该病毒MACFEE不报,
lgQPm.EXE运行后,自动复制到%WINDOWS%目录下
%WINDOWS%\lgQPm.exe
%WINDOWS%\wc98pp.dll
%WINDOWS%\Listsas.txt
*:\*****.exe
*:\AUTORUN.INF
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit\C:\WINDOWS\system32\userinit.exe,
修改为:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit\C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\lgQPm.exe
修改系统日期
注意该病毒%WINDOWS%\lgQPm.exe连接网络
IP地址:221.8.74.166
端口:80
自动下载:
%WINDOWS%\099.exe
在系统中释放:
%WINDOWS%\099.TXT
*:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp
*:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\drwtsn32.log
解决方法:
使用IceSword结束病毒进程%WINDOWS%\lgQPm.exe
删除
%WINDOWS%\lgQPm.exe
%WINDOWS%\wc98pp.dll
%WINDOWS%\099.exe
%WINDOWS%\099.TXT
*:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp
*:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\drwtsn32.log
每个根目录下的
*:\*****.exe 因为这个是随机生成的,每次都不一样的文件名,没法确定,所以用*****来代替,是五位数:如下图
*:\AUTORUN.INF
更改系统日期,
注意事项:
在测试时,SSM提示更改:
*:\Program Files\Internet Explorer\IEXPLORE.EXE
更改为:
*:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.sinavip.net/A.asp?Id=4067404609999
因为是修改完了才想起来,所以也不知道到底有没有更改.回收站里面有一个,
欢迎交流,并指出错误。
附件:
368655200724224735.jpg