怎样清除runouce-exe.doc

病毒运行后，会先将自己拷贝到windows＼system＼目录下，并取名为runouce．exe，然后开始有哪些信誉好的足球投注网站本地驱动器及网络驱动器，感染．exe、．scr和系统文件。对于windows＼sys tem＼目录，它也会先进行查找。接着在注册表项HKEY＿LOCAL＿MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run下添加：RunOuce：System＼RunOuce．exe，这样，每次启动系统，病毒即随之运行。 注册表命令：regedit对于添加的注册表项，病毒还会创建一个注册表监视的线程，对之不断监视，如果被修改，将立即重新写入病毒项，以保证自己的控制权。 病毒还有一个外部线程保证自己不断地取得对系统的控制权，使得病毒的清除更加困难！ 在Win9x系统下，病毒学习CIH病毒进入核心层，将自身的部分代码复制到另外一个正在运行的程序内部，通过创建内核线程的方式，远程启动监视线程运行，监视自己的进程是否存在，如果不存在则将系统目录下的runouce．exe再次加载。 在WinNT系统下，病毒是利用系统的FindWindows函数寻找一个可被注入线程的运行程序（一般会找到Ex plorer．exe程序），之后病毒将这个进程打开并分配了一块内存，将自己的监视线程代码复制到该进程中，并在远程启动监视线程，监视病毒的进程是否存在，如果不存在则将系统目录下的runouce．exe再次加载。 中国黑客(worm.runouce)病毒分析该病毒是一个蠕虫病毒。不会感染可执行文件。 ?????? 病毒在被激活的过程中会把病毒体自身复制到 windows 的系统目录中。 ?????? 在windows 9x 系统中复制自身到 windows\system\runouce.exe . ?????? 在windows 2000和 windows NT系统中复制自身到winnt\system32\runouce.exe。然后运行该程序。并且在注册表中加入成自启动。使病毒体每次开机时都被激活。 ?????? 在Windows 9x系统上该病毒利用了CIH病毒相同的手法切换到零环，使自己进到系统级。然后复制78个字节到kernel32.dll的地址空间中。（在windows 98 与windows 95的系统中的偏移地址是 bff70400处。 然后通过CreateKernelThread函数建立一个内核线程。 该线程的入口地址就是bff70400。这个内核线程调用了WaitForSingleObject函数使自身进入等待状态，来等待父进程的结束信号。如果父进程被结束，则该内核线程立即被唤醒。内核线程马上调用了WinExec函数，来重新启动病毒进程。 ?????? 这样，在杀毒软件杀掉内存中的病毒进程后。病毒马上又被激活。这样造成杀不掉内存中的病毒。 ?????? 该病毒在windows 2000操作系统上在explorer中注入线程。在explorer中的线程用来保护病毒进程。 如果病毒进程结束，则explorer中的病毒线程重新启动病毒进程。 ?????? 该病毒通过以上的方法来起到在内存中保护病毒进程的作用。 ?????? 该病毒有极强的局域网传染功能。 ?????? 病毒通过有哪些信誉好的足球投注网站网上邻居中的可写文件夹，然后在每个可写文件夹中都生成一个以计算机器名命名的eml文件 。并且该eml文件是有自启动漏洞的eml文件。 ?????? 发作现象： ?????? 在用户系统中若装有oicq聊天软件。则病毒进程每5个小时发作一次。发作时启动一个发作线程。这个发作线程会有哪些信誉好的足球投注网站名字为“发送消息”的窗口，若正在用oicq 发送消息时。病毒先会在发送窗口中输入12个回车换行符，然后病毒在以下的几句话放到发送消息的窗口中。 ?????? 当用户点击发送按钮时就会被发送出去。 输入的12个回车换行符作用是使病毒加入的文字信息超出窗口的可见区域。用来防止用户看到被加入文字内容 该病毒主要通过电子邮件传 播。它会有哪些信誉好的足球投注网站Windows地址簿的邮件地址，然后将自己作为邮件的附件向这些邮件地址发送。邮件的主题是“Hi，iam％s”，％s是中毒者的计算机名字，附件名为P．EXE，邮件源地址（From：XXX＠hotmail．com）。 病毒还会利用国内著名的即时联络工具OICQ发送即时信息，病毒运行5个小时后创建一个线程，10分钟后关闭这个线程。这个线程用来寻找“发送消息”窗口，在这10分钟内如果找到了这个窗口，就向这个窗口写入12个回车换行和循环发送各种信息一条，共八次，用户如果中毒，聊天过程中将受到严重干扰 首先要注意轻易不要重起机器