readme.txt之弹出免费点歌病毒的清除方法_病毒查杀

病毒名称:Trojan.Delf.rsd <瑞星><MACFEE.卡巴不报> 

MD5   216a3783443fc9c46fe4d32aa13c390f   

运行后病毒样本,自动复制副本到%SYSTEMroot%目录下 

 %SYSTEMroot%\flashplay.dll 

%SYSTEMroot%\ge_1237.exe 

X:\flashplay.dll 

X:\readme.txt.exe 

X:\autorun.inf 

X指非系统盘符 

%systemroot%是环境变量,  

autorun.inf里面的内容: 

[autorun] 

open=.\readme.txt.exe 

shell\1=Open 

shell\1\Command=.\readme.txt.exe 

shell\2\=Browser 

shell\2\Command=.\readme.txt.exe 

shellexecute=.\readme.txt.exe 

[autorun] 

open=.\readme.txt.exe 

shell\1=Open 

shell\1\Command=.\readme.txt.exe 

shell\2\=Browser 

shell\2\Command=.\readme.txt.exe 

shellexecute=.\readme.txt.exe 

运行IE,%SYSTEMroot%\ge_1237.exe连接网络: 

IP地址:125.91.104.177        端口为:80 

IP地址:59.45.180.5            端口为:37 

IP地址:221.238.249.18          端口为:80 

关于弹出免费点歌,指向网址:http://img2.uiuni.com/ivr/all/index.html?uid=2722 

解决方法: 

1.运行ICESWORD---设置---禁止进线程创建---强制卸载被插入到explorer.exe进程及iexplore.exe进程的  C:\WINDOWS\system32\flashplay.dll  

附sreng日志: 

Code: 

[PID: 4916][C:\WINDOWS\explorer.exe]  

         [C:\WINDOWS\system32\flashplay.dll]   

[PID: 1508][C:\Program Files\Internet Explorer\iexplore.exe]  

          [C:\WINDOWS\system32\flashplay.dll]  

2.使用ICESWORD---文件---删除: 

%SYSTEMroot%\flashplay.dll 

%SYSTEMroot%\ge_1237.exe 

删除非系统盘符下 

X:\flashplay.dll 

X:\readme.txt.exe 

X:\autorun.inf 

注意事项:

在使用ICESWORD删除非系统盘符下X:\readme.txt.exe的时候,会自动中止桌面进程,删除完成后,取消禁止进线程创建,使用:ctrl+ait+del调出任务管理器,选择文件--新建任务--调出桌面进程:explorer.exe

时间: 2024-11-09 01:39:29

readme.txt之弹出免费点歌病毒的清除方法_病毒查杀的相关文章

开机CPU就是100%cmd.exe病毒进程清除方法_病毒查杀

发布时间:2007-02-09  中毒症状:      开机CPU就是100%,查进程,原来是cmd.exe 占用了绝大部分的CPU.关闭cmd.exe后,CPU实用率恢复正常.但是再次开机的时候,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU. 1.装了ewido 查杀木马,查出了几个感染目标,已删除.但是今 天早上开机,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU. 2.再装"木马清除专家2006",查杀,结果没有发现木马. 3.查system 3

autorun.inf和sbl.exe之U盘病毒的清除方法_病毒查杀

病毒生成如下文件: Code: C:\WINDOWS\system32\1.inf C:\WINDOWS\system32\chostbl.exe C:\WINDOWS\system32\lovesbl.dll 在每个分区下面创建autorun.inf和sbl.exe,并不断检测chostbl.exe的属性是否为隐藏 注册服务AnHao_VIP_CAHW 指向C:\WINDOWS\system32\chostbl.exe,达到开机启动的目的. 启动类型:自动 显示名称:A GooD DownLo

autorun.inf+无法显示隐藏文件+病毒的清除方法_病毒查杀

情况 所有盘符右键都有运行,各个盘下都会出现随机的8位的XXXXXXXX.exe和autorun.inf文件 上网搜索病毒.木马等都会被病毒关掉,无法打开nod32等杀毒 软件 无法查看隐藏文件,解决方法: 方法一:修改注册表文件(将下面的文件保存位ok.reg)运行即可 复制代码 代码如下: Windows Registry Editor Version 5.00  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ex

microsoft.exe病毒与清除方法_病毒查杀

最近用超级兔子检测出可疑程序microsoft.exe,位于C:\WINDOWS\system32下,在进程里关了 后又出现在进程里,在安全模式下删了后,重起又有了!~~请问这个是病毒吗?microsoft - microsoft.exe - 进程信息  进程文件: microsoft 或者 microsoft.exe  进程名称: GAOBOT Virus www.sstorm.cn我们的永久域名!  进程名称: microsoft.exe是高波GAOBOT病毒相关程序.该病毒利用Window

最近流行的ARP病毒彻底清除方法_病毒查杀

前几天回学校交论文,好多同学的电脑上都中了这号病毒,卡巴,瑞星也老杀不干净,后来大家通过上网找资料和请教一些高手,终于解决了,现在把经验同大家分享: 1.删除 "病毒组件释放者"程序: "%windows%\System32\LOADHW.EXE" (window xp 系统目录为:"C:\WINDOWS\System32\LOADHW.EXE" ) 2.删除 "发ARP欺骗包的驱动程序" (兼 "病毒守护程序&qu

conime.exe是什么附conime.exe病毒的清除方法_病毒查杀

非常郁闷的事情,最近conime.exe好像又红火起来了,早在2005年就有很多人问conime.exe是什么进程,是病毒吗? 1.conime.exe不一定是病毒,conime.exe是输入法编辑器,允许用户使用标准键盘就能输入复杂的字符与符号.但也不排除是bfghost1.0远程控制后门程序(伪装成conime.exe输入法进程).此程序允许攻击者访问你的计算机,窃取密码和个人数据.建议立即删除此进程.  2.这里我们介绍下正常conime.exe进程的进程信息: 出品者: 微软 属于: M

IEXPLORE.EXE--灰鸽子病毒的清除办法_病毒查杀

很多老师机器有问题,看一下进程里有一个IEXPLORE.EXE,结束进程,一会就又会出现几个,很可能是中了灰鸽子病毒,下面来贴一下此病毒的清除方法,请机器上有类似情况的老师按这个方法进行杀毒 灰鸽子病毒  灰鸽子的特点是"三个隐藏"--隐藏进程.隐藏服务.隐藏病毒文件.灰鸽子2005感染系统后,将自身注册为系统服务,并在同一目录下生成一组(3个)隐藏的病毒文件:病毒文件名可变,但有一定规律.  清除灰鸽子仍然要在安全模式下操作,主要有两步:1.清除灰鸽子的服务:2删除灰鸽子程序文件. 

IE自动弹出电影页面等的清除教程_病毒查杀

问题提出: 卡卡社区网友oralb444 提问:IE有电影页面弹出,请达人帮忙,另外请注意,有一个错误提示:.EXE Error. [wuaucll.exe "%1" %*](日志我们这里省略) 卡卡社区网友xp123回答: 1.运行SRENG--启动项目--注册表. 将:  <shell><Explorer.exe wuaucll.exe> [](注意xp123最后回馈说:该项可能不存在,如不存在可跳过) 改为 <shell><Explore

关于winasse.exe生成Win59.exe等病毒的解决方法_病毒查杀

卡巴已经提示了一早上,一开始卡巴还有"删除"的项目,到后来就只有"恢复"和"跳过"了,这个病毒,从win3.exe一直在变,只要你按跳过,20秒不到就弹出下一个组合.晕倒了啊...有图片,这个是什么病毒怎么查杀?网上查了也没有一个解决方法.高手帮忙.谢 复制代码 代码如下: HijackThis_zww汉化版扫描日志 V1.99.1  保存于 11:01:38, 日期 2006-9-12  操作系统: Windows XP SP2 (WinNT