假冒IE图标,DDOS.EXE的解决方案_病毒查杀

File size: 202239 bytes 
MD5: 3e995b27d599883173d40cd5a04af9b2 
SHA1: 0dbe1d3ae07bb5462235422537bc1b92fd33054f 
packers: UPX 
测试时间:2007-03-25
运行后病毒样本,自动复制副本到%SYSTEM%目录下
%SYSTEM%\ddos.exe
%SYSTEM%\Deleteme.bat  
注:批处理命令并没有运行,但它的目的是使用批处理命令删除病毒样本及本身,
病毒模块插入了mstsc.exe进程(通过mstsc.exe访问网络,IP地址为:121.51.75.38 下载文件或传送盗窃得手的有关信息)。
创建服务项:
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\Windows_ServerDdos1
病毒名称:
Windows_ServerDdos1 
解决方法:
1.删除服务项
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\Windows_ServerDdos1
删除:
Windows_ServerDdos1
2.重启计算机
3.删除
%SYSTEM%\ddos.exe
%SYSTEM%\Deleteme.bat     这一项自己找找,找不着就没有了,应该自动删除本身了.

时间: 2024-10-24 12:02:02

假冒IE图标,DDOS.EXE的解决方案_病毒查杀的相关文章

多个IEXPLORE.EXE进程,专杀的完美解决方案_病毒查杀

这几天电脑中了病毒,c盘格式化重装了也不管用,把我郁闷的.一开机就出现IEXPLORE.EXE的进程,强行终止后一会又出现了,卡巴斯基杀了一遍没查出来,到网上转了好几圈,发现了这样的解决方案. 现象:          1.系统开机,没有启动IE的情况下,进程中有iexplore.exe运行,注意,是小写字母:      2.搜索该程序iexplore.exe,位于C:\WINDOWS\system32下面. 解决方案:          十有八九,你是中了 Trojan.PowerSpider

恶作剧程序dudu.exe清除方法_病毒查杀

恶作剧程序dudu.exe清除解决方案 dudu.exe运行后,当前用户临时文件夹中释放一个bt0577.bat批处理文件.这是个恶作剧程序.想办法阻止此.bat运行,用记事本打开该文件,可以看到下列内容: @echo off assoc .txt=exefile assoc .exe=txtfile assoc .htm=exefile assoc .html=exefile assoc .com=txtfile assoc .gho=txtfile assoc .rar=txtfile as

1980病毒完整解决方案_病毒查杀

"最近发现个奇怪的现象,我的系统时间总被改成1980年,改回来后电脑又自动改回去了.我问了朋友,说是主板电池没电了,我买了新电池装上也没搞定,昨天竟然发现QQ被盗了."用户张先生无奈地表示. 金山毒霸反病毒专家戴光剑表示,最近类似张先生的遭遇比较多,病毒篡改系统时间,因为修改后的时间都是1980年,所以很多网友称之为"1980病毒".病毒调整系统时间的目的是关闭杀毒软件的监控功能,然后在后台下载灰鸽子运行,这样,你的机器就同时中了1980和灰鸽子两个病毒.感染灰鸽子

威金变种 rundl132.exe RichDll.dll,f1.exe,f2.exe,f3.exe,f4,exe,f5.exe,f11.exe解决方法_病毒查杀

威金变种 rundl132.exe RichDll.dll解决方法 该变种暂时还没被江民和卡巴查杀,并用了几个专杀就找到一个可查杀修复EXE文件! 病毒运行后,访问网络下载多个木马程序(f1.exe,f2.exe,f3.exe,f4.exe,f5.exe,f6.exe,f7.exe,f8.exe,f9.exe,f10.exe,f11.exe)并运行!生成以下病毒文件(感觉现在的病毒真是变态): C:\Documents and Settings\你的用户名\Local Settings\Temp

蠕虫“艾妮”情况分析和解决方案_病毒查杀

国家计算机病毒应急处理中心通过对互联网的监测发现"艾妮"复合型病毒.该病毒通过微软Windows系统ANI(动态光标)文件处理的漏洞.感染正常的可执行文件和本地网页文件.发送电子邮件.和感染优盘及及移动存储介质等途径进行传播,病毒自我传播能力很强.并且感染该病毒后,会自动下载运行木马程序,造成较大危害. 该蠕虫先后出现很多变种,在出现后的短时期内迅速传播,遭受感染的用户难于彻底清除,给其工作带来诸多不便. 蠕虫情况分析如下: 病毒名称:Worm_MyInfect.af 中 文 名:&q

roirpy.exe,mrnds3oy.dll,qh55i.dll等木马群手工清除解决方案_病毒查杀

roirpy.exe,mrnds3oy.dll,qh55i.dll等木马群手工清除解决方案  用xdelbox删除下面文件(添加下面所有路径或在空白处点右键-从剪贴板导入,在已添加的文件路径上点击右键,选择立刻重启执行删除[有提示不存在该文件的就忽略,添加其它文件]):   c:\windows\roirpy.exe   c:\windows\uunjkd.exe   c:\windows\49400l.exe   c:\windows\49400m.exe   c:\windows\fjrlw

bryato.exe,acpisys.sys等恶意文件清除解决方案_病毒查杀

1.建议使用XDelBox删除以下文件:(XDelBox1.6下载),系统盘非C盘的建议下载费尔木马强力清除助手删除以下文件: 使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择剪贴板导入不检查路径,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作.运行xdelbox前最好卸载所有可移动存储设备. c:\windows\system32\bryato.exe c:\program files\cool66\cool66.exe c:\wi

“灯泡男”“神奇小子”(Win32.WizardBoy.a)病毒完整解决方案_病毒查杀

"前些天,电脑中了熊猫烧香,刚把'国宝'赶走没几天,今天上网下载了个小工具后,机器运行又开始变慢,有几个程序图标变成'帅哥'头像,眼睛比较突出象灯泡的样子,估计又中病毒了,真是郁闷!"用户陈先生无奈地表示. 金山毒霸反病毒专家戴光剑指出,这是一个名为"神奇小子"(Win32.WizardBoy.a)的感染型病毒,也有人叫"灯泡男"或"舞男头".该病毒可感染扩展名为exe和scr的可执行文件,并通过局域网传播,当网络可用时,病毒

替换ctfmon.exe的下载器window.exe的方法_病毒查杀

病毒描述: 此病毒利用替换输入法输入程序的方法伪装自身,从而可以利用原先已有的ctfmon启动项目启动自身,并进行下载木马和感染htm文件等操作 File: window.exe Size: 19380 bytes Modified: 2007年10月19日, 17:42:28 MD5: BDAA1AB926518C7D3C05B730C8B5872C SHA1: BF4C82AA7F169FF37F436B78BBE9AA7FD652118A CRC32: BEC77526 1.病毒运行后,生