查杀方法
5:删除下列注册表项:
software\microsoft\windows\currentversion\run\ravtask
software\microsoft\windows\currentversion\run\kvmonxp
software\microsoft\windows\currentversion\run\kav
software\microsoft\windows\currentversion\run\kavpersonal50
software\microsoft\windows\currentversion\run\mcafeeupdaterui
software\microsoft\windows\currentversion\run\network associates error reporting service
software\microsoft\windows\currentversion\run\shstatexe
software\microsoft\windows\currentversion\run\ylive.exe
software\microsoft\windows\currentversion\run\yassistse
6:感染所有可执行文件,并将图标改成(这次不是熊猫烧香那个图标了)
7:跳过下列目录:
windows
winnt
systemvolumeinformation
recycled
windowsnt
windowsupdate
windowsmediaplayer
outlookexpress
netmeeting
commonfiles
complusapplications
commonfiles
messenger
installshieldinstallationinformation
msn
microsoftfrontpage
moviemaker
msngaminzone
8:删除*.gho备份文件.
9:在所有驱动器根目录建立自身文件副本setup.exe,建立autorun.inf文件使病毒自动运行,设置文件属性为隐藏、只读、系统.
autorun.inf内容:
程序代码
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
10:删除共享:cmd.exe /c net share admin$ /del /y
11:在机器上所有脚本文件中加入,此代码地址是一个利用MS-06014漏洞攻击的网页木马,一旦用户浏览中此病毒的服务器上的网页,如果系统没有打补丁,就会下载执行此病毒。
12:扫描局域网机器,一旦发现漏洞,就迅速传播。
13:在后台访问http://www.whboy.net/update/wormcn.txt,根据下载列表下载其他病毒。
目前下载列表如下:
http://www.krvkr.com/down/cq.exe
http://www.krvkr.com/down/mh.exe
http://www.krvkr.com/down/my.exe
http://www.krvkr.com/down/wl.exe
http://www.krvkr.com/down/rx.exe
http://www.krvkr.com/down/wow.exe
http://www.krvkr.com/down/zt.exe
http://www.krvkr.com/down/wm.exe
http://www.krvkr.com/down/dj.exe
http://www.krvkr.com/cn/iechajian.exe
到此病毒行为分析完毕。
四:Sec120.Com专家解决方案:
1:关闭网络共享,断开网络。
2:使用IceSword结束掉nvscv32.exe进程(速度要快,抢在病毒感染IceSword前)
3:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue的数值改为1
4:删除注册表启动项
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\]
nvscv32: "C:\WINDOWS\system32\drivers\nvscv32.exe"
5:删除C:\WINDOWS\system32\drivers\nvscv32.exe
6:删除每个盘根目录下的autorun.inf文件和setup.exe文件,利用搜索功能,将Desktop_.ini全部删除。
7:如果电脑上有脚本文件,将病毒代码全部删除。
8:关闭系统的自动播放功能。
这样就基本上将病毒清除了
网友评论