一个不太流行的老PE病毒,
同时在几家无盘网吧中发现,
发作时在TEMP目录生成一个172K的xxxXXXX.TMP文件,
文件名不固定,前三位小写,后面四位或二位大写或数字。
然后嵌入explorer进程运行,搜索硬盘与网络,将.EXE和.SCR文件改写,加长172K。
服务器因巨大读写量而接近崩溃。
不象FUNLOVE可以免疫。
现在各网吧出现被Win32.parite.*病毒大肆破坏可执行文件的情况,由于暂时还找不到具体从哪个网站被感染的,现在提供一些预防方法!
在重刻盘之后,或者保证系统没感染此病毒的情况下,做如下工作:
- 禁用文件系统对象FileSystemObject
方法:直接查找scrrun.dll文件删除或者改名。
2003.0908系统在d:\System\Windows\System目录下;NT98系统在d:\WZ\System目录下
- 加BanActiveX.reg到系统的Newreg里面,通知工作站升级注册表。