|
一:分析解决:
样本名:RavMon.exe
病毒名:Trojan.Agent.afz
文件大小:49,242 字节
%Windir%\SVCHOST.EXE
%Windir%\SVCHOST.INI
利用移动硬盘传播(不要双击硬盘盘符,也不要右击磁盘)
X:\AutoRun.inf
X:\RavMon.exe
接着生成 %Windir%\MDM.EXE 病毒文件,其信息如下:
样本名:MDM.EXE
病毒名:Trojan.Agent.ajm
加壳:(无)
文件大小:22,016 字节
同时修改注册表:
1 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"Hidden" = 0x00000002
2 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue" = 0
3 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"SVCHOST" = C:\WINDOWS\MDM.EXE
其中AutoRun.inf文件内容:
[AutoRun]
open=***
shell\open=打开(&O)
shell\open\Command=***
shell\explore=资源管理器(&X)
shell\explore\Command="***-e"
二:手动清除步骤:
1.到down.45it.com下载费尔木马强制删除器工具.zip 依次删除以下文件并选择抑制删除
|
%Windir%\SVCHOST.EXE
%Windir%\SVCHOST.INI
X:\AutoRun.inf
X:\RavMon.exe
%Windir%\MDM.EXE |
2.开始菜单-运行-输入“regedit”,依次删除橙色字体部分
|
1 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"Hidden" = 0x00000002
2 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue" = 0
3 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"SVCHOST" = C:\WINDOWS\MDM.EXE | 3.重启,搞掂!最后还是建议到down.45it.com下载360安全卫士将系统清理下!
|
