Win32.Hack.Unknown.b.102400
发布网友
发布时间:2024-10-22 09:11
共1个回答
热心网友
时间:2024-11-23 21:56
%System%\netdde32.exe
释放dll注入进程:
%Windows%\KB9269O6.log
创建映像劫持:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe]
"Debugger"="%System%\netdde32.exe"
并监视恢复。
尝试访问网络下载广告程序并安装。
Win32.Hack.Unknown病毒是木马病毒,病毒运行后,会下载大量病毒,破坏系统及安全模式,并在各盘符中生成
auto病毒,使用户不经意就触发病毒。不规律的占用系统资源。
1.病毒运行后,生成以下病毒文件
在%windows%下产生多个病毒文件,如:GHO.bat、GHO.inf、ILTZ.bat、ILTZ.inf、IOTZ.bat、IOTZ.inf
在%systemdir%下产生多个病毒文件,如:loveRabbit~.exe、msexch400.dll、Rabbit.exe
%systemdir%\CatRoot2\tmp.edb
2.有病毒添加到启动项中,相关信息如下:
启动项名:MSMSGS 对应路径:%Program Files%\Messager\msmsgs.exe
3.系统资源被病毒进程不规律的占用。
4.各盘符添加auto病毒,包括Rabbit.exe和autorun.inf文件,并且都为隐藏属性。只要用户在打开该盘
采取左键双击打开,病毒随之触发,建议用户遇到auto病毒时,右键打开盘符然后删除auto病毒所指向的
病毒文件。
5.病毒具有破坏安全模式的功能,使用户无法进入安全模式。
6.病毒会屏蔽"任务管理器"的功能。
7.不断下载大量病毒到系统盘中。
清除步骤
==========
1. 重命名木马文件:
%System%\netdde32.exe
%Windows%\KB9269O6.log
2. 复制一份%Windows%\Explorer.exe,并将复制的Explorer.exe重命名为netdde32.exe存放到%System%目录中
3. 重新启动计算机
4. 删除重命名过的木马文件:
%System%\netdde32.exe
%Windows%\KB9269O6.log
5. 删除新建的%System%\netdde32.exe
6. 删除木马创建的映像劫持
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe]
"Debugger"="%System%\netdde32.exe"
