此毒样本由“流星陨落”发在了“版主之家”
http://forum.ikaka.com/topic.asp?board=38&artid=8441909运行这个egro.exe样本后,释放的文件见图1。除此之外,IE临时文件夹中还有很多。
这个毒添加的加载项比较特殊:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
userinit(指向c:\windows\system32\mgmrwmrv.exe,见图2)。
SRENG、AUTORUNS、ICESWORD等均扫不到这个怪怪的启动项。有点儿意思。
此外,此毒运行后不停的反复写HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr"=dword:00000001(禁用任务管理器),没完没了。
咱什么都不做。先试试用IceSword能否删除HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit。
结果————删掉了。而且病毒浑然不知此userinit键值被用户删了。汗!
重启系统看看。
重启后,再次展开HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\,userinit键值不见了。汗!关机前也不知道回写一下。菜!
彻底删除HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon。
接下来。删除图1所示的病毒文件,清空IE临时文件夹。完事。
病毒写入的其它注册表垃圾用TuneUp清理一下,结束。
图1
[用户系统信息]Opera/9.26 (Windows NT 5.1; U; zh-cn)附件:
155847200845104502.jpg 
