Red de conocimiento informático - Conocimiento del nombre de dominio - ¡El malware resuelve el problema!

¡El malware resuelve el problema!

Método de limpieza

Haga clic derecho en Mi PC-Propiedades-Restaurar sistema-Marque "Desactivar Restaurar sistema en todas las unidades"

Descargue un software llamado unlocker, que es muy pequeño, y luego Instalar. Busque el archivo de virus, haga clic derecho, seleccione Desbloquear y Desbloquear. Luego puedes eliminar los archivos de virus.

Esta es una variante del virus cmdbcs.exe.

Número de archivo: CISRT2007013

Nombre del virus: Trojan-PSW.win32.onlinegames.es (Kaspersky)

Alias ​​del virus: win32 pswtroj. nl 38912 (tirano de las drogas)

win32. p >

win32 . gamespy n . PSW.ZhengTu.ack(Rising)

Tamaño del virus: 38.965.438+02 bytes

13.312 bytes

13.824 palabras Sección

13, 312 bytes

Método de desembalaje: nsPack

Muestra MD5: 5c 862035 ea 9a 852 D2 fa 8 ab 9 a 83 c 72 f 43.

91 c 88 a3 c 26078 bbb8e 436 e 903 Abd 9259

7715ab 150 a 978 abca 8 BDC 0 EC 6 f 41c 1 E3

e 9e 85 EC 1e5b 831cf 587 c 707315b 2 BD 25

Muestra sha 1:EC 51 d0f 5419 a53c a 412f 851 d5c 51 db 646d 0 b 6.

D5 fc 629 CD 55 de 5a 60 a 4 f 3352 de 23 bb 9 f 31a 7915f

4d 24 F7 c 8579 d6a 2060 e7c 866 f 788 a6 baa 353 de 25

c4e 151eb 1 CEA 92 FD 988 ef 7 e 75209 c 073 c 7 ca 2c 7b

Por razones de brevedad, no presentaré este virus, solo hablaré sobre su principio de funcionamiento. Y métodos de limpieza:

Hay muchos virus en esta solución que se comportan como la variante cmdbcs.exe del troyano CISRT2007005 de la solución cmdbcs.dll.

Después de ejecutarse, el troyano se copia en el directorio del sistema:

% Windows %\run 1132.exe

o

% Windows %\msdccrt.exe

o

%Windows%\wsvbs.exe

o

%Windows%\cmdbcs. exe

Libere el proceso de inyección del archivo de la biblioteca dll:

% System %\ ejecute 1132. dll

o

%System%\ mdddsccrt.dll

o

%System%\wsvbs.dll

o

%System%\cmdbcs.dll

Crear proyecto de inicio:

[Copiar al portapapeles] Código: [HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ versión actual \ Ejecutar]

" ejecutar 1132 " = " % Windows % \ run 1132 .exe "

o

[Copiar al portapapeles]Código:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\current version\ Run]

" msdccrt " = " % Windows % \ msdccrt . exe "

O

[Copiar al portapapeles]Código:[HKEY_ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ versión actual \ Ejecutar]

" wsvbs"="%Windows%\wsvbs.exe "

o

[Copiar al portapapeles] Código: [ HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ versión actual \ Ejecutar]

" cmdbcs"="%Windows%\cmdbcs.exe "

Pasos de limpieza

==========

1. Eliminar elementos de inicio del troyano:

[Copiar al portapapeles] Código: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ versión actual\Ejecutar]

" run 1132 " = " % Windows % \ run 1132 . exe "

O

[Copiar al portapapeles]Código:[ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\current version\Run]

" msdccrt " = " % Windows % \ msdccrt .exe "

o

[Copiar al portapapeles]Código:[HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ versión actual \ Ejecutar]

" wsvbs"="%Windows%\wsvbs.exe "

O

[Copiar al portapapeles]Código:[HKEY_LO

CAL_MACHINE\SOFTWARE\Microsoft\Windows\actual version\Run]

" cmdbcs"="%Windows%\cmdbcs.exe "

2. >

3. Elimine el archivo troyano:

% Windows %\ run 1132. exe

% System %\ run 1132. dll

o

p>

% Windows % \ msdccrt.exe

%System%\mdddsccrt.dll

o

%Windows%\wsvbs. exe

%System%\wsvbs.dll

o

%Windows%\cmdbcs.exe

%System%\cmdbcs. dll

上篇: Introducción del producto de software de gestión de empresas publicitarias 下篇: ¿Qué tal la escuela primaria afiliada a la escuela secundaria Guangzhou Peiying?

Artículos populares