1   1  /  1  页   跳转

[原创] DNF托马斯0.7.exe中毒后的处理

收藏
本主题由 大版主 baohe 于 2010-2-2 15:38:45 执行 设置高亮 操作
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2010-02-02 15:37 | 显示全部 短消息 资料
字号: 1楼

DNF托马斯0.7.exe中毒后的处理

样本来源:http://bbs.ikaka.com/showtopic-8693197.aspx

RIS2010最新病毒库(22.33.01.04)不报毒。


一、病毒运行后的动作:
1、释放文件

C:\Documents and Settings\Administrator\Local Settings\Temp\tcom.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\tbot.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\thk.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\now.tmspage

2、写注册表
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\AppData

3、通过1070 端口访问 222.186.30.35:888


4、下载病毒:
C:\Documents and Settings\Administrator\Local Settings\Temp\360update.dat(被RIS2010灭掉)。

二、手杀处理流程:

1.结束病毒进程DNF.EXE





2、删除病毒文件





3、删除病毒添加的注册表项

用户系统信息:Opera/9.80 (Windows NT 5.1; U; zh-cn) Presto/2.2.15 Version/10.10
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2010-02-02 23:01 | 显示全部 短消息 资料
字号: 2楼

回复 2F 夲號ヱ被ジ盜 的帖子

RIS2010 灭了那个.dat之后,就没这些动作了。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT