进程:(同样在这里又生成一个注册项,但是没有文件生成,可能需要网络上的支持~)
路径: C:\WINDOWS\explorer.exe
信息: Windows Explorer (Microsoft Corporation)
注册表对象:
对象:
注册表键: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count
注册表值: HRZR_EHACNGU:S:\!Fhozvg\下载区(木马)\新马测试地\ehaqy132.rkr类型: REG_BINARY
值: EE0000000600000000DFDBCA7FE6C601
路径:
C:\WINDOWS\explorer.exe
信息: Windows Explorer (Microsoft Corporation)
注册表对象:
对象:
注册表键: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count
注册表值: HRZR_EHACNGU:S:\!Fhozvg\下载区(木马)\新马测试地\Ybtb1_.rkr类型: REG_BINARY
值: EE0000000600000060CF88DB7BE6C601
对这两个病毒文件的运行结果,发现如下两点相同,或类似的地方~
一,运行文件后,都弹出一个找不到入口的窗口,内容如下~
(事件类型: 信息
事件来源: Application Popup
事件种类: 无
事件 ID: 26
日期: 2006-10-3
事件: 7:34:06
用户: N/A
计算机: ADMINISTRATOR
描述:
弹出应用程序: Logo1_.exe - 无法找到入口: 无法定位程序输入点 rocAddress 于动态链接库 KERNEL32.DLL 上。 )
二,它们都创建了一个类似的没有文件的注册项~
如果中此毒的朋友,可以到以下路径查看,是否有相似的值~~(因为没有连上网络运行,所以无法在我的机器上查看到结果~)
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count
注册表值: HRZR_EHACNGU:(S:\!Fhozvg\下载区(木马)\新马测试地\Ybtb1_.rkr)这里的路径不确定,因为我们感染的方式不同,可能会有差别~如果有类似情况的朋友可查看下,并跟帖~
另,
用瑞星查毒,这三个文件均为Win32.Virut.a
网上对这种病毒的解释~
Win32.Virut.a是一种驻留内存的文件感染的病毒。
感染方式:
当被感染文件运行时,Win32/Virut代码在任意主机程序代码之前运行。病毒解译并将部分代码注入所有正在运行的程序中。病毒生成一个名为"VT_3"的活动,发信号通知它驻留在内存中。随后它运行主机程序代码。
分发方式
通过文件感染
病毒驻留在内存中,并感染以 ".EXE" 和 ".SCR" 为扩展名的运行文件
建议的一些操作~
关闭系统还原(如果打开的话~)
经常的清理临时文件夹~
清空页面文件~
IE》属性》删除文件(包括脱机文件)》确定
并清理下面文件夹中的内容
C:\Documents and Settings\***(你的用户名)\Local Settings\Temp
c:\windows\temp
开始>运行>secpos.msc>本地策略>安全选项>启用关机时清理虚拟内存页面文件~
