這是個修改用戶IE主頁的病毒。
影響系統 Win 9x/ME,Win 2000/NT,Win XP,Win 2003
基本介紹
- 中文名:Win32.Troj.Masaji.ad
- 發生現象:修改用戶IE主頁的病毒
- 作業系統:Win 9x/ME,Win 2000/NT
- 病毒類型:木馬
病毒別名: 處理時間:2006-09-06 威脅級別:★
中文名稱: 病毒類型:木馬 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為:
這是個修改用戶IE主頁的病毒。
1、將自身複製到 %WINDOWS%\system32\Realplayer.exe 和 %WINDOWS%\v20060830.rar。
2、不停的添加如下註冊表項來使病毒自啟動和修改IE首頁為 http://www.7939.com/ ,且用戶無法將其修改過來。
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Realplayer.exe "%WINDOWS%\system32\Realplayer.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Realplayer.exe "%WINDOWS%\system32\Realplayer.exe"
HKLM\Software\Microsoft NT\Windows\CurrentVersion\Winlogon\Shell "Explorer.exe %WINDOWS%\system32\Realplayer.exe"
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page "http://www.7939.com/"
3、釋放文探煉您件 %system%\RavMon.dll 或 %system%\Rsvtub.dll,並插入到explorer.exe進程中。
4、驗尋記葛將病毒複製體插入到explorer.exe進程中使用戶茅臘罪無法刪除病毒體。
5、嘗試關閉以下達諒姜與計算機安全相船旬鍵關的軟體的進程:
fint2005.exe
Unlocker.exe
unlockerassistant.exe
HijackThis.exe
DLLShow.exe
RogueCleaner.exe
DosTools.exe
Killbox.exe
uihost.exe
360safe.exe
360shell.exe
5、嘗試檢試臘測瑞星註冊表監控視窗並將其關閉;檢測AVP的主動防禦警報視窗,並堡燥陵恥向其傳送"允許"按鈕訊息,使病毒躲過AVP的主動防禦警報。
7、將以下網頁中內容下載到一個bat檔案中並執行。
http://update.***sky.com//command0830.html
http://***58com.com/830.html
8、從http://***58com.com/上下載檔案到本機並執行。
9、該病毒可以自動更新。
10、自刪除。
