在C盘根目录下有boot.exe文件,在安全模式下删除了,过几天又出来了,说是ELEM的一种病毒。但是最新的瑞星好像也查杀不出来。怎么办?请高手指教。有没有专杀工具。。
參考答案:很古老的一个病毒啊!看下面介绍,建议将病毒库更新到最新随便一个杀毒软件都可以搞定
=====================
『金山反病毒资讯网』 2003年01月07日 23:56:53
病毒名称:Worm.OpaSoft.17408(及变种Worm.OpaSoft.20480)
病毒类型:蠕虫
感染长度:17408(变种20480)字节
危害级别:高
传播速度:中
病毒特征:
这是一个可以通过网络传播的蠕虫病毒,使用PECompact压缩过。病毒运行时把自身复制到系统目录下,并修改注册表。病毒利用了Win9X系统的一个漏洞(详细情况和补丁请参考: ),可以在局域网内迅速传播,即便共享的文件夹设有密码,病毒也能访问。如果是WinNT系统,病毒则通过共享文件夹传播。
该病毒还会获取系统当前时间,如果病毒运行超过两天,则释放病毒文件到C盘根目录下,并用这个文件改写硬盘分区表,当系统重启时显示病毒字符信息,破坏掉硬盘上的数据。
病毒运行后会有如下特征:
1、修改系统文件win.ini中[msappfont]节中value, font, style项(如果该节中不存在这些项,病毒会创建),并将自己执行的日期存在这些项里。
2、如果系统当前日期大于24日并小于31日,或者当前的年数大于2002年,病毒检查自己是否已经有两天未被执行,如果是,病毒接着检查文件c:\win.ini是否存在,如果存在该文件,表示该病毒已经执行过感染局域网络的操作。
如果病毒找到该文件,它会进行如下的破坏动作:
a、创建以下文件:c:\Msdos.sys(19字节), c:\Autoexec.bat(15字节), c:\Mslicef.com(1706字节), c:\Boot.ini(88字节),c:\Bootsect.dos(512字节), c:\Boot.exe(4096字节)。
其中当c:\boot.exe执行的时候,它会强行重新启动用户机器。当c:\Mslicenf.com执行时,它会覆盖掉硬盘的分区表,删除掉CMOS和硬盘上的所有数据,并显示一段信息。
当上述文件被修改或创建后,而系统又重启时,在Win95/98下,c:\Mslicenf.com被执行;在Windows Me下,则对c:\IO.sys, c:\Command.com,c:\windows\system\Regenv32.exe打补丁使其可以运行在DOS实模式下。
最后病毒运行Boot.exe重启系统,运行破坏性程序,覆盖掉硬盘的分区表,删除掉CMOS和硬盘上的所有数据,并显示如下信息:
NOTICE:
Illegal Microsoft Windows license detected!
You are in violation of the Digital Millennium Copyright Act!
Your unauthorized license has been revoked.
For more information, please call us at:
1-888-NOPIRACY
If you are outside the USA, please look up the correct contact information on our website, at:
bsa.org
Business Software Alliance
Promoting a safe & legal online world.
3、如果不是所有的破坏活动都被执行,病毒会执行如下操作:
复制自己到windows目录下,命名为Mqbkup.exe(变种则命名为mstask.exe),并注册自动运行。它会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加两个键值:mqbkup = %windir%\mqbkup.exe和mqbkupdbs = %windir%\mqbkup.exe。
然后会搜索局域网中C:\被共享的机器,如果找到,复制自己到该机器的c:\windows\Mqbkup.exe,并修改该机器中c:\windows\win.ini目录,修改run的值为c:\windows\mqbkup.exe。
建议您升级金山毒霸进行查杀。
