中科新闻网工具 中企动力:嘟嘟网 103830
来源:百度文库 编辑:中科新闻网 时间:2024/05/11 04:26:20
昨天我也中了这个病毒,整了一下午没弄好,最后在瑞星吧吧主笨骆驼的帮助下得到里解决,具体地址见http://zhidao.baidu.com/question/11699659.html
在这里再次表示感谢,非常的感谢,
这个病毒原来是(scanregw.exe),在网上又找里些资料,原来病毒可执行文件为%Windir%\Html\scanregw.exe,是个文本文件的图标,释放MSSOCK.DLL到%Windir%\System目录并注入到Explorer.exe进程中,修改“开始-程序-启动”为scanregw.exe使自己能够随机启动,修改HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders下"Startup"的内容为“%Windir%\Html\”。这个东西会导致在任务管理器中你会发现多了好几个EXPLORER.EXE。HTML是流氓网站的地址`
下面是修复方法:
打开注册表编辑器,将HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders下的startup的键值修改为: C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
将HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders 下的Startup %USERPROFILE%\「开始」菜单\程序\启动
上面是windowsXP的系统,(C:\Documents and Settings\Administrator\「开始」菜单\程序\启动)中的administrator是你当前的用户名
如果是windows98或者ME的系统改为“%WINDIR%\Start Menu\Programs\启动”;
然后重新启动下,把病毒创建的那个该死的103830.exe给删除就之后就全部搞定了....
注:%windir%代表你的windows的安装目录,一般为C:\Windows。