%system%文件夹中的wuauclt.exe是WINDOWS 自动更新的客户端。然而,今天说的这个wuauclt.exe非%system%文件夹中的那个wuauclt.exe位于%windows%文件夹中。
连接网络时,运行这个wuauclt.exe,它通过80端口访问61.128.196.671创建下列文件:
C:windowswuauclt.exe
C:windowsbbyb.exe
C:windowsbbybs.exe
C:windowsbbyb.dll
C:windowsies.dll
C:windowsnoruns.reg(将其中内容导入注册表后,此文件被自动删除。)
在系统分区以外的所有分区根目录以及U盘根目录下创建sxs.exe和autorun.inf。
其中C:windowsbbyb.dll动态插入应用程序进程。
C:windowswuauclt.exe删除注册表中瑞星、KV、卡巴斯基以及雅虎助手的启动项和服务项。有意思的是,它还删除一个流行木马NTdhcp.exe的启动项。
添加的注册表启动项为:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
Microsoft
查杀方法:
结束C:windowswuauclt.exe进程。
该进程结束后,U盘中的sxs.exe和autorun.inf可直接删除。删除后,将U盘拔出。
然后,删除下列文件:
C:windowswuauclt.exe
C:windowsbbyb.exe
C:windowsbbybs.exe
C:windowsbbyb.dll
C:windowsies.dll
删除其启动项。文字:http://www.qqread.com/virus/p391541.html
更多内容请看QQ病毒、数字化校园网解决方案、手机病毒揭密专题,或进入讨论组讨论。
相关图文阅读
频道图文推荐
健 康 咨 询
时 尚 咨 询
相关专题
- QQ病毒 (5086篇文章)
- 数字化校园网解决方案 (5656篇文章)
- 手机病毒揭密 (3651篇文章)
- 大型实用解决方案专题 (5172篇文章)
- 应用解决方案 (5172篇文章)
- 中小型应用解决方案 (5172篇文章)
- 多媒体应用解决方案 (5944篇文章)
- 行业解决方案 (5172篇文章)
- 行业解决方案 (5172篇文章)
- 病毒专栏 (2589篇文章)
- 资深网管谈ARP欺骗类病毒的防治思路 (62次浏览)
- 拒绝当前“流行”的魔兽盗号木马进门来 (10次浏览)
- Ati2evxx logogogo最新变种分析及专杀工具 (7次浏览)
- 学学网络安全小命令 拒绝木马大病毒 (5次浏览)
- Trojan-Dropper.Win32.Agent.bgc分析清除 (1次浏览)
- 木马Backdoor.Win32.VanBot.az分析与清除 (0次浏览)
- “灰鸽子变种ZYV”远程监听控制受害电脑 (0次浏览)
- 恶意广告飘游戏公告 警惕系统已遭感染 (0次浏览)
- 警惕“黑客遥控器9728”遥控你的电脑 (0次浏览)
- Trojan.Win32.Agent.zl 分析与手动清除 (0次浏览)
