木马Trojan.Vundo.B (_A00F1C639.exe )查杀

文件名称：_A00F1C639.exe


文件大小：44,032 bytes


AV命名：Trojan.Vundo.B


文件MD5：397B76A35E61C5F170A174E874890490


病毒类型：木马下载器


主要行为：


1、释放文件：


C:\Documents and Settings\孤独更可靠\Local Settings\Temp\_A00F1C639.exe 44,032 bytes


C:\windows\system32\__c001D4EC.dat 27,648 bytes


2、添加启动项：


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

A00F1C639 = " C:\Documents and Settings\孤独更可靠\Local Settings\Temp\_A00F1C639.exe "


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c001D4EC]

Asynchronous = 0x00000001

DllName = "%System%\__c001D4EC.dat"

Impersonate = 0x00000000

Startup = "B"

Logon = "B"


3、注入IE，并连接x1.theaction****.com，尝试下载木马（未实现）


4、插入系统所有运行中的进程，并安装全局钩子




解决方法：


1、重启计算机，按F8进入安全模式。


2、删除文件：


C:\Documents and Settings\user\Local Settings\Temp\_A00F1C639.exe 44,032 bytes


C:\windows\system32\__c001D4EC.dat 27,648 bytes


注：C:\Documents and Settings\ user是你的用户名


3、删除启动项：


A00F1C639
www.newjian.com