分享
 
 
 

新的病毒-myRunner病毒的症状以及解决方案

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

中了myRunner病毒的症状 :

VC写的发送QQ尾巴和盗取信息的木马病毒

一旦感染,病毒将执行下列操作:

复制到系统目录:

"%SYSDIR%/?.exe"->该文件的文件名为一个空格

"%SYSDIR%/notepad?.exe->该文件同样带有空格

"%SYSDIR%rundll32.exe

显示一个消息框,标题:“提示”,内容:

“安装时检测到系统中某程序与本软件发生冲突,请先纠正该冲突,或选择另一台电

脑上安装!”

病毒盗取QQ用户名、密码

病毒发送QQ信息给在线好友。内容一般为:

好漂亮的动画哦,可以打开看看吧.exe

一个对你目前工作很有帮助的好东东.exe

你一定需要的工作资料(网上找到的).exe

接啊,快接啊,推荐给你看看.exe

QQTalk(QQ聊天秘籍,给你看看吧).exe

网上电视(20个CCTV频道+36个省台+50个英文台,极力推荐).exe

啊哈,网友发的超级搞笑FLASH,你看得懂吗.exe

笑死我了,你看过这个FLASH吗.exe

今年过年不收礼,收礼只收白骨精(搞笑版广告).exe

超级MM,超级FLASH,请你笑纳.exe

腾讯QQ特殊使用技巧之动画教程(对你一定很有用的).exe

网上听收音机(调到第5个频道,我们边聊边听吧).exe

在线收音机(我们一起听听第6个频道吧,来探讨这个话题).exe

看看我的高清晰视频图像,比QQ自带的强10倍.exe

你先看看我用静态照片制作成的MTV吧,我马上回来.exe

病毒运行后首先查找注册表中有无HKLM/Software/Classes/MSipv/MainVer值,如果有则不进行对系统的感染,如果没有该值,则建立HKLM/Software/Classes/MSipv项,然后尝试从以下注册表启动项位置:

HKLM/Software/Microsoft/Windows/CurrentVersion/Run

HKLM/Software/Microsoft/Windows/CurrentVersion/RunServices

HKCU/Software/Microsoft/Windows/CurrentVersion/Run

HKCU/Software/Microsoft/Windows/CurrentVersion/RunServices

删除一些木马程序的启动项:

iexplore

IEXPLORE

mssysint

mspsint

mspbint

iexplore.exe

IEXPLORE.EXE

mssysint.exe

mspsint.exe

mspbint.exe

internat.exe

internat

同时尝试删除对应的木马程序文件。

病毒创建自身副本到系统目录下:

%System%/?.exe

%System%/notepad?.exe

%Windows%/System/RUNDLL32.EXE(如果是Windows2000/XP)

%Windows%/System32/RUNDLL32.EXE(如果是Windows9x)

并修改EXE和TXT的文件关联:

HKLM/Software/Classes/exefile/shell/open/command

EXE文件关联被修改为“?%1%*”

HKLM/Software/Classes/txtfile/shell/open/command

TXT文件关联被修改为“notepad?%1”

注:其中“?”不是单纯的一个空格,而是一个字符。病毒感染系统后也会显示如图(附件)对话框。

再注:病毒文件大小不固定,从文件内容来看好像是通过一些重复的信息来改变文件大小。

此外,病毒还会检查被感染系统是否安装QQ,如果安装有QQ,病毒则通过注册表找到QQ.EXE所在路径,把正常的TIMPlatform.exe改名为TIMP1atform.exe,将病毒自身复制为TIMPlatform.exe。

最后在注册表建立病毒标记:

HKLM/Software/Classes/MSipv/MainSetup

HKLM/Software/Classes/MSipv/MainUp

HKLM/Software/Classes/MSipv/MainVer

其中MainSetup和MainUp值相同,但不固定。

病毒的清除

由于病毒关联了EXE文件,我们建议这样处理:

首先打开注册表编辑器或用来恢复文件关联的工具(如RegFix),先不要关闭,然后通过任务管理器或ProceXP等进程管理工具结束病毒Rundll32.exe的进程,接下来恢复EXE和TXT文件关联,最后再找到病毒文件删除掉:

%System%/?.exe

%System%/notepad?.exe

%Windows%/System/RUNDLL32.EXE(如果是Windows2000/XP)

%Windows%/System32/RUNDLL32.EXE(如果是Windows9x)

还有一步,到QQ安装目录下,把病毒生成的TIMPlatform.exe删除,然后把TIMP1atform.exe改名为TIMPlatform.exe即可。

注:推荐使用工具来恢复TXT文件关联

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有