士》配合Ewido来清除系统中剩余下来的病毒以及木马就可以了。
小提示:用户还需要警惕“恐怖鸡感染号”(Win32.LwyMum.h.147456)。这是一个感染型病毒,该病毒运行后会自动删除病毒源文件,下载海量病毒文件,在各盘生成AUTO病毒。
总结
现在的攻击手段都由单一化转为多元化,攻击者利用网站挂”病毒+电影激活病毒+病毒后续下载的方式”进行攻击,单靠杀毒软件已经不能满足安全的需要,所以平时要常备一些安全小工具,并了解及掌握最新病毒的清除方法。
电脑中了zpx520怎么办
最近很多网友举报http://www.zpx520.com散播病毒,用户中招后极难清除,反复感染。整个浏览器都被劫持,严重影响系统的正常运行。
恶意链接:http:// www.zpx520.com/0.htm
投诉人数:519
危害程度 ★★★★★
IP地址: 60.190.118.7
树树随后展开调查,输入http://www.zpx520.com 后出现403错误,该页无法显示,然而这往往是流氓网站惯用的“障眼法“。直接敲入www.zpx520.com/0.htm 防毒软件报警,查看源代码发现调用了http://q.zpx520.com/1.htm ,于是来到该页又发现病毒,查看源码调用了http://w.zpx520.com/0.exe,下载后杀毒软件检测为Win32.HTML.Autoruner。
深入调查后发现感染此病毒后会劫持IE浏览器并实施ARP攻击,致使打开任何网页前都会先加载该恶意页面重新被挂马。这也就是为什么很多读者反映每开启一个网页杀毒软件都会报警的原因。
解决方法:处于局域网中的用户先安装MS07-017补丁,屏蔽此域名及IP地址。然后断开各自网线,进入安全模式,清空临时文件夹用杀毒软件全盘查杀,再用360安全卫士全面修复系统及浏览器。
本周其他流氓网站
12706.com
恶意链接:http://down.12706.com/soft/Install.exe
投诉人数:340
危害程度:★★★★
IP地址:222.73.246.50
该网站是流氓软件仓库,首页无法访问却在网站目录中存放流氓软件。
解决方法:在IE受限访问地址中屏蔽此域名及IP地址,使它无法向此地址更新恶意插件。
新人类影院
恶意链接:http://laji.xrlyy.com
举报人数:269
危害程度:★★★☆
IP地址:60.175.162.13
利用MS07-017系统漏洞,攻击系统。同时弹出大量广告窗口。
解决方法:安装MS07-017补丁,屏蔽此域名及IP地址。删除IE临时文件夹,进入安全模式用杀毒软件查杀。
From:http://www.itcomputer.com.cn/Article/Network/201309/413.html