加载中…
个人资料
Hades_Expolit
Hades_Expolit
  • 博客等级:
  • 博客积分:0
  • 博客访问:94,641
  • 关注人气:18
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
相关博文
推荐博文
谁看过这篇博文
加载中…
正文 字体大小:

Trojan-Dropper.Win32.Agent专杀

(2008-08-25 23:42:54)
标签:

it

分类: 毒笼

通过Trojan-Dropper.Win32.Agent分析了 BCT、BDO、AXT、BNV、AHN等变种后

以下为查杀方法:

此病毒   进安全模式杀毒软件配合360   可以查杀不部分的变种

另外需要360修复漏洞   并且关掉系统还原

安天木马防线对这种病毒的查杀能里不错

==============手动删除方法==============

首先断网   关闭系统还原(我的电脑--属性--还原--关闭)清空IE临时文件夹

以下有就进行 没就.继续(不同变种    进程、文件都不同)
(1)先结束进程:

abc.exe
novel.exe
upnpsvc.exe
internat.exe
cdnup.exe
(2) 删除病毒衍生文件
%Program Files%CNNIC
%WINDOWSsystem32%cdndisp.tmp
%WINDOWSsystem32%cdnns.dll 
%WINDOWSsystem32%cdnprot.dat
%WINDOWSsystem32drivers%cdnprot.sys

%Windir% cc123.dll
%Windir% abc.exe
%System32%odyedknsvgaapyz.dll
%System32%downsss.ini

%WinDir%sclgntfys.dll
%WinDir%winamps.dll
%WinDir%SysSun1Ghook.dll
%WinDir%SysSun1svchost.exe
%WinDir%cmdbcs.exe
%WinDir%gv.dll
%WinDir%mppds.exe
%WinDir%javhavm.exe
%WinDir%msccrt.exe
%WinDir%rising390.exe
%WinDir%shualai.exe
%WinDir%winform.exe
%System32%upnpsvc.exe
%System32%systemt.exe
%System32%systemm.exe
%System32%SMSSS.exe
%System32%servet.exe
%System32%MSTCS.exe
%System32%alg32.exe
%System32%.exe
%WINDOWS%syssun1*.*
%System32%syswm7*.*
%System32%system.setupq*.*
%System32%systemsysbacks*.*
%Documents and settings% 当前用户名 local settingstemp*.*

  %Documents and Settings用户名Local SettingsTemp
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunCdnCtr 键值: 字符串:"%ProgramFiles%CNNICCdncdnup.exe"
HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects 键值: 字符串: “%programfiles%cnniccdncdnforie.dll”
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicescdnprotDescriptionName 键值: "cdnprot" HKEY_LOCAL_MACHINESYSTEMControlSet001ServicescdnprotImagePath 键值: 类型: REG_EXPAND_SZ 长度: 29 (0x1d) 字节 system32driverscdnprot.sys
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUMWdfmgrDescription
       Value: String: " 启用 windows 用户模式驱动程序。 "
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUMWdfmgrDisplayName
       Value: String: "Windows User Mode Driver"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUMWdfmgrImagePath
       Value: Type: REG_EXPAND_SZ Length: 46 (0x2e) bytes
       rundll32.exe C:WINDOWSwinamps. dll _start@16.
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunmsupdate
       Value: String: "%WINDOWS%AntiAdwa.exe other"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonNotifysclgntfysDllName
       Value: String: "%WINDOWS%sclgntfys.dll
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunc4
       Value: String: "%WINDOWS%AntiAdwa.exe other"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRuncmdbcs
       Value: String: "%WINDOWS%cmdbcs.exe "
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRuncmdbs
       Value: String: "%WINDOWS%cmds.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunjavhavm
       Value: String: "%WINDOWS%javhavm.exer"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunKernelFaultcheck
       Value: String: "%WINDOWS%system32dumprep.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunmppds
       Value: String: "%WINDOWS%mppds.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunpxdnd
       Value: String: "%Documents and settings% 当前用户
       localsettingstempwin4.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunshualai
       Value: String: "%WINDOWS%shualai.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRuntestrun
       Value: String: "%WINDOWS%testexe.exer"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunupxdndq
       Value: String: "%Documents and settings% 当前用户localsettingstempupxdnd.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRunsun
       Value: String: "%WINDOWS%syssun1svchost.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRunwm         Value: String: "%WINDOWS%syswm7svchost.exe"

HKEY_CURRENT_USERSoftwareValveHalf-LifeSettings
HKEY_LOCAL_MACHINESOFTWAREClassesCLSIDHKEY_LOCAL_MACHINESOFTWAREClassesCLSID\@
Value: String: ""
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID\InprocServer32@
Value: String: "C:WINDOWSsystem32odyedknsvgaapyz.dll"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
ExplorerBrowser Helper Objects\

(4)把以下内容.保存为****.reg,再双击导入

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsinternat.exe]

"Debugger"="internat.exe"

(5)修复系统漏洞

0

阅读 评论 收藏 转载 喜欢 打印举报/Report
  • 评论加载中,请稍候...
发评论

    发评论

    以上网友发言只代表其个人观点,不代表新浪网的观点或立场。

      

    新浪BLOG意见反馈留言板 电话:4000520066 提示音后按1键(按当地市话标准计费) 欢迎批评指正

    新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

    新浪公司 版权所有