用了所谓“激活补丁”的去检查注册表和WINDOWS目录

Kaplony

隔壁也是我发的。

http://www.virustotal.com/zh-cn/analisis/a37aa31f9be6ad1a4d22f7c8c47c984f

有人提示查看注册表和WINDOWS目录，我看了下，结果。。。我月

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

这里有个MSServer非常可疑，参数：
rundll32.exe C:WINDOWSsystem32tuvWpMgH.dll,s

tuvWpMgH.dll用搜索搜出来了，删掉～，注册表MSServer删掉～



各位注意

恩，不说什么了。。。
---------------------------------------------------------------------------------------------
原帖由 q4liker 于 2008-12-3 03:39 发表
摘要:
已经更改 自动启动 项。

此代理程序监视各种机制，当您登录到 Windows 时，软件可使用这些机制进行自动启动。自动启动的程序可影响到系统性能并在没有您指示的情况下也可启动。

路径:
C:WindowssysWOW64xxyaaxWM.dll

检测到的更改:
regkey:
HKLMSoftwareWow6432NodeMicrosoftWindowsCurrentVersionRunMSServer

runkey:
HKLMSoftwareWow6432NodeMicrosoftWindowsCurrentVersionRunMSServer

file:
C:WindowssysWOW64xxyaaxWM.dll


运行过的最好把这个删除掉。。。

VISTA64系统的目录。。。

其他的因该是 WINDOWSSYSTEM32

---------------------------------------------------------------------------------------------

原帖由 Cielos 于 2008-12-3 04:12 发表
這exe在xp上執行的話, 會於winsowssystem32下出現以任意英文字母為名的.dll
並以MSServer為名加到registery中(HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun)
如果你像我一樣執行了這exe多次的話, 會有多個dll出現.

我原先以為是遊戲要建立的東西, 所以沒有理會spybot的warning. 後來換回原先的OfflineActivation.exe, 執行時沒有這個改動才醒覺...

我不知這些改動會不會危害你的電腦, 但我自己為安全起見已經將之刪除.

---------------------------------------------------------------------------------------------

我执行过那个病毒程序两次，又在WINDOWS目录找到个RtlExUpd.dll，删掉～