转帖:警惕泽拉丁变种病毒
Email-Worm.Win32.Zhelatin.bl病毒运行后,从某互联网地址下载病毒病毒体到本机运行,并添加注册表自动运行项与系统服务项、修改LSP,以达到随系统启动的目的。通过内建的SMTP蠕虫程序连接到互联网SMTP服务器,获得需要伪造的邮件信息,进而大量发送垃圾邮件,严重占用网络资源。
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
adirka.exe
sm.exe
dd.exe
(2) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
删除下列新建项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lnwin.exe Value: String: "%System32%\lnwin.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysinter Value: String: "%System32%\ adirss.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\adirka Value: String: "%System32%\adirka.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000012\
…………..
…………..
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000023\
恢复下列修改项:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001\PackedCatalogItem
…………..
…………..
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\0000000000011\PackedCatalogItem
恢复键值为:
%SystemRoot%\system32\mswsock.dll
(3) 删除病毒衍生文件
%WinDir%\pp.exe
%WinDir%\via.exe
%System32%\adirka.dll
%System32%\adirka.exe
%System32%\adirss.exe
%System32%\dd.exe
%System32%\lnwin.exe
%System32%\ma.exe.exe
%System32%\pfxzmtaim.dll
%System32%\pfxzmtforum.dll
%System32%\pfxzmtgtal.dll
%System32%\pfxzmticq.dll
%System32%\pfxzmtsmt.dll
%System32%\pfxzmtsmtspm.dll
%System32%\pfxzmtwbmail.dll
%System32%\pfxzmtymsg.dll
%System32%\pp.exe.exe
%System32%\rsvp32_2.dll
%System32%\sfxzmtforum.dll
%System32%\sfxzmtsmt.dll
%System32%\sfxzmtsmtspm.dll
%System32%\sfxzmtwbmail.dll
%System32%\sm.exe
%System32%\sporder.dll
%System32%\svcp.csv
%System32%\wincom32.ini
%System32%\winsub.xml
%System32%\zlbw.dll
%System32%\zu.exe.exe
%Temporary Internet Files%/zu.exe
%Temporary Internet Files%/via.exe
%Temporary Internet Files%/sm.exe
%Temporary Internet Files%/pp.exe
%Temporary Internet Files%/pp.exe
%Temporary Internet Files%/ma.exe
%Temporary Internet Files%/dd.exe
相关链接请参见:http://antiy.com/security/report/20070320.htm
| 欢迎光临 千家论坛_智能建筑与智能家居技术交流社区 (http://bbs.qianjia.com:8020/) | Powered by Discuz! X3.2 |