无所谓xz - 2005-7-14 5:51:00
大家请注意:
最近通过各种即时通讯软件(贸易通、qq、msn等)传播的病毒已经变种!
中毒现象与之前类似:
在IE地址栏输入www.的时候会自动变成www.ting789.com这个网站,在即时通讯软件里会发送以下语句给别人 :
XXXX,给你看段经典的小电影! http://www.517ting.com/down/down.asp?id=78564 放心啦,不是病毒啦!
点击后会下载一个ASDF.EXE文件,运行后就会在
XP系统:C:\WINDOWS\SYSTEM32目录下建立systemr.exe,gedit.exe,msscript.exe,wups32.dll这4个文件
2000系统:C:\WINNT\SYSTEM32目录下建立systemr.exe,gedit.exe,msscript.exe,wups32.dll这4个文件
在XP和2000的注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run里建立systemr项
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows里把load项的数值写成:
C:\WINDOWS(2000是WINNT)\SYSTEM32\MSSCRIPT.EXE 并且gedit.exe,msscript.exe在进程中是运行的.
如果使用修改hosts文件的方法,只能保证打开浏览器时该网站不弹出,但依然是被设定为首业。
彻底解决方法:
1、到任务管理器中,结束gedit.exe,msscript.exe这2个进程
2、进SYSTEM32目录,找到那4个文件,然后彻底删除(注意:gedit.exe删除后可能会自动生成,删除了4个文件后再检查下)
3、再进注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run把systemr项删除
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows里把load项的数值去掉
好了问题到此解决。
© 2000 - 2024 Rising Corp. Ltd.