管理提醒: 本帖被 admin 执行加亮操作(2008-10-26)
病毒名:Trojan.Win32.VB.atg (“fun.xls.exe” U盘病毒的一个变种) PLv�{�b^_]
MD5: 4a542d4fd27754b38dd3af0aab971ef6 �)j".~Bg<�
?nK{uv�e)e
病毒发作现象: vd�9�Kg@xk
bS�\8I0P�
在每个盘符下创建文件autorun.inf和fun.xls.exe两个文件,修改注册表项,以致于无法看到系统隐藏文件,并实现开机自启动。 �)Wvf,�.(O
�<i[7�3aMe
v2a��(�3>h
病毒解决方法: j9?�|DV�(@
=�h�]%�'\^
一、结束进程以及删除文件。 �8gM�-}R}0
U��%n�^g�;
1. 结束4A542D4FD27754B.exe、algsrvs.exe、fun.xls.exe进程。 _K+Z���+1x
�f�)MTq�T\
2. 删除系统盘%systemroot%\system32下的msime82.exe、algsrvs.exe、msfun80.exe文件。 �g,f`XugP$
,Woh-v�9U�
3. 删除位于每个盘符下的fun.xls.exe和autorun.inf文件(注意:在打开每个盘符时不要双击,应单击后选择“打开”)。 Oa�UG+J/=
vJt+MM((rC
4. 删除%systemroot%目录下的ufdata2000.log文件。 59aH,]c"KP
antz\J=��>
rB'^Yncn3w
�T��R(>�vF
二、修改、删除注册表键值。 ��W��:5�*.
�KY,.�t�
1. 删除键值: ���4Ce�Uc�
|TmS./<xD#
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的“IMJPMIG8.2”。 p�nZLd}#"K
�-qPWtN�?a
2. 删除键值: �[B,:�AW)
�.GC v+�m"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下的MsServer键值。 Pu7��>�mgN
��?��p_tA�
3. 删除键值并新建键值: �>Pt=$89��
?g��D[�6HV
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL下的“CheckedValue”键值,然后点击右键,新建一个DWORD值,命名为“CheckedValue”,并设置其值为“1”。
