这是之前感染下载者avp.exe的最新变种,最近似乎开始猖狂起来,请大家注意! 1.病毒运行后,创建一个名为avpkav的互斥量,保证系统中只有一个实例在运行 2.修改注册表 更改IE主页和默认页 HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL: "http://www.299my.com/" HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL:"http://www.299my.com/" 3.感染除下列文件夹内的exe和scr文件 WINDOWS WINNT RECYCLER $RECYCLE.BIN System Volume Information Config.Msi InstallShield Installation Information Internet Explorer Outlook Express NetMeeting Common Files Messenger Windows Media Player WinRAR MSOCache Documents and Settings 被感染文件被加入一个新的区段,名为KAO,运行后会首先下载http://dd5.******.info/net.exe到C:\net.exe 然后调用winexec运行该文件 4.每隔一段时间启动一次IE,下载 http://dd5.tesekl.info/win.ini到%program files%下面 win.ini是一个后门程序 该病毒运行后,将自身复制为%systemroot%\system32\winini.exe 创建服务WinINI达到开机启动自身的目的,服务相关信息如下: 启动类型:自动 映像路径:"C:\WINDOWS\system32\winini.exe" 显示名称:"COM+ Windows System" 描述:"管理基于Windows对象模型 (COM+) 的组件的配置和跟踪。如果禁用此服务,显式依赖此服务的其他服务将无法启动。" 并且释放winsys.exe到C盘根目录下,并运行安装。这是一个嗅探器。 执行批处理修改Windows时间服务连接的服务器为:time.tesekl.info
解决方法: 到down.45it.com下载sreng 将现有的杀毒软件升级到最新版本,之后重启计算机进入安全模式(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统) 1.打开sreng “启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”, 选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”: COM+ Windows System / WinINI 系统修复-Windows Shell/ IE 全选 修复 2.删除C:\net.exe 3.启动杀毒软件全盘杀毒,修复被感染的文件。注意杀毒的时候选择清除病毒,不要选择删除病毒。 |