文章阅读
RavTimeXP 到底是不是病毒
作者:网络 | 来源:哈师大 郑德杨网站 ☆ 郑德杨 · 小逗丁 欢迎您 | 时间:2009-03-05 | 阅读权限:游客身份 |
会员币:0 |浏览次数:4876
会员币:0 |浏览次数:4876
淘宝考试服务: QQ:121719780 手机:139-8703-2104 (淘宝违规考试答案 淘宝入驻商城考试 天猫考试答案) 店铺装修
病毒分类 WINDOWS下的PE病毒
行为类型 WINDOWS下的木马程序
病毒原理:
病毒I-Worm.Wukill(文件名称winfile.exe)运行过程:
1.将拷贝自身到windows目录Mstray.exe。 修改注册表: HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run "RavTime" : %WINDOWS%\\MSTRAY.EXE ,以达到自启动的目的。
2.枚举磁盘目录,在每个根目录下释放下列文件:
释放病毒主体程序,并以上一级目录名称或对话框名称作文件名。
释放coment.htt 利用IE漏洞调用同一个目录下的病毒主体程序,属性为隐藏。
释放desktop.ini 系统为隐藏。采用web方式浏览文件夹时,系统会调用该文件,
该文件调用coment.htt ,从而激活病毒。 (注意,不是每个desktop.ini都是病毒释放的,千万别删错了!)
3.修改文件夹选项,不显示隐藏文件,隐藏系统文件、隐藏受系统保护的文件、隐藏已知的扩展名称。(该病毒属性为隐藏)
病毒发病特征:
1.只在每月28号发病
2.无法进行正常的复制、剪切、粘贴等与剪贴板有关的任何操作
3.如果是粘贴文本的话,会在粘贴处出现“hello”字样,而不是原文
4.病毒首次运行时会显示:This File Has Been Damaged!(该文件已损坏)
病毒检查办法:
1.检查你的电脑根目录下有无文件夹形状的应用程序(.exe)文件(48K)
2.按“Ctrl+Alt+Del”查看应用程序中有无Winime任务,查看进程中有无KI.exe或Mstray.exe存在(该病毒会自己更名)
3.运行MSCONFIG,查看启动项中有无KI.exe或Mstray.exe存在;如果用优化大师的话,还可以看到这个程序的名称是RavTimeXP
解决办法:
1.调用任务管理器,停止病毒进程Winime,KI.exe,Mstray.exe等
2.删除注册表下HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run "RavTime" : %WINDOWS%\\MSTRAY.EXE 的主键
3.打开文件夹选项,把所有带隐藏的都去掉,也就是显示所有文件,不隐藏系统文件和受系统保护的文件,不隐藏文件扩展名
4.搜索coment.htt删除
5.搜索desktop.ini,用记事本打开,察看有没有调用coment.htt文件的命令,如果有,将该文件删除
6.再查找硬盘内所有的[*.exe]文件,发现好多的文件夹图标形式的.exe 文件,删除掉所有这些文件。
7.利用杀毒软件查找杀毒
8.打开你的移动存储设备(如果已经连接到电脑上的话),在根目录下搜索长得像病毒的文件,删除
9.重新启动计算机,再次杀毒确认.
>>相关资讯:
上篇文章:柳传志:联想集团有限公司董事局主席、中国科学院计算所所长、高级工程师下篇文章:陈冠希借CNN反击:我也是受害者 环球娱乐网
相关文章
- 没有相关文章
用户登陆
加载中……
高三解压