8月【首次橙色（二级）警报】[感染人数过万！导致蓝屏、重启、死机、杀毒软件防火墙打不开

新兰快乐

来自瑞星信息中心 转帖＋整理

[U]·症状[/U]

8月3日以来，瑞星全球反病毒监测网截获到数十个“反常的”恶性病毒，它们除了有常见的危害之外，还会造成主流杀毒软件和个人防火墙无法打开，甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。针对此类病毒，瑞星公司发布今年首次橙色（二级）警报，并将它们通称为“橙色八月”以提醒广大用户注意防范。

[U]·名称[/U]

这些病毒包括：
“传奇终结者（Trojan.PSW.LMir）”
“QQ通行证（Trojan.PSW.QQPass）”
“密西木马（Trojan.PSW.Misc）”

[U]·相关信息[/U]

来自瑞星客户服务中心的数据表明，目前感染此系列病毒的人数已经过万，仅8月7日（星期一）9点到12点四个小时，就接到了共5108个有关此类病毒的求助电话。8月5日和6日两天虽然是节假日，但瑞星客服中心仍然接到了大量的用户求助电话、电子邮件等，与上月（7月）同期相比，通过电话求助的数量比上月增加了101.02％，通过电子邮件的求助数量也提高了55.48%，而使用远程专家门诊进行远程救助的用户数量则猛增为原来的167.30%。
瑞星反病毒专家分析认为，导致此类病毒疫情攀升的主要原因是由于其针对反病毒软件以及变种繁多的特点。很可能有病毒编写者或者黑客组织，有计划地在各种流行病毒中加载了反杀毒软件的程序，掀起这场针对主流杀毒软件的“战争”。目前瑞星已经截获了大量该类病毒，预计近段时间该类病毒数量还会继续增加。

[U]·识别方案[/U]

第一招

打开“我的电脑”，选择菜单“工具”-》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，同时取消掉“隐藏已知文件类型的扩展名”前的对勾，然后点击“确定”。



进入C:\windows\system32目录下（Windows2000系统为C:\WINNT目录），若发现有名为“command”、“dxdiaq.com”、“finder.com”、“MSCONFIG.COM”、“regedit.com”以及“rundll32.com”等文件生成，则说明是中了“密西木马（Trojan.PSW.Misc）”或其变种病毒。



第二招

点击“开始”按钮，选择“运行”，输入“regedit”并确定，启动注册表编辑器。打开“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows”项，在右边的窗口中查找AppInit_DLLs。若其值为“KB（中间六位数字）M.LOG”，如“KB896588M.LOG”、“KB235780M.LOG”、“KB75976M.LOG”等，则说明是中了新的“传奇终结者（Trojan.PSW.LMir）”及其变种病毒。



第三招

同时按下键盘CTRL+ALT+DEL键，或右键点击任务栏，选择“任务管理器”。单击“进程”标签。如果找到名为“SVOHOST.EXE”的进程，则说明已感染了“QQ通行证（Trojan.PSW.QQPass）”病毒或其变种。



[U]·下载[/U]

此病毒危害等级为2星，危害程度大。
请大家尽快升级杀毒软件。

【专杀工具下载——适用于没有安装杀毒软件的人使用】

8月初出现了大量针对主流杀毒软件编写的恶性病毒。它们除了具有常见危害外，还会造成主流杀毒软件和个人防火墙无法打开，甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。
瑞星“橙色八月专用提取清除工具”专门针对此类病毒编写，可清除“QQ通行证（Trojan.PSW.QQPass）”、“传奇终结者（Trojan.PSW.Lmir）”、“密西木马（Trojan.psw.misc）”等病毒及其变种。没有安装瑞星杀毒软件的用户可免费下载使用。
注：建议您重新启动计算机，按住F8键，选择“安全模式”，进入后使用此工具杀毒。

附：病毒列表上的病毒主要针对以下安全软件
卡巴斯基
Symantec AntiVirus
瑞星
江民杀毒软件
天网防火墙个人版
噬菌体
木马克星
金山毒霸

工具名称：橙色八月专用提取清除工具
软件版本：1.3
软件大小：1.11MB
应用平台：Windows
更新时间：2006-08-12
发布时间：2006-08-12
发布公司：瑞星公司

免费下载：
http://it.rising.com.cn/Channels/Service/2006-08/1154786729d36873.shtml

[U]·注意[/U]

当您遇到困难时，推荐的解决方法：

一.来事务所技术区
（此区的版主特别热心，会员也十分能帮助大家。）

二.卡卡社区
（瑞星的反病毒论坛，不管您是瑞星用户还是非瑞星用户，都可以来这里咨询。
这里的网友特别有耐心也比较专业。一般在您发帖后几分钟内具有人回复。）

新兰快乐

8月9日，瑞星全球反病毒监测网截获一个具备感染文件功能的新型盗号病毒，并命名为“穆尼亚（Win32.Munia.a）”病毒。瑞星反病毒专家介绍说，该病毒会释放窃取网络游戏“传奇”的模块，使玩家的账号、密码等资料丢失。跟其它的盗号病毒不同的是，“穆尼亚”病毒会感染中毒电脑上运行的所有程序文件，并可能导致其中一些软件出现异常。

    根据瑞星技术部门分析，该病毒会在系统目录下释放病毒文件，然后搜索电脑上所有运行的程序，把病毒文件注入到这些程序中。病毒每隔1秒钟搜索一次系统目录，如果被删除则重新复制自己，以保护自己不被杀毒软件查杀。并且，该病毒还会修改系统内核入口指令，使用户在中毒电脑上运行任何程序都会被病毒所感染，这使得该病毒的清除难度极大。    瑞星反病毒专家分析说，这是国内发现的第一个带有感染文件特征的盗号病毒，其编写手法值得注意。该病毒采用大量感染程序文件的手法来进行传播和自我保护，使得杀毒软件对它的清除非常困难。一旦清除不干净，就很可能造成用户的游戏账号丢失、系统运行出现异常等等。

thwj

前两天我就手工删了第一个病毒，我不玩网游，真不知道这破东西怎么进来的，我删了足足一个小时……

silvery

[quote=thwj]前两天我就手工删了第一个病毒，我不玩网游，真不知道这破东西怎么进来的，我删了足足一个小时……[/quote]
Microsoft Windows Server Service Remote Buffer Overflow Vulnerability

shaodog

及时打补丁和更新病毒库还是很重要的

mcjimmy

我中了~用了几年的Q被盗了~~~~~~

银色海豚

[QUOTE=新兰快乐]一.来事务所技术区
（此区的版主特别热心，会员也十分能帮助大家。）

二.卡卡社区
（瑞星的反病毒论坛，不管您是瑞星用户还是非瑞星用户，都可以来这里咨询。
这里的网友特别有耐心也比较专业。一般在您发帖后几分钟内具有人回复。）[/QUOTE]

感觉在胡闹^^

HughKeith

不怕不怕

继续裸奔

“穆尼亚”病毒会感染中毒电脑上运行的所有程序文件，并可能导致其中一些软件出现异常。

记得爱情后门就有这招了
害得我杀毒后所以EXE变成 系统 隐藏属性

JayZ

暂时使用金山……人家要送，我不用也是浪费％……

新兰快乐

不过对于这些病毒

各大杀毒软件貌似都出了专杀了。