病毒分析与防治:AV终结者病毒实例分析(2)

 8、进程中有amtrtpn.exe、tydfjbr.exe两个进程互相守护，结束其中任一进程时，任务管理器也同时被结束，待再次打开任务管理器时，被结束的进程已经再次运行。

   9、下载病毒文件到C:\Documents and Settings\Administrator\Local Settings\Temp

   10、下载病毒文件到
    C:\Documents and Settings\Administrator\Local Settings
    \Temporay Internet Files

   11、下载病毒文件到C:\windows\Fonts文件

   12、添加注册表项，使病毒注入Explorer.exe进程

   13、修改系统时间为2001年

   二、手动清除

   1.结束tydfjbr.exe和amtrtpn.exe进程任务管理器->进程选项卡->查看->选择列->勾上"PID(进程标识符)"。新建文本文档killprocess.txt，内容如下：ntsd -c q -p PID1
      ntsd -c q -p PID2
把PID1和PID2，改成tydfjbr.exe和amtrtpn.exe进程的ID。将该killprocess.txt文件扩展名改成.bat

双击killprocess.bat，结束tydfjbr.exe和amtrtpn.exe进程

   2.删除注册表\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中amtrtpn.exe、tydfjbr.exe的启动项

  3.删除注册表项\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Opeions

  4.删除注册表项
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\ShellExecutehooks项中病毒相关的键

   5.修改注册表\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\SuperHidden\Type的键值为checkbox，显示文件夹选项中的“隐藏受操作系统保护的系统文件”，显示系统属性文件

来源：国家计算机病毒应急处理中心

上一篇：病毒分析与防治:AV终结者病毒实例分析(3)

下一篇：病毒分析与防治:AV终结者病毒实例分析(1)