色即是空 发表于 2010-1-26 09:22

1kb快捷方式Yuyun girl 脚本病毒解决方案

本帖最后由 色即是空 于 2010-1-26 09:26 编辑

启动项目两只,清除最郁闷的是创建了很多的快捷方式 ^_^ md5 crc也不同


0 可能的现象:
(1)弹出无软盘的错误提示“windows-没有软盘,Exception Processing Message c0000013 Parameters 764ebf7c 4 764ebf7c”


2010-1-18 17:30

(2)桌面出现一个可疑的图标

(3)发现大量1kb的文件夹快捷方式

(4)弹出打印界面

(5)重新启动以后提示windows script host错误 加载脚本失败


2010-1-18 17:42



1 在%temp%文件夹生成一个随机的文件用于存储解密以后的脚本

2在特定时间内尝试调用notepad.exe /p打印 v.doc文件


3 修改注册表

   (1) 当前日期是1号写注册表(namespace,类似于伪IE快捷方式),在桌面创建一个名为Yuyun_Cantix的快捷方式


    (2) 修改注册表,去除快捷方式前面的小箭头
   
   (3)创建启动项目
    键 HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Explorer"
    值 Wscript.exe //e:VBScript "C:\Documents and Settings\Administrator\My Documents\database.mdb"
(4)通过组策略禁用注册表编辑器(DisableRegistrytools)
    (5)如果C盘的分区格式是ntfs写入ntfs流,并创建run启动项目(这里还没有看,貌似不知道咋的有问题,重启以后会有问题)
    键HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WinUpdate
    值Wscript.exe //e:VBScript "C:\WINDOWS\:Microsoft Office Update for Windows XP.sys"

4 修改文件夹的快捷方式



5 会通过网上邻居整其他电脑,这里没继续看

by:一把绣剑
页: [1]
查看完整版本: 1kb快捷方式Yuyun girl 脚本病毒解决方案