Killwu
病毒简介:
Worm.Wukill
病毒行为:
1. 它的两个主程序为 mstray.exe 和 winfile.exe,图标均为文件夹图标,具有很大迷惑性。mstray.exe 是 winfile.exe 在 windows 目录下的副本,该文件被自动加进注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run 中,已达到自动运行的目的,它在任务管理器的进程中显示为“RavTimerXP”,跟瑞星的防火墙名字差不多,有一定的迷惑性(它在进程中的名字可能会变)。winfile.exe 则在各盘的根目录下,会自动生成。
2. 它的自我复制能力主要来源于另外两个文件:comment.htt 和 desktop.ini,这两个文件均存放在与 winfile.exe 相同的目录下。comment.htt 主要负责修改文件夹选项里的内容和复制winfile.exe 文件,而 desktop.ini 则是当你采用web方式浏览文件夹时,系统会调用该文件,该文件调用coment.htt ,从而激活病毒。
3. 它会将 winfile.exe 复制到其他使用频率较多目录中去,并自动改名为“目录名.exe”或“当前窗口标题名.exe”。这些文件还有另一个共同的特点,那就是它们的属性均为隐藏;属性里的版本栏一致,产品名称均为“Xgtray”,公司均为“gy”,内部名称均为“wukill”,源文件名均为“wukill.exe”。若你删除了其他文件之后,忘了将这些文件删去,一不小心运行到,该病毒又会死灰复燃!所以一定要连同这些文件一并删除,否则后患无穷。
4. 病毒会调用 Outlook 发送携带病毒的信件。
手工清除:
1. 打开注册表,查看 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run 中的可疑键值,记下它的名称,删除该键值,并彻底搜查注册表,删除相关的键值。
2. 打开任务管理器,停止对应的进程。
3. 用搜索功能查找comment.htt 和desktop.ini 两个文件(注意:要随时注意打开文件夹选项里的隐藏文件和隐藏系统文件两个选项,病毒会修改这两个选项,没打开的及时打开),全部删之(有的 desktop.ini 可以不删,看你用windows的经验了)。
4. 查找 mstray.exe 和 winfile.exe 文件并全部删除。注意文件名要以注册表中启动项加载的为准。查找所有大小在100k以下的 EXE 文件,凡是图标象文件夹、属性中有“Xgtray”、“gy”字样的一律删除。
5. 重启计算机。
6. 注意在操作过程中不要使用浏览器,尽量减少打开文件夹的操作。
狗仔卡
离线
提升卡
置顶卡
变色卡
