|
发信人: virus2001(幸福的狮子) 整理人: snaix(2003-01-26 09:46:52), 站内信件 |
| 病毒名称:Trojan.QQ.12288(暂命名)
病毒类型:木马 病毒大小:12,288 病毒简介: 运行后会造成一些exe和com文件无法被打开,使用QQ发送消息的时候会自动添加“http://xmc.nease.net快去看看,你感兴趣的”这句话,由于木马没有判断重复加载进程的问题,所以会造成反复加载木马程序而消耗系统资源。 病毒行为: (1)运行后会在%windir%\system32\目录下生成svh0st.exe、scanregw.exe和Internets.exe这三个拷贝。 (2)修改注册表 在注册表中添加: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Scanreg的项目,内容为:%windir%\system32\Scanregw.exe。 修改了exe文件和com文件的默认打开方式: 将HKEY_CLASSES_ROOT\comfile\shell\open\command的内容修改为了%windir%\System32\Internets.exe %1 %*。 将HKEY_CLASSES_ROOT\exefile\shell\open\command的内容修改为%windir%\System32\svh0st.exe %1 %*。 由于木马设计有缺陷,使得exe和com的打开方式被破坏,一些程序无法运行。 手工清除方法: 1、运行注册表编辑器(regedit) 2、停掉所有名为svh0st.exe(注意:零和字母o的区别)、scanregw.exe和Internets.exe的进程。 3、修改HKEY_CLASSES_ROOT\comfile\shell\open\command和HKEY_CLASSES_ROOT\exefile\shell\open\command为"%1" %*,删掉HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Scanreg项目。 4、删掉%windir%\system32\svh0st.exe、scanregw.exe和Internets.exe文件。 注: 1、上面的%windir%代表你的windows的安装目录,一般为C:\Windows。 2、如果是在98\ME系统的话,上面的system32应为system。 链接为专杀工具,注意此工具为金山论坛毒霸版版主制作,和金山公司以及金山毒霸系列产品没有任何的关系。 一定在安全模式下使用这个工具,在安全模式下切记不要运行其他的程序,直接运行clean.bat进行操作。 点击这里下载专杀工具 ---- 谨代表个人观点,如有异议或疑问,欢迎提出,我们互相学习,共同进步,谢谢! 电脑病毒版版主 幸福的狮子(Virus2001) 网易(广州)社区电脑病毒版 金山论坛 我的电子邮件: [email protected] QQ:76025852 
常用下载: 新欢乐时光清除器(Redlof,VBS.KJ) Nimda清除器(Nimda,Concept,China-1) 求职信清除器(WantJob,Klez) 注册表安全工具集(RegTools) |
|
[关闭][返回] |