哈,分析完了
作者思路不错
Autorun.inf
[C:\]
[AutoRun]
OPEN=RECYCLER\gidfh.exe
shellexecute=RECYCLER\gidfh.exe
shell\Auto\command=RECYCLER\gidfh.exe
[system]
ver=1.1
zid=vist
每个分区都有一个
藏在RECYCLER里,这个可不是回收站
这点比较重要,等下你还要再清理下每个分区的
Autorun.inf和RECYCLER\gidfh.exe
释放C:\winnt\system32\open11.dll
插入Explorer.EXE
增加服务
[Wserver / Wserver][Stopped/Auto Start]
<C:\winnt\system32\Wservers.exe><N/A>
好像还生成个C:\program files\Internet Explorer\DW15.EXE
一起都删除就可以了
问题不是很大哈
看汇编好像还会用IE连接h**p://3w.39100.net/ 下载木马
测试中无法验证..
算了,系统都重做了,懒的详细说了
自己清理下Autorun.inf和RECYCLER\gidfh.exe就可以了
...
