今天在一个QQ群里发现了一个名为“1500位明星QQ号码大揭密.exe”的文件,据说是个敲诈者 还没玩过类似的病毒,于是就试了一下。 下面是分析报告 病毒运行后生成: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面添加启动项目svchost.exe指向C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe 修改txt文件关联 以自身替换C:\WINDOWS\system32\dllcache\taskmgr.exe和C:\WINDOWS\system32\taskmgr.exe 使得任务管理器不可用 删除键HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 增加键值HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoClose: 0x00000001
遍历D~Z盘以及C:\Program files\Tencent 删除其下所有文件 将C:\WINDOWS\srchasst\mui\0804文件夹复制出来重命名为0805 使得搜索功能失效 解决方法:
5.双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定。 6.打开sreng(可到down.45it.com下载) 启动项目 7.从其他电脑拷贝一个taskmgr.exe到C:\WINDOWS\system32\dllcache\taskmgr.exe 8.使用easyrecovery等软件 恢复被删除的文件。(估计很难) |