ZT(海色):
恶意网页里有一段经过加密的HTML代码,不过里面附带有解密函数可以还原代码,恶意代码里指向的是so.chm,其中含有so.exe病毒文件。
病毒运行后复制自身为:
%Windows%\SVOHOST.exe
%System%\lsasa.exe
并禁用任务管理器:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system]
"DisableTaskMgr"="1"
%Windows%\SVOHOST.exe添加自启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfnom.exe"="%Windows%\SVOHOST.exe"
%System%\lsasa.exe修改TXT文件关联:
[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
@="%Windows%\lsasa.exe %1"
病毒每一秒钟监视并还原禁用任务管理器和TXT文件关联的信息。
清除
1. 结束病毒进程,由于病毒禁用了任务管理器,可以使用hijackthis来结束病毒进程:
%Windows%\SVOHOST.exe
%System%\lsasa.exe
2. 删除病毒文件:
%Windows%\SVOHOST.exe
%System%\lsasa.exe
3. 删除病毒启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfnom.exe"="%Windows%\SVOHOST.exe"
4. 恢复TXT文件关联
5. 恢复任务管理器禁用
注意事项:
1. 以上清除步骤不需要重新启动计算机
2. TXT文件关联未恢复前不要打开文本文件(如*.TXT、*.LOG文件)
