主要行为: 

1、释放文件: 

C:\Windows\System32\SCVVHSOT.exe 
671,744 bytes 
C:\Windows\Tasks\At1.job 
346 bytes 

2、添加启动项: 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 

键名为:Yahoo Messengger,指向SCVVHSOT.exe。 

3、修改注册表,跟随Explorer启动: 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 
Shell = "Explorer.exe SCVVHSOT.exe " 

4、禁用注册表和任务管理器: 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 
DisableTaskMgr = 0x00000001  
DisableRegistryTools = 0x00000001 

5、连接网络,下载乱七八糟的东西(未实现): 

hxxp://nhatquanglan2.0catch.com/setting.nql  
hxxp://nhatquanglan2.0catch.com/setting.xls  
hxxp://www.freewebs.com/nhattruongquang/setting.nql  
hxxp://www.freewebs.com/nhattruongquang/setting.xls 

6、添加一个计划任务: 


C:\Windows\Tasks\At1.job 

346字节的~~ 

解决方法: 

1、下载Sreng。后断开网络连接。 


2、打开Sreng,它会提示 


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 

项被恶意修改,点确定后自动修复 

3、删除Yahoo Messengger,指向SCVVHSOT.exe的((详细步骤:打开SREng-启动项目-注册表))。 

4、重启计算机,删除文件: 

C:\Windows\System32\SCVVHSOT.exe 
C:\Windows\Tasks\At1.job