关于system.2dt,NewInfo.rxk等的查杀(清除)_电脑软硬件应用网_国内最受关注的计算机应用解决中心

首页·电脑学院·电脑故障·操作系统·硬件教程·局域网技术·QQ技巧·网络安全·办公软件· 数据库

导航·设计学院·图像处理·网页设计·软件教程·服务器技术·笔记本·专家装机·网络编程·在线问答

当前位置：电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文

关于system.2dt,NewInfo.rxk等的查杀(清除)

关于system.2dt,NewInfo.rxk等的查杀(清除)

2007-4-18 8:13:19　　文/本站整理… 　　出处:电脑软硬件应用网　　

　　一，问题提出：电脑软硬件应用网电脑门诊栏目NO.2281提问：

Newinfo木马
软件类别:后台自动下载其他恶意程序强制安装,无法彻底删除
出品公司:未知
文件路径:C:\PROGRA~1\COMMON~1/MSINFO\SYSTEM.2DT

　　二，病毒分析(以下表格中分析情况由冰冷铁窗博客，孤单每一天原创):

病毒大小：21,929 字节

病毒种类：键盘记录木马

加壳方式：UPX 0.89.6 - 1.02 / 1.05 - 1.24 ＋修改程序入口点

编写语言：Borland Delphi 6.0 - 7.0

指纹效验：

SHA-160        : C64507BB60497774670B6A2B1BD02A106EEE3067
MD5            : 8F8EA016A7D0D2FE3EF1BB338DA8D087
RIPEMD-160     : FB8B9BDAEB64A869521A47AC0DC478B8E313DEC5
CRC-32         : 14E94F72

测试平台：win2000PROSP4+VM

病毒行为：

病毒system.bat运行后在%Program Files%\Common Files\Microsoft Shared\MSInfo\目录下生成NewInfo.bak、NewInfo.rxk、system.2dt三个文件，经测试system.2dt为system.bat的副本文件，NewInfo.bak为NewInfo.rxk的备份文件（ＰＳ：现在的病毒可是花样百出，ｂａｋ都想到了），将NewInfo.rxk作为线程注入到explorer.exe进程中，修改注册表达到自启动目的。

注册表修改：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{A6011F8F-A7F8-49AA-9ADA-49127D43138F}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk>

　　三，病毒查杀(在孤单每一天原文基础上进行补充和修改)：

　　找到病毒释放的路径(如该网友的病毒路径：C:\PROGRA~1\COMMON~1/MSINFO\SYSTEM.2DT
)，删除以下文件：NewInfo.bak、system.2dt，使用SysCheck2(下载地址：down.45its.com)对进程管理中的explorer.exe进程下面的模块NewInfo.rxk进行强制删除(操作方法：右击－选择卸载模块并删除文件选项)，当文件删除后会发现该模块还会驻留内存即ｅｘｐｌｏｒｅｒ仍然在调用，不理会（到硬盘中删除system.2dt文件，如找不到可以使用系统自带的搜索），直接到病毒目录下查看，如果文件已经被删除，就可以清理注册表(开始菜单－运行－regedit.exe－找到“孤单每一天”分析的结果中注册表修改的项目，删除该项即可)，最后使用360安全卫士进行系统清理，进行以上操作后重启电脑－－杀毒完毕。

上一篇文章： Trojan.Psw.Misc.Kjm(235780m.bmp)病毒的快捷清除方法

下一篇文章： shualai.exe病毒及手工查杀流程

最新热点		最新推荐		相关文章
				删不掉的"淘宝图标"来侵教你删"淘宝… 微软高危漏洞"快捷方式自动执行"手工… acad.vlx删除方法 360se.exe病毒清除解决方案 regedit32.exe 病毒清除解决方案 3874jr98.exe,long.exe等病毒清除解… RG8.tmp病毒清除解决方案 139ujf939.exe,2.exe等病毒清除解决… EntSoQn.exe病毒清除解决方案 360safess.net.exe等病毒清除解决方…