病毒盗用notepad.exe图标,骗取用户运行。该病毒运行后,在%windir%inf下释放病毒文件rundll32.exe,在%system32%下释放病毒文件hxdll.dll,添加注册表启动项,以达到随机启动的目的。记录即时通讯工具的密码,如OICQ,及游戏密码等,以邮件的形式发送给病毒作者。该病毒对用户有一定危害。
病毒盗用notepad.exe图标,骗取用户运行。该病毒运行后,在%windir%inf下释放病毒文件rundll32.exe,在%system32%下释放病毒文件hxdll.dll,添加注册表启动项,以达到随机启动的目的。记录即时通讯工具的密码,如OICQ,及游戏密码等,以邮件的形式发送给病毒作者。该病毒对用户有一定危害。
1、病毒运行后,在系统盘中创建病毒文件:
%windir%infrundll32.exe
%system32%hxdll.dll
2、添加注册表启动项,以达到随机启动的目的:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键值:字串:"loadhx" = "C:WINDOWSinfrundll32.exe"
3、窃取用户密码,发送给病毒作者。
注:%windir%是一个可变路径。Windows95/98/me/XP中默认的安装路径是C:Windows,Windows2000/NT中默认的安装路径是C:Winnt。
% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32,windows95/98/me中默认的安装路径是C:WindowsSystem,windowsXP中默认的安装路径是C:WindowsSystem32。
--------------------------------------------------------------------------------
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
%windir%infrundll32.exe
%system32%hxdll.dll
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键值:字串:"loadhx" = "C:WINDOWSinfrundll32.exe"
温馨提示:
