windows 7系统启动 *** 共享时提示错误1061的原因分析

最近有朋友在Windows 7系统下启动 *** 共享的时候，无法正常启用共享访问，系统提示错误1061 ，即服务无法在此时接受控制信息，这是怎么回事呢？该怎么办呢？其实出现这个问题的主要原因是系统中了蠕虫病毒的危害才引起的，具体情况看看下面的介绍吧。

分析原因：

病毒名称：蠕虫病毒Win32.Luder.I

其它名称：W32/Dref-U （Sophos）， Win32/Luder.I！Worm， W32.Mixor.Q@mm （Symantec）， W32/Nuwar@MM （McAfee）， W32/Tibs.RA （F-Secure）， Trojan-Downloader.Win32.Tibs.jy （Kaspersky）

病毒属性：蠕虫病毒

危害性：中等危害

流行程度：高

具体介绍：

病毒特性：

Win32/Luder.I是一种通过邮件传播的蠕虫，并寄存在PE 文件和RAR 文件中进行传播。另外，它还会生成一个特洛伊，用来下载并运行其它的恶意程序。它是大小为17，559字节的Win32可运行程序。

感染方式：

运行时，Win32/Luder.I复制到%System%ppl.exe ，并设置文件属性为隐藏。随后，修改以下注册表键值，以确保在每次系统启动时运行这个副本：HKLMSoftwareMicrosoftWindowsCurrentVersionRunagent = “%System%ppl.exe.。。”HKCUSoftwareMicrosoftWindowsCurrentVersionRunagent = “%System%ppl.exe.。。”

注：‘%System%’是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C：WinntSystem32； 95，98 和 ME 的是C：WindowsSystem； XP 的是C：WindowsSystem32。

Luder还生成并运行一个任意名称的文件，检测出是Win32/Sinteri！downloader特洛伊病毒。蠕虫还生成“kkk33ewrrt”互斥体，以确保每次只有一个副本运行。

传播方式：

通过邮件传播蠕虫从本地系统获取邮件地址来发送病毒。它通过以下注册表键值在Windows Address Book中查找邮件地址：HKCUSoftwareMicrosoftWABWAB4Wab File Name接着，搜索从 ‘Z：’ 到 ‘C：’ 驱动器上带有以下扩展名的文件：

rar

scr

exe

htm

txt

ht

a 蠕虫执行DNS MX （mail exchanger）查询，为每个域找到适合的邮件服务器来发送病毒。它使用本地配置的默认的DNS服务器来执行这些查询。

Luder.I尝试发送邮件到它收集的每个邮件地址。蠕虫发送的邮件带有以下特点：

发件地址：

蠕虫使用任意名称（从蠕虫自带的一个列表中选择）带有一个任意数字，和接受目标的域名结合，生成一个伪造的收件地址，例如：Clarissa26@domain.com。

主题可能是：Happy New Year！

附件名称：postcard.exe

通过文件感染－PE文件Luder.I每次发现一个带有“exe” 或 “scr” 扩展名的文件，都使用《random name》.t文件名复制病毒到文件所在目录，并设置为隐藏文件。

注：《random name》由8个小写字母组成。例如：“vrstmkgk.t”。

Luder.I检查文件的PE头，来查看是否有足够的空间运行，并在中间插入一个代码。另外，它不会感染已经被感染的DLL或可执行文件。假如被运行，它首先运行相关的《random name》.t。Luder.I在被感染文件的PE头的timestamp中写入666作为一个标记，避免再次感染同一文件。

注：生成的《random name》.t文件即使不满足感染的所有条件，也不会被Luder.I修改。

通过文件感染－RAR文件

Luder.I添加《random filename》.exe到每个发现的RAR文档中，这里的《random filename》是7个字母与数字，例如“dnoCV18.exe”。每当Luder.I运行时，文档可能被多次感染。

危害：

下载并运行任意文件Luder.I生成一个文件用来下载其它恶意程序到被感染机器上。下载的文件包括Win32/Sinteri， Win32/Sinray， Win32/Sinhar 和Win32/Luder的其它变体。

终止进程

每隔4秒，假如注册表编辑器（regedit.exe）和名称中包含以下字符串的其它进程（显示在Windows Title Bar中）正在运行，Luder.I就会尝试终止注册表编辑器和这些进程：anti

viru

troja

avp

nav

rav

reged

nod32

spybot

zonea

v *** on

avg

blackice

firewall

msconfig

lockdown

f-pro

hijack

taskmgr

mcafee

修改系统设置

Luder.I修改以下注册表键值，使得“Windows Firewall/Internet Connection Sharing （ICS）”（还称为“Internet Connection Firewall （ICF） / Internet Connection Sharing （ICS）”）服务失效：HKLMSYSTEMCurrentControlSetServicesSharedaccessStart = 4

清除：

KILL安全胄甲InoculateIT 23.73.102，Vet 30.3.3288版本可检测/清除此病毒。

kill版本：

修复错误的 *** ：

进入注册表查找下面键值改成4就可以修复internet共享的问题。Windows Registry Editor Version 5.00［HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess］“Start”=dword:00000004

不少朋友在Windows 7系统下启用 *** 共享访问时遇到了系统提示错误1061问题，这主要是有系统遭受病毒攻击所致，用户只有掌握了病毒的属性、危害，才能更进一步地扫清病毒，解决问题。