每个硬盘分区的根目录下出现autorun.inf 和两个伪装成图片的exe文件: 虚拟艺术.exe、Mourn_Operator1`1.exe,报为蠕虫病毒,可能在局域网内扩散传播。因此清除方法首先是断网,然后除删除各个根目录下的以上三个文件外,还要删除C:\Program Files\Internet Explorer\LSASS.EXE、C:\Program Files\Internet Explorer\SERVICES.EXE,这两个在IE文件夹下的两个文件,其实就是Mourn_Operator1`1.exe,虽然文件名不同,但大小、实质是一样的(注意,正常的LSASS.EXE、SERVICES.EXE并不在IE文件夹下);同时病毒会从c:\windows\下复制正常的explorer.exe文件到IE的文件夹(C:\Program Files\Internet Explorer\)下,并重命名c:\windows\explorer.exe为c:\windows\explorer.exe252736389636993(后面的数字可能会不同),然后在c:\windows\下放上假冒的explorer.exe,所以修复时,要先删除病毒假冒的explorer.exe,然后把c:\windows\explorer.exe252736389636993改回正常的explorer.exe。删除可用PE光盘启动后在win pe环境中操作,或用冰刃或之类的强删工具删除病毒文件,再恢复正常文件。
此外,病毒还将创建新注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt1\DefaultIcon
(Default) = "shimgvw.dll,1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt1\shell
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt1\shell\open
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt1\shell\open\command
(Default) = "%ProgramFiles%\Internet Explorer\SERVICES.EXE %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt2
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt2\DefaultIcon
(Default) = "shimgvw.dll,2"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt2\shell
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt2\shell\open
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt2\shell\open\command
(Default) = "%ProgramFiles%\Internet Explorer\SERVICES.EXE %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt3
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt3\DefaultIcon
(Default) = "shimgvw.dll,3"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt3\shell
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt3\shell\open
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt3\shell\open\command
(Default) = "%ProgramFiles%\Internet Explorer\SERVICES.EXE %1"
然后更改一些图片文件(bmp、gif、jpe、jpeg、jpg)的关联到病毒文件上,如
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bmp]
(Default) = "PbWzdmngmt1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.gif]
(Default) = "PbWzdmngmt2"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.jpe]
(Default) = "PbWzdmngmt3"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.jpeg]
(Default) = "PbWzdmngmt3"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.jpg]
(Default) = "PbWzdmngmt3"
因此,清除病毒修复时,要完整删除以下注册表项(操作注册表前仍然建议先做备份):
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt2
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PbWzdmngmt3
然后修复图片文件的关联:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bmp
(Default) = "Paint.Picture"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.gif
(Default) = "giffile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.jpe
(Default) = "jpegfile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.jpeg
(Default) = "jpegfile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.jpg
(Default) = "jpegfile"
以上(Default)表示注册表项中的“默认”值 ,修复图片文件的关联还有更简单的方法,比如用ACDSee,直接把图片文件关联到ACDSee上也是可以的,以ACDSee3.1以例,菜单-工具-文件关联-图片文件类型-全部选定-确定,其它版本或其它看图工具应与此类似,参照操作。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/687.html
