• 分类

  • 重置

简单分析SCVVHSOT.exe病毒


    主要行为:

    1、释放文件:

    C:\Windows\System32\SCVVHSOT.exe
    671,744 bytes
    C:\Windows\Tasks\At1.job
    346 bytes

    2、添加启动项:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    键名为:Yahoo Messengger,指向SCVVHSOT.exe。

    3、修改注册表,跟随Explorer启动:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    Shell = “Explorer.exe SCVVHSOT.exe ”

    4、禁用注册表和任务管理器:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
    DisableTaskMgr = 0x00000001 
    DisableRegistryTools = 0x00000001

    5、连接网络,下载乱七八糟的东西(未实现):

    hxxp://nhatquanglan2.0catch.com/setting.nql 
    hxxp://nhatquanglan2.0catch.com/setting.xls 
    hxxp://www.freewebs.com/nhattruongquang/setting.nql 
    hxxp://www.freewebs.com/nhattruongquang/setting.xls

    6、添加一个计划任务:


    C:\Windows\Tasks\At1.job

    346字节的~~

    解决方法:

    1、下载Sreng。后断开网络连接。


    2、打开Sreng,它会提示


    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

    项被恶意修改,点确定后自动修复

    3、删除Yahoo Messengger,指向SCVVHSOT.exe的((详细步骤:打开SREng-启动项目-注册表))。

    4、重启计算机,删除文件:

    C:\Windows\System32\SCVVHSOT.exe
    C:\Windows\Tasks\At1.job

发表评论

发表评论