|
病毒名称:Trojan.Delf.rsd <瑞星><MACFEE.卡巴不报>
MD5 216a3783443fc9c46fe4d32aa13c390f
测试时间:2007-5-3
更新时间:2007-5-3
本贴首发:http://lxp1984.5d6d.com
运行后病毒样本,自动复制副本到%SYSTEMroot%目录下
%SYSTEMroot%\flashplay.dll
%SYSTEMroot%\ge_1237.exe
X:\flashplay.dll
X:\readme.txt.exe
X:\autorun.inf
X指非系统盘符
%systemroot%是环境变量,
autorun.inf里面的内容:
[autorun]
open=.\readme.txt.exe
shell\1=Open
shell\1\Command=.\readme.txt.exe
shell\2\=Browser
shell\2\Command=.\readme.txt.exe
shellexecute=.\readme.txt.exe
[autorun]
open=.\readme.txt.exe
shell\1=Open
shell\1\Command=.\readme.txt.exe
shell\2\=Browser
shell\2\Command=.\readme.txt.exe
shellexecute=.\readme.txt.exe
运行IE,%SYSTEMroot%\ge_1237.exe连接网络:
IP地址:125.91.104.177 端口为:80
IP地址:59.45.180.5 端口为:37
IP地址:221.238.249.18 端口为:80
|
关于弹出免费点歌,指向网址:http://img2.uiuni.com/ivr/all/index.html?uid=2722
解决方法:
1.运行ICESWORD---设置---禁止进线程创建---强制卸载被插入到explorer.exe进程及iexplore.exe进程的
| C:\WINDOWS\system32\flashplay.dll |
附sreng日志:[PID: 4916][C:\WINDOWS\explorer.exe]
[C:\WINDOWS\system32\flashplay.dll]
[PID: 1508][C:\Program Files\Internet Explorer\iexplore.exe]
[C:\WINDOWS\system32\flashplay.dll]
2.使用ICESWORD---文件---删除:
%SYSTEMroot%\flashplay.dll
%SYSTEMroot%\ge_1237.exe
删除非系统盘符下
X:\flashplay.dll
X:\readme.txt.exe
X:\autorun.inf | 
注意事项:
在使用ICESWORD删除非系统盘符下X:\readme.txt.exe的时候,会自动中止桌面进程,删除完成后,取消禁止进线程创建,使用:ctrl+ait+del调出任务管理器,选择文件--新建任务--调出桌面进程:explorer.exe
有错误,请指出。以上提到的软件请到down.45it.com下载
|
