該病毒為木馬類,運行該病毒後,顯示一個對話框,寫有“READY FOR REBOOT,Let’s Go”字樣,而後不斷重啟電腦。該病毒會添加到註冊表啟動項,達到隨系統啟動的目的,從而形成重起動循環,病毒對用戶有較大的危害。
基本介紹
- 中文名:Trojan.Win32.Reboot.c
- 病毒類型:木馬類
- 危害等級:高
- 檔案長度:417,792位元組
簡介,行為分析,清除方案,
簡介
名稱:Trojan.Win32.Reboot.c
病毒類型:木馬類
危害等級:高
檔案長度:417,792 位元組
檔案MD5:47A51B054A26E5F65D4A2C1007C110E7
公開範圍:完全公開
感染系統:Windows 9x以上所有版本
開發工具:Borland Delphi 6.0 - 7.0
加殼類型:無殼
行為分析
:
1、該病毒會添加到註冊表啟動項,達到隨系統啟動的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
鍵值:字串: “Trojan”="(病毒所在路徑)\Trojan.Win32.Reboot.c.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kmixer\Enum\0
鍵值: 字串: "SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kmixer\Enum\0
鍵值: 字串: "SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4}"
2、病毒運行後創建預安裝檔案:
%WINDIR\$LastGood\INF\OEM5.INF
%WINDIR\$LastGood\INF\OEM5.PNF
3、病毒運行後會嘗試重起系統,從而形成重起動循環。
註:%WINDIR%是一個可變路徑。病毒通過查詢作業系統來決定當前windows資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt,windows95/98/me/XP中默認的安裝路徑是C:\Windows。
--------------------------------------------------------------------------------
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(2) 刪除病毒檔案
重啟電腦,進入安全模式(啟機時按F8)。刪除病毒檔案
(病毒所在路徑)\Trojan.Win32.Reboot.c.exe
%WINDIR\$LastGood\INF\OEM5.INF
%WINDIR\$LastGood\INF\OEM5.PNF
重啟電腦,進入安全模式(啟機時按F8)。刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
鍵值:字串: “Trojan”="(病毒所在路徑)\Trojan.Win32.Reboot.c.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kmixer\Enum\0
鍵值: 字串: "SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kmixer\Enum\0
鍵值: 字串: "SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4}"
