Trojan.Win32.ShutDown(关机)病毒:
警惕程度★★★,
木马病毒,通过网络传播,
依赖系统:WIN9X/NT/2000/XP。
这是采用VC语言编写的木马病毒,运行后复制多个文件到系统中,修改注册表实现开机自启动。病毒会搜索窗口,“进程查看器”、“注册表编辑器”、“Windows 任务管理器”等程序不能正常运行。开机1200秒(20分钟)后,病毒试图强行关闭用户电脑,给用户造成很大困扰。 病毒分析: 一、将自己复制为以下几个文件: C:\WINDOWS\system32\winvor.exe C:\WINDOWS\view.exe C:\system32.exe C:\Documents and Settings\All Users\「开始」菜单\程序\启动\start.pif 二、修改注册表以下键以达到其自启动的目的: 1. HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\Currentversion\Run 增加数据项:"RUNEXE" 数据值:"%WINDIR%\VIEW.EXE" 2. HKEY_CLASSES_ROOT\txtfile\shell \open\command (默认) 数据值:"C:\WINDOWS\system32\winvor.exe" 三、查看当前系统是否存在以下窗口,如果有则将它们结束: "进程查看器"、 "注册表编辑器"、 "Windows 任务管理器" 四、查看当前系统是否存在以下进程,如果有则将它们结束: "taskmgr.exe"、 "regedit.exe"、 "cmd.exe" 五、在C盘根目录下生成名为"autorun.inf"的文件,该文件会导致用户在访问C盘的同时将"C:\system32.exe"(病毒文件)运行。 六、创建一个线程,该线程执行后将休眠1200秒然后关闭本地计算机。
手动解决方法:(杀毒软件基本在安全模式下可以查杀)
---------删除以下病毒文件:(下个UNLOCKER 软件(可到down.45its.com下载) 删除不了的文件 解锁后-删除) C:\WINDOWS\system32\winvor.exe C:\WINDOWS\view.exe C:\system32.exe C:\Documents and Settings\All Users\「开始」菜单\程序\启动\start.pif ---------修复注册表 开始--运行--输入REGEDIT ,打开注册表依次进行以下操作: 1. HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\Currentversion\Run 增加数据项:"RUNEXE" 数据值:"%WINDIR%\VIEW.EXE" 2. HKEY_CLASSES_ROOT\txtfile\shell \open\command (默认) 数据值:"C:\WINDOWS\system32\winvor.exe" ------运行USBCLEANER软件 帮你清除每个盘下面的autorun.inf文件 ------进安全模式下杀毒软件全面扫描 用SRENG(可到down.45its.com下载)的系统修复修复系统
|