本马病毒及其特征
1、病毒发作后会在硬盘各个分区的根目录下自动生成mlburmh.exe(75,288字节)本马病毒文件和autorun.inf(151字节)两个隐藏文件。
2、插入U盘、mp3、mp4、移动硬盘等USB存储设备后会在其根目录下建立男友艺术照.exe(75,288字节);女友写真照片.exe(75,288字节);全家福.exe(75,288字节)三个图标为jpeg图片的病毒文件(木马)。
3、病毒会在移动存储设备上建立mlburmh.exe和autorun.inf两个隐藏文件,且u盘格式化后这5个文件仍存在。
4、病毒运行后会自动隔离国内使用的约大部分杀毒软件,包括瑞星、金山毒霸、江民、卡巴360、诺盾等,阻止其运行,想把杀毒软件卸载也不行,但用windows优化大师可以卸载杀毒软件,但卸载后杀毒软件无法安装。
5、在windows下不能显示隐藏文件,在工具——>文件夹选项中,看不到显示所有文件和文件夹选项。
6、若我的文档、IE、文本文件、word文档等中有杀毒、木马等词语时,则这些文档、IE页面、文本文件打不开。
7、上网时很多主页面打不开,进不去,在百度中输入金山毒霸、在线杀毒、本马专杀等与杀毒有关的词语时IE页自动关闭,导致无法下载。
8、在纯DOS下,mlburmh.exe本马病毒文件无法删除,命令attrib -h mlburmh.exe不好使。
9、重装系统后,只要系统内有一个分区内有病毒,重装系统后其它分区也会感染病毒,导致即使重装系统,也不能杀死病毒,也会立刻中毒。
10、病毒会在windowssystem32目录下建立ati2avxx.exe、aoupbie.dll、imes.dll三个隐藏病毒文件。
11、注册表编辑器regedit、系统配置程序msconfig等无法正常使用。
12、此病毒非常类似于去年的熊猫烧香病毒,但更加隐蔽,本人首先发现此病毒是在2008年5月2日,但在网上4月19日就有人发现此病毒,但报告不多,到现在各杀毒公司仍没有其专杀工具,因此只能手动查杀。
手动杀毒方法为:
1、插入有windowsPE系统的光盘(在某些GostXP安装光盘中有),运行windowsPE图形化xp微系统,手动删除各个分区的根目录下的mlburmh.exe和autorun.inf两个隐藏文件;
2、在windowsPE下插入移动存储设备,删除男友艺术照.exe;女友写真照片.exe;全家福.exe、mlburmh.exe和autorun.inf五个文件;
3、在windowsPE下,进入windowssystem32文件夹,删除ati2avxx.exe、aoupbie.dll、imes.dll三个隐藏病毒文件;
4、在windowsPE下,搜索所有不大于75KB的*.exe文件,搜索项中高级选项要全选,若发现图标与病毒文件图标相同(jpeg图片图标)、大小为75,288字节的.exe文件(大部分为隐藏文件),将其全部删除。
4、重启电脑进入XP系统,运行regedit,在全选的情况下搜索关键词ati2avxx、aoupbie、mlburmh,搜索到全部删除。在进入windows后若发现有桌面图标丢失现象,不要紧,下次启动就没事了。
5、安装或运行杀毒软件,如果杀毒软件能很好的安装并运行,升级到最新版本,彻底杀毒一次。
6、如果杀毒软件仍不能运行,则表明病毒仍留有痕迹,只能重装系统了,首先将系统分区有用的文件转移到其它分区,然后格式化系统分区,选择全新安装系统,只有这样,重装后系统才不会再次感染此病毒。
7、如果没有winPE,则只能用最笨的方法,即:首先在windows下将有用的文件转移到一个分区的特定文件夹下,如D: ackup,然后进入纯DOS首先加载smartdrv,然后格式化一个分区,用xcopy(xxcopy) /s命令将有用文件转移到刚才格式化后的分区,再格式化其它分区,然后重装系统,这样重装后的系统才没有病毒。