“愤怒的天使”。
感染型病毒。
桌面以及系统分区中除windows及其子目录下的.exe外——————其它.exe文件全部被病毒感染。
杀软若能清除其中的病毒代码使被感染的.exe恢复正常运行,还算好。若不能,所有应用程序要重新安装了。
在Tiny的Track'nRevers方式下运行此毒,其Revert Changes可使被感染文件复原。
附上部分被感染程序截图两张:
附件:
您所在的用户组无法下载或查看附件 附件:
您所在的用户组无法下载或查看附件中此毒后SRENG日志中的异常部分:
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Serverx><C:\windows\system32\Serverx.exe> []————用户每运行被感染的.exe一次即生成此病毒程序一次。
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<run><RAVMOND.exe> []——此程序是病毒程序而不是瑞星的监控程序。它位于system32目录下。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Hardware Profile><C:\windows\system32\hxdef.exe> []
<Microsoft NetMeeting Associates, Inc.><NetMeeting.exe> []
<VFW Encoder/Decoder Settings><RUNDLL32.EXE MSSIGN30.DLL ondll_reg> [N/A]
<Program In Windows><C:\windows\system32\IEXPLORE.EXE> []
<Protected Storage><RUNDLL32.EXE MSSIGN30.DLL ondll_reg> [N/A]
<Shell Extension><C:\windows\system32\spollsv.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
<SystemTra><C:\windows\SysTra.EXE> []
==================================
服务
[_reg / _reg][Stopped/Auto Start]
<Rundll32.exe msjdbc11.dll ondll_server><Microsoft Corporation>
[Windows Management Protocol v.0 (experimental) / Windows Management Protocol v.0 (experimental)][Stopped/Auto Start]
<Rundll32.exe msjdbc11.dll ondll_server><Microsoft Corporation>
==================================
正在运行的进程
[PID: 1640 / SYSTEM][C:\windows\system32\ibmpmsvc.exe] [, ]
[C:\windows\system32\LMMIB20.DLL] [N/A, ]
==================================
Autorun.inf
[C:\]
[AUTORUN]
Open="C:\COMMAND.EXE" /StartExplorer
