|
发表于 2018-12-5 10:47:17
|
显示全部楼层
这个病毒会在注册表时userinit项加一点东西,让每次系统启动时激活自己
操作者:C:\Users\cisco\AppData\Local\Temp\gamedown\009\svchost.exe
命令行:-CallExplorerRun- /from=ek_s_l_id=106/
风险动作:修改Winlogon Userinit项
目标注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
操作类型:写入
数据内容:C:\Windows\system32\userinit.exe,"C:\Users\cisco\AppData\Roaming\Tencent\rtl\UIstyle\x64\svchost.exe",
用户操作:已阻止
|
|