后门程序 Rpcsdm.exe Rpcsdm.dll的手动清除
电脑软硬件应用网 45IT.COM 时间:2007-06-26 08:50 作者:海色の月
病毒名称:Backdoor.Win32.Delf.ash(Kaspersky)
病毒别名:Trojan.PSW.OnlineGames.bus(瑞星)
Win32.PSWTroj.QQRob.294912(毒霸)
病毒大小:93,111 字节
加壳方式:NSPack
样本MD5:ccf430b16c210acd088489651b61c394
样本SHA1:e597c6fb210a5b27ae16babd40040ccc9477bd50
发现时间:2007.6
更新时间:2007.6.6
关联病毒:
传播方式:其它病毒、木马下载
技术分析
==========
变种:后门程序 Rpcsexe.exe Rpcsexe.dll 的手动清除
运行后复制自身到系统目录:
%System%\Rpcsdm.exe
同时释放dll文件:
%System%\Rpcsdm.dll
使用bat批处理%temp%\delmeexe.bat删除原文件:
@echo off
:loop
del "原文件"
del "%temp%\delmeexe.bat"
if exist %temp%\delmeexe.bat goto loop |
创建服务:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSddm]
显示名:Remote Procedure Call System(RPCSdm)
描述:管理并控制RPCdm服务数据库。
可执行文件的路径:%System%\Rpcsdm.exe |
调用IE进程(iexplore.exe)访问远程服务器。
清除步骤
==========
1. 删除服务:(步骤:开始菜单-运行-输入“regedit”)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSddm]
2. 重新启动计算机
3. 删除文件:(可到down.45it.com下载费尔木马强制删除器工具进行强制删除)
%System%\Rpcsdm.exe
%System%\Rpcsdm.dll
|
------分隔线----------------------------
无法在这个位置找到: baidushare.htm
