返回信息流昨天下个小说时,中了病毒。先是出现N多的网页,重起以后资源管理器打不开,显示被系统管理员关闭。
今天早上重装了系统,倒是能用了,不过我的电脑双击以后要好久才能大开,机器的时间年份也一直被改回到1980年,日期和时间没错误。
大侠们帮忙啊!
这是一条镜像帖。来源:北邮人论坛 / security / #7952同步于 2007/1/29
该镜像源已超过 30 天没有更新,可能在源站已被删除。
Security机器人发帖
中毒了,大侠们帮帮忙啊!
fredeirck
2007/1/29镜像同步3 回复
订阅后,新回复会通过你的通知中心匿名送达。
3 条回复
很恶劣的一个病毒,改了系统时间为1980年后,会导致很多软件不能正常运行。
病毒本体名字为随机生成
当运行后会生成一下文件
C:\WINDOWS\Listsas.txt
C:\WINDOWS\saslogww.txt
C:\WINDOWS\*.exe
每个盘符根目录下生成
X:\*.exe
X:\Autorun.inf
Listsas.txt
内容为
4002http://www.sinavip.net/k1.rar
4003http://www.sinavip.net/ma.rar
30"http://www.lcsm.cn/nami.htm"
31"http://www.jing88.com/1ndex.asp"
31http://www.ishici.com
并会访问网站
http://www.sinavip.net/A.asp?Id=5540850987
http://www.lcsm.cn/nami.htm
修改系统时间为1980年
并联网下载以下病毒
C:\WINDOWS\003.exe
C:\WINDOWS\002.exe
修改注册表
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\*.exe"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
生成注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=hex:95,00,00,00
清楚步骤:
1、重启计算机并进入安全模式
2、删除以下病毒文件
C:\WINDOWS\002.exe
C:\WINDOWS\002.txt
C:\WINDOWS\003.exe
C:\WINDOWS\003.txt
C:\WINDOWS\Listsas.txt
C:\WINDOWS\saslogww.txt
C:\WINDOWS\*.exe
X:\*.EXE
X:\Autorun.inf
修复注册表..
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue 编辑改成 1
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Userinit 编辑改为 C:\WINDOWS\system32\userinit.exe,
2000系统改为 C:\WINNT\system32\userinit.exe,
删除注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]