_A00F1C639.exe
文件名称:_A00F1C639.exe
文件大小:44,032 bytes
AV命名:Trojan.Vundo.B
文件MD5:397B76A35E61C5F170A174E874890490
病毒类型:木马下载器
主要行为:
1、释放文件:
C:\\Documents and Settings\\孤独更可靠\\Local Settings\\Temp\\_A00F1C639.exe
44,032 bytes
C:\\windows\\system32\\__c001D4EC.dat
27,648 bytes
2、添加启动项:
[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]
A00F1C639 = " C:\\Documents and Settings\\孤独更可靠\\Local Settings\\Temp\\_A00F1C639.exe "
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify\\__c001D4EC]
Asynchronous = 0x00000001
DllName = "%System%\\__c001D4EC.dat"
Impersonate = 0x00000000
Startup = "B"
Logon = "B"
3、注入IE,并连接x1.theaction****.com,尝试下载木马(未实现)
4、插入系统所有运行中的进程,并安装全局钩子
解决方法:
1、重启计算机,按F8进入安全模式。
2、删除文件:
C:\\Documents and Settings\\user\\Local Settings\\Temp\\_A00F1C639.exe
44,032 bytes
C:\\windows\\system32\\__c001D4EC.dat
27,648 bytes
注:C:\\Documents and Settings\\ user是你的用户名
3、删除启动项:
A00F1C639