TempCom

 位置   C:/WINDOWS/FONTS/9A903.com

參考下文——》

启动项出现TempCom的问题解决

最近发现查看文件时，文件的后缀名总是莫名的被隐藏。怀疑中毒了。但是没有发现什么新文件。今天在检查任务管理器时，发现一个莫名的B1EDA.com程序。

再检查启动项，发现多了个TempCom它的目标是C:/WINDOWS/FONTS/B1EDA.com。结束进程并删除后，没有查到B1EDA.com的信息，于是查询TempCom，发现如下资料：

Worm.Wukill.e
这是vb写的蠕虫病毒。病毒采用文件夹图标，让用户误以为是打开了一个新的文件夹，具有很大迷惑性。用户很容易误双击运行。

一、 病毒首次运行时，什么反应也没有，悄悄将自己复制到系统的字体路径（比如C:/WINNT/FONTS/）。
名称是四位随机数字和字母,扩展名为"com"。
病毒之所以采用这个路经，是因为在文件管理器中，只会显示这个路径里的字体文件，其他类型的文件不会被显示。
　　

二、添加自启动项
病毒在注册表的启动项添加“TempCom”。系统下次启动，会运行病毒程序 。
地址：HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/TempCom
修改注册表的系统设置，隐藏已知的类型的文件后缀名称、不显示具有隐藏属性的文件，把自己伪装成一个文件夹。
相关地址：
HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/HideFileExt = 0x1
HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Hidden = 0x0

三、添加文件
①如果存在A盘，生成下列文件
A:/WINDOWS.EXE
A:/NetHood.htm

②病毒会把自身复制到多个文件夹下面
%WINDOWS%/All Users/Start Menu/Programs/启动/启动.scr (Win98系统)
C:/Documents and Settings/All Users/[开始]菜单/程序/启动/启动.scr (win2000和winxp系统)

③枚举磁盘目录，在每个根目录下释放下列文件：
WINDOWS.EXE 病毒主体程序
coment.htt 利用IE漏洞调用同一个目录下的"WINDOWS.EXE"，属性为隐藏。
desktop.ini 系统为隐藏。采用web方式浏览文件夹时，系统会调用该文件，该文件调用coment.htt ，从而激活病毒。

④在根目录下释放NetHood.htm。
用户看不到coment.htt和desktop.ini，WINDOWS.EXE被隐藏后缀名，又是文件夹图标，用户极容易认为是文件夹而点击。

四、释放 Ghost.bat，该命令脚本可以在系统中增加一个密码为“administrators” 的用户“admin”权限为管理员。如果系统的IPC服务没有被禁止，系统被留下的严重隐患的后门。

五、病毒调用Outlook发送携带病毒的信件。发信人邮箱为“Mywoman at 163.com” 搜索Microsoft Outlook地址薄里的所有邮件地址，将自己以邮件附件的形式发出去，试图感染更多用户电脑。
病毒使用“cmd /c net view >D:/net.txt ”命令查找网络上的计算机，试图感染更多用户电脑。病毒名称采用上级目录，或者是当前窗口的标题，增加欺骗性。

如上所介绍的，因为发现及时所以我只进行了如下处理：
删除C:/Documents and Settings/All Users/「开始」菜单/程序/启动/启动.scr
删除C:/WINDOWS/FONTS/B1EDA.com（注意这个只能通过搜索找到，且名字不是固定的）
删除注册表中HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/TempCom
删除D:/net.txt
资料中别的问题我没有遇到。病毒起因未明。