病毒介绍:
这是个变态的传奇木马。没有手工杀毒经验的朋友还是建议重装系统,这样可能效果更好。
运行病毒文件之后创建以下文件:
c:\windows\debug\debugprogram.exe
c:\windows\system32\command.pif
c:\windows\system32\dxdiag.com
c:\windows\system32\finder.com
c:\windows\system32\msconfig.com
c:\windows\system32\regedit.com
c:\windows\system32\rundll32.com
c:\windows\1.com
c:\windows\exeroute.exe
c:\windows\explorer.com
c:\windows\finder.com
c:\windows\services.exe
修改exe文件关联。
添加到启动项:
hkey_local_machine\software\microsoft\windows\currentversion\run
torjan program----------c:\windows\services.exe
hkey_local_machine\software\microsoft\windows\currentversion\runservices
torjan program----------c:\windows\services.exe
修改system.ini 原始值应该为shell = explorer.exe 修改为shell = explorer.exe 1(实现启动加载
explore.exe后紧接着加载1)
各在磁盘根目录中添加文件autorun.inf,打开磁盘就会激活病毒。
多种方法来启动自己保护自己,比较难查杀。
查杀过程:
下载sreng.exe,并改名为sreng.com sre的下载地址是:http://www.kztechs.com/sreng/sreng.zip 运行sreng.com,在“系统修复”>>“文件关联”里勾选“.exe”项(如果exe关联错误默认就会勾上的),并“修复”,恢复exe文件关联 。然后打开icesword(下载地址:http://www.xfocus.net/tools/200509/icesword_en1.12.rar),结束病毒的进程。注意进程里面有两个
services.exe,正常的为c:\windows\system32\services.exe,那么另外一个就是病毒的进程了。结束了病毒进程之后在icesword里面打开文件,找到并删除病毒所创建的文件(文章开头列出了这些文件)。打开注册
表(开始-运行-regedit) 找到:
hkey_local_machine\software\microsoft\windows\currentversion\run
hkey_local_machine\software\microsoft\windows\currentversion\runservices
删除其中的torjan program----------c:\windows\services.exe。
再找到:
hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon
把其中shell的值改回为shell = explorer.exe
然后在每个盘的根目录中找autorun.inf文件(先显示隐藏文件和系统文件),找到就删除。
重启之后病毒就不会再出现了。
另外可能病毒杀死后会出现双击ie浏览器系统提示找不到iexplorer.com文件,这个时候你直接选浏览,然后找到iexplorer.exe,确定就可以了。 |