千家论坛_弱电智能化技术与工程讨论(建筑智能,家居智能,人工智能)

路由交换
收藏本版 (7) |订阅

路由交换 今日: 3703 |主题: 18312|排名: 28 

发新帖
打印 上一主题 下一主题

[转帖]AV终结者分析报告...

[复制链接]
h24arb 发布于: 2008-4-15 15:39 620 次浏览 0 位用户参与讨论
跳转到指定楼层

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。

   %Windir%              WINDODWS所在目录
    %DriveLetter%            逻辑驱动器根目录
    %ProgramFiles%           系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%       当前用户文档根目录
    %Temp%             \Documents and Settings
                      \当前用户\Local Settings\Temp
    %System32%            系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32   

 

四、 清除方案:

       1使用安天木马防线可彻底清除此病毒(推荐)

       http://www.antiy.com

       2手工清除请按照行为分析删除对应文件,恢复相关系统设置。

        (1) 使用ATOOL“进程管理关闭病毒进程

        (2) 删除病毒文件

           %System32%\msosiocp.dll 

        %System32%\Setup\en_1072.bin                        

%Temp%\tmp1.tmp                            

%Temp%\tmp2.tmp                             

%Temp%\tmp3.tmp        

        (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项

删除[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers]下的winsync32子键

删除[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID]下的{AE27505C-C46F-4eb2-9A17-5D1E1F46BC09}{50632D5C-B71B-4ba0-B012-3DC6F15C011B}子键

删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下的{AE27505C-C46F-4eb2-9A17-5D1E1F46BC09}{50632D5C-B71B-4ba0-B012-3DC6F15C011B}

删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

\Image File Execution Options]下的

360rpt.exe360safe.exe360safebox.exe360tray.exeadam.exeAgentSvr.exeAppSvc32.exeautoruns.exeavconsol.exeavgrssvc.exeAvMonitor.exeavp.comavp.exeCCenter.execcSvcHst.exeEGHOST.exeFileDsty.exeFTCleanerShell.exeFYFireWall.exeHijackThis.exeIceSword.exeiparmo.exeIparmor.exeisPwdSvc.exekabaload.exeKaScrScn.SCRKASMain.exeKASTask.exeKAV32.exeKAVDX.exeKAVPF.exeKAVPFW.exeKAVSetup.exeKAVStart.exeKISLnchr.exeKMailMon.exeKMFilter.exeKPFW32.exeKPFW32X.exeKPfwSvc.exeKRegEx.exeKRepair.comKsLoader.exeKVCenter.kxpKvDetect.exeKvfwMcl.exeKVMonXP.kxpKVMonXP_1.kxpkvol.exekvolself.exeKvReport.kxpKVScan.kxpKVSrvXP.exeKVStub.kxpkvupload.exekvwsc.exeKvXP.kxpKvXP_1.kxpKWatch.exeKWatch9x.exeKWatchX.exeMagicSet.exemcconsol.exemmqczj.exemmsk.exeNavapsvc.exeNavapw32.exenod32.exenod32krn.exenod32kui.exeNPFMntor.exeOllyDBG.EXEOllyICE.EXEPFW.exePFWLiveUpdate.exeprocexp.exeQHSET.exeQQDoctor.exeQQKav.exeRas.exeRavMonD.exeRavStub.exeRawCopy.exeRegClean.exeRegTool.exerfwcfg.exerfwmain.exerfwProxy.exerfwsrv.exerfwstub.exeRsAgent.exeRsaupd.exeruniep.exesafebank.exesafeboxTray.exesafelive.exescan32.exeshcfg32.exeSmartUp.exeSREng.EXEsymlcsvc.exeSysSafe.exeTrojanDetector.exeTrojanwall.exeTrojDie.kxpUIHost.exeUmxAgent.exeUmxAttachment.exeUmxCfg.exeUmxFwHlp.exeUmxPol.exeUpLive.exevsstat.exewebscanx.exeWinDbg.exe子键

 

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册 新浪微博登陆 千家通行证登陆

本版积分规则

千家智客微信号
千家智客微信
玩物说商城
玩物说商城