|
|
发表于 2007-2-26 09:10:12
|
显示全部楼层
来自: 中国浙江杭州
1:结束进程AlxRes061209.exe ; I4 F' l' n, o+ b% Z7 X1 ~
2:删除以下文件 ( [% |9 b, q# s0 f) s3 g* o/ A; Q3 `
$ z9 B3 ?( j H6 X
病毒会释放以下文件
/ _7 ^3 {" x) [- v# O7 c9 dc:\ 释放myDelm.bat
, ]$ U: s& h5 U, M/ ]! Z' MC:\WINDOWS\ 释放winsys.ini/ S" B% ` Z. m: H1 G* ?0 I
C:\WINDOWS\system32\ 释放( C: u; l5 `; W- N7 u, V
AlxRes061209.exe & l' a6 x& _9 D" O# |+ J
scrsys061209.scr
, [7 Z4 p" x, i- a8 ]scrsys16_061209.dll ; V$ e' v: a$ P( y8 r
scrsys16_061209.scr
; r; K- [" Q9 uwinsys12_061209.scr 7 V1 L' A2 S: n. }
winsys12_061209.dll* m( s6 C# E7 M% d
o8 p3 G6 p1 ]$ P. ^) b
当mplay.pif再次运行还会在 C:\WINDOWS\system32 释放
0 |% d9 g4 K7 l- E" wwinsys32_061209.dll
6 ?3 b. a& Y u; x& [scrsys16_061209.scr
$ Y5 p7 t" L( a) _scrsys16_061209.dll Y* @3 g+ L% M3 G' o3 a4 ?
$ i4 ?- j, r! S2 \
3:修改注册表HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit 为userinit.exe,0 V6 p7 A' p& Q0 v, g. e& Q
删除HKLM\SOFTWARE\Microsoft\Command Processor\AutoRun# R* t4 b' z7 `; ^: P
在注册表中搜索mplay.pif,将搜索到的结果删除。; h& [6 A, j k& c
% ^5 l G! Y; A; O切记!没有完全删除前不要双击D盘,不然会再次生成病毒文件.0 H! @# P6 t( }# i
5 u! ~* @, a' A8 u
清除 mplay.com病毒同上,只不过要改一下名字。
% ~- T9 \- P* r+ S$ h8 ?3 K6 i5 B另外, mplay.com感染后,执行任何DOS命令均先执行mplay.com。
$ D7 u. ]9 u, s. ?! G如果删除了mplay.com,会导致找不到mplay.com,任何DOS外部命令均无法执行。2 n- w$ L. W& T6 i, h6 F/ T( q6 d: i
mplay.com is not recognized as an internal or external command
+ A+ |+ t9 S- l$ M* y1 G这一步要修改的就是注册表,删除SOFTWARE\Microsoft\Command Processor\AutoRun即可。 |
|
楼主