主要行為：

1、釋放文件：

C:\Windows\System32\SCVVHSOT.exe
671,744 bytes
C:\Windows\Tasks\At1.job
346 bytes

2、添加啟動項：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

鍵名為：Yahoo Messengger，指向SCVVHSOT.exe。

3、修改注冊表，跟隨Explorer啟動：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe SCVVHSOT.exe "

4、禁用注冊表和任務(wù)管理器：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = 0x00000001 
DisableRegistryTools = 0x00000001

5、連接網(wǎng)絡(luò)，下載亂七八糟的東西（未實現(xiàn)）：

hxxp://nhatquanglan2.0catch.com/setting.nql 
hxxp://nhatquanglan2.0catch.com/setting.xls 
hxxp://www.freewebs.com/nhattruongquang/setting.nql 
hxxp://www.freewebs.com/nhattruongquang/setting.xls

6、添加一個計劃任務(wù)：


C:\Windows\Tasks\At1.job

346字節(jié)的~~

解決方法：

1、下載Sreng。后斷開網(wǎng)絡(luò)連接。


2、打開Sreng，它會提示


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

項被惡意修改，點確定后自動修復(fù)

3、刪除Yahoo Messengger，指向SCVVHSOT.exe的（（詳細(xì)步驟：打開SREng－啟動項目－注冊表））。

4、重啟計算機，刪除文件：

C:\Windows\System32\SCVVHSOT.exe
C:\Windows\Tasks\At1.job

最新評論