|
具体写个分析.. 运行样本生成文件 C:\WINDOWS\Listsas.txt C:\WINDOWS\saslogww.txt C:\WINDOWS\*.exe X:\*.exe X:\Autorun.inf X=C D E F H .... *=大小写字母随机命名 修改注册表项 [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\*.exe" [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000000 生成注册表项 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=hex:95,00,00,00 访问网站 http://www.sinavip.net/A.asp?Id=5540850987 http://www.lcsm.cn/nami.htm http://www.jing88.com【电脑软硬件应用网站长补充】 在系统下生成Listsas.txt记事本文件 内容为 4002http://www.sinavip.net/k1.rar 4003http://www.sinavip.net/ma.rar 30"http://www.lcsm.cn/nami.htm" 31"http://www.jing88.com/1ndex.asp" 31http://www.ishici.com"【电脑软硬件应用网站长补充】 listsas.txt 与 服务器上 http://www.sinavip.net/list.txt 同步.. 内容一样..【电脑软硬件应用网站长补充:可能现在有改动】 系统时间被更改.. 年份被更改为 1980 年..这样能导致一些软件无法使用.. 连网下载 C:\WINDOWS\003.exe C:\WINDOWS\002.exe 同时生成 C:\WINDOWS\002.txt C:\WINDOWS\003.txt 处理方法:(重启按F8进入安全模式,在安全模式下操作) 删除以下文件 C:\WINDOWS\002.exe C:\WINDOWS\002.txt C:\WINDOWS\003.exe C:\WINDOWS\003.txt C:\WINDOWS\Listsas.txt C:\WINDOWS\saslogww.txt C:\WINDOWS\*.exe【注意 此处是删除病毒生成的该文件,不是指所有的EXE文件!】 X:\*.EXE【注意 此处是删除病毒生成的该文件,不是指所有的EXE文件!】 X:\Autorun.inf 修复注册表..(开始菜单--运行--regedit打开注册表) [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] CheckedValue 编辑改成 1 [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] Userinit 编辑改为 C:\WINDOWS\system32\userinit.exe, 2000系统改为 C:\WINNT\system32\userinit.exe, 删除注册表 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=hex:95,00,00,00 |