niw.exe病毒文件删除方法
来源: 作者: 发布时间:2008-03-03 点击:
近几天朋友电脑碰到个新病毒,用卡巴和诺顿最新病毒库都杀不了,不认识 。
就看了下注册表,RUN下添加了NIW。EXE,本来想想简单,删除此键再删除这个文件就OK了。
没想到过几天又出来了,而且朋友也没做什么操作,这就怪了,病毒打包放虚拟机上,注册表对照看下。
结果
注册表报告
摘要信息:
已删除键: 3
已修改键: 7
新建键 : 14
有用的如下
已修改键
HKEY_LOCAL_MACHINESOFTWAREClassesxtfileshellopencommand@
Old value: 类型: REG_EXPAND_SZ 长度: 37 字节 25 53 79 73 74 65 6D 52 6F 6F 74 25 5C 73 79 73 | %SystemRoot%sys 74 65 6D 33 32 5C 4E 4F 54 45 50 41 44 2E 45 58 | tem32NOTEPAD.EX 45 20 25 31 00 | E %1. New value: 字串: "C:WINNTsystem32impai.exe "%1""
文件位于 C:WINNT*.*
摘要信息:
已删除文件: 0
已修改文件: 0
新建文件 : 1
新建文件
niw.exe
--------------
位置总数: 1
--------------------------------------------------------------------------------
文件位于 C:WINNTsystem32*.*
摘要信息:
已删除文件: 0
已修改文件: 0
新建文件 : 1
新建文件
impai.exe
--------------
位置总数: 1
这样应该明显了,病毒还有另外一个程序IMPAI。EXE跟TXT文件类型建立关联,以后每次打开TXT文件都会调用 这个病毒,两个文件都删除,键值改回,OK了。
正常系统有imapi.exe这个文件,不要弄错了,正常的是140K的,病毒的是22K的。
Tags:病毒