病毒后门(datmps.dll)手动解决方法
病毒后门(datmps.dll)手动解决方法
发布时间:2016-12-26 来源:查字典编辑
摘要:主要行为:1、释放文件:C:WindowsSystem32datmps.dll21,984byteC:WindowsSystem32wlit...

主要行为:

1、释放文件:

C:WindowsSystem32datmps.dll21,984byte

C:WindowsSystem32wlite.sys8,816bytes

2、添加启动项:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonNotifydatmps]

DllName=6461746D70732E646C6C0000

Startup="datmps"

Impersonate=0x00000001

Asynchronous=0x00000001

MaxWait=0x00000001

NGIX="[1062522C5803A23AD]"

6461746D70732E646C6C0000解密得:datmps.dll

3、注册驱动:

[HKEY_LOCAL_MACHINESYSTEMControlSet001ServiceswliteSecurity]

Security=01001480900000009C000000140000003000000002001C000100000002801400FF010F000101

00000000000100000000020060000400000000001400FD01020001010000000000051200000000001800

FF010F0

[HKEY_LOCAL_MACHINESYSTEMControlSet001Serviceswlite]

Type=0x00000001

Start=0x00000001

ErrorControl=0x00000000

ImagePath="system32wlite.sys"

DisplayName="WMV9Codec"

4、添加注册表,保证安全模式依然加载:

[HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootMinimalwlite.sys]

(Default)="Driver"

[HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootNetworkwlite.sys]

(Default)="Driver"

5、调用IE傀儡进程,后台连接外部:rushprot***.net

解决方法:

1、下载PowerRmv,后断开网络连接:

如下:

2、依次删除C:WindowsSystem32datmps.dll和wlite.sys。

3、删除启动项(开始菜单-运行-输入“regedit”进入注册表依次找到说明选项并按提示操作):

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonNotifydatmps]

推荐文章
猜你喜欢
附近的人在看
推荐阅读
拓展阅读
相关阅读
网友关注
最新病毒查杀学习
热门病毒查杀学习
实用技巧子分类