68$$.bat里面代码是：
:try1
del "C:\Documents and Settings\Administrator\桌面\复件 (非常好用的PDF阅读绿色免费版)FoxitReader.exe"
if exist "C:\Documents and Settings\Administrator\桌面\复件 (非常好用的PDF阅读绿色免费版)FoxitReader.exe" goto try1
ren "C:\Documents and Settings\Administrator\桌面\复件 (非常好用的PDF阅读绿色免费版)FoxitReader.exe.exe" "复件 (非常好用的PDF阅读绿色免费版)FoxitReader.exe"
if exist "C:\Documents and Settings\Administrator\桌面\复件 (非常好用的PDF阅读绿色免费版)FoxitReader.exe.exe" goto try2
"C:\Documents and Settings\Administrator\桌面\复件 (非常好用的PDF阅读绿色免费版)FoxitReader.exe"
:try2
del %0
接着打开这个文件，运行代码，实现删除病毒感染文件(重复拼命的删除)，重新命名释放出的文件为病毒感染文件名，运行这个改名后的文件，


这个过程应该还会在C:\WINDOWS\system32\drivers\释放出一个sppoolsv.exe病毒主文件，因为列举文件太多，在Tiny的监视面板刷屏太快就看不到这个释放动作，总之复件 (非常好用的PDF阅读绿色免费版)FoxitReader.exe病毒样本还会调用这个sppoolsv.exe病毒主文件，这个动作给SSM监视到了，如下图：

后来再配置下Tiny，把生成sppoolsv.exe的动作显示出来：

这个时候任务管理器还可以正常打开：

添加注册表使自己自启动
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare -> C:\WINDOWS\System32\Drivers\sppoolsv.exe
这里注意已经不是以前的spoclsv.exe文件名了。

上一页  [1] [2] [3] [4] [5] [6] 下一页