C:\WINDOWS\system32\Supervise.exe
建立2个C:\WINDOWS\system32\Supervise.exe进程
释放C\WINDOWS\system32\Death.SiShen内容如下
[Autorun]
OPEN=SuperDown.EXE
shellexecute=SuperDown.EXE
shell\Auto\command=SuperDown.EXE
还感染EXE文件..但被感染文件已经无法运行...提示不是有效的WIN32程序
没有发现联网下载到东西..
修改注册表
进程:
路径: C:\WINDOWS\system32\Supervise.exe
PID: 1904
注册表群组: User AutoRun
对象:
注册表键: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
注册表值: Supervise.exe
类型: REG_SZ
值: C:\WINDOWS\system32\Supervise.exe
进程:
路径: C:\WINDOWS\system32\Supervise.exe
PID: 1904
注册表群组: User AutoRun
对象:
注册表键: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
注册表值: Death.exe
类型: REG_SZ
值: C:\WINDOWS\system32\Death.exe
开2个C:\WINDOWS\system32\Supervise.exe进程.进行重复的2次写注册表操作.应该是已防万一吧..
没有找到C:\WINDOWS\system32\Death.exe这个东西.....这个病毒有点怪....
现在比较晚...状态不好。估计会漏东西..而且这个毒没花多少时间详细看..
补充..来自mopery
搜索感染除系统盘以外的 .exe/.scr 文件.
受感染的 .exe/.scr 文件直接被替换.. 大小为:81,928 字节 ..这样一来所有的 .exe/.scr 文件全部无法恢复.
修改 显示文件和文件夹 注册表
[HKLM\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]
"checkedvalue"=dword:00000000
尝试关闭窗口
symantec antivirus 企业版
江民杀毒软件 kv2006:实时监视
ravmonclass
tflockdownmain
zonealarm
zaframewnd
天网防火墙个人版
tapplication
天网防火墙企业版
tapplication
virusscan
symantec antivirus
duba
wrapped gift killer
icesword
pjf(ustc)
tform1
噬菌体
木马克星
尝试关闭进程
eghost.exe
mailmon.exe
kavpfw.exe
iparmor.exe
_avp32.exe
_avpcc.exe
_avpm.exe
avp32.exe
avpcc.exe
avpm.exe
avp.exe
navapw32.exe
navw32.exe
nod32kui.exe
nod32kru.exe
pfw.exe
kfw.exe
vsmon.exe
mcshield.exe
vstskmgr.exe
naprdmgr.exe
updaterui.exe
tbmon.exe
scan32.exe
ravmond.exe
ccenter.exe
ravtask.exe
rav.exe
ravmon.exe
ravmond.exe
ravstub.exe
kvxp.kxp
kvmonxp.kxp
kvcenter.kxp
kvsrvxp.exe
kregex.exe
uihost.exe
trojdie.kxp
frogagent.exe
logo1_.exe
logo_1.exe
rundl132.exe
death.exe (说明:自身副本)
