|
 
- UID
- 1
- 帖子
- 738
- 精华
- 28
- 积分
- 14247
- 金币
- 2414
- 威望
- 1647
- 贡献
- 1362
|
1. 某些常用安全软件打不开,打开后立即被关闭,或者打开后有被“分尸”的现象,这是由于病毒不断向这些软件发送垃圾消息导致他们不能响应正常的用户指令导致。! Y- e% k9 C. s% N! E7 X4 Q/ f
9 n5 }. R6 P6 r! h3 ^Icesword被破坏 ! z( P1 L$ l$ b# N* c* n5 q$ u8 M2 ]
, R* `, \. F2 }: K
Sreng被破坏" E9 D- T& j9 L1 [8 c* }
A0 x' d; x# p% b; S 2.安全模式被破坏。用户试图进入安全模式时,显示的是蓝屏,这是由于病毒删除了与安全模式相关的注册表键导致) @' i: y- x$ C! J8 i
' l% m0 e6 F2 ^
' x% l$ b8 g% g/ ?/ O1 P
3.无法正常显示隐藏文件,且工具-文件夹选项下的“隐藏受保护的操作系统文件”一项被破坏。$ g4 }# n* y6 _2 V8 W- O/ e `: i4 n
# b3 E( I# n7 Z* X
1 W' `# `: x2 V7 l* _+ P/ V" y* _1 u2 A! G) W) x. n
4.打开任务管理器,会发现两个lsass.exe和两个smss.exe进程
" O. e$ E2 k- O& k" l+ r$ H4 v' F) i1 F N3 P
7 R, @$ C/ Z% S
5.使用Winrar浏览windows32\Com目录下可以发现如下病毒文件- G; V8 u- {$ [" t; A( D" O
%systemroot%\system32\com\lsass.exe( }/ b$ B5 [& H t
%systemroot%\system32\com\smss.exe
0 M3 j, |$ l$ t( q' Z& U%systemroot%\system32\com\netcfg.dll: q" t3 B; N2 T
%systemroot%\system32\com\netcfg.000
- x0 u9 r7 u3 b" t& x! f, D! {5 C6 O/ ^8 v) s7 |
9 R k; k$ }& z* Y! }# y9 a; T( }% x
各盘根目录下有pagefile.pif和autorun.inf文件
( ~& K* P' L' L2 ^/ `' w0 H. J( Z. q& j7 T2 Q1 [0 {
) U0 R/ x, K( u9 u" E* }' `+ Z 系统目录下存在dnsq.dll文件5 k4 T! S% `3 c2 b$ M, v
/ U, q+ k2 I$ P R |
附件: 您需要登录才可以下载或查看附件。没有帐号?注册
|
发表于 2008-3-28 00:51
| 