中科新闻网沈剑秋重伤:好象是ROFL.SYS新变种病毒
来源:百度文库 编辑:中科新闻网 时间:2024/05/12 16:35:56
C:\winnt\system32\rofl.sys病毒报警
网上搜到的说删除以下文件,但是我死活都找不到!
C:\WINNT\gcxsrvc.exe 找不到
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\GCX Servic 同上
c:\windows\apocx.exe 同上
已经打开“文件夹选项”中的“显示所有文件和文件夹”选项
和取消“隐藏受保护的操作系统文件”选项了
安全模式下删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rofl 和 C:\winnt\system32\rofl.sys 后根本就没什么用
我该怎么办
建议老鸟回答此问题
网上搜到的说删除以下文件,但是我死活都找不到!
C:\WINNT\gcxsrvc.exe 找不到
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\GCX Servic 同上
c:\windows\apocx.exe 同上
已经打开“文件夹选项”中的“显示所有文件和文件夹”选项
和取消“隐藏受保护的操作系统文件”选项了
安全模式下删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rofl 和 C:\winnt\system32\rofl.sys 后根本就没什么用
我该怎么办
建议老鸟回答此问题
经过相关查询,得知这是Win32/IRCBot蠕虫病毒的一个变体,它利用Windows的漏洞和弱账号密码进行传播,病毒执行后,将会在Windows文件夹创建gcxsrvc.exe文件,大小208,896字节,并在Windows的System文件夹中创建rofl.sys文件,大小7,168字节。具体来说,它会在注册表中添加以下键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\GCX Servic分支,添加主键和键值"ImagePath"="C:\WINNT\gcxsrvc.exe"。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rofl分支,添加主键和键值"ImagePath"=C:\WINNT\system32\rofl.sys。
你可以采用手动方法来清除此病毒,清除的方法是先删除注册表中的相应键值,然后在安全模式下删除病毒创建的文件。另外,据我所知,许多反病毒厂商病毒库都应该收录有此病毒,因此用杀毒软件应该也可以清除。防范上,则一定要打上Windows的系统补丁。
以上内容来自网络
完了!
在DOS里删