分类目录归档:杀毒技巧

惊现免杀的病毒(VBS)版本

今天晚上用电脑,发现C:\根目录多了三个vbs文件。看了下一个超级恐怖的免杀型病毒。
有三个文件,代码每分钟变一次,超恐怖,不过守护进程没写好,很容易清理。到目前为止360,卡巴,瑞星都检测不出来。猜测基本原理如下:
1.vbs
2.vbs
3.vbs

2.vbs保存的应该是病毒主文件的二进制代码,打开时文本类型的,内容为 00 11 22 33。。。
1.vbs,3.vbs每次变量名都是随机生成。假如只有1.vbs,3.vbs,他会去网上下载另外的文件。
1.vbs,2.vbs,3.vbs的代码每分钟变一次。
猜想的:1.vbs读取3.vbs,2.vbs。然后生成随机数,变量保存在3.vbs,把病毒文件转变成数字,并减去这个随机数。3.vbs使用的时候,会用这个随机数来加上2.vbs的编码。
然后一段时间3.vbs再重复1.vbs。三个文件每分钟的代码都不一样。真是恐怖啊~~~~~~~~

桌面上出现安全上网主页删不掉,安全上网主页是什么?怎样删除安全上网主页?

 

        最近发现了一个的问题,桌面上出现了一个安全上网主页,这个安全上网主页删不掉,非常郁闷是一个小屋子的标志。一看就不是好东西。

         上百度上搜索一下,还真找到了一篇关于安全上网主页的文章,看来遇到这个问题的不只我一个。那么安全上网主页是什么呢?怎样

删除安全上网主页

?今天我就带大家一起来处理这个问题。

          打开c:\windows\目录,发现由一个520.ico的图标,词图标正是安全上网主页的图标,删除。完了?事情当然没有这么简单。

          以前看电脑爱好者的时候,其中有一篇文章说到能在注册表中添加桌面快捷方式。所以我们再到注册表看看。在注册表中(开始>运行>regedit),F3键,输入安全上网主页,查找,还真找到了一项([HKEY_CLASSES_ROOT\CLSID\{A1279C80-F9F2-4040-A752-CE795B5C7BE9}])。赶快把它删掉吧。删除安全上网主页也不麻烦嘛,呵呵。

下面是我保存的样本,以后开发些什么东东也许能用到哦。

Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\{A1279C80-F9F2-4040-A752-CE795B5C7BE9}]
@="安全上网主页"
[HKEY_CLASSES_ROOT\CLSID\{A1279C80-F9F2-4040-A752-CE795B5C7BE9}\DefaultIcon]
@="C:\\WINDOWS\\520.Ico"
[HKEY_CLASSES_ROOT\CLSID\{A1279C80-F9F2-4040-A752-CE795B5C7BE9}\Shell]
[HKEY_CLASSES_ROOT\CLSID\{A1279C80-F9F2-4040-A752-CE795B5C7BE9}\Shell\D]
@="删除(&D)"
[HKEY_CLASSES_ROOT\CLSID\{A1279C80-F9F2-4040-A752-CE795B5C7BE9}\Shell\D\Command]
@="Rundll32.exe"
[HKEY_CLASSES_ROOT\CLSID\{A1279C80-F9F2-4040-A752-CE795B5C7BE9}\Shell\Open]
@="打开主页(&H)"
[HKEY_CLASSES_ROOT\CLSID\{A1279C80-F9F2-4040-A752-CE795B5C7BE9}\Shell\Open\Command]
@="C:\\Program Files\\Internet Explorer\\iexplore.exe %1 http://www.dd335.cn"
[HKEY_CLASSES_ROOT\CLSID\{A1279C80-F9F2-4040-A752-CE795B5C7BE9}\Shell\属性(&R)]
[HKEY_CLASSES_ROOT\CLSID\{A1279C80-F9F2-4040-A752-CE795B5C7BE9}\Shell\属性(&R)\Command]
@="Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl"
[HKEY_CLASSES_ROOT\CLSID\{A1279C80-F9F2-4040-A752-CE795B5C7BE9}\ShellFolder]
"Attributes"=dword:0000000a

如果闲麻烦,也可以直接下载个金山毒霸2009。现在免费下载。