病毒名称:Trojan.Delf.rsd <瑞星><MACFEE.卡巴不报> MD5 216a3783443fc9c46fe4d32aa13c390f 测试时间:2007-5-3 更新时间:2007-5-3 本贴首发:http://lxp1984.5d6d.com
运行后病毒样本,自动复制副本到%SYSTEMroot%目录下
%SYSTEMroot%\flashplay.dll %SYSTEMroot%\ge_1237.exe X:\flashplay.dll X:\readme.txt.exe X:\autorun.inf X指非系统盘符 %systemroot%是环境变量,
autorun.inf里面的内容: [autorun] open=.\readme.txt.exe shell\1=Open shell\1\Command=.\readme.txt.exe shell\2\=Browser shell\2\Command=.\readme.txt.exe shellexecute=.\readme.txt.exe [autorun] open=.\readme.txt.exe shell\1=Open shell\1\Command=.\readme.txt.exe shell\2\=Browser shell\2\Command=.\readme.txt.exe shellexecute=.\readme.txt.exe
运行IE,%SYSTEMroot%\ge_1237.exe连接网络: IP地址:125.91.104.177 端口为:80 IP地址:59.45.180.5 端口为:37 IP地址:221.238.249.18 端口为:80
|
关于弹出免费点歌,指向网址:http://img2.uiuni.com/ivr/all/index.html?uid=2722
解决方法:
1.运行ICESWORD---设置---禁止进线程创建---强制卸载被插入到explorer.exe进程及iexplore.exe进程的
C:\WINDOWS\system32\flashplay.dll |
附sreng日志:[PID: 4916][C:\WINDOWS\explorer.exe] [C:\WINDOWS\system32\flashplay.dll] [PID: 1508][C:\Program Files\Internet Explorer\iexplore.exe] [C:\WINDOWS\system32\flashplay.dll]
2.使用ICESWORD---文件---删除:
%SYSTEMroot%\flashplay.dll %SYSTEMroot%\ge_1237.exe 删除非系统盘符下 X:\flashplay.dll X:\readme.txt.exe X:\autorun.inf |
注意事项: 在使用ICESWORD删除非系统盘符下X:\readme.txt.exe的时候,会自动中止桌面进程,删除完成后,取消禁止进线程创建,使用:ctrl+ait+del调出任务管理器,选择文件--新建任务--调出桌面进程:explorer.exe
有错误,请指出。以上提到的软件请到down.45it.com下载
|