瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 如何彻底删除517ting
无所谓xz - 2005-7-14 5:51:00
大家请注意:

最近通过各种即时通讯软件(贸易通、qq、msn等)传播的病毒已经变种!

中毒现象与之前类似:

在IE地址栏输入www.的时候会自动变成www.ting789.com这个网站,在即时通讯软件里会发送以下语句给别人 :

XXXX,给你看段经典的小电影! http://www.517ting.com/down/down.asp?id=78564 放心啦,不是病毒啦!

点击后会下载一个ASDF.EXE文件,运行后就会在

XP系统:C:\WINDOWS\SYSTEM32目录下建立systemr.exe,gedit.exe,msscript.exe,wups32.dll这4个文件

2000系统:C:\WINNT\SYSTEM32目录下建立systemr.exe,gedit.exe,msscript.exe,wups32.dll这4个文件

在XP和2000的注册表:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run里建立systemr项

HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows里把load项的数值写成:

C:\WINDOWS(2000是WINNT)\SYSTEM32\MSSCRIPT.EXE 并且gedit.exe,msscript.exe在进程中是运行的.

如果使用修改hosts文件的方法,只能保证打开浏览器时该网站不弹出,但依然是被设定为首业。

彻底解决方法:

1、到任务管理器中,结束gedit.exe,msscript.exe这2个进程

2、进SYSTEM32目录,找到那4个文件,然后彻底删除(注意:gedit.exe删除后可能会自动生成,删除了4个文件后再检查下)

3、再进注册表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run把systemr项删除

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows里把load项的数值去掉

好了问题到此解决。
1
查看完整版本: 如何彻底删除517ting