河南信息港

当前位置:

7939com病毒清除方法

2019/04/30 来源:河南信息港

导读

檔案編號:CISRT病毒名称:r(Kaspersky)病毒别名:病毒大小:31,744 字节加壳方式:UPX样本MD5:

檔案編號:CISRT

病毒名称:r(Kaspersky)

病毒别名:

病毒大小:31,744 字节

加壳方式:UPX

样本MD5:e7addcce5060ab1b9e4ecf62ef8f64e1

发现时间:2006.08

更新时间:2006.08.28

关联病毒:

传播方式:通过恶意站传播,通过其它病毒/木马下载

技术分析

==========

e运行后复制自身到系统目录%System%\e,在%Windows%目录下生成bat批处理删除原文件:

CODE:[Copy to clipboard]:try

del "e"

if exist "e" goto try

del %0

e释放%System%\l,尝试插入e进程。

创建启动项:

CODE:[Copy to clipboard][HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"e"="%System%\e"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"e"="%System%\e"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT\Windows\CurrentVersion\Winlogon]

"Shell"="e %System%\e"

修改IE主页:

CODE:[Copy to clipboard][HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Start Page"=""

设置注册表信息:

CODE:[Copy to clipboard][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown\info]

"vvad"="0"

以上注册表信息和%System%\l文件大约每2秒会监视恢复。

这个东西会结束下列进程:

e

e

e

e

e

e

e

e

e

尝试关闭窗口:

瑞星注册表监控提示

主动防御 警报

AVP

访问络,从获得信息,尝试从下载更新版本。

清除步骤

==========

1. 结束%System%\e进程

2. 结束%Windows%\e进程

3. 通过任务管理器或其它进程管理工具把%Windows%\e再运行起来,这样%System%\l就没有被加载了

4. 删除文件:

%System%\e

%System%\l

5. 删除病毒添加的启动项:

CODE:[Copy to clipboard][HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"e"="%System%\e"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"e"="%System%\e"

6. 删除病毒添加的注册表信息:

CODE:[Copy to clipboard][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown]

7. 恢复IE主页

常州实施首例微创双镜联合切除胃肿瘤
YouTube接近盈利阶段酷6网欲效仿
网络现招聘女性安全套测试员要求大度活泼
标签