分類目錄歸檔:殺毒技巧

驚現免殺的病毒(VBS)版本

今天晚上用電腦,發現C:\根目錄多了三個vbs文件。看了下一個超級恐怖的免殺型病毒。
有三個文件,代碼每分鐘變一次,超恐怖,不過守護進程沒寫好,很容易清理。到目前為止360,卡巴,瑞星都檢測不出來。猜測基本原理如下:
1.vbs
2.vbs
3.vbs

2.vbs保存的應該是病毒主文件的二進制代碼,打開時文本類型的,內容為 00 11 22 33。。。
1.vbs,3.vbs每次變量名都是隨機生成。假如只有1.vbs,3.vbs,他會去網上下載另外的文件。
1.vbs,2.vbs,3.vbs的代碼每分鐘變一次。
猜想的:1.vbs讀取3.vbs,2.vbs。然后生成隨機數,變量保存在3.vbs,把病毒文件轉變成數字,并減去這個隨機數。3.vbs使用的時候,會用這個隨機數來加上2.vbs的編碼。
然后一段時間3.vbs再重復1.vbs。三個文件每分鐘的代碼都不一樣。真是恐怖啊~~~~~~~~

桌面上出現安全上網主頁刪不掉,安全上網主頁是什么?怎樣刪除安全上網主頁?

?

?????? ?最近發現了一個的問題,桌面上出現了一個安全上網主頁,這個安全上網主頁刪不掉,非常郁悶是一個小屋子的標志。一看就不是好東西。

?????????上百度上搜索一下,還真找到了一篇關于安全上網主頁的文章,看來遇到這個問題的不只我一個。那么安全上網主頁是什么呢?怎樣

刪除安全上網主頁

?今天我就帶大家一起來處理這個問題。

??????????打開c:\windows\目錄,發現由一個520.ico的圖標,詞圖標正是安全上網主頁的圖標,刪除。完了?事情當然沒有這么簡單。

????????? 以前看電腦愛好者的時候,其中有一篇文章說到能在注冊表中添加桌面快捷方式。所以我們再到注冊表看看。在注冊表中(開始>運行>regedit),F3鍵,輸入安全上網主頁,查找,還真找到了一項([HKEY_CLASSES_ROOT\CLSID\{A1279C80-F9F2-4040-A752-CE795B5C7BE9}])。趕快把它刪掉吧。刪除安全上網主頁也不麻煩嘛,呵呵。

下面是我保存的樣本,以后開發些什么東東也許能用到哦。

Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\{A1279C80-F9F2-4040-A752-CE795B5C7BE9}]
@="安全上網主頁"
[HKEY_CLASSES_ROOT\CLSID\{A1279C80-F9F2-4040-A752-CE795B5C7BE9}\DefaultIcon]
@="C:\\WINDOWS\\520.Ico"
[HKEY_CLASSES_ROOT\CLSID\{A1279C80-F9F2-4040-A752-CE795B5C7BE9}\Shell]
[HKEY_CLASSES_ROOT\CLSID\{A1279C80-F9F2-4040-A752-CE795B5C7BE9}\Shell\D]
@="刪除(&D)"
[HKEY_CLASSES_ROOT\CLSID\{A1279C80-F9F2-4040-A752-CE795B5C7BE9}\Shell\D\Command]
@="Rundll32.exe"
[HKEY_CLASSES_ROOT\CLSID\{A1279C80-F9F2-4040-A752-CE795B5C7BE9}\Shell\Open]
@="打開主頁(&H)"
[HKEY_CLASSES_ROOT\CLSID\{A1279C80-F9F2-4040-A752-CE795B5C7BE9}\Shell\Open\Command]
@="C:\\Program Files\\Internet Explorer\\iexplore.exe %1 http://www.dd335.cn"
[HKEY_CLASSES_ROOT\CLSID\{A1279C80-F9F2-4040-A752-CE795B5C7BE9}\Shell\屬性(&R)]
[HKEY_CLASSES_ROOT\CLSID\{A1279C80-F9F2-4040-A752-CE795B5C7BE9}\Shell\屬性(&R)\Command]
@="Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl"
[HKEY_CLASSES_ROOT\CLSID\{A1279C80-F9F2-4040-A752-CE795B5C7BE9}\ShellFolder]
"Attributes"=dword:0000000a

如果閑麻煩,也可以直接下載個金山毒霸2009。現在免費下載。