一、520.exe感染系统后:
1、更改注册表:
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下添加键值:
"Shell"="Explorer.exe commamd.exe"(只要打开资源管理器,就会运行木马文件commamd.exe)。
更改HKEY_CLASSES_ROOT\txtfile\shell\open\command的默认键值为@="C:\\windows\\system32\\lsasa.exe \"%1\""(只要打开记事本,就会运行木马文件lsasa.exe)。
在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main下写入键值:"Start Page"="http://www.joyiex.com"(将http://www.joyiex.com设为默认主页)。
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system下写入键值:"DisableTaskMgr"="1"(禁止用户打开任务管理器)。
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下添加键值:"ctfnom.exe"="C:\\windows\\SVOHOST.exe"(实现启动加载)。
在HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel下写入键值:"HomePage"="1"(禁止更改浏览器主页)。
2、在C:\WINDOWS\下创建木马文件SVOHOST.EXE(REAL图标)
3、在SYSTEM32文件夹创建木马文件command.exe和lsasa.exe(REAL图标)
二、手工杀毒:
1、用第三方软件(TuneUp、IceSword等)结束木马进程SVOHOST.EXE。因为WINDOWS的任务管理器已被木马被禁用。
2、用第三方软件TuneUp的注册表编辑器打开注册表。
定位到:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:
将"Shell"="Explorer.exe commamd.exe"改为"Shell"="Explorer.exe";
定位到:HKEY_CLASSES_ROOT\txtfile\shell\open\command,将键值改为@=""%1\"%*";
定位到:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main,删除键值:"Start Page"="http://www.joyiex.com";
定位到:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system,将键值:"DisableTaskMgr"="1"改为"DisableTaskMgr"="0";
定位到:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,删除键值:"ctfnom.exe"="C:\\windows\\SVOHOST.exe";
定位到:HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel,删除键值:"HomePage"="1"。
3、删除木马文件(C:\WINDOWS\下的SVOHOST.EXE;SYSTEM32下的command.exe和lsasa.exe)。
