一、技术分析
exe主程序运行后释放dll文件:
     %System%\Cnscheck001.dll

创建ShellExecuteHooks:
   [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9A0CFC58-5A6F-41ba-9FFE-4320F4F621BA}] 
   [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9A0CFC58-5A6F-41ba-9FFE-4320F4F621BA}\InProcServer32]
   @="C:\\WINDOWS\\system32\\Cnscheck001.dll"
   "ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{9A0CFC58-5A6F-41ba-9FFE-4320F4F621BA}"=""

  [HKEY_CLASSES_ROOT\CLSID\{9A0CFC58-5A6F-41ba-9FFE-4320F4F621BA}\InProcServer32]
@="%System%\Cnscheck001.dll"

二、清除步骤
1. 删除病毒创建的ShellExecuteHooks信息:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9A0CFC58-5A6F-41ba-9FFE-4320F4F621BA}] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{9A0CFC58-5A6F-41ba-9FFE-4320F4F621BA}"=""
[HKEY_CLASSES_ROOT\CLSID\{9A0CFC58-5A6F-41ba-9FFE-4320F4F621BA}

2. 重新启动计算机
3. 删除病毒文件:
  %System%\Cnscheck001.dll


评论

该日志第一篇评论

发表评论

评论也有版权!