站長資訊平臺

Trojan.Win32.KillFiles.ae

2017-11-30 來源：

病毒名稱: Trojan.Win32.KillFiles.ae 類別：木馬病毒病毒資料：破壞方法：

此病毒是一個用Visual Basic 5.0 編寫的，此病毒的圖標為一個系統(tǒng)INI文件的圖標，因此很容易將此病毒文件誤認為是文本文件并將其啟錯誤的啟動。此病毒啟動后會刪除系統(tǒng)文件，然后強行關(guān)閉計算機，造成計算機無法正常啟動。

1.修改注冊表:

此病毒還會修改注冊表的下列鍵值：

HKEY_CURRENT_USER\Software\Microsoft\Internet EXPlorer\Main

"window title" : FCKR EXPLORER :)

這樣的話就會使IE啟動的后在左上角顯示
“FCKR EXPLORER :)”
另外此病毒還會修改下列的注冊表鍵值以破壞系統(tǒng)的設(shè)置

HKLM\Software\Microsoft\Windows\CurrentVersion
\SystemRoot = "C:\fckR"

HKLM\Software\Microsoft\Windows\CurrentVersion
\WallPaperDir = "C:\fckR"

HKLM\Software\Microsoft\Windows\CurrentVersion
\RegistrationExtDLL = "C:\fckR"

HKLM\Software\Microsoft\Windows\CurrentVersion
\ProgramFilesDir = "C:\fckR"

HKLM\Software\Microsoft\Windows\CurrentVersion
\RegisteredOwner = "fckR"

HKLM\Software\Microsoft\Windows\CurrentVersion
\OtherDevicePath =
"C:\This Computer FUCked by me !(fckR)"

HKLM\Software\Microsoft\Windows\CurrentVersion
\ProductKey = "ASDFG- QWERT-ZXCVB-ADMIN-12345"

HKLM\Software\Microsoft\Windows\CurrentVersion
\ConfigPath = "C:\fckR"

HKLM\Software\Microsoft\Internet Explorer
\CompanyName = "fckR
Corporation"

HKLM\Software\Microsoft\Windows NT\CurrentVersion\SystemRoot = "C:\fckR"

HKLM\Software\Microsoft\Windows NT\CurrentVersion\SourcePath = "E:\fckR"

HKLM\Software\Microsoft\Windows NT\CurrentVersion\SoftwareType
= "SiSTEM"

HKLM\Software\Microsoft\Windows NT\CurrentVersion\PathName = "C:\fckR"

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows
\Spooler = "no"

HKLM\Software\Microsoft\Windows NT\CurrentVersion\SeCEdit\TemplateUsed
= "C:\fckR\fck.inf"

HKLM\Software\Microsoft\Windows Scripting Host\Locations\CScript = "％fckR％\System32\cscript.exe"

HKLM\Software\Microsoft\Windows Script Host\Settings\UseWINSAFER = "0"

HKLM\Software\Microsoft\Windows Script Host\Settings\DisplayLogo = "0"

2.此病毒啟動后會試圖刪除系統(tǒng)中的下列文件
％OSDriver％\system32\system.ini
％OSDriver％\system32\win.ini
％OSDriver％\system32\win.com
％OSDriver％\system\system.ini
％OSDriver％\system\win.ini
％OSDriver％\system\win.com
％OSDriver％\system32\wmadmod.dll
％OSDriver％\system32\wmp.ocx
％OSDriver％\system32\winsrv.dll
％OSDriver％\system32\winstrm.dll
％OSDriver％\system32\browser.dll
％OSDriver％\system32\dataclen.dll
％OSDriver％\system32\ifmon.dll
％OSDriver％\system32\lmhsvc.dll
％OSDriver％\system32\msr2c.dll
％OSDriver％\system32\qmgr.dll
c:\msdos.sys
c:\io.sys
c:\command.com
其中％OSDriver％為操作系統(tǒng)所在的驅(qū)動器號。
病毒的清除法：使用光華反病毒軟件，徹底刪除。病毒演示：病毒FAQ： Windows下的PE病毒。

發(fā)現(xiàn)日期： 2004-9-14

標簽： isp

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。

上一篇:DOS.Abbas

下一篇:Macro.Word97.Phead

相關(guān)文章

最新資訊

熱門推薦

為學(xué)習(xí)和知識分享目的，本站文章部分自網(wǎng)絡(luò)，本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：2653426586@qq.com QQ：2653426586

如有其他需求，請聯(lián)系：2653426586@qq.com QQ：2653426586

友情鏈接：網(wǎng)絡(luò)安全運維經(jīng)驗 IT技術(shù)分享運維隨筆錄鮮花東郊到家往約到家

中文字幕在线观看,亚洲а∨天堂久久精品9966,亚洲成a人片在线观看你懂的,亚洲av成人片无码网站,亚洲国产精品无码久久久五月天

Trojan.Win32.KillFiles.ae