扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
“.vbe”病毒行为分析,该病毒运行后衍生下面文件
C:\WINDOWS\.vbe
C:\WINDOWS\system32\.vbe
c:\windows\system32\drivers\etc\hosts_sreback_20080111192356
============================
病毒在c:\windows\system32\drivers\etc下
生成hosts_SREBACK_20080111192356文件,达到屏蔽一些杀毒网站和搜索引擎作用。
============================
调用C:\WINDOWS\System32\WScript.exe进程,运行"C:\WINDOWS\system32\.vbe" 脚本病毒。
自动隐藏受保护的操作系统文件,此病毒写入内存,2分钟左右就运行一次(这就是为什么删除后又自动恢复的原因)。
注册表创建
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
9E577490273E40B(这个值是随机的,要根据自己的去删除)指向.vbe 达到开机启动
(注册表其他项是否更改,没太留意)
============================
用助手查杀
============================
1.先下载我写的脚本附件放入到助手里(现在已经被助手收入升级库中),启动windows清理助手,快速扫描,扫到后,全部勾选执行清理。
2.点击高级模式——清理相关——清理——安全重启——确定
3.重启后再快速扫描,对扫描的结果执行清理。
4.重复上面1 2 3的操作——以防万一!哈
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。