手动查杀落雪 5 Z0 T% D4 M" t7 A/ k% J
; Z; \7 C# Y& d8 _; l; e
中毒症状：
$ D  w- ]% `  g( I0 }) n" a『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』电脑维修|电脑知识|电脑学习|电脑交流- ^% D- Z- ]. a. D
1：系统运行缓慢。
$ j; X5 d$ f# l% T) Hpcfix.job.topzj.com; |( k" Y3 ?6 X# g% J
2：右下方任务栏的杀软和防火墙图标消失（被无故关闭）但杀软的右键扫描可用。
% F/ Q/ o: d, n3 Y8 m# R) W' G6 W
2 q9 y6 [8 G% E: E! ^3：D盘双击打不开，D盘里面有autorun.inf和pagefile.com两个文件，其中autorun.inf为隐藏属性。
! l# {8 o: B* B: \, ^6 N+ P" `
5 p* y3 Q9 D, l- lpcfix.job.topzj.com4：打开任务管理器，可以看到有一个当前用户所属的1.EXE在运行，或者是一个当前用户所属的一个大写的WINLOGON.EXE在运行。 pcfix.job.topzj.com, W# v" I# d0 e' k4 \

6 S. p" c# i0 s! P5：打开注册表：在运行程序中运行“regedit”，会看到
0 Y' W8 j+ ]6 W（1）：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 项里有一个Torjan pragramme，这是木马。 + i+ P: n0 u6 M
『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』; @) E/ S2 z; q9 P# ]
（2）：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的"Shell"="Explorer.exe"已被改为"Shell"="Explorer.exe 1"。 0 T$ T0 X5 h3 T$ u

' K2 G# Z6 n: @, u! B电脑维修|电脑知识|电脑学习|电脑交流6：exe文件打不开（包括杀软，防火墙）。
% }- D* Q3 f) l% @3 J" Q
. Z& L: [8 W$ H6 h* H1 B『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』7：开机进入系统时会跳出一个警告框，说文件"1"找不到。（由于杀软查杀后，无法对木马更改的注册表项进行修复）。 电脑维修|电脑知识|电脑学习|电脑交流' e6 L  U# v# h4 y- Z& ~7 z

3 u& a1 D, ?- i; \pcfix.job.topzj.com中毒后对系统的改动：
3 M0 U- g6 U; H
' q9 l% {% s( v" Z0 s, M" I( S8 Y向C盘释放：（其实都是同一个文件）
. |$ M; H. X2 j4 n+ l% p8 y) y
: o9 a5 x( M; P- B$ L: B: i  Qpcfix.job.topzj.comc:\windows\winlogon.exe - r9 u9 |( t7 f( K# D
C:\WINDOWS\1.com * P1 y) }1 F9 M
C:\WINDOWS\ExERoute.exe
4 E& h1 G) Q! D『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』C:\WINDOWS\iexplore.com 电脑维修|电脑知识|电脑学习|电脑交流/ H  V0 e$ \  _% f9 z% H( X
C:\WINDOWS\finder.com
! j; Y6 k+ H; Xpcfix.job.topzj.comC:\WINDOWS\system32\command.pif 电脑维修|电脑知识|电脑学习|电脑交流4 R; e! ]. C% H6 b; s( E
C:\Windows\system32\command.com
! Y, \( b9 g0 [  D9 I- i5 P# l- Q- |C:\WINDOWS\system32\dxdiag.com * N9 a; d- C' h# Y0 w
C:\WINDOWS\system32\finder.com
# h/ i5 L) _0 U. e! J『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』C:\WINDOWS\system32\MSCONFIG.COM
# A" }; |0 @! h1 j5 opcfix.job.topzj.comC:\WINDOWS\system32\regedit.com 5 ~. b3 E7 n% A* {8 e
C:\WINDOWS\system32\rundll32.com * F0 k0 n2 D. X
C:\Windows\WINLOGON.EXE ) m8 g" E9 W" F5 L, |$ [
C:\WINDOWS\services.exe
2 U1 S; A, G1 {! Y# \6 G- F『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』C:\WINDOWS\Debug\DebugProgramme.exe
' m- V# p) G' U+ eC:\Program Files\Common Files\iexplore.com
! }4 L& R; U3 Y『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』C:\Program Files\Common Files\Microsoft Shared\MSInfo\msinfo.rr 『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』4 ?" ?8 H5 r# r) `: r: ], F

  G7 O( z1 h4 U0 M  p' w5 G' t电脑维修|电脑知识|电脑学习|电脑交流向D盘释放： * Q- D+ e7 l! r- P5 x4 F9 E
电脑维修|电脑知识|电脑学习|电脑交流% w7 D+ G: A4 O7 \. t) X+ |6 i$ ^
D:\autorun.inf
: h  z* g3 Y1 fD:\pagefile.com
$ K4 p! f) ?5 b: \7 }- e" Q: Z『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』pcfix.job.topzj.com! f* h: p3 L; D4 h
向注册表添加： 电脑维修|电脑知识|电脑学习|电脑交流& I3 @6 [" a/ I' S9 Q& S# X9 P0 }

' f# a& Z7 k' c- Y' Y, \: ?电脑维修|电脑知识|电脑学习|电脑交流HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Torjan pragramme
$ F5 X7 V# q3 {- `/ ZHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的"Shell"="Explorer.exe"已被改为"Shell"="Explorer.exe 1"。
- X5 v! _7 `% x) M2 e! ]; Dpcfix.job.topzj.com
, n0 ~% E6 ?' n5 E- {7 P  L8 r2 s. _pcfix.job.topzj.com1：打开始菜单的运行，输入命令 regedit，进注册表，到 8 s9 J% _; V$ f
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除Torjan pragramme
$ F  O6 y) ]( M$ A/ H『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』2：然后注销！ 重新进入系统后到D盘（注意不要双击进入！否则又会激活这个病毒）右键，选“打开”，把pagefile.com和D:\autorun.inf删掉， 然后再到C盘把上面所列出来的文件都删掉，可以对比其他文件的曰期判断。
5 ^# J% g) b9 `7 F0 _& V% _pcfix.job.topzj.com3：头号文件WINLOGON.EXE在C:\Windows\WINLOGON.EXE 可能提示删不掉 电脑维修|电脑知识|电脑学习|电脑交流) j5 b" A% s% V, `% a
可以用光盘启动进入DOS模式，把它的系统，隐藏属性去掉然后删除它！ 电脑维修|电脑知识|电脑学习|电脑交流8 }. ]0 I4 @" E

( D/ j. R2 ?. D/ d: D『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』手工病毒清除后的系统修复 电脑维修|电脑知识|电脑学习|电脑交流% ^. u& \! ^: d+ R
pcfix.job.topzj.com& _% m4 K3 R: {; i9 l0 D5 C
1：把那些病毒文件删掉后，所有的exe文件全都打不开了，运行cmd也不行。
  Z9 M) m) h. D' h7 Y* q到C:\Windows\system32 里，把cmd.exe文件复制出来，比如到桌面，改名成cmd.com ，然后双击这个COM文件，然后行动可以进入到DOS下的命令提示符。再打入以下的命令：
8 J+ [' Q( A0 j/ ]+ a* l1 @电脑维修|电脑知识|电脑学习|电脑交流assoc .exe=exefile （assoc与.exe之间有空格） pcfix.job.topzj.com9 T2 R  R2 S: q/ N
ftype exefile="%1" %*
( U" ^: u1 [' p! i. N" n5 |电脑维修|电脑知识|电脑学习|电脑交流这样exe文件就可以运行了。或者用Regfix.exe，sreng.exe等工具修复,将扩展名EXE改成COM，就可打开。
% n# B: d) P" e『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』4 R  M2 F" }/ i1 ?# q8 O
2：开机跳出找不到文件“1.com” 8 ~) h1 H* @+ t/ v, Z" `
在运行程序中运行“regedit”，打开注册表，在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中 * @8 w6 ?, G: o" D5 @4 Y
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"   e0 K4 t1 U2 B9 e7 C5 u
pcfix.job.topzj.com) j; X/ O1 |$ J3 R$ b
3：清除了这个出马出现IE不能下载 请在IE选项 然后安全 然后点默认级别就可以下载了。

手动查杀灰鸽子
. b3 Q0 J" K; ~9 O( d9 f$ Qpcfix.job.topzj.com
: i7 D- G( @, f灰鸽子的运行原理
& g: z2 G: r; l) c5 E
4 U9 {: `( q0 B2 J0 n! N! j『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』灰鸽子木马分两部分：客户端和服务端。黑客（姑且这么称呼吧）操纵着客户端，利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe，然后黑客通过各种渠道传播这个木马（俗称种木马或者开后门）。种木马的手段有很多，比如，黑客可以将它与一张图片绑定，然后假冒成一个羞涩的MM通过QQ把木马传给你，诱骗你运行；也可以建立一个个人网页，诱骗你点击，利用IE漏洞把木马下载到你的机器上并运行；还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载…… 6 ^/ Y  h5 D$ T$ j
( q) a3 R, ?: V' k  {% h" Q  N
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。 7 o6 D1 Y) E, \

% k+ G. M. Z; H0 f3 ~7 fWindows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。 『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』+ s3 d6 O" P# B/ v5 ~) w, \

9 D' `0 C; F1 t+ \pcfix.job.topzj.com灰鸽子的手工检测 电脑维修|电脑知识|电脑学习|电脑交流5 \* `( U* p/ F- g
电脑维修|电脑知识|电脑学习|电脑交流) l, B/ u3 e; G) p
由于灰鸽子拦截了API调用，在正常模式下木马程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。
3 N; V  ^; ^+ ~# ^- [$ U# {『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』
2 ^" U" Y/ q) g3 z/ z5 Y# @但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子木马。
+ e( r' |  Z+ J6 ]『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』% z9 L9 ]; g- ]8 f4 u$ t
由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。   m" [9 c, ^" N- O+ D
电脑维修|电脑知识|电脑学习|电脑交流' Q+ u6 ?* p& F9 D
1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。 电脑维修|电脑知识|电脑学习|电脑交流- }! Y8 D7 g( F

" e3 W6 M: y; w# [2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:\windows，2k/NT为C:\Winnt）。
5 w' j+ g0 Q- B6 s& X# V- n
* K: v. L; Z' G: C- ~: a* f# }电脑维修|电脑知识|电脑学习|电脑交流3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。 6 ~, d- M2 {7 ~' j" [5 M! A. r

2 z, N( |0 o- C, v) A$ h; M  bpcfix.job.topzj.com4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。
# B" D; A" K2 Z' B' p0 Q2 R+ _8 K6 A/ Q. G) f' J% x% F
经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了，下面就可以进行手动清除。
/ Z! b" x9 ?& f$ K0 E
0 B  R9 t, i* {/ k- Bpcfix.job.topzj.com灰鸽子的手工清除
; s. P4 f+ v7 [9 Zpcfix.job.topzj.compcfix.job.topzj.com  ]1 r/ g8 y1 B5 Y! g" r
经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。 『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』- Z& z3 B; ]# W. L3 u
pcfix.job.topzj.com# z' O5 o1 h1 T
注意：为防止误操作，清除前一定要做好备份。
) p1 Z: E" `+ f4 n9 x* g. a+ M8 A, Q
- }5 r$ Q/ T! w. L) K& Z' w5 a8 F一、清除灰鸽子的服务
  K: [7 i: b: q. v$ M3 k5 y
9 a; u- m* e' m电脑维修|电脑知识|电脑学习|电脑交流2000／XP系统：
3 M2 w  K( o' g3 P* ?『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』% ^' x) F, p' c
1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
* D& K1 V. I1 V( @0 K' T5 w6 i) N) n
* b; c3 ~7 @0 U+ j  P5 y7 wpcfix.job.topzj.com2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server）。 电脑维修|电脑知识|电脑学习|电脑交流# W9 P+ J. Q# H, {# s! ^

, g" b& v1 t" j" E3、删除整个Game_Server项。 ; o8 D$ w) f4 t+ u4 i. t; p' F- J
7 p7 V* c9 a, ]
98／me系统： pcfix.job.topzj.com, N4 Q# _5 r# q/ D

7 v) r0 \9 j. S6 h6 y6 V2 a# f『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项，我们立即看到名为Game.exe的一项，将Game.exe项删除即可。 8 J' v* v3 e* g6 b
电脑维修|电脑知识|电脑学习|电脑交流# v. d7 v  F( I  z. R" p
二、删除灰鸽子程序文件
3 \1 U* C9 Z: b# ?" y  m4 W『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』电脑维修|电脑知识|电脑学习|电脑交流5 N6 Z  ~7 O$ ]) i. L5 K; [: `
删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。至此，灰鸽子已经被清除干净。

手动清除威金病毒 电脑维修|电脑知识|电脑学习|电脑交流6 ^8 B9 b- F; G  `
/ a4 \3 T8 C$ `& b. C
手动清除方法： pcfix.job.topzj.com" I5 u/ D" S; `$ e5 }
删除病毒文件（无法清除时去安全模式） pcfix.job.topzj.com$ w: ~1 }  X1 q2 I4 o# I; l
把系统盘根目录下的BBwow、MH_File、TODAYZTKING文件夹清除， 3 R6 f( O0 L8 o* S

; C$ C6 Q- D: I0 S+ ]! r! h# o系统根目录\_desktop.ini 『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』" F: k& l/ @& c* k! d
系统盘根目录\1.txt
2 ?) N! ^( L" g* L9 `3 P电脑维修|电脑知识|电脑学习|电脑交流病毒所在目录\vDll.dll文件
1 e) T( y8 o; V9 J%Windir%\rundll32.exe
) M) N- Q( W1 p; Q# p%Program files%\_desktop.ini
4 G8 ?: C. J3 p4 m%Windir%\0sy.exe
1 \+ g0 E  i8 Z$ c9 ~pcfix.job.topzj.com%Windir%\1sy.exe ' o2 }4 B: A. E+ r
恢复病毒修改的注册表项目，删除病毒添加的注册表项
! \/ V: P/ V# l7 n. r5 d电脑维修|电脑知识|电脑学习|电脑交流, k9 x8 R' c/ r3 A0 y- @
HKEY_CURRENT_USER\Software\Microsoft\Windows NT
3 Y9 v9 I% o4 o\CurrentVersion\Windows   M- q4 \* B+ [9 f' z
键值: 字串: "load "="C:\WINDOWS\rundl132.exe"
9 M, t) ^  q9 I" L" E$ E) CHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft 9 C8 P& c; N! O
\DownloadManager\ pcfix.job.topzj.com8 ~  ]1 e  @" Q6 l% o+ [' f# E  v3 {# s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
2 Z) H5 }. H! P: H% K+ v+ D电脑维修|电脑知识|电脑学习|电脑交流\Windows\ver_down0 电脑维修|电脑知识|电脑学习|电脑交流8 J+ r; Z- q; U% ^& g6 `- v
值: dsfsfaa[Startup]..AppName=ATISoftwarer=sss $ I' q* a, v+ h; X' H' W* S
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ 电脑维修|电脑知识|电脑学习|电脑交流1 X5 H; Y3 d& u, R6 Z
键值: 字串: "ver_down1"="COM+[7:18:32]: Setup started
# E7 `/ g( r* ^+ \& Y5 [! S3 a- [DATE:05,22,2006 TIME: 07:18 pm]11111"
( C0 _2 y2 N: i* uHKEY_LOCAL_MACHINE\SOFTWARE\Soft\
1 ]& c6 w$ T" q9 q" ^7 AHKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\
/ ]& Z0 E+ U- n' j! R' ]pcfix.job.topzj.comHKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto , c( _, ?: u; v: L
值: "1" 6 f1 R& T0 j, w) l0 M
电脑维修|电脑知识|电脑学习|电脑交流+ @2 X! `! q" {  ]$ y0 N7 I" |3 |
虽然手动清除病毒，但此病毒在每个目录下留下了一个_desktop.ini文件，虽然是病毒，但总不放心，但那么多怎么着手动删除，于是根据之前清拉圾文件的脚本写了个小脚本清除这些文件

手动清除魔波及变种B
. x; T* |+ V* O1 N. L1 d- ppcfix.job.topzj.com『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』4 g& r  o4 n9 v$ q; l& J: {
利用微软MS06-040高危漏洞进行传播的恶性病毒——“魔波（Worm.Mocbot.a）”和“魔波变种B(Worm.Mocbot.b)病毒异常泛滥，不少网友纷纷中招，导致系统瘫痪，不能正常工作。求助网上一些杀毒工具，均不能有效清除该病毒。 & y! q* ]5 |0 I- [& a) y

* `3 M0 b# G/ o0 o& y7 d5 B( w  L( G电脑维修|电脑知识|电脑学习|电脑交流重启进入安全模式。 pcfix.job.topzj.com& D" b2 w0 k- B1 U. w4 o
　　1. 打开注册表编辑器。点击开始>运行，输入REGEDIT，按Enter 5 k5 h! F$ r# d& e* d0 L

/ s- i( e9 g4 H8 L: y! @　　2. 在左边的面板中，双击:HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services
2 B/ L/ M) R1 e( e1 Q/ q' w! t0 {; D* m0 D2 J' J1 y$ A0 P
　　3. 仍然在左边的面板中，找到并删除如下键：“wgareg”魔波（Worm.Mocbot.a）、“wgavm 4 O. t3 I6 u$ H

/ s' h6 E1 h/ e7 M* L- [9 g　　”魔波变种B(Worm.Mocbot.b) ! [" q6 ~- X. t8 r" p' F
% c4 j9 K( t% B$ ^
　　恢复EnableDCOM和RestrictAnonymous注册表项目
. k" j( K2 z1 p: Y% O+ k电脑维修|电脑知识|电脑学习|电脑交流
& n# g8 X6 f8 V7 W. R6 e8 x; Z　　1. 仍然在注册表编辑器中，在左边的面板中，双击： HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Ole # Y3 o8 `$ [" @3 r
4 h/ I( U1 j8 w: V1 T7 X) T
　　2. 在右边的面板中，找到如下项目：IEnableDCOM = "N" pcfix.job.topzj.com% f! y% |& g! Z3 S: Q6 M4 o% p4 ^% P
" j: b) p$ L3 M/ a
　　3. 右击该项目选择修改值为： EnableDCOM = "Y" 4 Y7 g  N# J4 J

' C; \( s% p* K% }) i6 g2 h/ g( Q　　删除关于管理共享的注册表项目
4 M0 z+ z; q7 F( T* J7 d『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』) ?9 F6 i" z9 }: G( ^
　　1. 在注册表编辑器中，在左边的面板中，双击：HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet> Services>lanmanserver>parameters & F8 U, E8 T0 V4 f$ i) z
4 j% H" Z) E' v
　　2. 在左边的面板中，找到并删除如下项目：
; D$ j6 t1 U! S, e电脑维修|电脑知识|电脑学习|电脑交流) q! K1 D: _6 S: w
　　a. AutoShareWks = "dword:00000000"
7 }, [, J' j$ U' f) g' E
  G1 i, U/ O7 I7 E+ Y; S　　b. AutoShareServer = "dword:00000000" ( q0 ^9 k! z2 I! [5 L- s2 y0 S
『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』4 b7 X8 J, r2 `* z9 x
　　3. 在注册表编辑器中，在左边的面板中，双击：HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet> Services>lanmanworkstation>parameters 8 @& x! R2 _/ C7 O  u
『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』7 a/ x, h, F- a. K  r
　　4. 在左边的面板中，找到并删除如下项目： % ?$ a5 u% U4 B/ _6 _
　　
) }! l3 D, J2 G+ U4 k. }- t# U『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』　　a. AutoShareWks = "dword:00000000"
+ D( |; M) s8 y, a3 {/ \4 q, ]  c* ?, s( u9 m) N. Y
　　b. AutoShareServer = "dword:00000000"
2 y! a+ ]1 O* f1 t$ }3 `『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』电脑维修|电脑知识|电脑学习|电脑交流7 I1 a4 H# `# u, q+ t+ X
　　魔波（Worm.Mocbot.a，又称WORM_IRCBOT.JL）删除添加或者修改的注册表项目 - O$ O# w; c2 F  p* w9 q

! `' r4 A. ]3 j8 ]( Q『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』　　1. 在注册表编辑器中，在左边的面板中，双击：HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Security Center 电脑维修|电脑知识|电脑学习|电脑交流4 A8 |4 \, M% U8 r9 G
电脑维修|电脑知识|电脑学习|电脑交流* U. p9 K6 N; I( d9 }
　　2. 在右边的面板中，找到项目：o FirewallDisableNotify = "dword:00000001" o AntiVirusOverride = "dword:00000001" o AntiVirusDisableNotify = "dword:00000001" o FirewallDisableOverride = "dword:00000001" pcfix.job.topzj.com2 _2 q6 j! }4 o8 X
$ U  f% P2 P) f4 q- `6 t: b
　　3. 在左边的面板中，双击：HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>WindowsFirewall>DomainProfile
( h& g2 \2 I) D+ \+ k2 L1 n8 t电脑维修|电脑知识|电脑学习|电脑交流. ^! f0 F7 w% Y, a
　　4. 在右边的面板中，找到项目：EnableFirewall = "dword:00000000" 8 g4 A" _, `8 {( o

$ _  Z0 t- M# K3 i. n　　5. 在左边的面板中，双击：HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>WindowsFirewall>StandardProfile 电脑维修|电脑知识|电脑学习|电脑交流- j- q: a9 P5 A' e

2 S+ ]9 P+ g$ B1 A3 q5 T4 ]　　魔波变种B(Worm.Mocbot.b，又称WORM_IRCBOT.JK)删除添加或者修改的注册表项目： 6 D0 k, T" a7 T$ M+ T9 i
电脑维修|电脑知识|电脑学习|电脑交流# W! D0 R( t% D( x! v5 E
　　1. 在注册表编辑器中，在左边的面板中，双击：HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Security Center 4 F" Y9 R& O) J: h5 ~. P3 F
pcfix.job.topzj.com% Z' ]) y# d& B9 o: P
　　2. 在右边的面板中，找到并删除如下项目：:
3 k" |4 w8 X- R4 W1 I7 W& p『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』9 L( I' v& y+ r8 v4 j+ \6 [, i+ j
　　AntiVirusDisableNotify = "dword:00000001"
  g: y$ x6 s$ c0 K. ?pcfix.job.topzj.com7 U3 k/ u, J0 l7 O+ G9 Z3 E5 ]
　　AntiVirusOverride = "dword:00000001"   H" a/ H% v" H. [' b

) o" G! i) o( }6 s' K『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』　　FirewallDisableNotify = "dword:00000001" 电脑维修|电脑知识|电脑学习|电脑交流# w, f) K4 I) Q. s% r+ ^
『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』8 X5 @$ G; v( b5 I
　　FirewallDisableOverride = "dword:00000001" pcfix.job.topzj.com, }- V, a3 w$ b% ?: u* A
电脑维修|电脑知识|电脑学习|电脑交流* p- Q# B; M& i
　　3. 在左边的面板中，双击：HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>SharedAccess
2 j7 Q6 }& G3 l7 q6 ~, q, r3 j7 i  N
　　4. 在右边的面板中，找到项目： Start = "dword:00000004"
4 B5 p; t4 c6 f0 j: r) @/ G" k9 n电脑维修|电脑知识|电脑学习|电脑交流
* a1 ], A) z. `" v6 s8 @3 S: t* Y　　5. 右击该注册表项目，选择修改项目值为：Start = "dword:00000002"
+ x( t) x8 x( M/ K9 Q5 w$ T" N' n' K% q电脑维修|电脑知识|电脑学习|电脑交流
, W7 t0 W2 P) H+ \『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』　　6. 在左边的面板中，双击：HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>WindowsFirewall>DomainProfile 电脑维修|电脑知识|电脑学习|电脑交流1 P1 H9 s8 ^$ A% }6 {

/ X0 t8 x, f  c- \) b+ i$ e  q电脑维修|电脑知识|电脑学习|电脑交流　　7. 在右边的面板中，找到并删除如下项目：EnableFirewall = "dword:00000000"
  b2 P0 y6 h; B3 K9 m; l: {, y
　　8. 在左边的面板中，双击：HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>WindowsFirewall>StandardProfile # A& c8 v* C5 I* {" |
pcfix.job.topzj.com( k+ G; }* O5 r5 e' C  q
　　9. 在右边的面板中，找到并删除如下项目：EnableFirewall = "dword:00000000" ( s! H$ ~" Z/ x+ K
电脑维修|电脑知识|电脑学习|电脑交流" o  c, @- G  t; g3 M8 Z
　　10. 关闭注册表编辑器
; W$ ]2 Q/ a$ y
& a. u) I9 `! q' a& U  R. {pcfix.job.topzj.com　　附加Windows ME/XP清除说明 8 x2 u' ]* b! M; ^" d0 i

3 H0 t% W9 w6 x% k4 B7 }　　运行Windows ME和XP的用户必须禁用系统还原，从而可以对受感染的系统进行全面扫描。运行其他Windows版本的用户可以不需要处理上面的附加说明。 / k. v. q3 m: b& s+ ?8 a' m

# G: E% u4 {# A9 Npcfix.job.topzj.com　　6. 在右边的面板中，找到项目：:EnableFirewall = "dword:00000000" + @$ H: Y9 E' A8 N2 u

+ m5 T" R9 Q1 l& v9 i/ Z' q　　7. 在左边的面板中，双击：HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>SharedAccess
6 \. c* D! R$ L6 b* f' P' ?* p7 u- u' \7 k# U  J
　　8. 在右边的面板中找到如下项目：:Start = "dword:00000004" - x6 H/ P/ {8 Y/ ^
2 u! @( B7 y+ U# L
　　9. 右击该项目选择修改值为： Start = "dword:00000002" 8 `) E, U5 L2 k/ ?( T8 D
5 ^+ ?* v0 W9 l; G" _' M# [) A' w8 g
　　10. 关闭注册表编辑器。
* b, u# B7 l3 i: Dpcfix.job.topzj.compcfix.job.topzj.com& S3 e! Q5 V/ s3 ?
　　魔波变种B(Worm.Mocbot.b，又称WORM_IRCBOT.JK)删除添加或者修改的注册表项目：
7 W& a. f7 k5 u9 `6 H( \6 W
5 T1 ^4 Q- {6 r: u& K/ Y* S5 B) b　　1. 在注册表编辑器中，在左边的面板中，双击：HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Security Center
7 w2 J  n1 q2 O1 apcfix.job.topzj.com
$ l; ^; s4 o' E7 l- q" epcfix.job.topzj.com　　2. 在右边的面板中，找到并删除如下项目：: 『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』9 v, a: y5 `) ^/ \# Z  Q; }2 h% J
『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』% |! B4 s! e: B# [* q& E
　　AntiVirusDisableNotify = "dword:00000001"
  `) T! R2 s2 M" }. O* R9 e0 U) {! Y- v* M& _2 ~: h
　　AntiVirusOverride = "dword:00000001" 电脑维修|电脑知识|电脑学习|电脑交流5 a3 d/ P3 U# C# `2 K0 u$ A
　　FirewallDisableNotify = "dword:00000001" 『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』+ I2 B: m; F  `

& X3 n# k5 J" F# C' E" j: h『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』　　FirewallDisableOverride = "dword:00000001" 『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』3 l. u4 [7 U' `. P) [6 r
pcfix.job.topzj.com; H. ~5 G/ y3 A- o5 m
　　3. 在左边的面板中，双击：HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>SharedAccess - r9 T7 ?9 Q4 }% @1 N7 U! l( N
电脑维修|电脑知识|电脑学习|电脑交流1 f& z+ z4 A2 W. o6 Q% y0 z
　　4. 在右边的面板中，找到项目： Start = "dword:00000004" 『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』& C7 U5 V  O4 s) o" [. Z
『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』9 b2 f3 B3 m5 ?  C2 L8 O2 w
　　5. 右击该注册表项目，选择修改项目值为：Start = "dword:00000002" pcfix.job.topzj.com+ m% G2 |, U: g9 N* H
电脑维修|电脑知识|电脑学习|电脑交流% `3 W6 k- n& B! u# Q6 @6 T
　　6. 在左边的面板中，双击：HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>WindowsFirewall>DomainProfile 电脑维修|电脑知识|电脑学习|电脑交流5 R- [# `$ X* c0 f; i8 Y1 S
　　 『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』$ I7 I0 S; |, {. W( O
　　7. 在右边的面板中，找到并删除如下项目：EnableFirewall = "dword:00000000" . \4 m. y; ~/ \8 ^+ N
- E7 W4 P# v* t( p1 C4 X2 K
　　8. 在左边的面板中，双击：HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>WindowsFirewall>StandardProfile pcfix.job.topzj.com8 g0 ~. W4 m- V0 V6 G! B6 n

$ s0 V9 Z  K; e1 R6 ]" u3 ~. j电脑维修|电脑知识|电脑学习|电脑交流　　9. 在右边的面板中，找到并删除如下项目：EnableFirewall = "dword:00000000"
5 {, x% s/ m' q1 s2 m9 x; C1 C
! Y/ g* [+ T- X# O1 @" z& [『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』　　10. 关闭注册表编辑器   U# ^7 h' q, V0 _6 R% b

$ T6 {2 |" W1 h　　附加Windows ME/XP清除说明 , t3 Z9 x% {7 ^  {* A$ n
  C0 C8 n0 d: ]
　　运行Windows ME和XP的用户必须禁用系统还原，从而可以对受感染的系统进行全面扫描。运行其他Windows版本的用户可以不需要处理上面的附加说明。

手动清除病毒冰河
" ^  c  [9 d: G' V
6 |( `4 v! x! y% Q7 ]6 G7 [7 S( ~『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』1、在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices中找 到冰河（默认是C:\WINDOWS\SYSTEM\Kernel32.exe），将其删除。 4 P; R( [1 Y, S5 F  q
2、在注册表中找到HKEY_CLASSES_ROOT\txtfile\，可以在其次键中发觉 Shell\open\command中运行的程序，默认的是C:\WINDOWS\SYSTEM\Sysexplr.exe %1， 将它删掉就行。其他形式的伪装也照删不误。
" Y0 Z9 w2 Q3 S+ K: h$ z3、重新启动，在纯Dos模式中删除冰河以及它的关联程序（默认是 C:\WINDOWS\SYSTEM\Kernel32.exe和sysexplr.exe）。
1 s8 K( c( v' V" p5 T( e5 x; x电脑维修|电脑知识|电脑学习|电脑交流VBS_STAGES.A蠕虫的解决方案
/ ]: B3 X; D, M* m　　运行注册表 进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices注册目录，查找含有以下键值的键："C:\WINDOWS\WSCRIPT.EXE，C：\WINDOWS\SYSTEM\SCANREG.VBS" 将含有这些键值的键删除。 进入以下注册表目录： HKEY_USERS/.DEFAULT/Software/Mirabilis/ICQ/Agent/Apps/ICQ 查找以下键值 Parameters=“C:\RECYCLED\DBINDEX.VBS”, Path="C:\WINDOWS\WSCRIPT.EXE" Startup="C:\WINDOWS"。进入以下注册表目录： HKEY_LOCAL_MACHINE/Software/CLASSES/regfile/DefaultIcon 查找以下键值："C:\RECYCLED\RECYCLED.VXD,1" 将其修改为：C:\WINDOWS\regedit.exe,1 to this input box，进入以下注册表目录： HKEY_LOCAL_MACHINE/Software/CLASSES/regfile/shell/open/command 查找以下键值："C:\RECYCLED\RECYCLED.VXD,1" 将其修改为：C:\WINDOWS\regedit.exe,1 to this input box.，退出注册表 。重启后扫描整个系统，将感染了此病毒的文件删除。 从另一干净的机器上拷贝一个REGEDIT.EXE 程序到本机。

手动清除圣诞节病毒
$ B: J6 r5 N0 I5 T
5 A. W! ~/ E6 u3 S1 e/ O# b『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』1.开始——>程序——>MS-DOS模式 pcfix.job.topzj.com8 a% v! t! n5 C0 n  t
2.将DOS指令regedit.exe重新命名为 regedit.com
. r' [7 D4 D$ t% _  @# M『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』3.回到Windows运行Regedit。 电脑维修|电脑知识|电脑学习|电脑交流6 T, Y4 J( |( d# w# |
4.开始——>运行 6 \- M! ]2 j: M
5.输入“regedit”。按一下“确定”。 1 i5 c+ r% j" e* q0 c+ s0 q. [% R
6.在左边窗口，按一下　　含有 "+" 记号的方块以展开节点来寻找下列登录 电脑维修|电脑知识|电脑学习|电脑交流/ s/ Y8 g3 _! ?- a$ i' m) X$ r
　　 HKEY_CLASSES_ROOT exefile shell open command 『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』% ^9 R3 o6 j" j0 C9 l; Z: s! g. E9 x
7.在右边窗口，以展开节点来寻找含有下列登录的记录值并点选
4 z$ }& l/ |) M) d『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』　　 (Default) = "% windir%\SYSTEM\WINSVRC.EXE"%1""%*" where %windir% * B3 J" s7 {4 J2 y1 S
8.当编辑窗口出现，将所有整个部分删除，只留下 "%1"%*"。 - _2 K7 L  m# T
9.同步骤 3-5，输入“regedit”。按一下“确定”，进入以下注册机值。 电脑维修|电脑知识|电脑学习|电脑交流! O( w, \" W) ^
　　 HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
& G3 D$ ^: P$ lpcfix.job.topzj.com10.点选Win32BaseServiceMOD = %windir%\SYSTEM\WINSVRC.EXE ，并按“删除”
, B3 e3 r/ M; x2 p7 D* k11.开始——>程序——>MS-DOS模式
$ `7 D& X. ~1 O& `6 {电脑维修|电脑知识|电脑学习|电脑交流12.将 regedit.com重新命名为 regedit.exe。摘自瑞星网站

手动清除“快乐时光”病毒　 『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』& U8 f/ F2 {2 Q$ r
$ a& t) b! J3 C8 V& r8 A' s
1.检查 C:\Help.htm、C:\ 盘第一个子目录下的 Help.vbs 和 Help.hta、 Windows录下 Help.htm 或者与原墙纸文件名的 html 格式文件，若其中 含有“Rem I am sorry! happy time”字符串，则删除该文件
; A$ e$ k$ [! Q( O1 Y, @- E『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』2.检查 C: 盘上所有 vbs、html 或者 asp 文件，若含有“Rem I am sorry! happy time”字符串，则删除该文件
( J8 C7 ^0 v' Upcfix.job.topzj.com3.检查 \Windows\Web 目录下所有 vbs、html、htt 和 asp 文件，若含有“Rem I am sorry! happy time”字符串，则删除该文件； 『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』* [% ^+ x% U  H. }0 p
4.删除 HKEY_CURRENT_USER\Software 下 Help 项；
9 Q- R, j( ^, E& f5.删除收件箱中所有带有 Untitled.htm 附件的不明邮件。

手工清除Sircam蠕虫病毒
$ G' C) A3 A( B# A7 p
! H6 a+ q8 l7 t' Y% @. |pcfix.job.topzj.com1、 清空回收站，因为病毒将自身隐藏在回收站； 『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』( n5 a( C2 @9 X! r
2、 删除Autoexec.bat文件中的"@win ecycledsirc32.exe"
$ g% g0 C1 ~' s$ U' ^电脑维修|电脑知识|电脑学习|电脑交流3、 恢复注册表
6 W- n% i* X( l7 f% e5 E（1） 将regedit.exe改名为regedit.com因为该病毒关联exe文件 电脑维修|电脑知识|电脑学习|电脑交流9 M8 T1 w8 _  n3 Z7 y2 P5 s
（2） 打开注册表编辑器，查找主键：　　HKEY_CLASSES_ROOT/exefile/shell/open/command将其键值改为"%1" %* pcfix.job.topzj.com- g( I! u2 V- ]5 ~! V! J6 C& i+ ]8 S
（3） 删除主键HKEY_LOCAL_MACHINE/Software/SirCam
1 Q1 v: |" |, b（4） 删除键值HKEY_LOCAL_MACHINE/Software/Microsoft/Windows Current Version/Run Services/Driver32
/ V6 ^* H; a  {& _『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』（5） 将regedit.com改回为regedit.exe

手动清除Backdoor.Gapin木马病毒 『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』, j# a9 |$ Z: }1 k$ E" M1 t# y0 T6 [
电脑维修|电脑知识|电脑学习|电脑交流$ [7 e" g$ V( i- r/ T; r8 z
　1、此病毒一旦被激活并开始运行，那么它将复制本身到：C:\%Windir%\AdminClient.exe文件中，其中：%Windir%是个变量，此木马病毒会自动查找系统目录并将本身复制到其中，默认的是C:\Windows或C:\Winnt。 　　2、此病毒能够添加键值： 　　Remote C:\%Windir%\AdminClient.exe到注册表编辑器： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中,使得机器启动时病毒就会自动运行。 　　3、此病毒收集被感染的计算机系统信息后以电子邮件的形式发送给黑客。 　　4、此病毒通过端口1039来允许黑客控制被病毒感染的计算机。 　　解决方案： 　　1、及时升级杀毒软件，之后认真在整个硬盘上查杀此病毒，彻底清除掉查到的Backdoor.Gapin木马病毒。 　　2、到注册表编辑器: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中将键值： Remote C:\%Windir%\AdminClient.exe删除

手动清除尼姆达 pcfix.job.topzj.com) s) @  Q! S+ b5 O, ]( E: ]# F
% O  t# c) ]! o- G3 O
该病毒特性如下： 『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』; w% m5 g$ h. o% A$ m
电脑维修|电脑知识|电脑学习|电脑交流/ u0 e# L5 _. f# Y
病毒传染WINDOWS 9X/ME、WINDOWS NT、WINDOWS 2000。 pcfix.job.topzj.com; ]6 X, ], M4 R; k" D
『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』0 ]  q! ?) Q8 ~- c
当我们浏览含有病毒邮件时，病毒利用病毒体内VBScript代码在本地的可执行性（通过Windows Script Host进行），对当前计算机进行感染和破坏。即，一旦我们将鼠标箭头移到带有病毒体的邮件名上时，就能受到该网络蠕虫的感染，该病毒传染能力很强。该网络蠕虫利用的是OUTLOOK的漏洞。
8 x7 x  T9 g, u; |1 s8 ?- I5 J% [, b4 d8 X! C+ l/ E$ q
这些网络蠕虫的就是针对微软信件浏览器的弱点和WINDOWS NT/2000、IIS的漏洞而编写出的一种传播能力很强的病毒，这一病毒同等于“欢乐时光”和“蓝色代码”病毒的合力。 电脑维修|电脑知识|电脑学习|电脑交流. W8 i# l! b, A; U) u

: _$ z  Y! u9 u电脑维修|电脑知识|电脑学习|电脑交流病毒在WINDOWS\SYSTEM目录内生成病毒文件RICHED20.DLL和LOAD.EXE，或README.EXE、MMC.EXE等，还在所有硬盘的根目录下生成ADMIN.DLL病毒文件，其字节数为：57344字节。 pcfix.job.topzj.com' q% v, S3 _$ u. r+ P

0 O, j$ V$ g7 }- H在功能的设计上，新的变种和原来的“中国一号”病毒相同，变种的附件文件由原来的readme.exe修改为Sample.exe,文件的大小是：57344字节。而且释放的DLL的文件名称由admin.dll变成了Httpodbc.dll, 该程序在合法的WINDOWS系统下有该程序，该程序是在INTERNET网络上通讯使用的;原来拷贝到WINDOWS的SYSTEM目录下的文件是Mmc.exe,现在修改成为了Csrss.exe 文件。该文件的作用同样是病毒用来感染局域网络的；Csrss文件是"client-server runtime subsystem"(客户端-服务器实时子系统的简称); 在合法的WINDOWS系统下有该文件，该文件的作用是在控制台下建立删除线程使用的。 % ~; ^# t0 D/ s+ `

& x9 E% B) d$ Q: c0 [变种网络蠕虫的破坏作用仍然是大量发送EMAIL邮件，邮件附件的名称是Sample.exe。 ' P3 e% i# C( g3 @( C( Z
pcfix.job.topzj.com9 e3 d2 d/ t* d8 ]  o) \
当然在邮件中是看不到该附件的。 , o7 R6 B% r, I2 n4 g# N& V4 E
病毒还找出Email地址发送病毒本身，即附件长度约为79225字节，但打开看时，其长度为0。该文件实际上就是EMAIL病毒信件本身。
, ^$ R# W4 l% ?4 D: Z电脑维修|电脑知识|电脑学习|电脑交流# v6 Q/ q: E) Q; y3 n
病毒还对SYSTEM.INI修改，在[boot]组下的 $ I9 j* w+ W( l, w) c3 h/ b
pcfix.job.topzj.com! i& S5 r3 f: x8 c. _! q! H  k
shell=explorer.exe load.exe -dontrunold,
: X* Z( L. s' M* Y: W, o( `5 E. g  t3 [
这样在系统每次启动时该病毒就会传染，驻留内存。
& j: ~9 F3 F+ O" r& ?% f$ ~电脑维修|电脑知识|电脑学习|电脑交流
' |) t" I/ R$ [病毒利用IIS5.0的漏洞，上传ADMIN.DLL在C:\、D:\...并修改用户的主页，在主页后加了一个链接README.EML。感染的电脑均不断生成一个个随机文件名的eml文件，病毒还在C:\INETPUB\Scripts或WINDOWS\TEMP目录中不断复制为TFTP00X.DAT的文件，其字节数为：57344字节。
  ?! `) d1 Z4 \7 E, [' f8 M9 q电脑维修|电脑知识|电脑学习|电脑交流
. @" Q' t* M/ @1 i! X1 k变种网络蠕虫有4种传播方式：
- P! C/ R1 j) s电脑维修|电脑知识|电脑学习|电脑交流
5 X/ K/ Y: L: Q' _: S$ s(1)通过EMAIL发送在客户端看不到的邮件附件程序Sample.exe,该部分利用了微软的OE信件浏览器的漏洞；
. E) ~% \& g