内容摘要:该病毒为蠕虫类,病毒运行后复制自身到系统目录,衍生病毒文件。该病毒通过修改windows自动更新服务的ImagePath项,来达到随机启动的目的。病毒创建自身进程,以收集所需要的信息。 该病毒可连接网络进行病毒相关操作。
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是 C:WinntSystem32;
Windows95/98/Me中默认的安装路径是 C:WindowsSystem;
WindowsXP中默认的安装路径是 C:WindowsSystem32。
四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com 。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程
(2) 强行删除病毒文件
%Temp% s.bat
%Program Files%Common FilesMicrosoft Sharedmaeyu.exe
%Program Files%Internet ExplorerConnection Wizardevwfq.exe
%Program Files%Windows Media Playergwuuu.exe
%Windir%addinswuwsu.exe
%Windir%systemoowyg.exe
%System32%dllcacheesmqc.exe
%System32%driverssvchost.exe
%System32%driverswoauq.exe
%System32%icyok.exe
%System32%IMEqusae.exe
%System32%lptrr.exe
(3) 恢复病毒修改的注册表项目,添加病毒删除的注册表项
[HKEY_LOCAL_MACHINESYSTEMControlSet001ServiceswuauservParameters]
注册表值: " ServiceDll "
类型: REG_SZ
字符串: " C:WINDOWSsystem32wuauserv.dll."
描述:删除自动更新对应的DLL项,使自动更新不可用
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswuauservParameters]
注册表值: " ServiceDll "
类型: REG_SZ
字符串: " C:WINDOWSsystem32wuauserv.dll."
描述:删除自动更新对应的DLL项,使自动更新不可用
[HKEY_LOCAL_MACHINESYSTEMControlSet001Serviceswuauserv]
新建键值:字串:"ImagePath "=" %SystemRoot%system32driverssvchost.exe."
原键值:字串:"ImagePath "="%systemroot%system32svchost.exe -k netsvcs."
描述:添加病毒启动项,使自动更新服务默认开启的是病毒文件
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswuauserv]
新建键值:字串:"ImagePath "=" %SystemRoot%system32driverssvchost.exe."
原键值:字串:"ImagePath "="%systemroot%system32svchost.exe -k netsvcs."
描述::添加病毒启动项,使自动更新服务默认开启的是病毒文件
责编:豆豆技术应用
- 金山毒霸 2009 杀毒套装 下载 免费 试用
- 金山毒霸 9 互联网安全套装下载
- 巧用“记事本”程序让病毒白白运行
- qq盗号木马变种Trojan-PSW.Win32.QQPass.kht
- jsnndya.exe,gozowzeuisnxd.exe,dkzuimwvx.exe等的清除
- Trojan.DL.Win32.Mnless.ahy(DODOLOOK139.EXE)分析查杀
- Adware.Win32.Agent.nys(mfjdkhk.sys)查杀
- cag1ynw1.com,d32dx9.sys等恶意文件删除解决方案
- wgsfun.dll,456320.exe等cnbeta恶意木马清除解决方案
- ssrcservice.exe,ssrcservice.dll等恶意病毒清除解决方案