dropper病毒的处理方法

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

病毒特征和建议:如果计算机同时按CTRL+ALT+Del 打开【Windows任务管理器】,点击进程,若发现以下进程:hmisvc32.exe、email.exe、oi.exe、ctsvccd.exe、adservice.exe、 msmonk32.exe、gesfm32.exe,你的计算机可能已经感染了W32.randex2、W32.spybot脚本间谍蠕虫病毒、Trojan.dropper点滴木马等病毒。 若计算机已安装了最新版本的防病毒软件,它可以自动把这些病毒删除或隔离。 最后再提醒要注意对病毒的防范和维护好网络的安全,平时收取电子邮件对于不熟悉的邮件和邮件附件不要轻易打开,可以直接删除的就删除!对于一些非法的网页也要注意,要求安装插件的尽量不装,同时对于操作系统也要经常打补丁(特别是安全补丁)。 解决方法1: 1 关闭系统还原的功能(windows Me/xp) 2 连上网络更新你的病毒库 3 更新完后重新开机[按F8],并且关机到安全模式或者VGA模式 4 执行全盘扫描,并且删除侦测到有感染病毒的所有档案,不要手软!! 5 删除被病毒自行增加到启动项的注册表值



病毒名称:AntiVir :TR/Dropper.Gen

病毒大小:29.6 KB (30,384 字节)
MD5码:BA67CFF74A34BA7E9AE21016CEDF811E
病毒类型: AUTO类木马
主要传播方式: 网络
测试平台: WinXP SP3系统 (默认Shell为BBlean) EQSecurity(HIPS) 实机
危害程度:高


病毒行为:

运行后会修改系统时间

2008-08-23 19:28:22 修改系统时间
进程路径:F:\\Once\\wm001\\wm001.exe
更改后系统时间:1987-8-23 11:28
触发规则:所有程序规则->*




创建病毒副本 HASH值一致

1987-08-23 19:29:08 创建文件
进程路径:F:\\Once\\wm001\\wm001.exe
文件路径:C:\\windows\\system\\llzjy080822.exe
触发规则:所有程序规则->文件阻止及保护->?:\\*.exe




各盘根目录创建exe autorun.inf

1987-08-23 19:29:08 创建文件
进程路径:F:\\Once\\wm001\\wm001.exe
文件路径:D:\\auto.exe
触发规则:所有程序规则->文件阻止及保护->?:\\*.exe

1987-08-23 19:29:08 创建文件
进程路径:F:\\Once\\wm001\\wm001.exe
文件路径:D:\\AutoRun.inf
触发规则:所有程序规则->文件阻止及保护->?:\\autorun.inf




创建启动项

1987-08-23 19:29:09 创建注册表值
进程路径:F:\\Once\\wm001\\wm001.exe
注册表路径:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\run
注册表名称:[Key]
触发规则:所有程序规则->系统设置->*\\Software\\Microsoft\\Windows\\Currentversion\\Policies*




在启动菜单创建病毒副本 HASH值一致

1987-08-23 19:29:09 创建文件
进程路径:F:\\Once\\wm001\\wm001.exe
文件路径:C:\\Documents and Settings\\Administrator\\「开始」菜单\\程序\\启动\\dfjje.

exe
触发规则:所有程序规则->Documents a
nd Settings->?:\\Documents and Settings\\*\\「开始」菜单\\*




创建DLL

1987-08-23 19:29:11 创建文件
进程路径:F:\\Once\\wm001\\wm001.exe
文件路径:C:\\windows\\system\\dljj32a.dll
触发规则:所有程序规则->文件阻止及保护->?:\\*.dll




调用IE

1987-08-23 19:35:00 运行应用程序
进程路径:F:\\Once\\wm001\\wm001.exe
文件路径:C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE
触发规则:所有程序规则->进程保护->C:\\Program Files\\Internet Explorer\\IEXPLORE.exe



控制IE

1987-08-23 19:35:15 修改其它进程内存 操作:阻止
进程路径:F:\\Once\\wm001\\wm001.exe
目标进程:C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE
触发规则:所有程序规则->进程保护->C:\\Program Files\\Internet Explorer\\IEXPLORE.exe




修改系统时间为正常时间

2008-08-23 19:29:11 修改系统时间
进程路径:F:\\Once\\wm001\\wm001.exe
更改后系统时间:2008-8-23 11:29
触发规则:所有程序规则->*




创建BAT

2008-08-23 19:29:11 创建文件
进程路径:F:\\Once\\wm001\\wm001.exe
文件路径:C:\\dfDelmlljy.bat
触发规则:所有程序规则->文件阻止及保护->?:\\*.bat



BAT内容

:try
del "F:\\Once\\wm001\\wm001.exe"
ping 127.0.0.1 >nul
if exist "F:\\Once\\wm001\\wm001.exe" goto try
del %0


通用病毒清除步骤:

1.关闭系统还原功能:点击我的电脑,选中C盘,点击右键,选择关闭系统还原,重启电脑进入安全模式;
2.使用killbox或Xdelbox文件强力删除工具清除杀毒软件警报的相关病毒文件
3.清除IE临时文件,工具》Internet选项》清除临时文件;
4、下载金山毒霸(或其他杀毒软件)安装并全盘查杀中了TR/Dropper.Gen木马病毒了病毒(注意:为了避免病毒被杀毒软件清除后又重复出现,故建议在安全模式查杀即:重新启动按F8进入安全模式);


这个毒可以尝试用AVAST!或是麦咖啡查杀。小红伞不行的。

相关文档
最新文档