1222.exe病毒清除办法及1222.exe专杀下载
<BR><P><FONT size=2><STRONG><FONT size=3>1222.exe</FONT></STRONG>病毒样本rxmoefa.exe 是在各个分区下的病毒安装文件。<BR><BR>运行rxmoefa.exe<BR>创建进程wqdlitd.exe和shulbhs.exe<BR>注册表run下加入wqdlitd和shulbhs两个启动项<BR>修改checkvalue=0使隐藏文件不能显示<BR>添加Image File Execution Options项如下(映象劫持)添加见附1。<BR>除c盘外每个盘下写入autorun.inf和rxmoefa.exe<BR>system32下释放文件dld.dat(内容为http://www.5460w.cn/xzz/0603.exe<BR>,稍后你会看到wqdlitd.exe从这个网址下载罪恶的0603.exe)meex.com wqdlitd.exe和shulbhs.exe<BR>该病毒没有发现添加服务、驱动也没有插入dll线程<BR><BR><BR><STRONG><FONT size=3>1222.exe病毒清除办法及1222.exe专杀下载解决方法:</FONT></STRONG><BR></FONT></P>
<P><FONT size=2>终止两个进程(两个线程相互保护,需要icesword禁用线程创建然后结束掉),使用sreng或运行注册表<BR><BR>删除wqdlitd和shulbhs两个启动项,在注册表中将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden<BR><BR>\SHOWALL]下checkvalut改为1,使其显示隐藏文件(我在iceword下查看文件的,这一步纯粹为了修复系<BR><BR>统),将下的这个项全部删除(删后杀毒软件就可以用了)<BR>system32下删除dld.dat meex.com wqdlitd.exe和shulbhs.exe<BR>删除各个盘下autorun.inf和rxmoefa.exe<BR><BR><BR>总结:分析完觉得没什么,我在太平洋上写过一个7个字母随机文件名的病毒,它们是一摸一样的东西。链接如下,那时是5月27号。<BR>http://softbbs.pconline.com.cn/topic.jsp?tid=7154371<BR>以上为该病毒运行后无其它多于操作的症状,网络为开启状态。<BR><BR><BR><BR>就在我以为自己算是重复做了同样事情的时候,病毒出现了新行为: wqdlitd.exe 突然试图调用system32下0603.exe(这个文件突然出现的,刚运行病毒的时候并没有0603.exe这个文件,事实上 wqdlitd.exe 每隔一段时间会下载并运行它,该文件没有隐藏),之后explorer会调用C:\Documents and Settings\xulong\Local Settings\Temp\0222.exe<BR>0222.exe会在C:\Program Files\Common Files\Microsoft Shared\MSInfo 注入SysWFGQQ2.dll,并在注册表添加启动项<BR>explorer继续调用调用C:\Documents and Settings\xulong\Local Settings\Temp\1222.exe<BR>1222.exe修改如下程序内存C:\WINDOWS\system32\smss.exe csrss.exe winlogon.exe services.exe <BR><BR>lsass.exe svchost.exe spoolsv.exe explorer.exe shulbhs.exe ctfmo.exe wqdlitd.exe 之后你会发现,它修改的是所有在运行程序的内存(目的不详)。<BR></p><p align='center'><b><font color='red'></font> <a href='http://www.hotbus.cn/it/200707/2632_2.html'></a> <a href='http://www.hotbus.cn/it/200707/2632_2.html'>下一页</a> </b></p> <BR>
页:
[1]