小狗上学病毒

这是一个使用VB编写的病毒。可以通过U盘等移动存储传播。修改可执行文件图标，映像劫持杀毒软件...

1.病毒启动后，释放如下文件或者副本

%systemroot%system32soleboy.exe

%systemroot%system32soleboy.txt

各个分区根目录下生成soleboy.exe和autorun.inf达到随移动存储传播的目的。

2.试图结束一些安全工具的进程

比如procexp.exe

U盘病毒免疫器

avgnt.exe

Psview.exe

PowerRmv.exe

ToolsLoader.exe

FrameworkService.exe

...

3.映像劫持如下杀毒软件和安全工具：

360Safe.exe

360tray.exe

ACAAS.exe

ACAEGMgr.exe

ACAIS.exe

ACALS.exe

ACASP.exe

ACenter.exe

AFMain.exe

AGB6.EXE

AGBKrnl.exe

AhnSD.exe

AhnSDsv.exe

AluSchedulerSvc.exe

AScheduleService.exe

AST.exe

avcenter.exe

avgnt.exe

avguard.exe

CCenter.exe

ccSvcHst.exe

FilMsg.exe

FrameworkService.exe

KASMain.exe

KAV32.exe

KVIETools.exe

kvsrvxp.exe

KWatch.exe

mcconsol.exe

Mcshield.exe

MPMain.exe

MPMon.exe

MPSVC.exe

MPSVC1.exe

MPSVC2.exe

MSProxy.ahn

naPrdMgr.exe

nod32krn.exe

nod32kui.exe

PCCIOMON.EXE

PCCVScan.exe

PCMAIN.EXE

PowerRmv.exe

psview.exe

Rav.exe

RavMonD.exe

sched.exe

sessmgr.exe

shstat.exe

SnipeSword.exe

TRIALMSG.exe

Twister.exe

vcn.exe

vcs.exe

vcw.exe

VsTskMgr.exe

劫持到%systemroot%system32soleboy.exe

4.添加注册表启动项目HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunsoleboy: "%systemroot%system32soleboy.exe"达到开机启动自身的目的

5.修改com和exe文件的文件关联指向soleboy.exe

HKLMSOFTWAREClassescomfileshellopencommand: "soleboy.exe "%1" %*"

HKLMSOFTWAREClassesexefileshellopencommand: "soleboy.exe "%1" %*"

6.修改exe的图标关联 指向soleboy.exe，使得所有exe图标变成小狗图案。

HKEY_CLASSES_ROOTexefileDefaultIcon: "soleboy.exe"

7.查找带有如下字样的窗口，找到后利用sendmessage函数发送WM_CLOSE命令关闭窗口

瑞星反病毒资讯网 [信息安全 源自瑞星] - Windows Internet Explorer

Windows 任务管理器

注册表编辑器

江民进程查看器

欢迎光临江民科技[网络安全，选择江民] - Windows Internet Explorer

金山毒霸信息安全网－免费下载杀毒软件 - Windows Internet Explorer

卡巴斯基实验室: 反病毒软件,反间谍程序,垃圾邮件过滤 - Windows Internet Explorer

360安全卫士－Windows Internet Explorer

防病毒、反间谍软件、端点安全、备份、存储和遵从解决方案－赛门铁克公司－Windows Internet Explorer

大型企业 - 趋势科技 中国 - Windows Internet Explorer

东方微点 - Windows Internet Explorer

...

8 删除%systemroot%system32askkill.exe

9.作者在soleboy.txt中写道：

I want to go to university.

I think Jiangmin Antivirus Software is the best security software!

Don't worry ,I won't destroy your data.

解决方法：

下载sreng，Icesword

sreng:http://www.skycn.com/soft/23312.html#download

Icesword:http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip

已经安装winrar的请打开winrar的安装路径 找到winrar.exe 把他改名为winrar.bat双击运行

然后单击winrar菜单栏“文件”按钮 打开压缩文件

分别解压sreng和Icesword

1.把Icesword.exe改名为1.bat运行

打开Icesword－进程

结束soleboy.exe进程

2.同样方法解压sreng

把srengps.exe改名为 2.bat运行

启动项目 注册表

删除如下项目

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

<soleboy><C:WINDOWSsystem32soleboy.exe> [Soleboy]

并删除所有红色的IFEO项目

系统修复 文件关联 点击“修复”按钮

3.开始 运行 输入regedit

展开HKEY_CLASSES_ROOTexefileDefaultIcon 修改该项数据为"%1" （不包括引号）