三步搞定删除ZIP文件的病毒
网络与通信
在压缩软件的世界里,以WinZip这个软件比较有名,而像我们这样的穷学生,经常会使用到这样的软件来解决一些压缩方面的问题。但是最近我发现自己的ZIP文件突然变少了,经过排查,才发现是一个病毒在搞鬼,这个病毒是Melhack。
病毒特征:这是一个借助E-mail传播的VB脚本蠕虫。一旦大家的机器感染了此病毒的话,病毒会创建注册表键值使病毒在Windows启动时自动运行,这样再继续感染你的机器就比较方便了。接着病毒会修改mIRC脚本文件,使得它能通过IRC发送自己,并且强行让你访问某个网站,如果是在幕后下载和运行W32.Kamil木马,会出现以下的信件内容:
主题:Nur-Mohd_Kamil
正文(用HTML语言写的):
Hello,
My name is
I write this message cause I want to explorer in the whole world using Digital transport. So, where I arrive now?
Bye
上面只是病毒感染的一个信息,假如用户禁止使用ActiveX控件,则仅能看到的文本为:“You need ActiveX enabled if you want to see this e-mail.Please open this message again and click accept ActiveX Microsoft Outlook”。
该病毒目前可感染的系统有:Windows 95/98/Me/NT/2000/XP。Macintosh、Unix、Linux等系统不受影响。
病毒危害:一旦大家中了此病毒,病毒会向Outlook地址簿里的所有联系人发送大量病毒邮件。接着会删除C盘根目录下的*.zip文件,最后覆盖如下文件夹下的所有文件:
1.C盘根目录下的.com文件;
2.C:\Mydocu~1目录下的.txt、.xls、.doc、.exe、.rtf、.cab、.com、.avi、.gif、.bmp、.jpg、.jpeg、.tif及.bat文件;
3.C:\Windows\Desktop目录下的.doc、.jpg、.gif、.bmp、.cpp、.mdb、.xls、.avi、.mp3及.bat文件。
修改注册表的情况:
1.在注册表:[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion]中创建或修改“RegisteredOwner”主键下的“OsamaBinLaden”;
2.添加键值“OsamaBinLaden”内容是:wscript.exe C:\Windows\System\OsamaBinLaden.vbs%(该路径固定的)Melhacker C:\Melhacker.bat至注册表:[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]中,使得每次启动Windows时,它都会自动运行。
3.拷贝自身为%system%\OsamaBinLaden.vbs。
注意:%system%可能为C:\Windows\System(Windows 95/98/Me),或C:\Winnt\System32(Windows NT/2000),或C:\Windows\System32(Windows XP)。
删除病毒三步搞定:
第一步:在硬盘中查找是否存在Melhacker.bat这个文件,如果存在将其删除,最好的方法当然是在安全模式下删除,或者是检查收发邮件的软件,如果存在的含有上面邮件内容的话将其删除即可。
第二步:修改注册表:将[HKEY_LOCAL_MACHINE\Soft-ware\Microsoft\Windows\CurrentVersion]中“RegisteredOwner”主键下的“OsamaBinLaden”删除。并将[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]中的“OsamaBinLaden”删除。
第三步:运行杀毒KV3000,进行升级,然后扫描整个硬盘,最后执行“杀毒”,这样就可以将病毒赶出你的硬盘了。