病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« 金山网镖安装驱动失败的解决方法北大青鸟高薪就业迷雾—转自《电脑报》 »

虚拟艺术.exe、Mourn_Operator1`1.exe病毒简单分析

  每个硬盘分区的根目录下出现autorun.inf 和两个伪装成图片的exe文件: 虚拟艺术.exe、Mourn_Operator1`1.exe,报为蠕虫病毒,可能在局域网内扩散传播。因此清除方法首先是断网,然后除删除各个根目录下的以上三个文件外,还要删除C:\Program Files\Internet Explorer\LSASS.EXE、C:\Program Files\Internet Explorer\SERVICES.EXE,这两个在IE文件夹下的两个文件,其实就是Mourn_Operator1`1.exe,虽然文件名不同,但大小、实质是一样的(注意,正常的LSASS.EXE、SERVICES.EXE并不在IE文件夹下);同时病毒会从c:\windows\下复制正常的explorer.exe文件到IE的文件夹(C:\Program Files\Internet Explorer\)下,并重命名c:\windows\explorer.exe为c:\windows\explorer.exe252736389636993(后面的数字可能会不同),然后在c:\windows\下放上假冒的explorer.exe,所以修复时,要先删除病毒假冒的explorer.exe,然后把c:\windows\explorer.exe252736389636993改回正常的explorer.exe。删除可用PE光盘启动后在win pe环境中操作,或用冰刃或之类的强删工具删除病毒文件,再恢复正常文件。
 

  此外,病毒还将创建新注册表项:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt1\DefaultIcon
(Default) = "shimgvw.dll,1" 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt1\shell
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt1\shell\open
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt1\shell\open\command
(Default) = "%ProgramFiles%\Internet Explorer\SERVICES.EXE %1" 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt2
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt2\DefaultIcon
(Default) = "shimgvw.dll,2" 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt2\shell
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt2\shell\open
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt2\shell\open\command
(Default) = "%ProgramFiles%\Internet Explorer\SERVICES.EXE %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt3
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt3\DefaultIcon
(Default) = "shimgvw.dll,3" 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt3\shell
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt3\shell\open
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt3\shell\open\command
(Default) = "%ProgramFiles%\Internet Explorer\SERVICES.EXE %1"

然后更改一些图片文件(bmp、gif、jpe、jpeg、jpg)的关联到病毒文件上,如

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bmp]
(Default) = "PbWzdmngmt1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.gif]
(Default) = "PbWzdmngmt2"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.jpe]
(Default) = "PbWzdmngmt3"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.jpeg]
(Default) = "PbWzdmngmt3"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.jpg]
(Default) = "PbWzdmngmt3"
 

因此,清除病毒修复时,要完整删除以下注册表项(操作注册表前仍然建议先做备份):

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt2
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt3

然后修复图片文件的关联:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bmp
(Default) = "Paint.Picture"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.gif
(Default) = "giffile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.jpe
(Default) =  "jpegfile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.jpeg
(Default) = "jpegfile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.jpg
(Default) = "jpegfile"
 

以上(Default)表示注册表项中的“默认”值 ,修复图片文件的关联还有更简单的方法,比如用ACDSee,直接把图片文件关联到ACDSee上也是可以的,以ACDSee3.1以例,菜单-工具-文件关联-图片文件类型-全部选定-确定,其它版本或其它看图工具应与此类似,参照操作。


>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/687.html

  • 1楼.stock.info
  • 感谢了,又需要花些时间了。。。 这种病毒看就烦了,麻烦。如果有什么软件能直接帮忙修复那就好
    流风33 于 2011-3-31 11:07:02 回复
    各种卫士、助手、盾都可以试试,如果有残留,就再手杀
  • 2011-3-30 15:03:17  [引用]

发表评论(无须注册,所有评论在审核通过后显示):

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

  • 微信订阅号
    微信订阅

最新发表

最新评论及回复

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2020 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog. 闽ICP备09000343号

闽公网安备 35010202000133号