● W32.HLLP.Gosusub - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: xhjx (好好爱你，永远！), 信区: Virus
标  题: W32.HLLP.Gosusub
发信站: 荔园晨风BBS站 (Wed Jan 30 16:26:24 2002), 站内信件

　　病毒名称：W32.HLLP.Gosusub
　　发现日期：2002-01-29
　　长度：49，103字节
　　危险级别：中级
　　病毒特征：
　　该病毒会感染本地磁盘及映射网络磁盘上的大部分可执行文件，感染时会损坏
这些可执行文件，另外，它还会删除所有发现的.txt文件。它是用C++等高级语言
（HLL）编写的，故得名HLLP。病毒一旦执行，会出现如下现象：
　　首先，在C盘的Windows目录下生成Win386.exe文件，然后将键值win386—C:
\WINDOWS\win386.exe添加至注册表：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中。
　　同时，它还会修改系统文件System.ini，使之含有如下命令语句：
　　shell=explorer.exe win386.exe。
　　清除方法：
　　要清除该病毒，只要去掉添加到注册表中的键值，且删除System.ini文件中新
增加的命令行。
　　在修改注册表前，最好先备份，操作步骤为：
　　1. 单点“开始”菜单，选取“运行”;
　　2. 在弹出窗口中键入“regedit”，点“确定”，注册表编辑器即打开了；

　　3. 找到注册表项：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　4. 在右边窗口，删除键值：win386　　　C:\WINDOWS\win386.exe
　　5. 然后退出注册表编辑器即可。
　　如果您是Windows 95/98/Me系统，编辑System.ini文件按照如下步骤：
　　1. 单点“开始”菜单，选取“运行”；
　　2. 键入edit c:\windows\system.ini，MS-DOS编辑器窗口即出现；（注意：
如果Windows安装在不同的目录，要找到相应的路径。）
　　3. 找到以shell=explorer.exe起始的行；
　　4. 光标立即指向explorer.exe右边的.exe
　　5. 删除文本win386.exe；该行就变为shell=explorer.exe
　　6. 选“文件”，点击“退出”，再按“确定”保存所作的修改。
　　

--
  ┃                                ──────────────╂─
  ┃├─┤├─┤├─┤├─┤　　　　  　　　　　　　　　　　  ┃
  ┃│真││正││的││美│├─┤├─┤├─┤├─┤├─┤├─┤┃
  ┃├─┤├─┤├─┤├─┤│是││不││随││波││逐││流│┃
  ┃　　　　　　　　　　　　├─┤├─┤├─┤├─┤├─┤├─┤┃
─╂──────────────────                        ┃

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.234]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店