virus.win32.vb.bu

病毒名稱：virus.win32.vb.bu

字串8

檔案長度： 36.0 KB (36,864 位元組)

開發工具： VB6 字串1

加殼類型： 無殼

字串9

病毒通過修改入口點和輸入表進行免殺處理，但由於病毒出現的時間已經比較久所以大部分的防毒軟體都可以識別並且查殺，只是大部分用戶反映查殺後復發。

字串2

字串4

增加註冊表啟動項目：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "EXPLORER.EXE"

Type: REG_SZ

Data: EXPLORER.EXE

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "wsctf.exe"

Type: REG_SZ

Data: wsctf.exe 字串1

修改USERINIE的啟動項目

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit"

Old type: REG_SZ

New type: REG_SZ

Old data: C:\WINDOWS\system32\userinit.exe,

New data: userinit.exe,EXPLORER.EXE 字串8

生成檔案：

c:\WINDOWS\system32\EXPLORER.EXE

Date: 10-25-2006 8:32 AM

Size: 36,864 bytes

字串7

1．刪除檔案：

用強制刪除工具[建議使用MJ寫的FileKill360]刪除下面列出的檔案。

c:\WINDOWS\system32\EXPLORER.EXE 字串9

2．刪除啟動項目[建議使用SRENG查看並刪除]：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "EXPLORER.EXE"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "wsctf.exe"

字串1

3．修改註冊表：

將HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit"的值修改為“C:\WINDOWS\system32\userinit.exe”。