萬盛學電腦網

 萬盛學電腦網 >> 病毒防治 >> MSN防范手記 手動清除chcp.exe病毒

MSN防范手記 手動清除chcp.exe病毒

隨著即時通訊工具的強大,木馬病毒也加快了腳本,MSN早就成為了其通向第三方計算機感染跳越的平台。在好友圈中,只要盜取一個MSN好友賬號或感染一台用戶計算機,病毒即會伸出罪惡之手,將會在用戶MSN聊天時發送病毒信息。

病毒分析

該病毒屬於MSN蠕蟲變種,被感染的計算機會自動向MSN聯系人發送誘惑文字消息和帶毒壓縮包,當對方接收並打開帶毒壓縮包中的病毒文件時,系統即成為新的受害者,並因此嘗試感染另一台計算機。病毒大小為434,176 字節,通過MSN聊天工具進行傳播。

被感染的計算機,病毒首先會在系統目錄 %Windows%下生成含帶病毒源體的F0538_jpg.zip壓縮包,隨後病毒自身開始在計算機中的%Windows%目錄下創建副本chcp.exe 執行文件,並在注冊表

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

分支下建立"chcp.exe"="%Windows%chcp.exe"自啟動項目,然後病毒開始修改注冊分支

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

下的"SFCDisable"=dword:ffffff9d 和"SFCScan"=dword:00000000值,進行關閉系統文件保護,並且更改

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl

分支下的 "WaitToKillServiceTimeout"=的值為"7000",達到更改自動關閉進程等待時間的效果。

完成上述後,病毒仍沒有安靜的等待,而是查找被感染的計算機中是否存在FTP目錄,如果有則將原正常程序改名為backup.ftp、backup.tftp並復制到%System%microsoft目錄下,隨後在系統目錄%System%下寫入ftp.exe、tftp.exe、dllcachetftp.exe、dllcacheftp.exe可執行程序,做完一系列的手腳,病毒開始向MSN聯系人發送誘惑型文字消息,並夾帶毒包F0538_jpg.zip欺騙用戶打開。

清除方法

中了此毒的用戶也不要緊張,在了解了生存原理後要想清除該病毒也非難事,只要按照以下幾個步驟實施即可將病毒清除出界,讓系統中的MSN正常運行。

一、首先要進入注冊表分支

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

下,將"chcp.exe"="%Windows%chcp.exe"自建的隨機啟動項刪除,完成後重啟計算機。

二、進入%Windows%目錄下將病毒源體文件chcp.exe及F0538_jpg.zip壓縮包刪除。

三、將目錄%System%下的FTP破壞代替程序ftp.exe、tftp.exe、dllcachetftp.exe、dllcacheftp.exe刪除,並將%System%microsoft目錄下的backup.ftp、backup.tftp改回到目錄%System%下。

四、刪除注冊表分支[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]下的"SFCDisable"=dword:00000000鍵值,恢復系統文件保護。

五、最後將注冊表[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl]分支下的"WaitToKillServiceTimeout"=改為"20000" 從而恢復系統自動關閉進程等待時間的默認配置。

筆者按:在MSN病毒中變體有很多種如:MSN機器人、MSN小丑、MSN性感相冊等,其原理都是利用MSN作為平台在同聊友溝通的同時發送病毒信息,通過MSN好友關系欺騙用戶點擊,然後再次傳播,從而形成強大的傳播途徑。為了更好的處理此類病毒,這裡建議用戶加強計算機的先期保護如:開啟殺軟定時升庫,安裝安全類軟件,不定期打入系統補丁等,並且多了解每日病毒動態,即時作好防范工作即可,一但用戶被感染時應立即作出回應,利用手工刪除或下載相應的專殺工具進行清理,以免讓更多的用戶成為受害者。

copyright © 萬盛學電腦網 all rights reserved