2015年春晚小品全集:我的橙色八月有点不一样呀 求助中。。。。。

手工找到这个木马的病毒文件把，

修改文件夹选项中，显示所有文件和文件夹包括系统文件夹

然后在下面这几个地方查找

清楚TEMP文件夹下所有文件

清除下面这些文件夹下面日期很新，不明的exe或者dll文件

C:\, C:\WINDOWS\, C:\WINDOWS\SYSTEM 也是这些木马软件藏身的场所

还有C:\Program Files\Internet Explorer以及下面的plugis子目录

SVOHOST.EXE 进程都有的吧？？
我的也有啊。
又没有病毒。

8月3日以来，瑞星全球反病毒监测网截获到数十个“反常的”恶性病毒，它们除了有常见的危害之外，还会造成主流杀毒软件和个人防火墙无法打开，甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。针对此类病毒，瑞星公司发布今年首次橙色（二级）警报，并将它们通称为“橙色八月”以提醒广大用户注意防范。

据瑞星反病毒专家介绍，这些病毒包括“传奇终结者（Trojan.PSW.LMir）”、“QQ游戏木马（Trojan.PSW.QQGame）”、 “QQ盗贼（Trojan.PSW.QQRobber）”以及“密西木马（Trojan.PSW.Misc）等病毒的最新变种。这些病毒在电脑的后台运行，窃取用户的网络游戏和QQ的账号和密码，并发送给病毒制造者。

瑞星反病毒专家分析认为，导致此类病毒疫情攀升的主要原因是由于其针对反病毒软件以及变种繁多的特点。很可能有病毒编写者或者黑客组织，有计划地在各种流行病毒中加载了反杀毒软件的程序，掀起这场针对主流杀毒软件的“战争”。目前瑞星已经截获了大量该类病毒，预计近段时间该类病毒数量还会继续增加。

针对此类病毒，瑞星杀毒软件2006版已经升级至18.38.42版，请广大用户及时更新杀毒软件到最新版本，并打开“文件”、“注册表”、“内存”等全部八项实时监控进行防范。已感染此类病毒的用户可以登陆http://it.rising.com.cn/Channels/Service/index.shtml，下载免费专杀工具，或通过“瑞星在线专家门诊”寻求远程救助，也可拨打反病毒急救电话：010-82678800寻求帮助。

病毒列表上的病毒主要针对以下安全软件卡巴斯基 Symantec AntiVirus 瑞星 江民杀毒软件 天网防火墙个人版 噬菌体 木马克星 金山毒霸

病毒名称：Trojan.QQMSG.WHboy.mn
别 名： 武汉男生变种MN
依赖系统： WIN9X/NT/2000/XP
传播途径： 网络传播
行为类型： WINDOWS下的木马程序
关闭包含以下字符串的窗体：
“注册表”“系统配置实用程序”“QQKav”“天网”“密码防盗”“绿鹰PC”“防火墙”“进程”“网镖”“任务管理器”“杀毒”“超级兔子”“优化大师”“木马克星”“QQAV”“毒霸”“黄山IE”“腾讯公司QQ”“QQ病毒”“xleo”“whboy”“Windows 任务管理器”“ThunderRT6formDC
主要特征：
病毒运行后将自身复制到Windows系统目录下，文件名为“svohost.exe”，同时修改注册表项目实现开机自动运行。病毒将IE的首页修改为“http://www. ***iex.com”，使用户每次打开IE都会浏览该病毒网站。该病毒会造成多种杀毒软件和常用软件无法使用，还会从“http://mp3.***o.com/228.exe”网站下载病毒文件并运行。

病毒一旦运行，释放自己的副本到 %windir% 目录，文件名为"svohost.exe"，同时修改注册表 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 修改键值"ctfnom.exe"为"%windir%svohost.exe"；

修改IE主页的默认地址

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain子建下的"Start Page"项为"http://www.joyiex.com"

病毒的删除
1.打开CMD.输入命令tasklist回车查看一下..果然发现了这个进程:svohost.exe(虽然他禁用了任务管理器,但在CMD下用tasklist命令还是可以查看到进程信息的)
2.关了他.输入命令taskkill /f /im svohost.exe
提示成功.
3.搜索svohost.exe这个文件(把搜索隐藏文件也勾上)搜索到后删除!似乎有两个.一个是完全大写的.一个是完全小写的.事实上还有一个程序叫lsasa.exe的也得删除.他模仿的是WINDOWS的正常进程lsass.exe.操作到这里大家应该可以打开注册表 任务管理器了但是 请马上去这个地址下载这2个工具http://free.ys168.com/?caiqcjd
txt.reg 3.9KB 恢复TXT文件关联
exefiles.rar 1.4KB 恢复EXE文件关联
备注 部分会员出现结束进程后病毒 暂时失效 但是重起后死灰复燃 请注意在造作成功后 马上利用自己的杀毒工具 或者 QQ专杀进行杀毒 因为这个时候病毒的壳被去掉了 我们可以抓住这个时机做下杀毒
4.本以为没问题了.后来还发现一个问题.他还修改了注册表的一处,使文件夹选项中对隐藏文件的设置始终为"不显示隐藏文件"，这么做的主要目的在于让你在WINDOWS环境下找不到被设定隐藏属性的病毒源文件.但这里还有几种手段可以找到他.1.用WINDOWS的搜索.只要在高级选项里把"搜索隐藏的文件和文件夹"勾上就可以找到了.2.在命令提示符里用dir /a命令也可以查看到.麻烦一点罢了.由于WINDOWS和SYSTEM32目录下文件太多.用dir命令的时候.最好再加一个参数.dir /a /p这样会更好.

我们到注册表里去把他改回正常状态.
打开注册表.找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL这个键.看右边.找到一个CheckedValue的值.我注意到这个该死的病毒居然把他改成了字符串值.如果你不小心的话.也许会认为改了也没用.把这个值删除.重建一个DWORD的值为CheckedValue.把他的值设为1.