您當(dāng)前所在位置:
首頁 →
網(wǎng)絡(luò)安全 →
病毒防治 →
地下城與勇士游戲盜號木馬Trojan-PSW.Win32.OnLineGames.esmg手工清除解決方案
地下城與勇士游戲盜號木馬Trojan-PSW.Win32.OnLineGames.esmg手工清除解決方案
時間:2015-06-28 00:00:00
來源:IT貓撲網(wǎng)
作者:網(wǎng)管聯(lián)盟
我要評論(0)
- 手動解決辦法:
1.手動結(jié)束進(jìn)程
"rundll 1.exe(后綴數(shù)字1隨機(jī))"�、"NetCon.exe"�����、"NetUpdate.exe"
2.手動刪除文件
"%Temp%\rundll 1.exe(后綴數(shù)字1隨機(jī))"
"%SystemRoot%\system32\dnf0427.Fe"
"%SystemRoot%\system32\NetCon.exe"
"%SystemRoot%\system32\NetUpdate.exe"
"%SystemRoot%\system32\dnfhack.cy"
3.手動修改注冊表
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit" = "C:\WINDOWS\system32 \userinit.exe, "
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū)��,通常為"C:\"
%SystemRoot% WINDODWS所在目錄����,通常為"C:\Windows"
%Documents and Settings% 用戶文檔目錄,通常為"C:\Documents and Settings"
%Temp% 臨時文件夾�����,通常為"C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp"
%ProgramFiles% 系統(tǒng)程序默認(rèn)安裝目錄,通常為:"C:\ProgramFiles" 病毒分析:
1.獲取系統(tǒng)緩存目錄���,下載文件"http://2**.93.2**.53:81/c.css"保存為"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rundll 1.exe(后綴數(shù)字1隨機(jī))"�����。
2.判斷文件"C:\WINDOWS\system32\dnf0427.Fe"是否存在��,如果存在則退出當(dāng)前進(jìn)程。
3.查找并強(qiáng)制結(jié)束進(jìn)程"dnfchina.exe"�����、"QQLogin.exe"��、"DNF.exe"���、"LauncherUpdator.exe"����、"DNFchina.exe"����。
4.設(shè)置鍵值項(xiàng)"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit" = "C:\WINDOWS\system32 \userinit.exe,C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\\rundll 1.exe",實(shí)現(xiàn)病毒開機(jī)自啟動。
5.獲取系統(tǒng)目錄�����,創(chuàng)建文件"C:\WINDOWS\system32\dnfset.cyc"���,寫入病毒數(shù)據(jù)�。
6.執(zhí)行文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\\rundll 1.exe"��。
7.創(chuàng)建文件"c:\test.bat"����,寫入批處理命令并執(zhí)行,將病毒主程序和自身文件刪除��。
8."C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\\rundll 1.exe"運(yùn)行之后:
(1)創(chuàng)建文件"C:\WINDOWS\system32\drivers\etc\hosts"��。
(2)將自身拷貝重命名為"C:\WINDOWS\system32\NetCon.exe"��、"C:\WINDOWS\system32\NetUpdate.exe"����。執(zhí)行文件"NetCon.exe",監(jiān)視進(jìn) 程"NetUpdate.exe"如果被結(jié)束則重新創(chuàng)建此進(jìn)程��。
(3)創(chuàng)建文件"C:\WINDOWS\system32\dnfhack.cy",寫入記錄數(shù)據(jù)���。
(4)設(shè)置消息鉤子��、讀取游戲配置數(shù)據(jù)�����、截取游戲賬號密碼等信息發(fā)送到指定的主機(jī)���。
病毒創(chuàng)建文件:
"%Temp%\rundll 1.exe(后綴數(shù)字1隨機(jī))"
"%SystemRoot%\system32\dnf0427.Fe"
"%SystemRoot%\system32\drivers\etc\hosts"
"%SystemRoot%\system32\NetCon.exe"
"%SystemRoot%\system32\NetUpdate.exe"
"%SystemRoot%\system32\dnfhack.cy"
病毒修改注冊表:
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit"
病毒訪問網(wǎng)絡(luò):
"http://1**.147.141.**8:808/GetMeInfo.aspx?act=2"
"http://aq.qq.com/cn2/safe_service/my_game_prot"
"http://dnf.qq.com/act/a20110511safe_mode/index.htm"
"http://1**.60.203.*2:5566/f/w11/get.asp"
http://2**.93.2**.53:81/c.css關(guān)鍵詞標(biāo)簽:盜號木馬,解決方案
相關(guān)閱讀
熱門文章
![發(fā)Rootkit.Ads.i 和Trojan.DL.Mach.c病毒如何清除]()
發(fā)Rootkit.Ads.i 和Trojan.DL.Mach.c病毒如何清除
![殺毒36計之手動清除PcShare木馬_PcShare木馬清除方法]()
殺毒36計之手動清除PcShare木馬_PcShare木馬清除方法
![注冊表被修改的原因及解決辦法]()
注冊表被修改的原因及解決辦法
![卡巴斯基2017/2016破解版_kaspersky卡巴斯基2015/2014/2013/2012/2011/2010激活碼/授權(quán)許可文件Key]()
卡巴斯基2017/2016破解版_kaspersky卡巴斯基2015/2014/2013/2012/2011/2010激活碼/授權(quán)許可文件Key
人氣排行
卡巴斯基2017激活教程_卡巴斯基2017用授權(quán)文件KEY激活的方法(完美激活)
解決alexa.exe自動彈出網(wǎng)頁病毒
卡巴斯基2017破解版_Kaspersky卡巴斯基2017激活碼/授權(quán)許可文件Key
comine.exe 病毒清除方法
ekrn.exe占用CPU 100%的解決方案
木馬下載者Trojan-Downloader.Win32.FakeFolder.c手工清除解決方案
發(fā)Rootkit.Ads.i 和Trojan.DL.Mach.c病毒如何清除
一招搞定幾萬種木馬----→ 注冊表權(quán)限設(shè)置
