行为:
修改注册表:
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
注册表名称:Userinit
修改后的数据为:C:\WINDOWS\system32\userinit.bat
创建以下文件:
C:\WINDOWS\system32\userinits.exe
C:\WINDOWS\system32\userinit.bat
该批处理内容为:
复制内容到剪贴板
代码: start C:\WINDOWS\system32\userinits.exe
start C:\WINDOWS\system32\wupcltr.exe
start C:\WINDOWS\system32\ALG.EXE
C:\Documents and Settings\dream\桌面\_dcp.bat (位于当前目录下,因为我是放在桌面上运行的)
该批处理的内容如下:
复制内容到剪贴板
代码: copy "C:\Documents and Settings\dream\桌面\wupcltr.exe" "C:\WINDOWS\system32\wupcltr.exe"
del %0
调用CMD.EXE执行上面这个批处理:复制自身到系统目录下,并删除批处理自身,即_dcp.bat
创建文件:
X:\PROGRAM FILES\TENCENT\QQ2009\BIN\QzonePluse.exe (QQ主程序目录)
C:\Documents and Settings\dream\Local Settings\Temporary Internet Files\Content.IE5\4DU30LMF\TXPlatform[1].exe (IE缓存临时目录)
修改文件:
X:\Program Files\sina\UC\uc.exe
X:\PROGRAM FILES\TENCENT\QQ2009\BIN\TXPlatform.exe
X:\Program Files\TTPlayer\TTPlayer.exe
C:\Program Files\WinRAR\WinRAR.exe
我电脑上安装的软件不是很多,只发现他修改了这四个,UC和TTLPAYER我都好久没打开过了…..
建议中毒者全盘扫描一下,以绝后患.
重启后,C:\WINDOWS\system32\userinit.bat这个批处理将会自动运行,因为病毒修改过注册表的数据,正常的值应为userinits.exe,(或者是完整路径,即C:\WINDOWS\system32\userinit.exe,)关于该处的自启动请参看雷特反病毒教学第7课 (安装过美化包的这个路径可能会变)
这个批处理的作用是运行下面三个程序
C:\WINDOWS\system32\userinits.exe
C:\WINDOWS\system32\wupcltr.exe
C:\WINDOWS\system32\ALG.EXE
其中前两个是病毒程序,第三个是正常程序.
解决方案:
1,使用任务管理器结束进程wupcltr.exe和userinits.exe(如果存在),关闭QQ,UC,千千静听,WINRAR等应用软件,清空IE缓存目录.
2,删除下面两个文件:
删除下面三个文件
C:\WINDOWS\system32\userinits.exe
C:\WINDOWS\system32\userinit.bat
QzonePluse.exe (位于QQ主程序目录下,不写路径了,每个人的安装位置可能都不一样)
3,开始,运行,输入regedit,确定,并定位到注册表路径:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将Userinit的值改为
C:\WINDOWS\system32\userinit.exe, (注意:后面有个逗号的)
4,修复被修改的文件,可以用杀毒软件扫描一下,或者用正常文件替换,或者重新安装这几个软件.
转载于:https://blog.51cto.com/houlun/118021
支付宝扫一扫
微信扫一扫
