警惕木马Dropper病毒链接非法网站(转)[@more@] Trojan-Dropper.Win32.Agent该病毒运行后,衍生病毒文件到系统目录下。添加注册表启动项,以达到开机加载病毒体的目的。连接某网址:update.*****.cn(***.208.170.72) ,jump.*****.cn:80(***.241.97.33)。下载病毒文件到本机运行,添加系统服务项,插入IE的BHO对象。并衍生文件到%System32Drivers%目录下,造成卸载困难。
清除方案:
1、建议使用安天木马防线可彻底清除此病毒(推荐)
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
cdnup.exe
(2) 删除病毒衍生文件
%Program Files%CNNIC
%WINDOWSsystem32%cdndisp.tmp
%WINDOWSsystem32%cdnns.dll
%WINDOWSsystem32%cdnprot.dat
%WINDOWSsystem32drivers%cdnprot.sys
%Documents and Settings用户名Local SettingsTemp\%1C
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunCdnCtr 键值: 字符串:"%ProgramFiles%CNNICCdncdnup.exe"
HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects 键值: 字符串: “%programfiles%cnniccdncdnforie.dll”
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicescdnprotDescriptionName 键值: 字符串: "cdnprot"
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicescdnprotImagePath 键值: 类型: REG_EXPAND_SZ 长度: 29 (0x1d) 字节 system32driverscdnprot.sys.
清除方案:
1、建议使用安天木马防线可彻底清除此病毒(推荐)
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
cdnup.exe
(2) 删除病毒衍生文件
%Program Files%CNNIC
%WINDOWSsystem32%cdndisp.tmp
%WINDOWSsystem32%cdnns.dll
%WINDOWSsystem32%cdnprot.dat
%WINDOWSsystem32drivers%cdnprot.sys
%Documents and Settings用户名Local SettingsTemp\%1C
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunCdnCtr 键值: 字符串:"%ProgramFiles%CNNICCdncdnup.exe"
HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects 键值: 字符串: “%programfiles%cnniccdncdnforie.dll”
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicescdnprotDescriptionName 键值: 字符串: "cdnprot"
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicescdnprotImagePath 键值: 类型: REG_EXPAND_SZ 长度: 29 (0x1d) 字节 system32driverscdnprot.sys.
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/10617731/viewspace-958988/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/10617731/viewspace-958988/