[HKEY_CLASSES_ROOThttqs] "URL Protocol"=""  [HKEY_CLASSES_ROOThttqsshellopencommand] @="Rundll32 shell32.dll，ShellExec_RunDLLA C:Program FilesInternet  ExplorerIEXPLORE.EXE h%t%t%p%://w%w%w%.6701.c%o%m%/?12N17"

(2)再見神奇RunOnce病毒啟動項

接下來又遇到幾個反復清除的問題反饋，經過檢查發(fā)現(xiàn)這些電腦普遍都存在一個看上去不是很合理的RunOnce病毒啟動項?？吹紸DCS:Windowssystem32debug.exe第一印象是“是不是病毒作者寫錯了”，第二印象Windowssystem32debug.exe(根據(jù)我的猜測，這只是為了繞過安全軟件檢測，因為指向的文件是正常的)這個文件是不是存在問題，但是到sys32目錄下查找這個文件明明是系統(tǒng)文件沒問題。最終依然將目光轉移到ADCS：打開注冊表HKEY_CLASSES_ROOT，顯然最終目的是運行病毒文件D:RECYCLERZT12.vbe。

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce] "Explorer"="Explorer ADCS:Windowssystem32debug.exe"  [HKEY_CLASSES_ROOTADCS] @="目錄類容器" "URL Protocol"="" [HKEY_CLASSES_ROOTADCSexploreropencommand] @="Rundll32 shell32.dll，ShellExec_RunDLLA  D:RECYCLERZT12.vbe"

2.URLProtocolView查看電腦中所有URL Protocol

URLProtocolView：一個小工具，可以查看電腦里面所有的URL Protocols，運行URLProtocolView以后按照修改時間排列如圖，馬上就發(fā)現(xiàn)可疑項目ADCS和device。

zhenggaofeng