注册表里病毒木马集散地~~
2 views
Skip to first unread message
胡杰婷
Apr 2, 2007, 4:47:27 AM4/2/07
to sky-tone
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager
\PendingFileRenameOperations
\PendingFileRenameOperations
这里本来是等待改名的文件,但病毒木马往往利用它,自己去找找,能看到一大堆奇怪的仿系统名字,再对应去找相应目录一一删除,并全查找清理注册表以及服
务。
例如:
\??\C:\DOCUME~1\jaty\LOCALS~1\Temp\daf23f0\s18.exe
\??\C:\WINDOWS\system32\A1RSVC.DLL
\??\C:\WINDOWS\system32\AUT0CHK.EXE
\??\C:\WINDOWS\system32\ADS1DP.DLL
\??\C:\WINDOWS\system32\B1OS.DLL
\??\C:\WINDOWS\system32\NETW0RKSERV1CE.EXE
\??\C:\WINDOWS\system\AV1CAP.dll
\??\C:\WINDOWS\system\REM0REG.EXE
\??\C:\WINDOWS\system\MFS0FT.DLL
\??\C:\WINDOWS\system32\BR0WSER.DLL
终于清净了~~~~~~
Reply all
Reply to author
Forward
0 new messages