主要行为:
1、释放文件:
C:\Windows\System32\SCVVHSOT.exe
671,744 bytes
C:\Windows\Tasks\At1.job
346 bytes
2、添加启动项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
键名为:Yahoo Messengger,指向SCVVHSOT.exe。
3、修改注册表,跟随Explorer启动:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe SCVVHSOT.exe "
4、禁用注册表和任务管理器:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = 0x00000001
DisableRegistryTools = 0x00000001
5、连接网络,下载乱七八糟的东西(未实现):
hxxp://nhatquanglan2.0catch.com/setting.nql
hxxp://nhatquanglan2.0catch.com/setting.xls
hxxp://www.freewebs.com/nhattruongquang/setting.nql
hxxp://www.freewebs.com/nhattruongquang/setting.xls
6、添加一个计划任务:
C:\Windows\Tasks\At1.job
346字节的~~
解决方法:
1、下载Sreng。后断开网络连接。
2、打开Sreng,它会提示
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
项被恶意修改,点确定后自动修复
3、删除Yahoo Messengger,指向SCVVHSOT.exe的((详细步骤:打开SREng-启动项目-注册表))。
4、重启计算机,删除文件:
C:\Windows\System32\SCVVHSOT.exe
C:\Windows\Tasks\At1.job
文章评论
共有 位脚本之家网友发表了评论我来说两句