[教學] 關於「美女遊戲.exe」病毒處理方法, 描述:

f66666602

知識庫編號： RSV0704690
內容分類： 蠕蟲病毒
適用產品分類：瑞星殺毒軟件.單機版.標準版.2007
瑞星殺毒軟件.單機版.升級版.2007
瑞星殺毒軟件.單機版.下載版.2007 關鍵詞： 美女遊戲;Worm.Pabug

　　『故障現象』計算機感染了此類病毒後，瑞星殺毒軟件、瑞星防火牆軟件、瑞星卡卡上網安全助手等都無法使用。並且此病毒禁用了註冊表編輯器和系統配置實用程序等命令，同時還會修改系統Hosts文件，使計算機無法訪問反病毒網站，並且導致用戶無法升級殺毒軟件。瑞星命名該病毒為Worm.Pabug.*（其中*為變種名稱）。本文提供針對此病毒的手動處理方法。
　　
【中毒症狀】可能存在下面一種或多種症狀：
1、無法打開瑞星主程序、瑞星監控，無法升級；
2、部分與瑞星相關的網頁無法打開，如產品升級頁面、用戶註冊頁面、卡卡安全助手頁面等等，提示「無法顯示該頁」；
3、很多反病毒軟件、反流氓軟件以及檢測工具都無法使用，包括regedit、msconfig、卡卡上網安全助手、超級兔子、360安全衛士、AVP、IceSword等等；
4、無法顯示隱藏文件；
5、hosts文件內容被惡意篡改，且文件屬性為隱藏；
6、系統時間被修改。
【處理方法】




情況1：病毒已被殺毒軟件清除，只是未解除應用程序的劫持，處理方法如下：


這種情況下，當運行被劫持的程序時會提示（如圖 1），下圖以運行瑞星殺毒軟件程序為例：

圖 1
步驟1、把卡卡上網安全助手主程序（默認路徑C:\Program Files\Rising\AntiSpyware\Ras.exe）複製到其他目錄，把複製後的文件改名，運行改名後的卡卡主程序，打開「系統啟動項管理」－「應用程序劫持項」，把所有的勾選項都取消（如圖 2）。
步驟2、打開卡卡上網安全助手主程序「IE及系統修復」頁面，如果檢測到Hosts項有異常，則點擊「修復」按鈕。

圖 2
情況2：病毒正在系統中運行，沒有被清除的情況，則處理方法如下：
步驟1、如果已經安裝有卡卡上網安全助手，則直接跳到步驟3，如果沒有安裝請做步驟2；
步驟2、
① 顯示隱藏文件。如果註冊表被病毒修改，則按照瑞星知識庫文章處理，知識庫編號RSQ0607685
http://csc.rising.com.cn/KnowledgeBase/detailInfo.aspx?Action=ViewInfo&InfoID=711&Channel=RSQ

②修復\%windows\%system32\Drivers\etc\Hosts文件
③訪問
http://tool.ikaka.com/
,下載並安裝卡卡上網安全助手
步驟3、
① 把卡卡上網安全助手主程序（默認路徑C:\Program Files\Rising\AntiSpyware\Ras.exe）複製到其他目錄，把複製後的文件改名，運行改名後的卡卡主程序，打開「系統啟動項管理」－「應用程序劫持項」，把所有的勾選項都取消（如圖 1）
②打開「系統啟動項管理」－「登錄項」，取消勾選
病毒加載的自啟動項

注意：如果您不確認哪些項目是病毒加載的啟動項，建議不要隨意取消勾選，以免因為誤操作導致系統異常。
步驟4、打開瑞星殺毒軟件主程序,並升級到最新版,然後全盤查殺病毒。
根據情況，有時重新啟動計算機後，病毒程序會依據啟動項的鍵值被重新加載，從而可能會恢復部分應用程序劫持項。此時需要重新利用卡卡上網安全助手取消應用程序劫持後再升級。
以上的方案適用於很多靠「應用程序劫持」來實現自己運行的病毒。

[ 本帖最後由 f66666602 於 2007-7-6 18:06 編輯 ]

多多

我之前好像有中過這個:(