木马查杀:EXPLORER.EXE(Worm.Win32.VB.zbn)

文件名称：伪EXPLORER.EXE

文件大小：65536 字节

AV命名：Worm.Win32.VB.zbn（瑞星） Win32:AutoRun-JW（Avast）

加壳方式：无

编写语言：Microsoft Visual Basic 5.0 / 6.0

文件MD5：56b71b3581e5d1c3c2302a28fa47cb3a

行为：

1．释放文件：

C:\WINDOWS\system\SERVICES.EXE  65536 字节

C:\WINDOWS\system\SYSANALYSIS.EXE  65536 字节

C:\WINDOWS\system\explorer.exe 976896 字节

2．删除备份文件：

C:\WINDOWS\system32\dllcache\explorer.exe

3．覆盖系统文件：C:\WINDOWS\explorer.exe

系统启动时先执行病毒体，再执行C:\WINDOWS\system\explorer.exe。

4.重命名文件，为：explorer.exe608924508094788,作为备份

5.尝试U盘传播和修改系统的隐藏文件选项，不过未实现.

解决方法：

1.删除：

C:\WINDOWS\explorer.exe 65536 字节

C:\WINDOWS\system\SERVICES.EXE  65536 字节

C:\WINDOWS\system\SYSANALYSIS.EXE  65536 字节

2.把explorer.exe608924508094788 重命名为explorer.exe

或者是从C:\WINDOWS\system\explorer.exe复制到C:\WINDOWS\explorer.exe