Worm.Win32.VB.fw病毒为蠕虫类,病毒运行后复制自身到系统目录,衍生病毒文件。 修改注册表,添加启动项,以达到随机启动的目的。
四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com 。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程
(2) 强行删除病毒文件
%System32%\systeminit.exe
%System32%\wininit.exe
%System32%\winsystem.exe
%DriveLetter%\autorun.inf
%DriveLetter%\kerneldrive.exe
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
删除新建注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
注册表值:" wininit "
类型: REG_SZ
值: " C:\WINDOWS\system32\wininit.exe "
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
键值: DWORD: 1 (0x1)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
键值: DWORD: 1 (0x1)
恢复修改注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
新建键值:字串:" Userinit "=" C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\
systeminit.exe,"
原键值:字串:" Userinit "=" C:\WINDOWS\system32\userinit.exe,"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
新: 字符串: "1"
旧: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
新: 字符串: "1"
旧: DWORD: 0 (0)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden
新: 字符串: "1"
旧: DWORD: 0 (0)
京公网安备 11010802021500号