windows7系統設置啟動網絡共享的時候，很多用戶都會驚奇的發現正常進行啟動。相應的系統就會出現一個代碼為1061的錯誤提示，也就是表明系統在運行服務的時候無法接受其控制信息。其實這個最大的原因就是因為你的Win7系統出現了病毒，一種叫蠕蟲的病毒引起的危害。那么我們應該怎么樣才能夠刪除這孩子那個病毒呢？具體的操作步驟如下:

　　分析原因：

　　病毒名稱：蠕蟲病毒Win32.Luder.I

其它名稱：W32/Dref-U （Sophos）， Win32/Luder.I！Worm， W32.Mixor.Q@mm （Symantec）， W32/Nuwar@MM （McAfee）， W32/Tibs.RA （F-Secure）， Trojan-Downloader.Win32.Tibs.jy （Kaspersky）

病毒屬性：蠕蟲病毒

　　危害性：中等危害

　　流行程度：高

具體介紹：

　　病毒特性：

Win32/Luder.I是一種通過郵件傳播的蠕蟲，并寄存在PE 文件和RAR 文件中進行傳播。另外，它還會生成一個特洛伊，用來下載并運行其它的惡意程序。它是大小為17，559字節的Win32可運行程序。

　　感染方式：

運行時，Win32/Luder.I復制到%System%ppl.exe ，并設置文件屬性為隱藏。隨后，修改以下注冊表鍵值，以確保在每次系統啟動時運行這個副本：HKLMSoftwareMicrosoft WindowsCurrentVersionRunagent = “%System%ppl.exe.。。”HKCUSoftwareMicrosoftWindowsCurrentVersionRun agent = “%System%ppl.exe.。。”

　　注：‘%System%’是一個可變的路徑。病毒通過查詢操作系統來決定當前系統文件夾的位置。Windows 2000 and NT默認的系統安裝路徑是C：WinntSystem32； 95，98 和 ME 的是C：WindowsSystem； XP 的是C：WindowsSystem32。

Luder還生成并運行一個任意名稱的文件，檢測出是Win32/Sinteri！downloader特洛伊病毒。蠕蟲還生成“kkk33ewrrt”互斥體，以確保每次只有一個副本運行。

　　傳播方式：

通過郵件傳播蠕蟲從本地系統獲取郵件地址來發送病毒。它通過以下注冊表鍵值在Windows Address Book中查找郵件地址：HKCUSoftwareMicrosoftWABWAB4Wab File Name接著，搜索從 ‘Z：’ 到 ‘C：’ 驅動器上帶有以下擴展名的文件：

rar

scr

exe

htm

txt

ht

a 蠕蟲執行DNS MX （mail exchanger）查詢，為每個域找到適合的郵件服務器來發送病毒。它使用本地配置的默認的DNS服務器來執行這些查詢。

Luder.I嘗試發送郵件到它收集的每個郵件地址。蠕蟲發送的郵件帶有以下特點：

　　發件地址：

蠕蟲使用任意名稱（從蠕蟲自帶的一個列表中選擇）帶有一個任意數字，和接受目標的域名結合，生成一個偽造的收件地址，例如：Clarissa26@domain.com。

主題可能是：Happy New Year！

附件名稱：postcard.exe

通過文件感染－PE文件Luder.I每次發現一個帶有“exe” 或 “scr” 擴展名的文件，都使用《random name》.t文件名復制病毒到文件所在目錄，并設置為隱藏文件。

　　注：《random name》由8個小寫字母組成。例如：“vrstmkgk.t”。

Luder.I檢查文件的PE頭，來查看是否有足夠的空間運行，并在中間插入一個代碼。另外，它不會感染已經被感染的DLL或可執行文件。如果被運 行，它首先運行相關的《random name》.t。Luder.I在被感染文件的PE頭的timestamp中寫入666作為一個標記，避免再次感染同一文件。

注：生成的《random name》.t文件即使不滿足感染的所有條件，也不會被Luder.I修改。

　　通過文件感染－RAR文件

Luder.I添加《random filename》.exe到每個發現的RAR文檔中，這里的《random filename》是7個字母與數字，例如“dnoCV18.exe”。每當Luder.I運行時，文檔可能被多次感染。

危害：

下載并運行任意文件Luder.I生成一個文件用來下載其它惡意程序到被感染機器上。下載的文件包括Win32/Sinteri， Win32/Sinray， Win32/Sinhar 和Win32/Luder的其它變體。

　　終止進程

每隔4秒，如果注冊表編輯器（regedit.exe）和名稱中包含以下字符串的其它進程（顯示在Windows Title Bar中）正在運行，Luder.I就會嘗試終止注冊表編輯器和這些進程：anti

viru

troja

avp

nav

rav

reged

nod32

spybot

zonea

vsmon

avg

blackice

firewall

msconfig

lockdown

f-pro

hijack

taskmgr

mcafee

　　修改系統設置

Luder.I修改以下注冊表鍵值，使得“Windows Firewall/Internet Connection Sharing （ICS）”（還稱為“Internet Connection Firewall （ICF） / Internet Connection Sharing （ICS）”）服務失效：HKLMSYSTEMCurrentControlSetServicesSharedAccessStart = 4

　　清除：

KILL安全胄甲InoculateIT 23.73.102，Vet 30.3.3288版本可檢測/清除此病毒。

kill版本：

修復錯誤的方法：

進入注冊表查找下面鍵值改成4就可以修復internet共享的問題。Windows Registry Editor Version 5.00［HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices SharedAccess］“Start”=dword:00000004

通過上面的圖片和文字教程的解說，都能夠清楚的了解到系統中這種能夠病毒的原因，危害以及解除的辦法。這對于在平常的電腦使用中起到一個防范的意識是很重要的，及時的對電腦遭受的病毒攻擊。