用PPS随心看网络电视

行为分析：

1、释放病毒文件：

%Systemroot%\system32\KYMAO.dll 42748 字节 （名字可能不一样）

这个是主体，并使用动态注入技术，插入所有运行中的进程！

%Systemroot%\system32\navcoy.dll 40960 字节

%Systemroot%\system32\ok1.exe 46761 字节

2、遍历进程，如找到QQ.exe进程，则在其目录下生成：

D:\Program Files\QQ\QQ\i.dll 42748 字节

D:\Program Files\QQ\QQ\rasadhlp.dll 8353 字节

3、病毒注入后，检测窗口，尝试关闭：

8749
360safe
wopticlean
kakasetup
ras.exe
btbaicai
wopticlean
360safe
8749病毒
8749专杀
卡卡
安全卫士
IE修复
8749.com病毒
清除8749
删除8749

（这也是我为什么把标题弄成那样的原因=，=``）

4、破坏安全模式

删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\下的SafeBoot整个键！

导致安全模式无法进入。

5、并在注册表里留下了病毒的一些版本信息，例如：

HKEY_LOCAL_MACHINE\SOFTWARE\8749 technologies\VERSION
REG_SZ, "07072602 "

HKEY_LOCAL_MACHINE\SOFTWARE\test\Version
Version = REG_SZ, "1.2 "

6、写入注册表：

HKEY_CLASSES_ROOT\Baidu509.Navcot键：

指向的是%Systemroot%\system32\navcoy.dll。

注册BHO，实现打开IE则注入病毒文件：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

指向的是%Systemroot%\system32\navcoy.dll

7、劫持IE主页，修改为：***.8749.com

（重点来了，一起鄙视下）

并由KYMAO.dll 监视，每隔一段时间重写主页（***.8749.com）。

注册表变动：

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page

注册表值 Start Page

改为：REG_SZ, "http://***.8749.com "

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\CustomizeSearch

注册表值CustomizeSearch

改为:"http://***.8749.com "

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant

注册表值SearchAssistant

改为:REG_SZ, "http://***.8749.com "

8、修改HOST，实现DNS劫持（每隔一段时间连接http://***.8749.com下载HOST列表并修改）：

125.91.1.20 www.37021.net
125.91.1.20 37021.net
125.91.1.20 5235.net
125.91.1.20 www.5235.net
127.0.0.1 www.duba.net
127.0.0.1 duba.net

专杀下载：

http://gudugengkekao.ys168.com/

或http://free.ys168.com/?gudugengkekao1（另一个网盘``）

找“置顶（874 9专刹）”和“874 9专刹 ”下``

（PS：杀软应该也可以杀了```=。=）

手工清除只需要三步，不过却讲究技巧，并且病毒文件名是不固定的所以就不推荐了```

死亡三步曲：

1、冰刃，禁止线程创建，删除：

%Systemroot%\system32\KYMAO.dll 42748 字节 （名字可能不一样）

%Systemroot%\system32\navcoy.dll 40960 字节

%Systemroot%\system32\ok1.exe 46761 字节

如果有QQ的话：

D:\Program Files\QQ\QQ\i.dll 42748 字节（名字可能不一样）

D:\Program Files\QQ\QQ\rasadhlp.dll 8353 字节

冰刃注册表功能，删除：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

%Systemroot%\system32\KYMAO.dll

2、重启并监视，重启后SREng修复安全模式（不一定成功）和重置HOST。

（也可以找个系统相同的，把SafeBoot键导出。）

3、推荐使用360安全卫士修复被篡改的主页：

http://www.360safe.com

来源： 转载