Trojan.DL.Agent.ncd(1.exe/小心有鬼.pif)病毒的手动解决_电脑软硬件应用网

首页·电脑学院·电脑故障·操作系统·硬件教程·局域网技术·QQ技巧·网络安全·办公软件· 数据库

导航·设计学院·图像处理·网页设计·软件教程·服务器技术·笔记本·专家装机·网络编程·在线问答

当前位置：电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文

Trojan.DL.Agent.ncd(1.exe/小心有鬼.pif)病毒的手动解决

Trojan.DL.Agent.ncd(1.exe/小心有鬼.pif)病毒的手动解决

2007-6-18 17:35:52　　文/ixigua 　　出处:网友博客　　

　　病毒名称：Trojan.DL.Agent.ncd（rising报毒名称）样本名字：小心有鬼.txt.exe,文件图标是记事本图标
　　病毒大小：216,379 字节(原始样本)
　　加壳方式：()
　　MD5：55A7929CBA30824EFE8AFC6F35D4FB14
　　SHA1：E403D50B0267F4770666408EC10E5CA56CB07A1F

　　该病毒首先在用户桌面上生成 1.exe/小心有鬼.pif(病毒副本) 和小心有鬼，胆小勿看.txt（文本文件，内容为：

恭喜你中毒了，呵呵！！！！！！）

　　将自身释放到系统目录（替换系统文件）
    C:\WINDOWS\system32\severe.exe
    C:\WINDOWS\system32\tgejsy.exe
    C:\WINDOWS\system32\drivers\cwyumh.exe（替换系统文件）
    C:\WINDOWS\system32\drivers\conime.exe（替换系统文件）

　　生成下面两个文件
　　C:\WINDOWS\system32\tgejsy.dll
　　C:\WINDOWS\system32\hx1.bat

　　利用U盘传播：
　　X:\OSO.exe
　　X:\autorun.inf

　　修改注册表键值：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue" = 0（建议改为1）

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
　　"cwyumh" = %SYSTEM%\TGEJSY.EXE
　　"tgejsy" = %SYSTEM%\SEVERE.EXE

　　SYSTEM.INI\BOOT
　　"SHELL" = EXPLORER.EXE %SYSTEM%\DRIVERS\CONIME.EXE

　　修改 C:\WINDOWS\system32\drivers\etc\hosts 文件，以阻止中毒用户访问安全论坛或升级安全软件，添加以下内

容（需手动删除）
127.0.0.1         mmsk.cn
127.0.0.1         ikaka.com
127.0.0.1         safe.qq.com
127.0.0.1         360safe.com
127.0.0.1       www.mmsk.cn
127.0.0.1       www.ikaka.com
127.0.0.1         tool.ikaka.com
127.0.0.1       www.360safe.com
127.0.0.1         zs.kingsoft.com
127.0.0.1         forum.ikaka.com
127.0.0.1         up.rising.com.cn
127.0.0.1         scan.kingsoft.com
127.0.0.1         kvup.jiangmin.com
127.0.0.1         reg.rising.com.cn
127.0.0.1         update.rising.com.cn
127.0.0.1         update7.jiangmin.com
127.0.0.1         download.rising.com.cn
127.0.0.1         dnl-us1.kaspersky-labs.com
127.0.0.1         dnl-us2.kaspersky-labs.com
127.0.0.1         dnl-us3.kaspersky-labs.com
127.0.0.1         dnl-us4.kaspersky-labs.com
127.0.0.1         dnl-us5.kaspersky-labs.com
127.0.0.1         dnl-us6.kaspersky-labs.com
127.0.0.1         dnl-us7.kaspersky-labs.com
127.0.0.1         dnl-us8.kaspersky-labs.com
127.0.0.1         dnl-us9.kaspersky-labs.com
127.0.0.1         dnl-us10.kaspersky-labs.com
127.0.0.1         dnl-eu1.kaspersky-labs.com
127.0.0.1         dnl-eu2.kaspersky-labs.com
127.0.0.1         dnl-eu3.kaspersky-labs.com
127.0.0.1         dnl-eu4.kaspersky-labs.com
127.0.0.1         dnl-eu5.kaspersky-labs.com
127.0.0.1         dnl-eu6.kaspersky-labs.com
127.0.0.1         dnl-eu7.kaspersky-labs.com
127.0.0.1         dnl-eu8.kaspersky-labs.com
127.0.0.1         dnl-eu9.kaspersky-labs.com
127.0.0.1         dnl-eu10.kaspersky-labs.com

　　解决方法：

　　1.到down.45its.com下载IceSword120_cn.zip删除以下文件：

    C:\WINDOWS\system32\severe.exe
    C:\WINDOWS\system32\tgejsy.exe
    C:\WINDOWS\system32\drivers\cwyumh.exe（此处替换系统文件）
    C:\WINDOWS\system32\drivers\conime.exe（此处替换系统文件）
　　C:\WINDOWS\system32\tgejsy.dll
　　C:\WINDOWS\system32\hx1.bat：
　　X:\OSO.exe
　　X:\autorun.inf

　　2.开始菜单－运行－输入“Regedit”打开注册表编辑器依次打开以下选项

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue" = 0（建议改为1）

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
　　"cwyumh" = %SYSTEM%\TGEJSY.EXE（此处删除）
　　"tgejsy" = %SYSTEM%\SEVERE.EXE（此处删除）

　　SYSTEM.INI\BOOT
　　"SHELL" = EXPLORER.EXE %SYSTEM%\DRIVERS\CONIME.EXE（此处删除）

　　3.打开C:\WINDOWS\system32\drivers\etc\hosts，删除分析中提到的劫持

上一篇文章： visin.exe病毒的手动清除教程

下一篇文章： vbjava.exe,LYLoader.exe,nwizdh.exe,mydata.exe等病毒清除教程

最新热点		最新推荐		相关文章
				删不掉的"淘宝图标"来侵教你删"淘宝… 微软高危漏洞"快捷方式自动执行"手工… acad.vlx删除方法 360se.exe病毒清除解决方案 regedit32.exe 病毒清除解决方案 3874jr98.exe,long.exe等病毒清除解… RG8.tmp病毒清除解决方案 139ujf939.exe,2.exe等病毒清除解决… EntSoQn.exe病毒清除解决方案 360safess.net.exe等病毒清除解决方…