主要行为:
1、释放文件:
C:WindowsSystem32datmps.dll21,984byte
C:WindowsSystem32wlite.sys8,816bytes
2、添加启动项:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonNotifydatmps]
DllName=6461746D70732E646C6C0000
Startup="datmps"
Impersonate=0x00000001
Asynchronous=0x00000001
MaxWait=0x00000001
NGIX="[1062522C5803A23AD]"
6461746D70732E646C6C0000解密得:datmps.dll
3、注册驱动:
[HKEY_LOCAL_MACHINESYSTEMControlSet001ServiceswliteSecurity]
Security=01001480900000009C000000140000003000000002001C000100000002801400FF010F000101
00000000000100000000020060000400000000001400FD01020001010000000000051200000000001800
FF010F0
[HKEY_LOCAL_MACHINESYSTEMControlSet001Serviceswlite]
Type=0x00000001
Start=0x00000001
ErrorControl=0x00000000
ImagePath="system32wlite.sys"
DisplayName="WMV9Codec"
4、添加注册表,保证安全模式依然加载:
[HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootMinimalwlite.sys]
(Default)="Driver"
[HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootNetworkwlite.sys]
(Default)="Driver"
5、调用IE傀儡进程,后台连接外部:rushprot***.net
解决方法:
1、下载PowerRmv,后断开网络连接:
如下:
2、依次删除C:WindowsSystem32datmps.dll和wlite.sys。
3、删除启动项(开始菜单-运行-输入“regedit”进入注册表依次找到说明选项并按提示操作):
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonNotifydatmps]
【病毒后门(datmps.dll)手动解决方法】相关文章:
★ roirpy.exe,mrnds3oy.dll,qh55i.dll等木马群手工清除解决方案
★ 遭遇www.investpoll.net病毒附手动删除方法
★ SysWin7z.Jmp SysWin7z.sys木马病毒的手动删除方法
★ “禽兽”病毒(杀软终结者)的分析和手动解决方法图文第1/2页