[HKEY_CLASSES_ROOThttqs] "URL Protocol"="" [HKEY_CLASSES_ROOThttqsshellopencommand] @="Rundll32 shell32.dll���,ShellExec_RunDLLA C:Program FilesInternet ExplorerIEXPLORE.EXE h%t%t%p%://w%w%w%.6701.c%o%m%/?12N17"
|
(2)再見(jiàn)神奇RunOnce病毒啟動(dòng)項(xiàng)
接下來(lái)又遇到幾個(gè)反復(fù)清除的問(wèn)題反饋�,經(jīng)過(guò)檢查發(fā)現(xiàn)這些電腦普遍都存在一個(gè)看上去不是很合理的RunOnce病毒啟動(dòng)項(xiàng)�����?��?吹紸DCS:Windowssystem32debug.exe第一印象是“是不是病毒作者寫(xiě)錯(cuò)了”���,第二印象Windowssystem32debug.exe(根據(jù)我的猜測(cè),這只是為了繞過(guò)安全軟件檢測(cè)���,因?yàn)橹赶虻奈募钦5?這個(gè)文件是不是存在問(wèn)題�����,但是到sys32目錄下查找這個(gè)文件明明是系統(tǒng)文件沒(méi)問(wèn)題�����。最終依然將目光轉(zhuǎn)移到ADCS:打開(kāi)注冊(cè)表HKEY_CLASSES_ROOT�����,顯然最終目的是運(yùn)行病毒文件D:RECYCLERZT12.vbe�。
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce] "Explorer"="Explorer ADCS:Windowssystem32debug.exe" [HKEY_CLASSES_ROOTADCS] @="目錄類(lèi)容器" "URL Protocol"="" [HKEY_CLASSES_ROOTADCSexploreropencommand] @="Rundll32 shell32.dll�����,ShellExec_RunDLLA D:RECYCLERZT12.vbe"
|
2.URLProtocolView查看電腦中所有URL Protocol
URLProtocolView:一個(gè)小工具,可以查看電腦里面所有的URL Protocols�,運(yùn)行URLProtocolView以后按照修改時(shí)間排列如圖,馬上就發(fā)現(xiàn)可疑項(xiàng)目ADCS和device�。
