病毒名称:Trojan.Delf.rsd<瑞星><MACFEE.卡巴不报>
MD5216a3783443fc9c46fe4d32aa13c390f
运行后病毒样本,自动复制副本到%SYSTEMroot%目录下
%SYSTEMroot%flashplay.dll
%SYSTEMroot%ge_1237.exe
X:flashplay.dll
X:readme.txt.exe
X:autorun.inf
X指非系统盘符
%systemroot%是环境变量,
autorun.inf里面的内容:
[autorun]
open=.readme.txt.exe
shell1=Open
shell1Command=.readme.txt.exe
shell2=Browser
shell2Command=.readme.txt.exe
shellexecute=.readme.txt.exe
[autorun]
open=.readme.txt.exe
shell1=Open
shell1Command=.readme.txt.exe
shell2=Browser
shell2Command=.readme.txt.exe
shellexecute=.readme.txt.exe
运行IE,%SYSTEMroot%ge_1237.exe连接网络:
IP地址:125.91.104.177端口为:80
IP地址:59.45.180.5端口为:37
IP地址:221.238.249.18端口为:80
关于弹出免费点歌,指向网址:http://img2.uiuni.com/ivr/all/index.html?uid=2722
解决方法:
1.运行ICESWORD---设置---禁止进线程创建---强制卸载被插入到explorer.exe进程及iexplore.exe进程的C:WINDOWSsystem32flashplay.dll
附sreng日志:
Code:
[PID:4916][C:WINDOWSexplorer.exe]
[C:WINDOWSsystem32flashplay.dll]
[PID:1508][C:ProgramFilesInternetExploreriexplore.exe]
[C:WINDOWSsystem32flashplay.dll]
2.使用ICESWORD---文件---删除:
%SYSTEMroot%flashplay.dll
%SYSTEMroot%ge_1237.exe
删除非系统盘符下
X:flashplay.dll
X:readme.txt.exe
X:autorun.inf
注意事项:
在使用ICESWORD删除非系统盘符下X:readme.txt.exe的时候,会自动中止桌面进程,删除完成后,取消禁止进线程创建,使用:ctrl+ait+del调出任务管理器,选择文件--新建任务--调出桌面进程:explorer.exe
【readme.txt之弹出免费点歌病毒的清除方法】相关文章:
★ 关于winasse.exe生成Win59.exe等病毒的解决方法