简单分析SCVVHSOT.exe病毒

当前位置 : 首页 > 实用技巧 > 病毒查杀 > 简单分析SCVVHSOT.exe病毒

简单分析SCVVHSOT.exe病毒

来源:互联网 作者:脚本宝典 时间:2015-07-26 16:44
主要行为: 1、释放文件: C:\Windows\System32\SCVVHSOT.exe 671,744bytes C:\Windows\Tasks\At1.job 346bytes 2、添加启动项: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 键名为:YahooMessengger,指向S

主要行为: 

1、释放文件: 

C:\Windows\System32\SCVVHSOT.exe 
671,744 bytes 
C:\Windows\Tasks\At1.job 
346 bytes 

2、添加启动项: 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 

键名为:Yahoo Messengger,指向SCVVHSOT.exe。 

3、修改注册表,跟随Explorer启动: 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 
Shell = "Explorer.exe SCVVHSOT.exe " 

4、禁用注册表和任务管理器: 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 
DisableTaskMgr = 0x00000001  
DisableRegistryTools = 0x00000001 

5、连接网络,下载乱七八糟的东西(未实现): 

hxxp://nhatquanglan2.0catch.com/setting.nql  
hxxp://nhatquanglan2.0catch.com/setting.xls  
hxxp://www.freewebs.com/nhattruongquang/setting.nql  
hxxp://www.freewebs.com/nhattruongquang/setting.xls 

6、添加一个计划任务: 


C:\Windows\Tasks\At1.job 

346字节的~~ 

解决方法: 

1、下载Sreng。后断开网络连接。 


2、打开Sreng,它会提示 


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 

项被恶意修改,点确定后自动修复 

3、删除Yahoo Messengger,指向SCVVHSOT.exe的((详细步骤:打开SREng-启动项目-注册表))。 

4、重启计算机,删除文件: 

C:\Windows\System32\SCVVHSOT.exe 
C:\Windows\Tasks\At1.job

Tag:
网友评论

<