基本介紹
- 上線時間:2015年
- 最近更新時間:2016年
- 軟體語言:英文
- 軟體大小:6.66 MB
- 類型:木馬
- 程式語言:C#
- 名稱:000.exe
- 影響平台:Windows XP以後的所有系統
- 來源出處: FlyTechVideos
觸發行為,手工清除方法,
觸發行為
打開後,會出現一個用戶帳戶控制對話框(在Windows Vista及以後的系統),警告用戶是否想執行該程式。
當病毒完全執行時,它會終止進程explorer.exe,還會試圖刪除WindowsApps資料夾內的內容,其中包含安裝的Windows通用應用程式(只在Windows 8和Windows 10)。然後會全螢幕播放一段視頻,並在後台循環視頻剪輯。視頻中有一條陰森可怕的道路,視頻的顏色會不斷變化。從橘色、綠色、黑色和白色,到強烈的黑色和白色。
在視頻播放期間,病毒將禁用任務管理器,將用戶的Windows帳戶用戶名和全名全部改為“UR NEXT”,將默認的記事本圖示更改為自定義的.ico檔案,並在完成第一個有效負載後重新啟動用戶的電腦。
第二個有效負載發生在計算機重新啟動時。桌面壁紙被改成純黑色,桌面上充滿了“UR NEXT”記事本檔案。默認的記事本圖示會變成一個帶有“UR”和“NEXT”的紅色方塊,而“UR”會疊在“NEXT”的上面。打開一個“UR NEXT”檔案,用戶會看到似乎無限行的“UR NEXT”。
系統運行過程中,會有一個包含“run away”訊息的對話框,後面跟著一個“run away”按鈕。但是,每秒鐘就會出現一個帶有相同訊息的新對話框。單擊run away按鈕會關閉對話框。
如果有寫字板檔案,它的名稱被命名為“OPENME”(重複名稱),以說服用戶打開它。如果用戶打開“OPENME”(重複名稱)寫字板檔案,用戶將看到檔案中的文本:
YOU ARE THE NEXT,I CAN SEE YOU
NOW ITS TOO LATE
I GOT YOU.......YOU HAVE BEEN
WARNED
DONT LOOK BEHIND YOU
此外,該檔案的信息是“a serial killer is behind you to stab you, that is why don't look behind you.(一個連環殺手在你背後捅你,這就是為什麼不要回頭看。)”
手工清除方法
停止無限彈窗
右鍵開始選單,點擊“命令提示符(管理員)”(必須是管理員許可權啟動,關閉UAC的可以直接啟動CMD)打開命令提示符之後,輸入: taskkill /f /im conhost.exe 回車;此時彈窗可以全部關閉。再打開命令提示符,輸入 :taskkill /f /im runaway.exe 回車(這個步驟結束病毒主體)
刪除病毒在桌面創建的所有檔案
打開命令提示符(管理員),並依次輸入以下命令
cd %USERPROFILE%\Desktop (進入當前用戶桌面)
del UR*.txt (匹配所有UR開頭的txt檔案,並刪除)
del OPENME*.rtf (匹配所有OPENME開頭的rtf檔案,並刪除)
把壁紙改回來
右擊桌面空白處,“個性化”-“背景”-“背景”,將“純色”修改為“壁紙”,並任選一張喜歡的壁紙。
恢復被鎖定的任務管理器
將以下內容保存為.reg格式的檔案並打開,即可解鎖任務管理器:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"=-
清除病毒開機啟動項
啟動任務管理器,點擊“詳細信息”,展開任務管理器。 切換到啟動選項卡,可以發現病毒的啟動項rniw.exe。右鍵rniw.exe,點擊“打開檔案所在位置”。找到後刪除;WIN+R 在運行中輸入 %temp% 回車打開臨時資料夾,清理病毒殘留。
修復被破壞的txt文本檔案格式默認圖示
啟動註冊表編輯器,定位到HKEY_CLASSES_ROOT\txtfile\DefaultIcon,將默認鍵值修改為“%SystemRoot%\system32\imageres.dll,-102”,關閉註冊表編輯器。
改回被篡改的用戶名
右鍵開始選單-控制臺-“程式-“更改賬戶類型- 雙擊自己賬戶 – 更改賬戶名稱,改為喜歡的名稱。