- 听众
- 收听
- 积分
- 2999
- 主题
- 回帖
- 0
- 精华
注册时间2006-7-29
最后登录1970-1-1
该用户从未签到
|
作者:孤独更可靠
文件名称:伪EXPLORER.EXE
文件大小:65536 字节
AV命名:Worm.Win32.VB.zbn(瑞星) Win32:AutoRun-JW(Avast)
加壳方式:未
编写语言:Microsoft Visual Basic 5.0 / 6.0
文件MD5:56b71b3581e5d1c3c2302a28fa47cb3a
行为:
1.释放文件:
C:\WINDOWS\system\SERVICES.EXE
65536 字节
C:\WINDOWS\system\SYSANALYSIS.EXE
65536 字节
C:\WINDOWS\system\explorer.exe 976896 字节
2.删除备份文件:
C:\WINDOWS\system32\dllcache\explorer.exe
3.覆盖系统文件:C:\WINDOWS\explorer.exe
系统启动时先执行病毒体,再执行C:\WINDOWS\system\explorer.exe。
4.重命名文件,为:explorer.exe608924508094788,作为备份
5.尝试U盘传播和修改系统的隐藏文件选项,不过未实现.
解决方法:
1.删除:
C:\WINDOWS\explorer.exe 65536 字节
C:\WINDOWS\system\SERVICES.EXE
65536 字节
C:\WINDOWS\system\SYSANALYSIS.EXE
65536 字节
2.把explorer.exe608924508094788 重命名为explorer.exe
或者是从C:\WINDOWS\system\explorer.exe复制到C:\WINDOWS\explorer.exe |
|
IP卡
狗仔卡
发表于 2008-3-30 12:54:23
提升卡
置顶卡
喧嚣卡
变色卡
抢沙发
显身卡