|
一、运行后的表现:
1、在C:Program FilesInternet Explorer释放loadie.exe。在C:释放kao.reg。
在D:释放autorun.inf和command.exe。(我的系统只有C、D两个分区)
C:kao.reg的内容为:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"AutoRun"="C:\Program Files\Internet Explorer\loadie.EXE"
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings]
"SyncMode5"=dword:00000003
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
"NoDriveTypeAutoRun"=dword:00000095
"CDRAutoRun"=dword:00000000
2、通过80端口访问网络:
64.94.110.11美国加州
12.158.80.10美国ATT用户
60.28.242.137未知地址
72.246.46.70未知地址
......
此后,58.48.154.37狂扫本机端口,但被Tiny一一拦截掉(图)。
3、每次启动系统,loadie.exe加载iexplore.exe以及系统驱动ipnat.sys。C:kao.reg调用regedit,将其中内容写入注册表。
4、未打开IE浏览器前,即可见iexplore.exe进程。
5、修改注册表多处:
在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtStats
添加:
{0055C089-8582-441B-A0BF-17B458C2A3A8}
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
{47833539-D0C5-4125-9FA8-0819E2EAAC93}
{92780B25-18CC-41C8-B9BE-3C9C571A8263}
{AE7CD045-E861-484F-8273-0445EE161910}
{DEDEB80D-FA35-45D9-9460-4983E5A8AFE6}
{FB5F1910-F110-11D2-BB9E-00C04F795683}
在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
添加:
"CDRAutoRun"=dword:00000000
"NoDriveTypeAutoRun"=dword:00000095
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
添加:"AutoRun"="C:\Program Files\Internet Explorer\loadie.EXE"
二、查杀流程:
断网。
关闭IE浏览器。
1、清理注册表:
展开:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtStats
删除:
{0055C089-8582-441B-A0BF-17B458C2A3A8}
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
{47833539-D0C5-4125-9FA8-0819E2EAAC93}
{92780B25-18CC-41C8-B9BE-3C9C571A8263}
{AE7CD045-E861-484F-8273-0445EE161910}
{DEDEB80D-FA35-45D9-9460-4983E5A8AFE6}
{FB5F1910-F110-11D2-BB9E-00C04F795683}
展开:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
删除:
"CDRAutoRun"=dword:00000000
"NoDriveTypeAutoRun"=dword:00000095
展开:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings
删除:"SyncMode5"=dword:00000003
展开:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除:"AutoRun"="C:\Program Files\Internet Explorer\loadie.EXE"
2、删除文件:
C:Program FilesInternet Explorerloadie.exe。
C:kao.reg。
D:autorun.inf。
D:command.exe。 |
|