本篇日志是從求助SREng日志整理出來的，主要表現(xiàn)是彈出廣告，在收到郵件后，發(fā)現(xiàn)這個東東跟前段時間整理的流氓軟件0848\baisoa幾乎一致，看來也只是一個毫無新意的升級版

      病毒文件及文件夾 

      
%windir%\winamps.exe
      %windir%\realupdate.exe
      %windir%\POPNTS.DLL
      %windir%\ScNotify.dll
      %system%\{pchome}\.setupf\


添加注冊表啟動項

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      updatereal %windir%\realupdate.exe other
      winsamps %windir%\winamps.exe 


     冒充微軟信息的啟動項 

      
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows 
      NT\CurrentVersion\Winlogon\Notify]
      ScCardLogn %windir%\ScNotify.dll


      添加一個BHO 


HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID]
      [HKEY_CLASSES_ROOT\CLSID]
      {DE7C3CF0-4B15-11D1-ABED-709549C10000} %windir%\POPNTS.DLL


    解決辦法：

      1、停止winamps.exe、realupdate.exe的進程
      2、刪除添加的所有注冊表信息
      3、重啟后刪除、或者使用Unlocker刪除所有的病毒文件

      PS：

      1、由于病毒變種，可能實際情況與本文描述不同，但清除方法是一定的
      2、由于其具備download馬特征，除此之外，可能伴隨著其他病毒或流氓軟件

最新評論