基本介紹
- 病毒名稱:
- 加殼類型:
- 病毒類型:
- 危害等級:
病毒描述,行為分析,清除方案,
鍵值 : 字元串 : "C:\WINNT\system32\drivers\<CITE style="BACKGROUND: none transparent scroll repeat 0% 0%" class=highlight highlight="true">nvhcnd. com</CITE>"
(被劫持軟體見附錄)
5 、 鎖定對隱藏檔案的顯示,使用戶無法查看並刪除具有隱藏屬性的病毒檔案。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
新鍵值 : 字串 : "0"
舊鍵值 : DWORD: 1 (0x1)
註: %system32% 是一個可變路徑。病毒通過查詢作業系統來決定當前 system32 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\system32 , windows95/98/me/xp 中默認的安裝路徑是 C:\Windows\system32 。
清除方案
1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(2) 刪除病毒檔案:
%system32%\drivers\<CITE class=highlight highlight="true"><CITE style="BACKGROUND: none transparent scroll repeat 0% 0%" class=highlight highlight="true">nvhcnd. com</CITE></CITE>
%system32%\hpxger.dll
%system32%\hpxger.exe
%system32%\verclsid.dat
% 非系統盤根目錄 %\ oso.exe
% 非系統盤 根目錄 % \ autorun.inf
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項 。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值 : 字串 : "nvhcnd"="C:\WINNT\system32\hpxger.exe"
恢復註冊表原鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\
Winlogon
新鍵值 : 字串 : "Shell"="Explorer.exe C:\WINNT\system32\severe.exe"
舊鍵值 : 字串 : "Shell"="Explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
新鍵值 : 字串 : "0"
舊鍵值 : DWORD: 1 (0x1)
註:在對顯示隱藏檔案的鎖定鍵值進行修改時,由於病毒改變了該鍵的數據類型,更改時,須將原“字串”類型的鍵刪除,再創建“ DWORD ”類型的鍵並附值。
