注册表的New0服务项,指定的路径是:C:\WINDOWS\System32\new.sys,我搜索过没有这个文件,可能让我误删除了,不知道是不是这个问题导致的!请哪位好心的大大上传一下这个文件,记得好像是几十K而已!
服务项启动的都应用程序,不可能启动*.SYS文件 SYS文件是系统文件
该病毒的特征是:
1、利用QQ自动给在线好友发送带有病毒代码的网站链接。(在你给好友发送消息前自动发出,并不定时的给好友发送该代码)
2、修改IE主页地址。重新启动机器会登录该网站。
3、QQ启动时会出现非法操作并自动登录该网站,下次启动会删掉所有好友并有可能会泄漏QQ密码等。
4、瑞星等杀毒软件不能杀掉。(也许还有很多,可能我没发现)
病毒工作原理:
其实这个病毒就是我们平时玩游戏时的一种外挂 。只不过它是做到了大家常用的QQ上。
它主动进入内存并监控QQ主程序,将它的病毒代码包上一层美丽的外衣,利用大家对好友的信任让你登录该网站以达到入侵你机器的目的而已。
现将该病毒手工查杀方法列出,请参考查杀之。
我已经成功杀掉了该病毒,一共四个文件,请找到后删之。(不同的网站病毒可能会改名)
1、在win98系统在windows\system(或win2000、winXP的windows\system32、winnt\system32)目录里,分别是widows.exe(20K),
new.sys,ntoskrnl.exe,internetr.exe(20K)。另外两个忘了多少字节了。
2、另外在注册表里也有。由其是widows.exe,必须删掉。
具体在 [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]这个表项里,(load"="C:\\WINDOWS\\system\\widows.exe或 load"="C:\\WINNT\\system32\\widows.exe)一定要删掉这个。其它不用删。再删internetr.exe,具体在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]这个表项里,
("interneter"="C:\\WINNT\\system32\\interneter.exe")一定要删掉这个,其它不用删。
然后把QQ目录删掉(所有登录过的QQ目录也要删,病毒会改写user.db这个文件,特别是QQ不在C盘,哪怕你重格C做的系统,问题还是解决不了,本人就遇见了)。重新安装QQ(安装完成后不要运行QQ)。运行下面这个文件uregedit.reg来修改主页地址。重新启动机器后,运行QQ,看是否清除,若不行请用下面的决招。
3、实在不行。请重装系统。(这招好象很实用哦,不过我不推荐哟。)
4、有些QQ病毒和这个类似,请参考杀之。有的只有new.sys,ntoskrnl.exe,其中ntoskrnl.exe有的有3个.
5、注意:
1、在WINDOWS状态下widows.exe和internetr.exe是不会让你删的。请用WIN98或WIN2K/XP启动盘启动到纯DOS状态下去删它们。(如果你不会,呵呵……,另请高明吧或到书店学习)
2、查杀过程中,请不要打开任何网页,在WIN98或WIN2K进程中会看到internetr.exe这个进程。这就是该病毒的运行程序。它会利用 widows.exe进行自我监控。系统启动时若没发现internetr.exe它会自动复制一份在相同目录里。所以widows.exe是它的主文件。另外,NEW.sys是它的配置文件,也必须删之(在C盘根目录下也有这个文件)。以上文件最好进行全盘扫描,全部删掉才保险。
