遭遇www.investpoll.net病毒附手动删除方法
遭遇www.investpoll.net病毒附手动删除方法
发布时间:2016-12-26 来源:查字典编辑
摘要:中毒后释放下列文件到中招的电脑中:C:WINDOWSsystem32candoall.exeC:WINDOWSsystem32alldele...

中毒后释放下列文件到中招的电脑中:

C:WINDOWSsystem32candoall.exe

C:WINDOWSsystem32alldele.ini

C:WINDOWSsystem32allinstall.exe

C:WINDOWSsystem32allread.ini

C:WINDOWSsystem32hideme.sys

C:WINDOWSsystem32MASSLTUAS35.DLL

C:WINDOWSsystem32masxml32.dll

C:WINDOWSsystem32passsd.exe

C:WINDOWSsystem32低价充会员.url

C:WINDOWSsystem32低价充钻.url

还有,IE临时文件夹中一堆乱七八糟的病毒相关文件。

IceSword(可到down.45it.com下载)进程列表中可见红字显示的C:WINDOWSsystem32candoall.exe进程(隐藏)以及iexplore.exe进程。

candoall.exe通过80端口访问网络,反复打开http://www.investpoll.net/这个主页。

这个病毒的C:WINDOWSsystem32hideme.sys功能还行,XDELBOX通过剪贴板导入上述病毒文件时,均报告文件不存在。常用的方法(如:用WINRAR查看文件)也找不到这些病毒文件。

中招后注册表改动内容如下:

HKEY_CLASSES_ROOTAllDll.AllBHO

HKEY_CLASSES_ROOTAllDll.AllBHO.1

HKEY_CLASSES_ROOTCLSID{0EE2B1C1-0357-4175-A2E1-8E8E1A033AE5}

HKEY_CLASSES_ROOTCLSID{1798BEA6-E891-46B7-A1F8-C15780D0A023}

HKEY_CLASSES_ROOTCLSID{6233543C-2323-456A-A169-2E9C5E6E977B}

HKEY_CLASSES_ROOTInterface{E44384ED-10F7-49FD-A210-41C9BD4A119C}

HKEY_LOCAL_MACHINESOFTWAREMicrosoftCommandProcessor

"AutoRun"="C:windowssystem32candoall.exe"

HKEY_CLASSES_ROOTTypeLib{04750F2D-DE63-4790-90F4-C5CE892E5AA4}1.0win32

@="C:windowssystem32masxml32.dll"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2R

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2{f7b74df2-e1a1-11db-8a2e-806d6172696f}

HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoamBags6Shell

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetHardwareProfiles001SoftwareMicrosoftwindowsCurrentVersionInternetSettings

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtStats{0045D4BC-5189-4B67-969C-83BB1906C421}

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtStats{00C6482D-C502-44C8-8409-FCE54AD9C208}

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtStats{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtStats{08B0E5C0-4FCB-11CF-AAA5-00401C608501}

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtStats{1798BEA6-E891-46B7-A1F8-C15780D0A023}

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtStats{5CA3D70E-1895-11CF-8E15-001234567890}

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtStats{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtStats{8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3}

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtStats{92780B25-18CC-41C8-B9BE-3C9C571A8263}

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtStats{D1A4DEBD-C2EE-449F-B9FB-E8409F9A0BC5}

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtStats{F040E541-A427-4CF7-85D8-75E3E0F476C5}

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceshideme

其中:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftCommandProcessor

"AutoRun"="C:windowssystem32candoall.exe"

这种加载方式还不多见。

用IceSword()的手工杀毒流程:

1、结束C:WINDOWSsystem32candoall.exe以及iexplore.exe进程。

2、删除下列文件(详细步骤:打开冰刃(IceSword)-文件-依次找到病毒文件删除即可):

C:WINDOWSsystem32candoall.exe

C:WINDOWSsystem32alldele.ini

C:WINDOWSsystem32allinstall.exe

C:WINDOWSsystem32allread.ini

C:WINDOWSsystem32hideme.sys

C:WINDOWSsystem32MASSLTUAS35.DLL

C:WINDOWSsystem32masxml32.dll

C:WINDOWSsystem32passsd.exe

C:WINDOWSsystem32低价充会员.url

C:WINDOWSsystem32低价充钻.url

清空IE临时文件夹。

3、删除病毒添加的上述注册表内容(见本文前部,(打开冰刃(IceSword)-注册表-依次找到病毒注册表选项删除即可))。

推荐文章
猜你喜欢
附近的人在看
推荐阅读
拓展阅读
相关阅读
网友关注
最新病毒查杀学习
热门病毒查杀学习
实用技巧子分类