2024年1月15日发(作者:)

故障描述: 根目录下多了“”和 “”文件

Solution: 删除所有盘的根目录下这两个文件,另删除以下文件

c:

c:

c:

c:

c:

删除注册表

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 数据为

的项。

那个病毒名字好像是:"冒名者"(Backdoor/)

发作症状:

1.运行后显示对话框。

2.创建下列文件:

c:, 73728字节,隐藏属性文件,病毒本身

c:, 44字节,隐藏属性文件,自动播放配置文件,指向病毒程序。这样,用户每次双击驱动器盘符,都会激活病毒程序。

3.添加或修改下列注册表键值:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL] "CheckedValue" = 00000000

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]

"SFCDisable" = 00000001

这样,使用Windows资源管理器浏览文件时将不会显示隐藏文件,在系统文件被破坏时,Windows

2000/XP/2003也不会发出警告。

4. 尝试用自身替换系统文件%SystemDir%。一旦替换成功,每次被调用时都会激活病毒程序。正常的被完全破坏,只能通过备份恢复。

5. 收集用户系统的进程列表、机器名、驱动器等信息,向网页脚本virtu****st.w**/v**rl/提交。

6. 根据黑客命令,可以在用户本地系统进行下列操作:文件复制、移动、删除、改变属性;

文件夹复制、移动、删除、新建;

手动删除了该病毒, 方法如下:

1. 修改注册表,恢复被修改的信息

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL] "CheckedValue" = 00000000

将值设置为1

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

"SFCDisable" = 00000001

将值设置为0

2. 搜索计算机硬盘

分别查找 和 文件, 将同一盘符下成对的这两个文件删除。

3. 任务管理器中关闭进程

关闭进程

4. 替换受损的文件

使用系统盘system32dllcache下的替换系统盘system32下的文件。

也可以到网上搜索相应的专杀工具。

NTCurrentVersionWinlogon]