当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||
Trojan.Win32.Agent.bld(Mcshie1d.exe)病毒手动解决 | |||
2007-7-29 13:32:22 文/孤独更可… 出处:孤独更可靠博客 | |||
文件名称:fixfile.exe 文件大小:161792 byte AV命名:Trojan.Win32.Agent.bld(瑞星) 依赖平台:Windows(9X以上系统) 加壳方式:PECompact 2.x 编写语言:Borland Delphi 6.0 - 7.0 病毒类型:后门 文件MD5:493f2774a0d46300304139212c63f0bd 文件SHA1:da39a3ee5e6b4b0d3255bfef95601890afd80709 传播方式:网络,U盘等移动介质。
1、释放病毒文件: C:\Windows\system32\compobj32.dll 559616 字节 C:\Windows\system32\fixfile.exe 61792 字节 C:\Windows\system32\WMDSINFO.dll 19697 字节 C:\Windows\system32\Mcshie1d.exe 170496 字节 2、修改注册表: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run <WinLogon><fixfile.exe> HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon <Userinit><C:\windows\system32\userinit.exe,Mcshie1d.exe> 附依注册表启动。 3、反向连接222.73.11.1** 上海市 电信IDC机房(外高桥) 应该是个后门,不过未做其他举动。 4、Mcshie1d.exe驻进程,检测移动介质介入,并尝试在目录生成Autorun.inf和Recyc1ed文件夹。 Autorun.inf内容: open=Recyc1ed\Mcshie1d.exe
C:\Windows\system32\compobj32.dll 559616 字节 C:\Windows\system32\fixfile.exe 61792 字节 C:\Windows\system32\WMDSINFO.dll 19697 字节 5、控制Explorer.exe进程。当自身被结束时,由Explorer.exe再次激活。 如果无检测到Mcshie1d.exe ,则激活\fixfile.exe 。
到down.45its.com下载:sreng2.zip和IceSword120_cn.zip(以下称:冰刃)
2、结束掉进程中Mcshie1d.exe ,后使用冰刃“文件”功能删除(详细步骤:打开冰刃-文件-依次找到病毒文件删除即可):
C:\Windows\system32\fixfile.exe C:\Windows\system32\WMDSINFO.dll C:\Windows\system32\Mcshie1d.exe 每个磁盘下的Autorun.inf和Recyc1ed文件夹。 3、设置冰刃,重启并监视。 4、重启后打开SREng,它会提示你userinit.exe被非法修改,点确定自动修复。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <WinLogon><fixfile.exe> [] |
|||
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |