Quote:

1. 来源于未知待查(已经忘了随什么带来的). 看病毒隐藏自建文档的最早日期是: 20060507 2. 添加修改注册表: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A98AA587-8734-4A05-9FB4-8BF0138199AF}\InprocServer32] @="E:\\WINDOWS\\system32\\mshtmlet.dll" "ThreadingModel"="Apartment" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{809D8E8B-9843-4D07-97B9-AE511334D43F}\1.0\0\win32] @="E:\\WINDOWS\\system32\\mshtmlet.dll" 3. mshtmlet.dll冒充微软文档版本骗人 所以, 使用CCFer小青蛙的"Windows Shell 扩展菜单管理器"cxtmgr发现这个"Open With"后也没有产生怀疑. http://www.kztechs.com/cxtmgr/ 4. 点击鼠标右键随机性不定时会出现自建一个不知来自何处的2.74MB的"system"名字的压缩文档到system32/ShellExt目录下, 并自解压到system32/IME目录下并自动运行四个可执行文件. KAV病毒报警: system32\IME\ocxreg32.exe -> Trojan-Downloader.Win32.Agent.ajf system32\IME\strequl.dll -> Trojan-Downloader.Win32.Small.cpv system32\IME\inkt5.dll -> Trojan.Win32.StarPage.aia system32\IME\vbchs6.dll/data0001 -> Trojan.Win32.Agent.se system32\IME\Weather_24.exe/IEXPLORER.EXE -> Trojan-Downloader.Win32.Agent.akh system32\IME\yctsetup.dll/WISE0007.BIN -> Trojan-Downloader.Win32.Small.csr 删除上面的自建文档后(未清除mshtmlet.dll)的情况下, 再次点击鼠标右键就还会出现. 5. 捆绑三个垃圾 1) 竟然是捆绑了中搜垃圾 http://www.zhongsou.com 2) 捆绑了一个Weather.exe天气预报 (x.x.x.xNS随机多变) -- 可报上海天气预报. 视频搜索引擎广告: www.5kee.com 3) 捆绑一个广告垃圾: neweb.com.cn 6. KAV于20060426就报了: Trojan-Downloader.Win32.VB.abu http://www.viruslist.com/en/sear ... loader.Win32.VB.abu 不知道: 为什么一直待在我的电脑里面直到20060524今天晚上才报警?! 总算基本安静了 - 至少不再会自建垃圾文档啦!

附件 1: v.jpg (2006-6-19 01:54, 43.38 K,下载次数： 45)


附件 2: v3.JPG (2006-6-19 02:07, 56.05 K,下载次数： 27)