这是从邮箱的垃圾邮件中捡来的一个虫子。yahoo邮箱的诺顿说“附件无毒”
1、message.elm.bat属于邮件病毒。下载并运行此附件后,你会看到一个自动打开的记事本文件。文件内容是“天书”般的乱码。
此时,你的麻烦来了——蠕虫已将下列文件释放到你的系统中:
C:\WINDOWS\tserv.exe
C:\WINDOWS\tserv.dll
C:\WINDOWS\tserv.s
C:\WINDOWS\tserv.wax
C:\WINDOWS\system32\e1.dll
C:\WINDOWS\system32\msji449c14b7.dll
其中,e1.dll和msji449c14b7.dll插入explorer.exe进程,并动态跟踪并插入染毒后开启的所有进程。
2、病毒在注册表中添加下列启动项:
(1)在:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加:
tserv(指向C:\windows\tserv.exe)
(2)在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon分支的Userinit项下添加:
e1.dll,msji449c14b7.dll。其中e1.dll很难删除。
3、此蠕虫破坏卡巴斯基的服务加载项及卡巴斯基的启动项;是否还影响其它杀软,尚不清楚。
4、处理办法:
考虑到e1.dll和msji449c14b7.dll动态跟踪并插入其它程序进程这个特点,我用IceSword处理这个蠕虫。流程如下:
(1)打开IceSword。点击IceSword面板上的“文件”、“设置”。勾选“禁止进/线程创建”、“禁止协件功能”。按“确定”。
(2)右击IceSword进程名,点击“模块信息”。找到e2.dll和msji449c14b7.dll,分别选中它们,再点击“卸载”。
(3)结束系统核心进程以外的所有进程(只保留system、system idle process、lsass、csrss、smss、services、svchost)。
(4)用IceSword删除下列文件:
C:\WINDOWS\tserv.exe
C:\WINDOWS\tserv.dll
C:\WINDOWS\tserv.s
C:\WINDOWS\tserv.wax
C:\WINDOWS\system32\e1.dll
C:\WINDOWS\system32\msji449c14b7.dll
(5)用IceSword删除病毒添加的启动项。
(6)点击IceSword面板上的“文件”、“设置”。取消“禁止进/线程创建”、“禁止协件功能”。按“确定”。
(7)同时按下Ctrl_Alt_Del,调出任务管理器,点击任务管理器工具栏上的“文件”、“新建任务”。键入explorer.exe,再点击“确定”。即可继续正常工作。
至于杀软服务及启动项被破坏问题,可以用事先备份的注册表项恢复。如果没有备份杀软的注册表项,可以重新安装杀软。
