灯泡男病毒查杀方案

灯泡男病毒查杀方案（精选2篇）

灯泡男病毒查杀方案 篇1

前些天,电脑中了熊猫烧香,刚把lsquo;国宝rsquo;赶走没几天，今天上网下载了个小工具后，机器运行又开始变慢，有几个程序图标变成lsquo;帅哥rsquo;头像，眼睛比较突出象灯泡的样子，估计又中病毒了，真是郁闷!用户陈先生无奈地表示，

金山毒霸反病毒专家戴光剑指出,这是一个名为神奇小子(Win32.WizardBoy.a)的感染型病毒，也有人叫灯泡男或舞男头。该病毒可感染扩展名为exe和scr的可执行文件，并通过局域网传播，当网络可用时，病毒还将从网上下载其他病毒。

据金山毒霸的专家介绍，灯泡男与熊猫烧香从病毒行为上讲非常相似，虽然灯泡男暂时还没有大规模爆发，但用户仍然需要提高警惕。下面是毒霸的专家对这个病毒的详细分析，希望对用户有所帮助。

神奇小子(Win32.WizardBoy.a)病毒行为分析

1、释放病毒体文件到C:ProgramFilesInternetExplorericwtutor.com，并释放病毒dll文件到C:ProgramFilesInternetExplorerPLUGINSnppd32.dat，若含有被感染后的文件，则创建正常文件的进程并运行。

2、添加如下注册表项：

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]

“InternetExplorerServer”=“C:ProgramFilesInternetExplorericwtutor.com”

3、启动IE进程，将病毒文件nppd32.dat注入IE进程，从如下网址读取病毒下载地址，下载病毒，该网址是加密的。

www.04080.com/vip/1.txt

解密后的病毒地址如下，为多种网络游戏木马：

www.04080.com/vip/mhxy.exe

www.04080.com/vip/gezi.exe

www.04080.com/vip/huaxia.exe

www.04080.com/vip/wlwz.exe

www.04080.com/vip/mlbb.exe

www.04080.com/vip/datang.exe

4、遍历本地磁盘，搜索所有.exe，.scr为扩展名的文件，并感染，

5、尝试通过局域网写C$AutoExec.bat传播自身。如果被局域网远程感染成功，系统重启后，会自动运行autoexec.bat从而启动病毒。

6、病毒感染后的文件变成如下图标

处理方法:

1.重启系统，按F8，选择带网络连接的安全模式

2.进入金山毒霸的安装目录，直接执行update.exe，将杀毒软件升级到最新。

3.全盘扫描修复被感染的执行文件

4.删除病毒添加的注册表启动项HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

InternetExplorerServer--->C:ProgramFilesInternetExplorericwtutor.com

和文件C:ProgramFilesInternetExplorericwtutor.com

防护建议:

1.建议至少每月一次通过WindowsUpdate或金山毒霸的漏洞修复工具安装系统补丁;

2.给系统管理员帐户设置足够复杂的管理员密码，安全的口令是字母、数字、特殊字符的组合，位数不少于7位。

修改方法：在我的电脑上单击右键，选择管理，浏览到本地用户和组，在右边空格中找到administrator用户，单击右键，选择修改口令。

3.通过控制面板，保持Windows防火墙是启用状态，或者确保金山网镖是启用状态，可以有效地阻挡病毒的入侵。

4.关闭不必要的共享文件，方法是右键单击我的电脑，选择管理，浏览到共享文件夹，在右边窗格中停止不必要的共享文件夹。

病毒查杀终极方案 篇2

今天筆者杀毒时，杀毒软件报告“发现自动启动型病毒：位于C：Autorun.inf,是否清除？”(图1)，紧接着，在D、E盘也都发现Autorun.inf文件。笔者点击“是”进行病毒清除，却提示“C:Autorun.inf 清除失败！请升级病毒库或手工清除该病毒”(图2)，D、E盘也相继弹出无法清除的提示。笔者升级病毒库，可依然无法查杀,弹出和未升级一样的清除失败提示。于是只好进行手工查杀。

打开C,D,E盘，在根目录下并未找到Autorun.inf文件，看来该文件进行了隐藏，笔者单击“工具”→“文件夹选项”→“查看”，却发现“显示所有文件和文件夹”选项已被禁用。

就在笔者一筹莫展之时，忽然记得在DOS里有一条ATTRIB命令，该命令不仅可以显示文件属性，而且还可以为文件加上属性或去除属性。只要能利用该命令去除Autorun.inf文件的隐藏属性，问题就好办多了。

笔者在“开始”→“运行”中输入“CMD”，进入“命令提示符”，输入“ATTRIB /?”查看该命令的用法，发现该命令主要用“+”和“－”来添加和去除文件属性，其参数有H(隐藏)、A(存档)、S(系统)、R(只读)，不加任何参数时，显示具有属性的文件。

在命令提示符中执行"D:"命令,进入D盘根目录下，输入"ATTRIB"查看具有属性的文件，果然不出所料，Autorun.inf文件不仅具有隐藏属性，同时还具有系统，只读和存档属性(图3)。

在命令提示符下执行"ATTRIB -h -r -a autorun.inf"命令，去除其所有属性(图3)。然后进入D盘，此时autorun.inf文件已原型毕露，老老实实的躺在D里。接着用同样的方法让D、E盘的autorun.inf原形毕露(小样，穿了马甲我照样认识你!)。至此，问题已解决了一半，下一步就是在安全模式下进行查杀。

为防止木马在重启后重新在C、D、E盘恢复Autorun.inf文件及属性，笔者并没有删除Autorun.inf文件，而是清空了Autorun.inf文件中的内容，然后再为其恢复原有属性(在命令提示符下执行"ATTRIB +h +r +a +S autorun.inf"命令)，这样就防止了木马文件在重启后的自动重建，在一定程度上减少查杀难度。

重启进入安全模式，“开始”→“运行”中输入CMD，进入“命令提示符”，输入“D:”,进入D盘根目录，重新执行"ATTRIB -h -r -a autorun.inf"命令，去除其所有属性，然后用同样方法去除其它盘下Autorun.inf文件属性。启动杀毒软件进行查杀，成功清除(图4)。

(1)清理病毒残余文件。虽然病毒表面上已被清除，但为防止病毒残留文件在系统正常启动时再次死灰复燃，我们需要对病毒文件在注册表的藏身之地进行清理。打开超级兔子→“超级兔子清理王”→“清理系统”→“清理注册表”，勾选“扫描错误的类”和其它选项，点击“下一步”，进行注册表清理(图5)。

(2)解除病毒对文件的关联。大多数病毒程序进行了文件关联，当对其进行查杀后，会导致文件关联出错。轻则正常进入系统时会出现各种莫名其妙的故障、打开文件时找不到对应程序等，重则无法启动，系统崩溃。为防止重启后文件关联出错，我们可以在查杀清除病毒后，进行文件关联修复。

打开“SRENG”，在主界面点击“系统修复”→“文件关联”，此时“SRENG”已自动诊断出有误的文件关联，但为防万一，我们在此对所有的文件进行修复。勾选“全选”选项，点击“修复”(图6)。