-------------------11月13日追加----------------
今天终于有缘在某个同学那里见到此毒,搞清了具体的注册表项
为了免除蝈蝈们错删注册表项的顾虑,自己写了个批处理,蝈蝈们直接双击本文件即可
另外,值得注意的是,只有杀了此病毒后,才会有开机跳出我的文档的现象,此为杀毒后遗症。如果此病毒仍在系统里面,是不会有此症状的。
本工具既可用来杀毒,也可以用来清除该病毒的后遗症。
判断已中或曾中该病毒的方法:开始--运行--msconfig--启动 里有EXPLORER。
如果该项已被选中,而你的机子在开机时未跳出我的文档,恭喜!请用本工具杀毒!
------------------答dythin蝈蝈问-------------
问题见
http://192.168.2.8/bbs/read.php?tid=391288,3楼
杀毒软件只能杀掉病毒文件,一般来说不能修复被窜改的注册项
该病毒被杀后,其注册表残留项并没有被清除
分析注册表项,可以发现,残留的注册表项主要有两个地方:
一是HKCU\****\Run下,实现开机自启动。这个是病毒常用伎俩,没什么特别之处
二是HKLM\****\Winlogon下,windows在登录系统的时候会读取该键其下注册表项。被修改的地方
是"userinit"="C:\windows\system32\userinti.exe,"修改后成为"userinit"="userinit,EXPLORER"。
msconfig里只能显示第一项,而不能显示第二项。所以杀过毒,取消msconfig里的EXPLORER后,系统自启
动后仍会重加载"EXPLORER.EXE"
那为什么没杀过毒的时候为什么不弹出"我的文档"呢?因为windows在读取以上两项的时候,会首先搜索
C:\windows\system32\目录下的文件,看看有没有一个文件叫"EXPLORER.EXE"的,如果有,则执行,并放
弃进一步的搜索。此为该病毒开机自启动的机理。杀过毒后,windows在C:\windows\system32\下找不到
EXPLORER.EXE,就会接着搜索其他位置。搜索到C:\windows\下的时候,该目录下刚好有explorer.exe(即
资源管理器),windows就会运行explorer.exe,系统就会蹦出来两个资源管理器。windows在识别文件名时
,对大小写不敏感。
那么,为什么windows先搜索C:\windows\system32\目录呢?这应该牵涉到环境变量:我的电脑--属性--
高级--环境变量 ,可以看到第一项为C:\windows\system32\cmd.exe,所以windows先搜索该目录
既然跳出两个"我的文档",那为什么病毒没有运行两次?病毒源程序中有特定的模块:在运行的时候会先
检查系统中有没有已运行的EXPLORER.EXE,如果有,则退出。
对该病毒的传播途径--autorun.inf的分析,参见--
http://192.168.2.8/bbs/read.php?tid=390918------------------------11月15日追加------------------
杀毒前,请先保存好其他应用程序的设置,并退出其他应用程序。杀毒时桌面会消失并自动恢复,属于正常现象。
[ 此贴被百年孤独在2006-11-15 17:49重新编辑 ]
