第一次运行时,病毒会创建一个临时文件,而文件名则是随机的,比如: C:\WINDOWS\TEMP\pgt91F0.TMP 这是一个动态链接库文件,它包含了病毒的主要功能。而病毒会把本地的动态链接库文件贮存在注册表中: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF 运行时,病毒会附加在Explorer.exe文件上以便驻留内存。病毒会感染本地及它可以访问的网络驱动器上 的*.EXE 和 *.SCR文件
有专杀的 老外写的 2008/11/17 better0332 <[EMAIL PROTECTED]> > MAcfee的String工具 > ----- Original Message ----- > From: "changsha" <[EMAIL PROTECTED]> > To: <[email protected]> > Sent: Sunday, November 16, 2008 1:27 AM > Subject: [Ph4nt0m] 求助:Win32.Parite.a文件感染型病毒清除方法 > > > > > 很不幸又感染这种病毒,这次病毒是向正常exe文件增加一个区段,我用spant好像能够恢复exe文件。我还在测试中。请有过经验的介绍几个办法。把这种技术实现的关键词提供,我去搜索彻底了解下,pe相关知识也知道点。提供几个比较好的恢复工具。谢谢。 > > > > > > > > > > -- fuck.the.world --~--~---------~--~----~------------~-------~--~----~ 要向邮件组发送邮件,请发到 [email protected] 要退订此邮件,请发邮件至 [EMAIL PROTECTED] -~----------~----~----~----~------~----~------~--~---
