黑色海岸线论坛 - Powered by Discuz! Board

标题: [转载] 警惕Worm.Win32.VB.fu蠕虫病毒 [打印本页]

作者: hao123 时间: 2007-3-23 14:12 标题: 警惕Worm.Win32.VB.fu蠕虫病毒

转帖:警惕Worm.Win32.VB.fu蠕虫病毒
　　
Worm.Win32.VB.fu病毒属蠕虫类，病毒运行后衍生病毒文件到系统目录下，修改注册表，添加启动项，以达到随机启动的目的，修改系统时间，修改 IE 主页，病毒在每个盘符下新建一个 autorun.inf 文件，使用户双击盘符时自动运行病毒；关闭 Cryptographic Services 服务；删除 GHO 文件；检测窗体标题栏中如果含有运行、文件夹选项则关闭窗体；尝试结束部分反毒软件的服务，修改文件 txt 、 ini 、 log 的文件关联，当用户试图运行 txt 、 ini 、 log 的文件时，病毒就会运行起来。修改部分正常程序的路径，当用户运行这些程序时，实际上运行的是病毒文件。
清除方案：
1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　　(1) 使用安天木马防线 “进程管理”关闭病毒进程
　　　　　　Syssafe.exe
　　　　　　Info.exe
　　 (2) 删除病毒文件
　　　　　　c:\autorun.inf
　　　　　　c:\info.exe
　　　　　　c:\WINDOWS\system32\drivers\IsDrv118.sys
　　　　　　c:\WINDOWS\system32\drivers\IsDrv120.sys
　　　　　　x:\autorun.inf
　　　　　　x:\info.exe
　　　　　　
　　　　　　注： x:\autorun.inf 中 x 代表能用盘符。
　　 (3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
　　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
　　　　　　CurrentVersion\Winlogon
　　　　　　新建键值 : 字串 : "Shell"="Explorer.exe"
　　　　　　原键值 : 字串 : "Shell"="Explorer.exe C:\info.exe"
　　　　　　HKEY_CURRENT_USER\Software\Microsoft\Windows\
　　　　　　CurrentVersion\Run
　　　　　　键值 : 字串 : "B-A-I-D-U-C-O-M"="C:\info.exe"
　　　　　　在注册表中搜索 info.exe ，把搜索到的键值全部删除。

[ 本帖最后由 chinanic 于 2007-3-23 07:03 编辑 ]

作者: ☆一往情深☆ 时间: 2007-3-23 23:55

有点像LOGO_1的病毒,可用维金杀,试试

作者: 花无缺 时间: 2007-3-24 12:11

没遇到过
希望别被遇到...

作者: 黑色的鱼 时间: 2007-4-11 03:25

:o 我现在就是这种病毒你的方法很好
给个建议能不能给个菜鸟能用的现在我们论坛里面新手不少

作者: 沙漠飞沙 时间: 2007-4-14 20:58

谢谢分享！

欢迎光临黑色海岸线论坛 (http://bbs.thysea.com/)