病毒标签:
病毒名称:后门。Win32.VB.qm
病毒类型:后门
MD5:72ea 975 ba 1113594 dada 3a 1c 8 ACC 72 CB
披露范围:完全披露。
危险等级:中等。
文件长度:262,144字节
感染:Windows98或以上版本
开发工具:微软Visual Basic 5.0/6.0
外壳类型:无
名称比较:Symentec[无]
迈克菲[通用后门程序. b]
病毒描述:
该病毒属于特洛伊木马。病毒运行后,将原病毒副本复制到%System32%,删除原病毒副本,修改注册表,达到自启动的目的。在注册表和%System32% '下,新建并释放四个文件:“% system32%”、“svchost32.exe”、“mswinsock.ocx”、“regsvr32.dll”、“svcloader.exe”
清除方案:
1.使用安田木马防线可以彻底清除此病毒(推荐)。
2.手动清理。请根据行为分析删除相应文件,并恢复相关系统设置。
(1)使用安田木马防线‘进程管理’关闭病毒进程。
(2)删除病毒文件。
%WINNT%System32svchost32.exe
%WINNT%System32mswinsck.ocx
%WINNT%System32regsvr32.dll
%WINNT%System32svcloader.exe
(3)恢复被病毒修改的注册表项,删除被病毒添加的注册表项。
HKEY _本地_机器软件类文件
shellopencommand@
键值:字符串:“svcloader.exe ' % 1 ' % *”
已更改为:键值:字符串:“% 1“% *”
HKEY _当前_用户软件微软视窗
ShellNoRoamMUICache
键值:字符串:“svchost 32”=% windows % system32svchost.exe
HKEY _本地_机器软件类
{ 248 DD 896-BB45-11CF-9 ABC-0080 c 7 e 7 b 78d } in proc server 32 @
键值:字符串:“mswinsock”=% windows % system32m Winsock . ocx
HKEY _本地_机器软件类
{ 248 DD 897-BB45-11CF-9 ABC-0080 c 7 e 7 b 78d } in proc server 32 @
键值:字符串:“mswinsock”=% windows % system32m Winsock . ocx
HKEY _本地_机器软件类别类型
{ 248 DD 890-BB45-11CF-9 ABC-0080 c 7 e 7 b 78d } 1.0 win32 @
键值:字符串:“mswinsock”=% windows % system32m Winsock . ocx
