Wensrar.exe病毒分析
病毒体:wensrar.exe, ,病毒被运行以后会在windows\system32目录wensrar.exe文件,文件为隐藏状态,会在注册表创建:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 创建了值: "Microsoft" 注册表启动项目,发现此处被修改要留心是否是后门木马。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 创建了值: "Microsoft" 注册表启动项目
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion 创建了子键: "RunServices" 注册表启动项目
查杀步骤:
直接在进程里结束wensrar.exe进程,然后到system32目录下面删除该文件,由于该文件是设置的系统,隐藏状态,选择查看所有文件,取消隐藏受保护的系统文件,在资源管理器里可以看到该文件,删除以后,再把上面提到的三个启动项的键值删除就可以了
