病毒入侵 高手救命

来源:百度知道 编辑:UC知道 时间:2024/05/03 17:35:30
名称 TrojanClicker.VB.bj
所在位置 C:\System Volume Information\_restore{22C0E828-EB6B4EC6-8298-FB1269EF6C80}\RP14\A0014693.exe->setup.exe->bo.exe

名称 TrojanClicker.VB.bk
所在位置 C:\System Volume Information\_restore{22C0E828-EB6B4EC6-8298-FB1269EF6C80}\RP14\A0014693.exe->setup.exe->sys.exe

名称 TrojanClicker\VB.ua
所在位置 C:\System Volume Information\_restore{22C0E828-EB6B4EC6-8298-FB1269EF6C80}\RP14\A0014693.exe->setup.exe->AD2.exe

名称 TrojanClicker.VB.bj
所在位置 C:\System Volume Information\_restore{22C0E828-EB6B-4EC6-8298-FB1269EF6C80}\RP14\A001469.exe->bo.exe

名称 TrojanClicker.VB.bk
所在位置 C:\System Volume Information\_restore{22C0E828-EB6B-4EC6-8298-FB1269EF6C80}\RP14\A001469.exe->sys.exe

名称 TrojanClicker/VB.ua
所在位置 C:\System Volume Information\_restore{22C0E828-EB6B-4EC6-8298-FB1269EF6C80}\RP14\A

这是个变态的传奇木马。没有手工杀毒经验的朋友还是建议重装系统,这样可能效果更好。
运行病毒文件之后创建以下文件:
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\command.pif
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\finder.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\rundll32.com
C:\WINDOWS\1.com
C:\WINDOWS\ExERoute.exe
C:\WINDOWS\explorer.com
C:\WINDOWS\finder.com
C:\WINDOWS\services.exe
修改EXE文件关联。
添加到启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Torjan Program----------C:\WINDOWS\services.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Torjan Program----------C:\WINDOWS\services.exe
修改SYSTEM.INI 原始值应该为shell = Explorer.exe 修改为shell = Explorer.