“灯泡男”“神奇小子”(Win32.WizardBoy.a)病毒完整解决方案_病毒查杀

“前些天,电脑中了熊猫烧香,刚把‘国宝'赶走没几天,今天上网下载了个小工具后,机器运行又开始变慢,有几个程序图标变成‘帅哥'头像,眼睛比较突出象灯泡的样子,估计又中病毒了,真是郁闷!”用户陈先生无奈地表示。

  金山毒霸反病毒专家戴光剑指出,这是一个名为“神奇小子”(Win32.WizardBoy.a)的感染型病毒,也有人叫“灯泡男”或“舞男头”。该病毒可感染扩展名为exe和scr的可执行文件,并通过局域网传播,当网络可用时,病毒还将从网上下载其他病毒。

  据金山毒霸的专家介绍,“灯泡男”与“熊猫烧香”从病毒行为上讲非常相似,虽然“灯泡男”暂时还没有大规模爆发,但用户仍然需要提高警惕。下面是毒霸的专家对这个病毒的详细分析,希望对用户有所帮助。

  “神奇小子”(Win32.WizardBoy.a)病毒行为分析

  1、释放病毒体文件到C:/Program Files/Internet Explorer/icwtutor.com,并释放病毒dll文件到C:/Program Files/Internet Explorer/PLUGINS/nppd32.dat,若含有被感染后的文件,则创建正常文件的进程并运行。

  2、添加如下注册表项:

  [HKLM/Software/Microsoft/Windows/CurrentVersion/Run]

  "Internet Explorer Server"="C:/Program Files/Internet Explorer/icwtutor.com"

  3、启动IE进程,将病毒文件nppd32.dat注入IE进程,从如下网址读取病毒下载地址,下载病毒,该网址是加密的。

  http://www.04080.com/vip/1.txt

  解密后的病毒地址如下,为多种网络游戏木马:

  http://www.04080.com/vip/mhxy.exe

  http://www.04080.com/vip/gezi.exe

  http://www.04080.com/vip/huaxia.exe

  http://www.04080.com/vip/wlwz.exe

  http://www.04080.com/vip/mlbb.exe

  http://www.04080.com/vip/datang.exe

  4、遍历本地磁盘,搜索所有.exe,.scr为扩展名的文件,并感染。

  5、尝试通过局域网写//C$//AutoExec.bat传播自身。如果被局域网远程感染成功,系统重启后,会自动运行autoexec.bat从而启动病毒。

  6、病毒感染后的文件变成如下图标

 
 

  处理方法:

  1. 重启系统,按F8,选择带网络连接的安全模式

  2. 进入金山毒霸的安装目录,直接执行update.exe,将杀毒软件升级到最新。

  3. 全盘扫描修复被感染的执行文件

  4. 删除病毒添加的注册表启动项HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run

  Internet Explorer Server--->C:/Program Files/Internet Explorer/icwtutor.com

  和文件C:/Program Files/Internet Explorer/icwtutor.com

  防护建议:

  1.建议至少每月一次通过Windows Update或金山毒霸的漏洞修复工具安装系统补丁;

  2.给系统管理员帐户设置足够复杂的管理员密码,安全的口令是字母、数字、特殊字符的组合,位数不少于7位。

  修改方法:在我的电脑上单击右键,选择管理,浏览到本地用户和组,在右边空格中找到administrator用户,单击右键,选择修改口令。

  3.通过控制面板,保持Windows防火墙是启用状态,或者确保金山网镖是启用状态,可以有效地阻挡病毒的入侵。

  4.关闭不必要的共享文件,方法是右键单击我的电脑,选择管理,浏览到共享文件夹,在右边窗格中停止不必要的共享文件夹。

时间: 2024-10-24 12:02:07

“灯泡男”“神奇小子”(Win32.WizardBoy.a)病毒完整解决方案_病毒查杀的相关文章

1980病毒完整解决方案_病毒查杀

"最近发现个奇怪的现象,我的系统时间总被改成1980年,改回来后电脑又自动改回去了.我问了朋友,说是主板电池没电了,我买了新电池装上也没搞定,昨天竟然发现QQ被盗了."用户张先生无奈地表示. 金山毒霸反病毒专家戴光剑表示,最近类似张先生的遭遇比较多,病毒篡改系统时间,因为修改后的时间都是1980年,所以很多网友称之为"1980病毒".病毒调整系统时间的目的是关闭杀毒软件的监控功能,然后在后台下载灰鸽子运行,这样,你的机器就同时中了1980和灰鸽子两个病毒.感染灰鸽子

fun.exe这个病毒在局域网如何有效的查杀

问题描述 fun.exe这个病毒在局域网如何有效的查杀 解决方案 解决方案二:http://download.csdn.net/detail/openeve/5017344fun.exedc.exesviq.exewin.exe专杀工具解决方案三:有用我去试试吧

多个IEXPLORE.EXE进程,专杀的完美解决方案_病毒查杀

这几天电脑中了病毒,c盘格式化重装了也不管用,把我郁闷的.一开机就出现IEXPLORE.EXE的进程,强行终止后一会又出现了,卡巴斯基杀了一遍没查出来,到网上转了好几圈,发现了这样的解决方案. 现象:          1.系统开机,没有启动IE的情况下,进程中有iexplore.exe运行,注意,是小写字母:      2.搜索该程序iexplore.exe,位于C:\WINDOWS\system32下面. 解决方案:          十有八九,你是中了 Trojan.PowerSpider

查杀rundllfromwin2000病毒的方法_病毒查杀

该程序原本系2000系统里的rundll.exe,被流氓恶意程序带着它改了名字到处乱转,就成了人见人恨东西了. 病毒表现为: IE主页被强制更改.系统不定期无原因自动重新启动.任务管理器中出现此进程等等. 查杀方法: 对于系统服务中出现WalALET的服务的,可以到注册表中删除,注册表位置: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WalALET] 描述:发送和接收局域网内部系统管理员或者"警报器"服务传递的消息. 显

蠕虫“艾妮”情况分析和解决方案_病毒查杀

国家计算机病毒应急处理中心通过对互联网的监测发现"艾妮"复合型病毒.该病毒通过微软Windows系统ANI(动态光标)文件处理的漏洞.感染正常的可执行文件和本地网页文件.发送电子邮件.和感染优盘及及移动存储介质等途径进行传播,病毒自我传播能力很强.并且感染该病毒后,会自动下载运行木马程序,造成较大危害. 该蠕虫先后出现很多变种,在出现后的短时期内迅速传播,遭受感染的用户难于彻底清除,给其工作带来诸多不便. 蠕虫情况分析如下: 病毒名称:Worm_MyInfect.af 中 文 名:&q

假冒IE图标,DDOS.EXE的解决方案_病毒查杀

File size: 202239 bytes  MD5: 3e995b27d599883173d40cd5a04af9b2  SHA1: 0dbe1d3ae07bb5462235422537bc1b92fd33054f  packers: UPX  测试时间:2007-03-25 运行后病毒样本,自动复制副本到%SYSTEM%目录下 %SYSTEM%\ddos.exe %SYSTEM%\Deleteme.bat   注:批处理命令并没有运行,但它的目的是使用批处理命令删除病毒样本及本身, 病毒

Downloader Win32.Delf.dqu(IRAT.rmvb,mm.exe)分析查杀_病毒查杀

文件名称:IRAT.rmvb\mm.exe 文件大小:140800 byte AV命名: Downloader.Win32.Delf.dqu(卡巴斯基) MultiDropper-JD(迈克菲) Downloader/W32.Agent.137216.I(nProtect) 加壳方式:未 编写语言:Delphi 文件MD5:1b2cf1cdcb03c7c990c6ffe5a75e0f9b 病毒类型:后门 行为分析: 1. 释放病毒副本: C:\WINDOWS\system32\IRAT.rmvb

Worm.Win32.AutoRun.bqn病毒分析解决_病毒查杀

一.病毒相关分析:        病毒标签:         病毒名称:Worm.Win32.AutoRun.bqn          病毒类型:蠕虫         危害级别:2         感染平台:Windows         病毒大小:21,504(字节)         SHA1 :01015B9F9231018A58A3CA1B5B6A27C269F807E6         加壳类型:PECompact V2.X-> Bitsum Technologies         开

MSN圣诞照片(Backdoor.Win32.PBot.a)病毒分析解决_病毒查杀

文件名称:devic.exe 文件大小:23304 bytes AV命名:(virustotal上仅卡吧一家报)Backdoor.Win32.SdBot.cok 加壳方式:未知 编写语言:VC 病毒类型:IRCbot 文件MD5:45de608d74ee4fb86b20da86dcbeb55c 行为分析: 1.释放病毒副本: C:\WINDOWS\devic.exe , 23304 字节 C:\WINDOWS\img5-2007.zip , 23456 字节 2.添加注册表,开机启动: HKEY