百度网盘怎么离线下载:病毒backdoor.win32.tompai.b怎么解决

病毒名称：Backdoor.Win32.Tompai.b
发现日期：不详
其他名称：W32/Tombai.worm、Win32/Tompai.NAA、W32/Tompai.B、Backdoor.Nightcraw
相关技术分析：
1、文件大小为 65,204 字节，使用 UPX加壳
2、修改注册表位置以保证自启动：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
3、感染硬件设备的根目录，包括移动设备（U盘、移动硬盘）
生成文件：autorun.inf 和 iexplores.exe，文件属性：隐藏、系统
4、在系统目录生成如下文件：以 WINDOWS XP 为例
WINDOWS\mapserver.exe
WINDOWS\SYSTEM\mainsv.exe
WINDOWS\SYSTEM\ptsnopt.exe
5、病毒激活后会自动、定时检测文件夹属性设置，如不符合以下设置，则更改为：
不显示隐藏文件和文件夹、隐藏已知文件类型扩展名、不显示受保护的操作系统文件

清除方法：
1。关闭系统还原
2。进入安全模式使用杀毒软件查杀
3。查看任务管理器，看其中是否还有iexplores.exe在运行，注意区别iexplore和explore两个正常进程 ，如有，终止该进程
4。在注册表项中查找
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
删除Windows%\driver.com
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Runservices
删除System%\mainsv.exe
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
删除Windows%\mapserver.exe
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Runonce
删除System%\mainsv.exe
删除HKEY_CURRENT_USER>Software>VB and VBA Program Settings>Doom
5。重新启动系统。

8月3日以来，瑞星全球反病毒监测网截获到数十个“反常的”恶性病毒，它们除了有常见的危害之外，还会造成主流杀毒软件和个人防火墙无法打开，甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。针对此类病毒，瑞星公司发布今年首次橙色（二级）警报，并将它们通称为“橙色八月”以提醒广大用户注意防范。

据瑞星反病毒专家介绍，这些病毒包括“传奇终结者（Trojan.PSW.LMir）”、“QQ游戏木马（Trojan.PSW.QQGame）”、 “QQ盗贼（Trojan.PSW.QQRobber）”以及“密西木马（Trojan.PSW.Misc）等病毒的最新变种。这些病毒在电脑的后台运行，窃取用户的网络游戏和QQ的账号和密码，并发送给病毒制造者。

瑞星反病毒专家分析认为，导致此类病毒疫情攀升的主要原因是由于其针对反病毒软件以及变种繁多的特点。很可能有病毒编写者或者黑客组织，有计划地在各种流行病毒中加载了反杀毒软件的程序，掀起这场针对主流杀毒软件的“战争”。目前瑞星已经截获了大量该类病毒，预计近段时间该类病毒数量还会继续增加。

针对此类病毒，瑞星杀毒软件2006版已经升级至18.38.42版，请广大用户及时更新杀毒软件到最新版本，并打开“文件”、“注册表”、“内存”等全部八项实时监控进行防范。已感染此类病毒的用户可以登陆http://it.rising.com.cn/Channels/Service/index.shtml，下载免费专杀工具，或通过“瑞星在线专家门诊”寻求远程救助，也可拨打反病毒急救电话：010-82678800寻求帮助。

病毒列表上的病毒主要针对以下安全软件卡巴斯基 Symantec AntiVirus 瑞星 江民杀毒软件 天网防火墙个人版 噬菌体 木马克星 金山毒霸

行了行了，废话就别多说了，用反间谍专家查杀，不行后用其他杀就行了。
卡巴其实有个缺陷，那就是遇到存放于系统主目录下的病毒文件它不可以删除，这时候就用用反间谍专家或其它的查杀就可以了。