Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Classes\pdf_auto_file\shell\open\command] '' = '"%ProgramFiles%\绿色软件\Foxit Reader\Foxit Reader.exe" "%1"'
- [HKLM\SOFTWARE\Classes\FoxitReader.Document\shell\open\command] '' = '"C:\PROGRA~1\绿色软件\FOXITR~1\FOXITR~1.EXE" "%1"'
Вредоносные функции
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\aut6048.tmp
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\系统设置\电脑时间效准.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\系统简单修复\打开光驱硬盘的自动运行特性.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\硬件检测\笔记本键盘设置.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\系统简单修复\安装sql如提示挂起导入本注册表可解决.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\winsock-tcp网络协议修复.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\u盘病毒免疫工具.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\系统设置\tcpip并发连接数破解.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\网络相关设置\ping网关192.168.1.1.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\网络相关设置\ping外网测试网速是否正常.lnk
- C:\documents and settings\all users\「开始」菜单\程序\实用绿色软件\pdf阅读器.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\系统设置\oem-diy品牌自己做5.1.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\系统简单修复\newsid-生成新的安全标识符.lnk
- C:\documents and settings\all users\「开始」菜单\程序\实用绿色软件\iso光盘编辑.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\网络相关设置\ip相关的问题解答.lnk
- %ProgramFiles%\维护工具\备份还原\手动备份恢复系统.exe
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\系统简单修复\ie不能打开新链接修复.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\硬件检测\gpuz-显卡检测.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\硬件检测\display-显示器检测.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\硬件检测\cpuz-cpu检测.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\aida64-硬件全面检测.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\系统简单修复\(仅供备用)取消磁盘的自动扫描.lnk
- %TEMP%\7zsfx000.cmd
- %ProgramFiles%\绿色软件\vdd-x86.sys
- %ProgramFiles%\绿色软件\vdd-x64.sys
- %ProgramFiles%\绿色软件\ones\reso.dll
- %ProgramFiles%\维护工具\系统设置\输入法调整工具.exe
- %ProgramFiles%\维护工具\系统设置\系统自启动项目管理器.exe
- %ProgramFiles%\维护工具\硬件检测\笔记本键盘设置.exe
- %ProgramFiles%\维护工具\卸载清除\病毒免疫工具.exe
- %ProgramFiles%\维护工具\系统设置\电脑时间效准.exe
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\硬件检测\hdtune-硬盘检测.lnk
- %ProgramFiles%\维护工具\卸载清除\木马端口封杀.exe
- C:\documents and settings\all users\「开始」菜单\程序\实用绿色软件\定时关机酷.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\系统简单修复\若任务管理器被病毒禁用导入本注册表可解开.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\网络相关设置\世纪前线网络质量测试工具.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\备份还原\手动备份恢复系统.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\系统设置\输入法调整工具.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\网络相关设置\填写ip为192.168.0.118.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\网络相关设置\填写ip为192.168.1.118.lnk
- C:\documents and settings\all users\「开始」菜单\程序\实用绿色软件\网络协议修复.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\系统设置\系统自启动项目管理器.lnk
- %ProgramFiles%\维护工具\简单修复\若任务管理器被病毒禁用导入本注册表可解开.reg
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\系统简单修复\显示隐藏文件(中了该类病毒后).lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\系统简单修复\修复exe文件关联.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\系统简单修复\修复windows media player.lnk
- C:\documents and settings\all users\「开始」菜单\程序\实用绿色软件\虚拟光驱.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\一键备份还原系统.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\系统设置\一键清理系统垃圾文件.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\系统设置\给每个盘添加卷标.lnk
- C:\documents and settings\all users\「开始」菜单\程序\实用绿色软件\飞鸽传书.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\系统简单修复\任务栏修复工具.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\清除所有多余的桌面右键菜单.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\清除所有多余的启动项目.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\硬件检测\内存条检测.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\系统设置\木马端口封杀.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\网络相关设置\开通局域网共享(访问本机要填用户名和密码).lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\网络相关设置\开通局域网共享(访问本机无需验证即可进入).lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\系统简单修复\解决内存不能为read的问题.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\系统简单修复\解决iis无法调试的问题.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\系统简单修复\恢复winxp系统默认服务.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\硬件检测\光驱检测.lnk
- C:\documents and settings\all users\「开始」菜单\程序\实用绿色软件\光盘刻录软件.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\网络相关设置\关闭局域网共享.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\系统简单修复\关闭光驱硬盘的自动运行特性.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\系统设置\删除快捷方式的箭头.lnk
- %ProgramFiles%\绿色软件\定时关机酷.exe
- %ProgramFiles%\维护工具\硬件检测\内存条检测memtest.exe
- %ProgramFiles%\维护工具\简单修复\任务栏修复工具.exe
- %ProgramFiles%\维护工具\简单修复\administrator帐户设为不隐藏.reg
- %ProgramFiles%\维护工具\网络设置\解决局域网共享\(仅供备用)硬盘各分区的默认共享:打开(原版xp本来就是开的).reg
- %ProgramFiles%\维护工具\网络设置\解决局域网共享\(仅供备用)硬盘各分区的默认共享:关闭.reg
- %ProgramFiles%\维护工具\网络设置\解决局域网共享\为什么要这样做?.txt
- %ProgramFiles%\绿色软件\foxit reader\lang_zh_cn.xml
- %ProgramFiles%\维护工具\简单修复\解决内存不能为read的批处理.cmd
- %ProgramFiles%\维护工具\简单修复\解决iis无法调试的问题.cmd
- %ProgramFiles%\维护工具\系统设置\给每个盘添加卷标.cmd
- %ProgramFiles%\维护工具\卸载清除\清除所有多余的桌面右键菜单.cmd
- %ProgramFiles%\维护工具\卸载清除\清除所有多余的启动项目.cmd
- %ProgramFiles%\维护工具\简单修复\注册表编辑器regedit解禁.cmd
- %ProgramFiles%\维护工具\网络设置\解决局域网共享\开通局域网共享(访问本机要填用户名和密码).cmd
- %ProgramFiles%\维护工具\网络设置\解决局域网共享\开通局域网共享(访问本机无需验证即可进入).cmd
- %ProgramFiles%\维护工具\简单修复\关闭光驱硬盘的自动运行特性.reg
- %ProgramFiles%\维护工具\网络设置\解决局域网共享\填写ip为192.168.1.118.cmd
- %ProgramFiles%\维护工具\系统设置\删除快捷方式的箭头.cmd
- %ProgramFiles%\维护工具\网络设置\解决局域网共享\关闭局域网共享.cmd
- %ProgramFiles%\维护工具\网络设置\ping网关192.168.1.1.cmd
- %ProgramFiles%\维护工具\网络设置\ping外网测试网速是否正常.cmd
- %ProgramFiles%\维护工具\简单修复\ie不能打开新链接修复.cmd
- %ProgramFiles%\维护工具\系统设置\c盘转换为ntfs格式.cmd
- %ProgramFiles%\维护工具\系统设置\自动关闭空闲的ide通道.bat
- %ProgramFiles%\维护工具\简单修复\修复windows media player.bat
- %ProgramFiles%\维护工具\卸载清除\一键清理系统垃圾文件.bat
- %ProgramFiles%\维护工具\简单修复\winxp原本的各项服务.bat
- %ProgramFiles%\维护工具\卸载清除\ico.ico
- %WINDIR%\temp\tool.reg
- %TEMP%\aut696d.tmp
- %WINDIR%\temp\tool.exe
- %ProgramFiles%\维护工具\网络设置\解决局域网共享\填写ip为192.168.0.118.cmd
- %ProgramFiles%\维护工具\网络设置\解决局域网共享\关闭局域网共享.reg
- %ProgramFiles%\维护工具\简单修复\修复exe文件关联.reg
- %ProgramFiles%\维护工具\系统设置\删除快捷方式的箭头.reg
- %ProgramFiles%\维护工具\网络设置\世纪前线网络质量测试工具.exe
- %ProgramFiles%\维护工具\硬件检测\gpuz.exe
- %ProgramFiles%\维护工具\系统设置\winsockfixcncn汉化版.exe
- %ProgramFiles%\绿色软件\virtual_drive.exe
- %ProgramFiles%\绿色软件\ultraiso.exe
- %ProgramFiles%\维护工具\系统设置\tcpip并发连接数破解.exe
- %ProgramFiles%\维护工具\系统设置\rebuild.exe
- %ProgramFiles%\optimize\optimize.exe
- %ProgramFiles%\绿色软件\ones\ones.exe
- %ProgramFiles%\维护工具\系统设置\oem-diy品牌自己做5.1.exe
- %ProgramFiles%\维护工具\简单修复\newsid-生成新的安全标识符.exe
- %ProgramFiles%\kuai.exe
- %ProgramFiles%\维护工具\网络设置\ip切换器.exe
- %ProgramFiles%\维护工具\网络设置\ip修改工具.exe
- %ProgramFiles%\绿色软件\ipmsg.exe
- %ProgramFiles%\维护工具\硬件检测\hdtune.exe
- %ProgramFiles%\绿色软件\foxit reader\foxit reader.exe
- %ProgramFiles%\维护工具\简单修复\取消磁盘的自动扫描.reg
- %ProgramFiles%\维护工具\硬件检测\display.exe
- %ProgramFiles%\维护工具\硬件检测\cpuz.exe
- %ProgramFiles%\维护工具\硬件检测\cdspeed.exe
- %ProgramFiles%\绿色软件\ipmsg.log
- %ProgramFiles%\维护工具\网络设置\解决局域网共享\ip相关的问题解答.doc
- %ProgramFiles%\绿色软件\foxit reader\foxitreader_preferences.ini
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\系统简易优化向导.lnk
- %ProgramFiles%\维护工具\简单修复\注册表编辑器regedit解禁.reg
- %ProgramFiles%\维护工具\简单修复\显示隐藏文件(中了该类病毒后).reg
- %ProgramFiles%\维护工具\简单修复\打开光驱硬盘的自动运行特性.reg
- %ProgramFiles%\维护工具\网络设置\解决局域网共享\开通局域网共享(访问本机要填用户名和密码).reg
- %ProgramFiles%\维护工具\网络设置\解决局域网共享\开通局域网共享(访问本机无需验证即可进入).reg
- %ProgramFiles%\维护工具\简单修复\安装sql如提示挂起导入本注册表可解决.reg
- %ProgramFiles%\维护工具\简单修复\因装了kb905474正版验证补丁进系统受阻导入本注册表可破解.reg
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\系统简单修复\注册表编辑器regedit解禁.lnk
- C:\documents and settings\all users\「开始」菜单\程序\维护人员工具\系统设置\自动关闭空闲的ide通道.lnk
Удаляет следующие файлы
- %TEMP%\aut6048.tmp
- %TEMP%\aut696d.tmp
- %WINDIR%\temp\tool.exe
- %TEMP%\7zsfx000.cmd
- %ProgramFiles%\kuai.exe
- %WINDIR%\temp\tool.reg
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'RegEdit_RegEdit' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\temp\tool.exe'
- '%ProgramFiles%\kuai.exe' /S
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\7ZSfx000.cmd" "' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\7ZSfx000.cmd" "
- '%WINDIR%\syswow64\regedit.exe' /s %WINDIR%\temp\tool.reg
