【正文】 將 system32和 dllcache目錄下的 。如果這個病毒不是很 BT的話，有希望搞定。 ? ，迅速的繁殖，堵塞磁盤使進入不了磁盤，使其電腦崩潰，藍屏，自動關機，開機文件刪除。 ? 2． WM_TIMER： 該程序會設置一個時鐘，每隔 “ MCI Program Com Application”窗口，如果找不到則運行病毒程序。 ? 2． 生成名為” MCI Program Com Application”的窗口。 ? 六、病毒的表現(xiàn)形式 ? 在表現(xiàn)形式上，“熊貓燒香”的表現(xiàn)十分明顯，感染可執(zhí)行文件生成“熊貓燒香”的圖案，十分易于判斷。系統(tǒng)啟動后再將 [啟動 ]文件夾中病毒主體刪除掉，實現(xiàn)既可隱蔽啟動，又不被用戶發(fā)現(xiàn)的目的。 ? “磁碟機”也可以通過 U盤和網(wǎng)頁掛馬傳播，但目前尚沒有發(fā)現(xiàn)病毒作者通過攻破大型網(wǎng)站的方式掛馬傳播的案例，這也是目前“磁碟機”在傳播范圍上尚不及“熊貓燒香”的原因，但如果一旦病毒作者通過這種方式大面積傳播，后果將不堪設想。當拷貝失敗后，病毒會調用 rd /s /q命令刪除原來的文件，再重新寫入。據(jù)360安全中心統(tǒng)計每日感染磁碟機病毒人數(shù)已逾100,1000用戶！“磁碟機”現(xiàn)已經(jīng)出現(xiàn) 100余個變種，目前病毒感染和傳播范圍正在呈現(xiàn)蔓延之勢。然后雙擊打開 IceSword工具，結束一個 8位數(shù)字的 EXE文件的進程，有時可能無該進程。 ? 2. 在正常的電腦上禁止自動播放功能，以避免通過插入 U盤或移動硬盤而被病毒感染。 ? 6. 當前活動窗口中有殺毒、安全、社區(qū)相關的關鍵字時，病毒會關閉這些窗口。 ? 它通過 U盤、 移動硬盤 的自動播放功能傳播，建議用戶暫時關閉電腦的這一功能。根據(jù)上文中提供的路徑刪除所有的病毒文件。 ? 為了避免在“任務管理器”中露出破綻，病毒會將自己的進程注入到系統(tǒng)的資源管理器進程，這樣我就無法通過“任務管理器”發(fā)現(xiàn)病毒的進程了。 這是目前很多病毒熱衷的傳播方法，不少用戶也懂得刪除病毒生成的 ，但是當我們進入“文件夾選項里”，想顯示隱藏文件時，可以發(fā)現(xiàn)這里已經(jīng)被病毒給禁用了。用戶 格式化 后，只要雙擊其他盤符，病毒將再次運行。 AV終結者 ? “ AV終結者”即＂帕蟲＂是一系列反擊殺毒軟件，破壞系統(tǒng)安全模式、植入木馬下載器的病毒，它指的是一批具備如下破壞性的病毒、木馬和蠕蟲?！?AV終結者”會使用戶電腦的安全防御體系被徹底摧毀，安全性幾乎為零。 ? 針對殺毒軟件的攻擊，是“ AV終結者”的特點。 病毒進程的主要作用是監(jiān)視系統(tǒng)中的用戶操作， 例如你想手動清楚病毒，修改注冊表，病毒沒隔一段時間就會把注冊表改回去，讓你百費勁。刪除其他分區(qū)中的病毒，注意不要雙擊進入盤符，而要用右鍵點擊進入。用戶近期一定要注意 U盤使用安全，不要在可疑電腦上使用U盤，以免自 己的電腦受到傳染。3. 不能正常顯示隱藏文件，其目的是更好的隱藏自身不被發(fā)現(xiàn)。假如你想通過瀏覽器搜索有關病毒的關鍵字，瀏覽器窗口會自動關閉。鼠標右擊菜單以及下拉菜單選項，會在 1到兩秒鐘時間后，自動選擇最后一個選項，不過可以使用快捷方式組合。禁止方法參考方案附件： ? 把 AV終結者專殺工具從正常的電腦復制到 U盤或移動硬盤上，然后再復制到中毒的電腦上。 ? IceSword的文件管理功能，展開到 C:\Program Files\Common Files\Microsoft Shared\MSINFO\下，刪除 2個 8位隨機數(shù)字的文件，其擴展名分別為： dat 和 dll 。病毒造成的危害及損失 10倍于“熊貓燒香”。病毒會連接惡意網(wǎng)址下載大量木馬病毒。 ? 二、反攻殺毒軟件能力 ? 熊貓燒香”和“磁碟機”病毒都有反攻殺毒軟件的能力，但不同的是，“熊貓燒香”只是通過發(fā)送關閉消息的方式關閉殺毒軟件，而“磁碟機”則通過生成一個內(nèi)核權限的驅動程序來破壞殺毒軟件的監(jiān)控，使殺毒軟件的監(jiān)控功能失效，然后再關閉殺毒軟件并阻止殺毒軟件升級，并屏蔽主流的殺毒軟件網(wǎng)頁。使用反 HIPS技術繞過部分主動防御程序“ HIPS”的監(jiān)控。而“磁碟機”的感染則十分低調隱蔽。 ? 3． 程序會刪除注冊表 SOFTWARE\Microsoft\Windows\CurrentVersion\Run項下的所有鍵值。 ? 3． WM_CAP_START： 當收到該消息時，向其發(fā)送退出消息。（開機 152H） ? 主要癥狀 系統(tǒng)運行緩慢、頻繁出現(xiàn)死機、藍屏、報錯等現(xiàn)象； 進程中出現(xiàn)兩個 ,且病毒進程的用戶名是當前登陸用戶名；（如果只有 1個 1個 ，且對應用戶名為 system，則是系統(tǒng)正常文件，請不用擔心） 殺毒軟件被破壞，多種安全軟件無法打開，安全站點無法訪問； 系統(tǒng)時間被篡改，無法進入安全模式，隱藏文件無法顯示； 病毒感染 .exe文件導致其圖標發(fā)生變化； 會對局域網(wǎng)發(fā)起 ARP攻擊，并篡改下載鏈接為病毒鏈接； 彈出釣魚網(wǎng)站 ? ATTRIB——修改文件屬性命令 ? 1．功能：修改指定文件的屬性。 （ Winpe不易得到，不是所有人都有，需要的可以搜索一下到網(wǎng)上找。 ? 注：此測試電腦只有一個分區(qū)，處理到這里，就完事了。 ? 刪除 system32目錄下那個異常的 。安全模式下運行 ，或者在命令行下運行 kavdx。 ? 8．查找?guī)б韵玛P鍵字的窗口，如果找到則向其發(fā)消息將其退出： ? SREng 介紹、 360safe、 木、 antivir、 … ? ，動態(tài)庫被加載后會從以下網(wǎng)址下載病毒程序 ? 查找窗口” MCI Program Com Appli