文件名称:随机命名 文件大小:98304 bytes AV命名:Trojan.Win32.Pakes.btu Kaspersky 加壳方式:未知 病毒类型:IRCBot 行为: 1、释放病毒副本: C:\windows\system32\izlosminud.exe 98304 bytes 2、添加注册表,开机启动: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run <izlosminud><C:\windows\system32\izlosminud.exe> 文件名为随机字母组成。 3、注册系统服务,以服务方式加载: 项名称: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ix6yyugoa 值 1 值 2 值 3 值 4 值 5 服务名称为随机命名 4、连接IRC服务器(8irc.*s\8irc.*7)接受远程控制,不过未见其他举动。 5、扫描64.233.*.* —66.249.*.*网段,可能会利用其他漏洞传播该病毒。 另外感染此病毒的计算机会向外部提交一些信息,如PC版本、物理内存、用户名称等等 解决方法: 1、下载SREng(可到down.45it.com下载) 2、直接放桌面,断开网络连接。 3、打开SREng,删除注册表启动项: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 注意,这个名称是随机的,不固定,自己变通。。 4、用SREng删除服务项,名称也是随机的。。: 例如: [Print Spooler Service / ix6yyugoa][Stopped/Auto Start] Print Spooler Service这个是固定的。 5、重启计算机,删除C:\windows\system32\随机命名的病毒.exe。 PS:如无法清除则进安全模式 |