什么是橙色八月病毒?
橙色八月专用提取清除工具 V1.4.6.5 绿色版
http://down1.sz1001.net/up/小型软件2_0810/VirusKille.rar
8月初出现了大量针对主流杀毒软件编写的恶性病毒。它们除了具有常见危害外,还会造成主流杀毒软件和个人防火墙无法打开,甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。
瑞星“橙色八月专用提取清除工具”专门针对此类病毒编写,可清除“QQ通行证(Trojan.PSW.QQPass)”、“传奇终结者(Trojan.PSW.Lmir)”、“密西木马(Trojan.psw.misc)”等病毒及其变种。没有安装瑞星杀毒软件的用户可免费下载使用。
注:建议您重新启动计算机,按住F8键,选择“安全模式”,进入后使用此工具杀毒。
附:病毒列表上的病毒主要针对以下安全软件
卡巴斯基 Symantec AntiVirus 瑞星 江民杀毒软件 天网防火墙个人版 噬菌体 木马克星 金山毒霸
橙色八月
AV病毒
近日随着AV风所到之处,至使所有杀毒软件与防火墙集体放假,安全界一片混乱,据不完全统计AV终结者病毒愈行愈烈,截至6月12日时变种数量已高达500多个,一天内至少约有十万台电脑因此而中招,中招后的计算机无法打开反病毒网站,未能及时升级的杀毒软件将被病毒赶出系统,其后果不勘设想,大有越过熊猫烧香时代的疯狂。
AV终结者中毒症状
AV病毒英文全名为An-ti-virus(中文为:反病毒),其制造者意在与反病毒行业作对以显其威。此病毒以U盘与网络的传播方式为主,采用Windows映像劫持技术(又名IFEO劫持),当病毒在被感染的客户机运行时,随机产生一组字母数字随机型8位数运行进程,并依靠自身的强大威力,试行关闭计算机中安装的杀毒软件与防火墙及等第三方安全工具的系统进程,甚至连系统更新则无法运行。以达其独居深处雀占巢垒的目的,彻底使中毒计算机暴露在安全防线之外。
病毒发作流程威害
此病毒经过编写者的深层策化后,具备了惊人的破坏力,只要短短几步即可了结一台计算机,行为步法如下:
第一步、病毒将关闭计算机中的杀毒软件等工具,让其保护无门。
第二步、强力破坏安全模式让用户无法进入对其清除,
第三步、具备识别[安全]与[病毒]字符,让用户无法通过互联网查杀。(包含通过百度、谷歌等搜索引擎)
当用户感到走投无路格盘重装或运行ghost恢复后,AV病毒会快速在各分区上建立自运行文件(含第三方移动存储设备),轻易复苏在其它盘符目录中,实现掉包诡计击退杀软。被感染者只要双击各盘符,将立即召出病毒东山再起,醒来的AV病毒会自动连接网络中病毒网站,自动下载各式同门木马病毒,极度盗窃被感染计算机中的各式密码与重要资料。
三大杀毒厂商
就在病毒疯狂的同时,瑞星、江民、金山毒霸在第一时间各自捕获了其病毒轨迹,三家分别将其命名为[帕虫]、[随机8位数]及本文中的[AV终结者],并在第一时间推出了各自的杀法升级病毒库,呼吁所有反病毒厂商对该病毒进行联合围杀。
快速解决方法
一、先关闭windows自动播放功能,依次点击开始-运行-输入gpedit.msc,打开组策略编辑器,查找计算机配置→管理模板→系统,在右边窗格中双击“关闭自动播放”,对话框中选择所有驱动器,确定即可。图一
二、执行AV终结者病毒专杀工具
AV终结者病毒专杀工具
适用平台: WinXP 更新版本:v3.7
工具大小: 309 KB
工具说明: 彻底清除AV终结者病毒
下载地址: http://www.soonjob.com/bbs/p.asp?/=44041
三、瑞星的橙色八月专用提取清除工具
橙色八月
一、什么是橙色八月
8月3日以来,瑞星全球反病毒监测网截获到数十个“反常的”恶性病毒,它们除了有常见的危害之外,还会造成主流杀毒软件和个人防火墙无法打开,甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。不能进入安全模式,网页有关与杀毒等东西的问题的网页都不能打开,针对此类病毒,瑞星公司发布今年首次橙色(二级)警报,并将它们通称为“橙色八月”以提醒广大用户注意防范。主要是因为最近出了许多恶性病毒,像“魔波”病毒、传奇终结者(Trojan.PSW.LMir)”、“QQ游戏木马(Trojan.PSW.QQGame)”、“QQ盗贼(Trojan.PSW.QQRobber)”以及“密西木马(Trojan.PSW.Misc)等病毒的最新变种.
二、病毒的识别
针对此类病毒,可用简单的三个方法对它们进行识别:
第一招:
打开“我的电脑”,选择菜单“工具”-》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,同时取消掉“隐藏已知文件类型的扩展名”前的对勾,然后点击“确定”。进入C:\windows\system32目录下(Windows2000系统为C:\WINNT目录),若发现有名为“command”、“dxdiaq.com”、“finder.com”、“MSCONFIG.COM”、“regedit.com”以及“rundll32.com”等文件生成,则说明是中了“密西木马(Trojan.PSW.Misc)”或其变种病毒。
第二招:
点击“开始”按钮,选择“运行”,输入“regedit”并确定,启动注册表编辑器。打开“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows”项,在右边的窗口中查找AppInit_DLLs。若其值为“KB(中间六位数字)M.LOG”,如“KB896588M.LOG”、“KB235780M.LOG”、“KB75976M.LOG”等,则说明是中了新的“传奇终结者(Trojan.PSW.LMir)”及其变种病毒。
第三招:
按下键盘CTRL+ALT+DEL键,或右键点击任务栏,选择“任务管理器”。单击“进程”标签。如果找到名为“SVOHOST.EXE”的进程,则说明已感染了“QQ通行证(Trojan.PSW.QQPass)”病毒或其变种
解决方法:
1.打补丁:http://www.microsoft.com/china/technet/security/bulletin/MS06-040.mspx
2.下载专杀工具下载:http://download.rising.com.cn/zsgj/VirusKille.exe
3.使用个人防火墙拦截病毒攻击
(1)、启动瑞星个人防火墙主程序,点击“设置”菜单,选择“IP规则”。
(2)、在弹出的“设置瑞星个人防火墙IP规则”窗口中点击“增加规则”按钮。
(3)、规则名称填入“MS06-040”,执行动作为“禁止”,然后点击“下一步”。对方地址设置为“任意
地址”,本地地址设置为“所有地址”,协议类型选择“TCP”,对方端口选择“任意端口”,本地
端口选择“端口列表”并在其下面输入“139,445”,报警方式选择“托盘动画”和“日志记录”两
项选中,点击保存。
橙色八月专用提取清除工具
软件版本: 1.5.0.2
软件大小: 428KB
应用平台: Windows
发布公司: 瑞星公司
下载地址: http://www.soonjob.com/bbs/p.asp?/=44041
三、杀完后在不重启的情况下,启动杀软升级并进行全盘扫描 ,提高各式防火墙的安全级别。
后记:针对此病毒江民只更新了杀毒软件病毒库特征并提醒广大网民在计算机中打入MS06-014和MS07-17补丁,提醒网民们慎重对待此病毒,做好一级防卫准备提高警觉,将此病毒在火势前扼杀在荒芜之地。
参考资料:http://www.soonjob.com/bbs/p.asp?/=44041
橙色八月病毒如何处理?
1,这个病毒虽然不如CIH那样具有毁灭性的恐慌,可是个人而言,这个病毒麻烦在于将所有主流杀毒软件屏蔽,瑞星的监控中心,绿色的雨伞自动变成红色!意味着你必须重新调动瑞星EXE程序,调动过程需要一段时间,可这个时候对于该病毒的文件破坏性就可想而知……
2,需要修改自己的注册表 首先运行 regedit
找到以下目录并删除 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
3,别以为重装系统就OK了,在你装完系统之后,再打开自己的杀毒软件卡巴斯基也好,瑞星也好,再怎么正版,不用2秒种依旧被屏蔽掉!!
4,你会周而复始得到以下的报告病毒名Trojan.PSW.Lmir.kvg!文件名为msime.exe!可此时,你的杀毒软件已经处于休眠状态了……
5,最恼怒的中毒表现是中毒表现:主流杀毒软件一运行就没了,网络搜索“杀毒”二字--(中文搜索)的话ie会自动关闭,反正就是不让你查毒……(还好我用的不是IE)
6,最后说,祝你“双节”快乐!最近天气,真是热到家了---让“橙色”八月去4吧!
疑似橙色八月的病毒,急需解决..高手帮忙啊~
最快最安全也最有效,格式化整块硬盘。再做系统。当然前提是你的数据都不再需要或者已经有安全的其他非本机硬盘介质的备份。
杀毒三步:
一、查看进程,(可以用上面的软件进行)结束恶意软件运行时建立的进程。
二,查看隐藏文件,在文件夹选项里设置。然后删病毒程序和其所调用的模块。
三、搜索注册表,找到病毒文件建立的键值。删。
然后重新启动。
1、有多操作系统的用户,可以通过引导到其它系统删除病毒所有文件,彻底清除病毒。
2、按Ctrl+Alt+Delete调出任务管理器,在进程页面中结束掉所有名称为病毒的进程(建议在后面的操作中反复此操作,以确保病毒文件不会反复发作)。
3、在开始--运行中输入“regedit”(XP系统)打开注册表,点“编辑”——“查找”,在弹出的对话框中输入病毒文件名,找到后全删。
4、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉,你会看到出现了你所说的文件名的文件,直接删除
请问如何查杀橙色八月
首先在下载这个http://www.usbcleaner.cn/download/usbcleaner/usbcleaner20070528.rar
可以用右键点讯雷下载,完成后打开进行全面检测,注意,选项是USBCLEANER.EXE.
杀毒过程中要重新启动一次,开机后自己杀毒,杀到一半,他又提醒你重启,不要怕,直接点确定,他就显示已经重启过,可以继续杀毒.
等杀完了后,就可以打开杀毒软件了,管他金山,瑞星,卡巴斯基...赶紧杀毒,杀完重启,开防火墙.一切OK!
我的症状是开网页的时候搜索中只要有杀毒软件的名称或者有杀毒二字就会自动关闭,杀毒软件打不开。
这个软件是免费杀毒工具,杀毒期间可能会有几次需要你重起的。不要紧,记得杀毒之后要再用杀毒软件查杀一次!
我就成功了!~
橙色八月的特征??
autorun.inf是windows系统为可移动媒体而准备的一个配置文件。autorun就是自动运行的意思,顾名思义,这个文件的作用就是能够自动运行某程序。那究竟是怎样的自动运行?自动运行哪些程序呢?让我们来看一下MSDN里对autorun.inf的介绍:
Autorun.inf is a text file located in the root directory of the CD-ROM that contains your application. Its primary function is to provide the system with the name and location of the application's startup program that will be run when the disc is inserted.
Note:Autorun.inf files are not supported under Microsoft�0�3 Windows�0�3 XP for drives that return DRIVE_REMOVABLE from GetDriveType.
由上面我们可以看出autorun.inf是一个包含了你的应用程序的CD-ROM根目录下的文本文件。它的原函数提供以应用程序启动程序的名字和位置,当光盘被放进去时,将会被调用。要注意的是,Autorun.inf文件在低于XP的系统下,不被支持。关于它的详细解说,请参照MSDN中的"Creating an AutoRun-Enabled Application
" 和 "Autorun.inf Commands"。它的一般的语法和作用如下:
[Autorun] /*Autorun部分开始*/
icon=iconfilename[,index] /*iconfilename是指包含了图标的文件名,index是指图标的索引号,默认值是指定图标文件的图标,例如:icon=My_Icon.ico*/
label=LabelText /*可移动磁盘的标签名,例如:label=My_Driver*/
open=[exepath\]exefile [param1 [param2] ...] /*exepath是文件路径,默认为当前路径;exefile是可执行程序名,param1、param2...是传递执行的附加参数(可缺省)例如:open=sxs.exe 作用:当光盘被放入并运行时,自动执行sxs.exe*/
shellexecute=[filepath\]filename[param1, [param2]...]/*作用:自动播放所执行的文件 例如:shellexecute=sxs.exe*/
shell=verb /*verb是自定义变量,用于指定右键快捷菜单的首选项,默认为“自动播放”,例如:shell=关于我*/
shell\verb\command=Filename.exe /*作用:当用户选择自定义菜单时执行文件Filename.exe*/
shell\verb=MenuText /*MenuText是自定义变量,用于在右键快捷菜单中加入自定义选项,例如:shell\verb=我的菜单*/
(注:/*……*/之间的为注释,可以省略)
由上述我想聪明的你应该也会想到“橙色八月”的自动传播原理了吧。
其实,“橙色八月“正是利用了autorun.inf的这种特点来达到运行自身(sxs.exe)的目的。为了证实我的观点,可以分析一个实例:在一台已经中了“橙色八月”的电脑的任意一个分区右击出现“自动播放”或"Auto"等的分区中找到autorun.inf(注意:如果双击不能打开,则右击分区选择打开。如果找不到autorun.inf刚新建一个压缩文件,在压缩文件里输入分区路径就可以找到)打开后发现内容如下:
[Autorun]
shellexecute=sxs.exe
显然,这样写将会使你双击这个分区时,sxs.exe被自动执行,而sxs.exe运行后将会创建一个svohost.exe到路径%systemroot%\system32中,并且激活svohost.exe后,sxs.exe的进程将会自动终止,从而造成造成人们产生错觉:svohost.exe就是病毒本体,所以往往在“干掉”svohost.exe后就以为是天下太平了,怎知当再次打开其它分区后,那熟悉的“面孔”又再次出现,而且svohost.exe可以监视各个分区的sxs.exe和autorun.inf这两个文件,一但发现这两个文件被删除或在分区中找不到这两个文件,则立刻重新创建,所以造成把一个移动到其它电脑上并双击打开时,又会使sxs.exe运行......
解决方法:“知己知彼,百战百胜”。从以上的实例中,我们已经知道“橙色八月”的基本运行原理和传播原理,所以我们可以针对性地运用方法去杀毒,具体如下:
1.结束svohost.exe进程,因为svohost.exe是它的守护进程和传播进程。
2.删除%systemroot%\system32中的svohost.exe。
3.其它各分区中的sxs.exe和autorun.inf文件。
4.修复文件夹选项。运行regedit,进入注册表,找到下面的地方 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explore\Advanced\Folder\Hidden\SHOWALL\ 先删除CheckedValue键值,再新建CheckedValue键值,类型一定要选 DWORD,值为1
5.修复windows防火墙。网上邻居——属性——更改防火墙设置——高级——还原默认值
6.重新启动。
救命了 电脑中了橙色八月
关于AV终结者
金山毒霸客户服务中心最近收到大量用户求助,用户反馈的现象大致差不多:杀毒软件不能用,想用搜索引擎去查找一些解决办法,输入杀毒,浏览器窗口就被关掉。在金山毒霸论坛,也有大量用户反应相同或类似的情况。而在珠海毒霸研发部,已经监测到此类病毒泛滥的情况。监测发现了一系列反击杀毒软件,破坏系统安全模式,植入木马下载器的病毒。并将这一类病毒命名为“AV终结者”,AV终结者指的是一批具备以下破坏性的病毒、木马和蠕虫。
病毒现象
1. 生成很多8位数字或字母随机命名的病毒程序文件,并在电脑开机时自动运行。
2. 绑架安全软件,中毒后会发现几乎所有杀毒软件,系统管理工具,反间谍软件不能正常启动。即使手动删除了病毒程序,下次启动这些软件时,还会报错。
3. 不能正常显示隐藏文件,其目的是更好的隐藏自身不被发现。
4. 禁用windows自动更新和Windows防火墙,这样木马下载器工作时,就不会有任何提示窗口弹出来。为该病毒的下一步破坏打开方便之门。
5. 破坏系统安全模式,使得用户不能启动系统到安全模式来维护和修复
6. 当前活动窗口中有杀毒、安全、社区相关的关键字时,病毒会关闭这些窗口。假如你想通过浏览器搜索有关病毒的关键字,浏览器窗口会自动关闭。
7. 在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病毒程序文件,通过自动播放功能进行传播。这里要注意的是,很多用户格式化系统分区后重装,访问其它磁盘,立即再次中毒,用户会感觉这病毒格式化也不管用。
8. 病毒程序的最终目的是下载更多木马、后门程序。用户最后受损失的情况取决于这些木马和后门程序。
传播方式
1. 通过U盘、移动硬盘的自动播放功能传播
2. AV终结者最初的来源是通过大量劫持网络会话,利用网站漏洞下载传播。和前一段时间ARP攻击的病毒泛滥有关。
因为这个病毒同样会攻击金山毒霸,已经中毒的电脑会发同金山毒霸不能启动,双击没反应。利用手动解决相当困难,并且,AV终结者是一批病毒,不能简单的通过分析报告来人工删除。我们推荐的清除步骤如下:
1. 在能正常上网的电脑上登录金山毒霸网站下载AV终结者病毒专杀工具
下载地址:http://zhuansha.duba.net/259.shtml
2. 在正常的电脑上禁止自动播放功能,以避免通过插入U盘或移动硬盘而被病毒感染。禁止方法参考方案附件:
把AV终结者专杀工具从正常的电脑复制到U盘或移动硬盘上,然后再复制到中毒的电脑上。
3. 执行AV终结者专杀工具,清除已知的病毒,修复被系统配置。
(注:AV终结者专杀工具的重要功能是修复被破坏的系统,包括修复映像劫持;修复被破坏的安全模式;修复隐藏文件夹的正常显示和删除各磁盘分区的自动播放配置。)
4. 不要立即重启电脑,然后启动杀毒软件,升级病毒库,进行全盘扫描。以清除木马下载器下载的其它病毒。防范措施
因为AV终结者病毒一旦感染,清除过程相当复杂,可能不少用户就会去重装。我们建议用户不要轻易重装系统,使用我们推荐的步骤完成清除,必要时拨打客服电话,请求支持。请采取以下措施防范AV终结者病毒
1. 使用金山网镖或Windows防火墙,可有效防止网络病毒通过黑客攻击手段入侵。
2. 使用金山毒霸的漏洞修复功能或者windows update来修补系统漏洞,特别需要注意安装浏览器的最新补丁。
3. 升级杀毒软件,开启实时监控
4. 网管采取综合措施防范ARP攻击挂马事件,有关ARP攻击的解决办法,请参考附件二
5. 关闭windows的自动播放功能
附件一:关闭Windows自动播放功能
1. 使用组策略编辑器
点击开始→运行→输入gpedit.msc,打开组策略编辑器,浏览到计算机配置→管理模板→系统,在右边窗格中双击“关闭自动播放”,对话框中选择所有驱动器,确定即可。
2. 使用金山毒霸提供的禁止自动播放功能
启动毒霸主程序,工具菜单下找到综合设置,在其它设置中选中禁止U盘和硬盘的自动播放功能。
附件二:防范ARP病毒攻击
现在局域网中感染ARP 病毒的情况比较多,清理和防范都比较困难,给不少的网络管理
员造成了很多的困扰。下面就是个人在处理这个问题的一些经验,同时也在网上翻阅了不少
的参考资料。
ARP 病毒的症状:
有时候无法正常上网,有时候有好了,包括访问网上邻居也是如此,
拷贝文件无法完成,出现错误;局域网内的ARP 包爆增,使用Arp 查询的时候会发现不正
常的Mac 地址,或者是错误的Mac 地址对应,还有就是一个Mac 地址对应多个IP 的情况
也会有出现。
ARP 攻击的原理:
ARP 欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警:第一以太网数据包头的源地址、目标地址和ARP 数据包的协议地址不匹配。或者,ARP数据包的发送和目标地址不在自己网络网卡MAC 数据库内,或者与自己网络MAC 数据库MAC/IP 不匹配。这些统统第一时间报警,查这些数据包(以太网数据包)的源地址(也有可能伪造),就大致知道那台机器在发起攻击了。现在有网络管理工具比如网络执法官、P2P 终结者也会使用同样的方式来伪装成网关,欺骗客户端对网关的访问,也就是会获取发到网关的流量,从而实现网络流量管理和网络监控等功能,同时也会对网络管理带来潜在的危害,就是可以很容易的获取用户的密码等相关信息。
处理办法:
通用的处理流程:
1 .先保证网络正常运行
方法一:编辑个***.bat 文件内容如下:
arp.exe s
**.**.**.**(网关ip) ****
**
**
**
**(
网关mac 地址)
end
让网络用户点击就可以了!
办法二:编辑一个注册表问题,键值如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mac"="arp s
网关IP 地址网关Mac 地址"
然后保存成Reg 文件以后在每个客户端上点击导入注册表。
2 找到感染ARP 病毒的机器。
a:在电脑上ping 一下网关的IP 地址,然后使用ARP -a 的命令看得到的网关对应的MAC 地址是否与实际情况相符,如不符,可去查找与该MAC 地址对应的电脑。
b:使用抓包工具,分析所得到的ARP 数据报。有些ARP 病毒是会把通往网关的路径指向自己,有些是发出虚假ARP 回应包来混淆网络通信。第一种处理比较容易,第二种处理比较困难,如果杀毒软件不能正确识别病毒的话,往往需要手工查找感染病毒的电脑和手工处理病毒,比较困难。
c:使用mac 地址扫描工具,nbtscan 扫描全网段IP 地址和MAC 地址对应表,有助于判断感染ARP 病毒对应MAC 地址和IP 地址。
预防措施:
1,及时升级客户端的操作系统和应用程式补丁;
2,安装和更新杀毒软件。
4,如果网络规模较少,尽量使用手动指定IP 设置,而不是使用DHCP 来分配IP 地址。
5,如果交换机支持,在交换机上绑定MAC 地址与IP 地址。(不过这个实在不是好主意)
这样彻底清除橙色八月病毒?
1,这个病毒虽然不如CIH那样具有毁灭性的恐慌,可是个人而言,这个病毒麻烦在于将所有主流杀毒软件屏蔽,瑞星的监控中心,绿色的雨伞自动变成红色!意味着你必须重新调动瑞星EXE程序,调动过程需要一段时间,可这个时候对于该病毒的文件破坏性就可想而知……
2,需要修改自己的注册表 首先运行 regedit
找到以下目录并删除 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
3,别以为重装系统就OK了,在你装完系统之后,再打开自己的杀毒软件卡巴斯基也好,瑞星也好,再怎么正版,不用2秒种依旧被屏蔽掉!!
4,你会周而复始得到以下的报告病毒名Trojan.PSW.Lmir.kvg!文件名为msime.exe!可此时,你的杀毒软件已经处于休眠状态了……
5,最恼怒的中毒表现是中毒表现:主流杀毒软件一运行就没了,网络搜索“杀毒”二字--(中文搜索)的话ie会自动关闭,反正就是不让你查毒……(还好我用的不是IE)
6,最后说,祝你暑假快乐!最近天气,真是热到家了---让“橙色”八月去4吧!
