1、释放病毒文件:
C:/Windows/PictureAlbum2007.zip 62116 字节(压缩包)
C:/Windows/system32/awtqrpn.dll(名字可能会不一样)
C:/WINNT/system32/prodigys323.dll(名字可能会不一样)
这3个是主体,后来下载的病毒自己用杀软解决``
2、注册表修改,实现Dll无载体启动:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad]
<prodigy1><prodigys323.dll> []
3、连接Irc.oc256.***(英国)IRC服务器下载木马(未下载全)
好像下了3个这样子。
由注入进程的prodigys323.dll完成,并隔段时间检测PictureAlbum2007.zip是否存在。
如不在则从IRC服务器重新下载。
4、会在MSN聊天对话中随机发送图1内容文字并和PictureAlbum2007.zip一起发送。
解决方法:
网上搜索MSN蠕虫专杀,不能杀掉的话,看下面:
下载冰刃和SREng(点击进入下载页面):
SREng2.5冰刃
1、断开网络,关闭不需要的进程。
2、首先打开SREng,查找例如下面的启动项,并记住它们的名字(这点注意):
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad]
<prodigy1><prodigys323.dll> []
prodigys323.dll这个可能名字不一样。名字在百度、google等搜索不到。
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
<{F4002052-AB29-4B33-8C8D-0E99084564EC}><C:/Windows/system32/fccdbbc.dll> []
这个是其中一个木马释放的,名字可能也不一样!
F4002052-AB29-4B33-8C8D-0E99084564EC也不相同,注意区别哈。
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify/fccdbbc]
<WinlogonNotify: fccdbbc><fccdbbc.dll> []
同上,名字可能会不一样。
3、重启电脑,再次打开SREng,如果上述启动项已不在的话,把对应的文件删除就可以了。
并且删除C:/Windows/PictureAlbum2007.zip压缩包。
4、如果上述启动项还在的话,按F3查找它们名字。
(也可以到Windows和system32目录下选择以“按日期”排列图标,当然最后几个就有可能是病毒(图2)
找到后用冰刃禁止线程创建删除文件和他们的注册表项,后用“重启并监视”关闭系统。
5、升级杀软,再全盘扫。(12号的杀软报的还不是很多)
图1:
图2:
图3:
转自:孤独更可靠博客