我最近也遇到这种病毒,装的瑞星也没有反应(已经升级到10月8日病毒库,D版).
在IE缓存里发现了几个有MZ文件头的BMP文件,改名为EXE后缀后,出现EXE头像,用EXESCOPE分析,可能是DELPHI编写.
还有N多的东西记不清楚了,反正那些都很好分析,也很好删的.
只有这最后一个麻烦,费了点事.
现象是:
这个文件在注册表里建了某个键值(见后),然后在系统登录时,运行一下就退出了(估计是向系统某进程里插入DLL或代
码).
接着就会出现N多的IE进程(隐藏界面),并且当登录用户是Administrators组成员时,IE进程是SYSTEM权限的.
以下是我导出的注册表文件:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"9"="C:\\WINDOWS\\system32\\vpcrm.exe"
我的解决办法:
由于我的系统是WINDOWS2003,并且系统盘是NTFS,于是就使用了文件权限大法,一下子就搞定,并且以后还不会再中了,嘿
嘿.
具体:
先运行CMD.EXE,CD到system32目录,运行"attrib -h",这样就可以让隐藏文件现形(这个病毒使用了特殊技术,让资源管理
器里的"显示所有文件"无效了),然后用资源管理器打开system32目录,找到这个文件,点右键---属性,把它的访问权限都
去掉,就OK了.
这样谁都无法访问这个文件了,因此以后也不会再中了,嘿嘿.
另外,把注册表里的那个键值也删掉,并且也用同样的办法把注册表的那个RUN键值设置为everyone只读.
