重庆社区-聊天交友乐园
重庆企业黄页-免费发布
| | | | | | |
| | | | | | |
| | | | | | |
| | | |
| | | |
| | | |
| |
| |
|
| |
| |
| |
您现在的位置: 重庆信息港 >> 电脑通讯 >> 黑客安全 >> 病毒 >> 文章正文 繁體中文
热 门 分 类
相 关 链 接
  • 如何安装Vista系统

    		•
    图 文 导 读

    QQ代码怎么用

    文字滚动代码

    手工清除灰鸽子病毒方法

    打不开网页问题

    低价不是没有底线

    破解星空极速完整教程
    520.exe
    作者:佚名 来源:买电视要注意什么? 更新时间:2007-2-12
    520.exe手工解决方案- -
    Tag: joyiex.com/520.

    病毒名称:Trojan-Downloader.Win32.Delf.qv(AVP)

    病毒大小:21359字节

    加壳方式:FSG2.0

    MD5值:fb2ca1318ad31e81b6d62468809da36a

    CRC32值:BD090A90

    病毒特征:通过IM软件传播,在IM软件中添加“h**p://www.joyiex.com/520.exe”网址,欺骗用户点击。

    技术资料:

    1. 在%windows%下生成SVOHOST.EXE

    2. 在%system%下生成command.exe和lsasa.exe

    注:%windows%为X:\windows(win9x/XP/2003)或X:\winnt(win2000);%system%为X:\windows\system(win9x)或X:\windows\system32(XP/2003)或X:\winnt\system32(win2000)

    3. 在注册表中生成:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    "ctfnom.exe"="X:\windows\SVOHOST.exe" (这里也可能为scamdisk.exe)

    HKEY_CLASSES_ROOT\txtfile\shell\open\command
    "@"="X:\windows\system32\lsasa.exe %1"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    "Shell" = "Explorer.exe commamd.exe"

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system
    "DisableTaskMgr"="1"(禁止用户打开任务管理器)

    HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel
    "HomePage"="1"(禁止用户更改浏览器主页)

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
    "Start Page"= "http://www.joyiex.com"

    注:X为windows所在的盘符

    手工解决方案:

    1. 使用第三方软件Procexp等类似的软件终止SVOHOST.exe进程

    2. 打开注册表编辑器(regedit.exe),修复以下键值:

    HKEY_CLASSES_ROOT\txtfile\shell\open\command
    "@" = "C:\windows\system32\lsasa.exe %1"改为"默认" = "%SystemRoot%\system32\NOTEPAD.EXE %1"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    "Shell" = "Explorer.exe commamd.exe"改为"Shell" = "Explorer.exe"

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system
    "DisableTaskMgr" = "1"改为"DisableTaskMgr" = "0"

    删除以下键值:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    "ctfnom.exe"="C:\windows\SVOHOST.exe" (或scamdisk.exe)

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
    "Start Page"="http://www.joyiex.com"

    HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel
    "HomePage"="1"

    3. 删除X:\%windows%\SVOHOST.EXE、X:\%system%\command.exe和X:\%system%\lsasa.exe(X为windows所在的盘符,%windows%和%system%的含义同上)
    文章录入:xiegao    责任编辑:xiegao 
  • 上一篇文章:

  • 下一篇文章:
    • 功能菜单:【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口

    .
    重庆信息港 版权所有 使用1024*768像素访问本站将达到最佳效果

    联系QQ:597878698 Mail:cqidc@163.com 电话:15998988830 渝ICP备06003942号