行爲:
修改註冊表:
註冊表路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
註冊表名稱:Userinit
修改後的數據爲:C:\WINDOWS\system32\userinit.bat
創建以下文件:
C:\WINDOWS\system32\userinits.exe
C:\WINDOWS\system32\userinit.bat
該批處理內容爲:
複製內容到剪貼板
代碼: start C:\WINDOWS\system32\userinits.exestart C:\WINDOWS\system32\wupcltr.exe
start C:\WINDOWS\system32\ALG.EXE
C:\Documents and Settings\dream\桌面\_dcp.bat (位於當前目錄下,因爲我是放在桌面上運行的)
該批處理的內容如下:
複製內容到剪貼板
代碼: copy "C:\Documents and Settings\dream\桌面\wupcltr.exe" "C:\WINDOWS\system32\wupcltr.exe"del %0
調用CMD.EXE執行上面這個批處理:複製自身到系統目錄下,並刪除批處理自身,即_dcp.bat
創建文件:
X:\PROGRAM FILES\TENCENT\QQ2009\BIN\QzonePluse.exe (QQ主程序目錄)
C:\Documents and Settings\dream\Local Settings\Temporary Internet Files\Content.IE5\4DU30LMF\TXPlatform[1].exe (IE緩存臨時目錄)
修改文件:
X:\Program Files\sina\UC\uc.exe
X:\PROGRAM FILES\TENCENT\QQ2009\BIN\TXPlatform.exe
X:\Program Files\TTPlayer\TTPlayer.exe
C:\Program Files\WinRAR\WinRAR.exe
我電腦上安裝的軟件不是很多,只發現他修改了這四個,UC和TTLPAYER我都好久沒打開過了.....
建議中毒者全盤掃描一下,以絕後患.
重啓後,C:\WINDOWS\system32\userinit.bat這個批處理將會自動運行,因爲病毒修改過註冊表的數據,正常的值應爲userinits.exe,(或者是完整路徑,即C:\WINDOWS\system32\userinit.exe,)關於該處的自啓動請參看雷特反病毒教學第7課 (安裝過美化包的這個路徑可能會變)
這個批處理的作用是運行下面三個程序
C:\WINDOWS\system32\userinits.exe
C:\WINDOWS\system32\wupcltr.exe
C:\WINDOWS\system32\ALG.EXE
其中前兩個是病毒程序,第三個是正常程序.
解決方案:
1,使用任務管理器結束進程wupcltr.exe和userinits.exe(如果存在),關閉QQ,UC,千千靜聽,WINRAR等應用軟件,清空IE緩存目錄.
2,刪除下面兩個文件:
刪除下面三個文件
C:\WINDOWS\system32\userinits.exe
C:\WINDOWS\system32\userinit.bat
QzonePluse.exe (位於QQ主程序目錄下,不寫路徑了,每個人的安裝位置可能都不一樣)
3,開始,運行,輸入regedit,確定,並定位到註冊表路徑:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
將Userinit的值改爲
C:\WINDOWS\system32\userinit.exe, (注意:後面有個逗號的)
4,修復被修改的文件,可以用殺毒軟件掃描一下,或者用正常文件替換,或者重新安裝這幾個軟件.