病毒运行后,访问网络下载多个木马程序(f1.exe~f11.exe)并运行!生成以下病毒文件(感觉现在的病毒真是变态):
C:\Documents and Settings\你的用户名\Local Settings\Temp\jts0.dll
C:\Documents and Settings\你的用户名\Local Settings\Temp\mhso.exe
C:\Documents and Settings\你的用户名\Local Settings\Temp\mhso0.dll
C:\Documents and Settings\你的用户名\Local Settings\Temp\myso.exe
C:\Documents and Settings\你的用户名\Local Settings\Temp\myso0.dll
C:\Documents and Settings\你的用户名\Local Settings\Temp\qqs0.dll
C:\Documents and Settings\你的用户名\Local Settings\Temp\rxso.exe
C:\Documents and Settings\你的用户名\Local Settings\Temp\rxso0.dll
C:\Documents and Settings\你的用户名\Local Settings\Temp\wgs0.dll
C:\Documents and Settings\你的用户名\Local Settings\Temp\wls0.dll
C:\Documents and Settings\你的用户名\Local Settings\Temp\wms0.dll
C:\Documents and Settings\你的用户名\Local Settings\Temp\wos0.dll
C:\Documents and Settings\你的用户名\Local Settings\Temp\ztso.exe
C:\Documents and Settings\你的用户名\Local Settings\Temp\ztso0.dll
C:\Program Files\Internet Explorer\RUNDLL32.exe
C:\Program Files\Internet Explorer\SMSS.EXE
C:\WINDOWS\jts3.exe
C:\WINDOWS\qqs3.exe
C:\WINDOWS\RichDll.dll
C:\WINDOWS\uninstall\rundl132.exe
C:\WINDOWS\wgs3.exe
C:\WINDOWS\wls3.exe
C:\WINDOWS\wms3.exe
C:\WINDOWS\wos3.exe
添加注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW
auto="1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
load="C:\windows\uninstall\rundl132.exe"
wos3="C:\windows\wos3.exe"
ztsa="C:\DOCUME~1\你的用户名\LOCALS~1\Temp\ztso.exe"
rxsa="C:\DOCUME~1\你的用户名\LOCALS~1\Temp\rxso.exe"
mhsa="C:\DOCUME~1\你的用户名\LOCALS~1\Temp\mhso.exe"
wls3="C:\windows\wls3.exe"
mysa="C:\DOCUME~1\admin\LOCALS~1\Temp\myso.exe"
wgs3="C:\windows\wgs3.exe"
wms3="C:\windows\wms3.exe"
jts3="C:\windows\jts3.exe"
qqs3="C:\windows\qqs3.exe"
并感染除系统文件外所有的.exe文件,大小为:72418字节!
]解决方法:
1.结束以上程序的进程
2.用http://bbs.20lz.com/viewthread.php?tid=1705金山反间谍
找到以上病毒文件!(复制路径,修改自身的用户名到查找文件窗口,点击彻底删除即可)
3.删除以上病毒添加的注册表项目!
4.用附件的专杀工具,修复EXE文件!
