件是感染了正常文件的病毒文件
病毒将会把该文件恢复并将其运行
修改注册表以下键值
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run增加数据项
\"
MicrosoftScriptChecker\"
数据为
\"
MSCHECKEXESTART\"
修改该项注册表使\"
MSCHECKEXE\"
文件每次系统激活时都将被运行
而\"
MSCHECKEXE\"
用于运行\"
Spoolsvexe\"
文件
从而达到病毒自激活的目的
创建一个线程用于感染C盘下的PE文件
但是文件路径中包含\"
winnt\"
\"
Windows\"
字符串的文件不感染
另外
该病毒还会枚举局域网中的共享目录并试图对这些目录下的文件进行感染
该病毒感染文件方法比较简单
将正常文件的前
x
个字节替换为病毒文件中的数据
并将原来
x
个字节的数据插入所感染的文件尾部
试图与局域网内名为\"
admin\"
的邮槽联系
创建名为\"
client\"
的邮槽用于接收其控制端所发送的命令
为其控制端提供dell windows7系统盘以下远程控制服务
显示或隐藏指定窗口
屏幕截取
控制CDROM
关闭计算器
注销
破坏硬盘数据
那些病毒会造成CPU占有率过高震荡波蠕虫利用微软操作系统的LSASS缓冲区溢出漏洞进行远程主动攻击和传染
导致系统异常和网络严重拥塞
具有极强的危害性
病毒如果攻击成功
则会占用大量系统资源
使CPU占用率达到
%
出现电脑运行异常缓慢的现象
如果中了这种病毒可采用下面的四种方法进行清除
断网打补丁如果不给系统打上相应的漏洞补丁
则连网后依然会遭受到该病毒的攻击
用户应该先下载相应的漏洞补丁程序
然后断开网络
运行补丁程序
当补丁安装完成后再上网
清除内存中的病毒进程要想彻底清除该病毒
应该先清除内存中的病毒进程
用户可以按CTRL+SHIFT+ESC三或者右键单击任务栏
在弹出菜单中选择&ldquo
任务管理器&rdquo
打开任务管理器界面
然后在内存中查找名为&ldquo
avserveexe&rdquo
的进程
找到后直接将它结束
删除病毒文件病毒感染系统时会在系统安装目录默认为C
\\WINNT)下产生一个名为avserveexe的病毒文件
并在系统目录下默认为C
\\WINNT\\System
)生成一些名为<
随机字符串>
_UPexe的病毒文件
用户可以查找这些文件
找到后删除
如果