当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||
softmuma.exe感染型下载者病毒的分析清除 | |||
2007-6-24 17:56:56 文/mopery 出处:计算机安全资讯 | |||
文件名称: softmuma.exe [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 其他行为: 病毒运行cmd命令,关闭系统自带防火墙 /c net stop sharedaccess
病毒修改系统时间为:
2002年 3月3日 19:02
访问网络下载病毒 http://0001.0168xxx.cn/1.exe http://0001.0168xxx.cn/2.exe http://0001.0168xxx.cn/3.exe http://0001.0168xxx.cn/4.exe http://0001.0168xxx.cn/5.exe http://0001.0168xxx.cn/6.exe http://0001.0168xxx.cn/7.exe http://0001.0168xxx.cn/8.exe http://0001.0168xxx.cn/9.exe http://0001.0168xxx.cn/10.exe http://0001.0168xxx.cn/11.exe http://0001.0168xxx.cn/12.exe http://0001.0168xxx.cn/13.exe http://0001.0168xxx.cn/14.exe http://0001.0168xxx.cn/15.exe http://0001.0168xxx.cn/16.exe 下载完成后存放在%windows%目录下,而后运行 病毒搜索C.D.E.F.G盘内 .htm/.asp/.php 网页文件,插入恶意代码: <iframe src={URL} width=0 height=0></iframe> 搜索感染后生成文本用于记录 %ProgramFiles%\NetMeeting\c.txt %ProgramFiles%\NetMeeting\d.txt %ProgramFiles%\NetMeeting\e.txt %ProgramFiles%\NetMeeting\f.txt %ProgramFiles%\NetMeeting\g.txt 清除方法: 1.删除文件(如提示不能删除,可到down.45its.com下载费尔木马强制删除器工具.zip 进行强制删除) %System%\softmuma.exe %ProgramFiles%\NetMeeting\c.txt %ProgramFiles%\NetMeeting\d.txt %ProgramFiles%\NetMeeting\e.txt %ProgramFiles%\NetMeeting\f.txt %ProgramFiles%\NetMeeting\g.txt 2.删除病毒启动项(开始菜单-运行-输入“msconfig”-启动选项卡禁用softmuma.exe项) [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Mick"="%System%\softmuma.exe" 3.在安全模式使用反病毒软件全盘扫描清除病毒(重启系统长按F8直到出现提示,然后选择进入安全模式) 4.修改回系统时间 5.使用工具或手工修改被感染的网页文件 备注:此病毒最难清除的部分就是被修改的网页文件 |
|||
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |