病毒标签:
Virus name: Backdoor. Win32.VB.qm
病毒类型:后门
文件MD5:72 ea 975 ba 1113594 dad 3a 1c 8 aecc 72 CB
披露范围:完全披露。
危险等级:中等。
文件长度:262,144字节
感染系统:Windows98或以上。
开发工具:Microsoft Visual Basic 5.0/6.0
外壳类型:无
命名控制:Symentec[无]
Mcafee[Generic BackDoor.b]
病毒描述:
在注册表和%System32% '下新健和释放四个文件:' %System32% '' svchost32.exe '' mswinsck.ocx '' regsvr32.dll '' svcloader.exe '
清洁方案:
1.使用安田木马防线可以彻底清除此病毒(推荐)。
2.如需手动清理,请根据行为分析删除相应文件,并恢复相关系统设置。
(1)使用安田木马防线的“进程管理”关闭病毒进程。
(2)删除病毒文件
%WINNT%System32svchost32.exe
%WINNT%System32mswinsck.ocx
%WINNT%System32regsvr32.dll
%WINNT%System32svcloader.exe
(3)恢复被病毒修改的注册表项,删除被病毒添加的注册表项。
HKEY_LOCAL_MACHINESOFTWAREClassesexefile
shellopencommand@
键值:字串:' svcloader.exe ' % 1 ' % * '
已更改为:键值:字符串:“% 1“% *”
HKEY_CURRENT_USERSoftwareMicrosoftWindows
ShellNoRoamMUICache
键值:字串:' svchost 32 '=% Windows % system32 SVC主机。可执行程序的扩展名
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID
{248DD896-BB45-11CF-9ABC-0080C7E7B78D}InprocServer32@
键值:字串:' MSWINSCK '=% WINDOWS % system32 MSWINSCK .OCX
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID
{248DD897-BB45-11CF-9ABC-0080C7E7B78D}InprocServer32@
键值:字串:' MSWINSCK '=% WINDOWS % system32 MSWINSCK .OCX
HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib
{248DD890-BB45-11CF-9ABC-0080C7E7B78D}1.0win32@
键值:字串:' MSWINSCK '=% WINDOWS % system32 MSWINSCK .OCX