基本介紹
- 中文名:MSN防範手記手動清除chcp.exe病毒
- 外文名:chcp.exe
- 病毒分析:屬於MSN蠕蟲變種
- 影響:使電腦中毒
- 清除方法:進入註冊表分支等
病毒分析,清除方法,筆者按,
病毒分析
該病毒屬於MSN蠕蟲變種,被感染的計算機會自動向MSN聯繫人傳送誘惑文字訊息和帶毒壓縮檔,當對方接收並打開帶毒壓縮檔中的病毒檔案時,系統即成為新的受害者,並因此嘗試感染另一台計算機。病毒大小為434,176 位元組,通過MSN聊天工具進行傳播。
被感染的計算機,病毒首先會在系統目錄 %Windows%下生成含帶病毒源體的F0538_jpg.zip壓縮檔,隨後病毒自身開始在計算機中的%Windows%目錄下創建副本chcp.exe 執行檔案,並在註冊表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
分支下建立"chcp.exe"="%Windows%\chcp.exe"自啟動項目,然後病毒開始修改註冊分支
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
下的"SFCDisable"=dword:ffffff9d 和"SFCScan"=dword:00000000值,進行關閉系統檔案保護,並且更改
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
分支下的 "WaitToKillServiceTimeout"=的值為"7000",達到更改自動關閉進程等待時間的效果。
完成上述後,病毒仍沒有安靜的等待,而是查找被感染的計算機中是否存在FTP目錄,如果有則將原正常程式改名為backup.ftp、backup.tftp並複製到%System%\microsoft目錄下,隨後在系統目錄%System%下寫入ftp.exe、tftp.exe、dllcache\tftp.exe、dllcache\ftp.exe可執行程式,做完一系列的手腳,病毒開始向MSN聯繫人傳送誘惑型文字訊息,並夾帶毒包F0538_jpg.zip欺騙用戶打開。
清除方法
中了此毒的用戶也不要緊張,在了解了生存原理後要想清除該病毒也非難事,只要按照以下幾個步驟實施即可將病毒清除出界,讓系統中的MSN正常運行。
一、首先要進入註冊表分支
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下,將"chcp.exe"="%Windows%\chcp.exe"自建的隨機啟動項刪除,完成後重啟計算機。
二、進入%Windows%\目錄下將病毒源體檔案chcp.exe及F0538_jpg.zip壓縮檔刪除。
三、將目錄%System%下的FTP破壞代替程式ftp.exe、tftp.exe、dllcache\tftp.exe、dllcache\ftp.exe刪除,並將%System%\microsoft目錄下的backup.ftp、backup.tftp改回到目錄%System%下。
四、刪除註冊表分支[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下的"SFCDisable"=dword:00000000鍵值,恢復系統檔案保護。
五、最後將註冊表[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]分支下的"WaitToKillServiceTimeout"=改為"2萬" 從而恢復系統自動關閉進程等待時間的默認配置。
