-
您的位置:首页 → 网络冲浪 → 系统安全 → Trojan-Dropper.Win32.Agent.rcg病毒分析与解决方案
Trojan-Dropper.Win32.Agent.rcg病毒分析与解决方案
时间:2008/5/15 10:16:00来源:本站整理作者:我要评论(0)
-
Trojan-Dropper.Win32.Agent.rcg病毒分析与解决方案
该病毒运行后释放副本和其他病毒文件到%system%文件夹下,添加注册表创建服务,删除安全模式,破坏用户磁盘中的exe文件,被破坏的文件不能被修复。超级巡警团队提醒广大用户,要经常使用超级巡警进行全盘扫描,以保证系统不受恶意程序困扰。 | | 一、病毒相关分析: | | 病毒标签: 病毒名称:Trojan-Dropper.Win32.Agent.rcgTrojan-Dropper.Win32.Agent.rcg 病毒类型:木马 危害级别:5 感染平台:Windows 病毒大小:57,344(字节) SHA1 :0D40C453E837B4D143535CD77E4240CBA9AD8220 加壳类型:无壳 开发工具:Windows MFC
| | 病毒行为: 1、下载的病毒运行后释放文件 %system%\12520438.cpx %system%\SWEAMBR.exe(随机名) %system%\LZ8IZB57V53.txt(随机名) %system%\W8NB71BWQR.com(随机名) %SystemDrive%\W8NB71BWQR.com(随机名)
2、添加注册表创建名为C55AM、SWEAMBR的服务 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\C55AM3] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SWEAMBR] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\C55AM3] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SWEAMBR] 删除注册表的安全模式 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\ {4D36E967-E325-11CE-BFC1-08002BE10318}] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\ {4D36E967-E325-11CE-BFC1-08002BE10318}] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ {4D36E967-E325-11CE-BFC1-08002BE10318}] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ {4D36E967-E325-11CE-BFC1-08002BE10318}]
3、破坏除了%SystemDrive%目录以外的exe文件,破坏后无法修复
| | 二、解决方案 | | 手工清除方法: 1、删除病毒生成的文件: %system%\12520438.cpx %system%\SWEAMBR.exe(随机名) %system%\LZ8IZB57V53.txt(随机名) %system%\W8NB71BWQR.com(随机名) %SystemDrive%\W8NB71BWQR.com(随机名) 2、删除病毒添加的注册表 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\C55AM3] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SWEAMBR] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\C55AM3] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SWEAMBR]
| 三、安全建议 | 1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。 2、使用超级巡警的补丁检查功能,及时安装系统补丁。 3、禁用或删除不必要的的帐号,对管理员帐号设置一个强壮的密码。 4、不要随便打开不明来历的电子邮件,尤其是邮件附件。 5、不要随意下载不安全网站的文件并运行。 6、下载和新拷贝的文件要首先进行查毒。 7、不要轻易打开即时通讯工具中发来的链接或可执行文件。 8、做好系统和重要数据的备份,以便能够进行系统和数据灾难恢复。 | | 注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,在WindowsNT/2000/XP/2003/VISTA中该变 量指%Windir%\System32。其它: %SystemDrive% 系统安装的磁盘分区 %SystemRoot% = %Windir% WINDODWS系统目录 %ProgramFiles% 应用程序默认安装目录 %AppData% 应用程序数据目录 %CommonProgramFiles% 公用文件目录 %HomePath% 当前活动用户目录 %Temp% =%Tmp% 当前活动用户临时目录 %DriveLetter% 逻辑驱动器分区 %HomeDrive% 当前用户系统所在分区 |
|
相关阅读
木马名为Trojan-PWS-Nslog强迫火狐保存用户密码Trojan.Nilage.akh删除方法Trojan.DL.Age 病毒专杀病毒监测发现广告类恶意木马程序新变种Trojan_Startpage.BFL告诉你Trojan.Win32是什么怎样删除木马病毒Trojan-Downloader.Win32.Agent.banuAnti-Trojan Shield:构筑反木马盾牌黑鲨2pro手机发布会直播地址 黑鲨2pro发布会直播网址
-
热门文章
福特汽车求贤若渴!挖
最新文章
福特汽车求贤若渴!挖京东618图书开门红战报
前置仓成新业态,传统零售应全面拥抱win7怎么整理磁盘碎片 win7整理磁盘碎片方法qq修复工具怎么用alg.exe是什么进程?能不能关闭?
人气排行
alg.exe是什么进程?能不能关闭?qq修复工具怎么用如何更改ie收藏夹地址位置(路径)无光驱,无U盘启动,怎样重装系统?nsis error是什么?及解决方法Generic Host Process for Win32 开机后总是六种修复崩溃后WindowsXP系统的技巧NetBT_Tcpip_{E1DB84B0-CED9-4013-9D0 上的
查看所有0条评论>>