瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » My Documamts.exe病毒分析,可能不全,望大家补充
Gothack - 2011-2-21 20:59:00
今天在SOSO上答疑,遇到一个15岁的小朋友遇到了个My Documamts说删除不了,一开始俺以为是我的文档的文件夹那小朋友打错了,:kaka6:后来才发现这个没那么简单。。。。的确是个病毒,由于那小朋友没有病毒样本,于是就来远程协助把那小朋友的硬盘翻了个底朝天,其中还发现了写不该看的:kaka5:(他藏系统文件夹了)下面把对这个病毒的分析贴出来,不全的请大家指点:kaka12:


首先,杀毒起不来,然后症状如下:
1.这个病毒会在非系统的所有盘创建My Documamts.exe正常模式删除了还会出现


2.桌面上生成3个IE的快捷方式和URL,


3.开机启动项会增加一个******.exe这个名字不固定,win7中文件位置位于C:\ProgramData\Microsoft\windows\start menu\programs\startup


4.在C盘生成C:\VSPS\VSPS.exe,并且在C:\Windows\system32\中创建两个tgfdsag(名字不固定)文件夹,里面存放伪造的系统进程smss.exe跟explorer.exe


基本上就这点东西,然后我就嘱托那小朋友在安全模式把这些文件删了,然后让他用win7优化大师清除了一下注册表的无效项,搞定了。。
国内的论坛上没发现这个东西的具体查杀方法,翻墙出去找到了一篇,链接分享给大家
http://www.bennixville.com/2011/02/how-to-remove-qqmy-documamtsexe-virus.html


用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.13 (KHTML, like Gecko) Chrome/9.0.597.10 Safari/534.13
kingw3 - 2011-2-21 21:04:00
这么好的样本啊 我就找不到哦
----------------------------------
不计实习贴
风之仙 - 2011-2-21 21:27:00
这样看来不是鬼影嘛……安全模式也开不了杀软来杀吗?
顺便向lz翻墙找查杀木马的行为致敬!!
Gothack - 2011-2-21 22:48:00
我感觉不是鬼影。。。。:kaka12: 翻墙多好玩啊,今天在墙外边看了半天那个花事件...
1
查看完整版本: My Documamts.exe病毒分析,可能不全,望大家补充