病毒标签:
病毒名称: Backdoor.Win32.VB.qm
病毒类型: 后门
文件 MD5: 72EA975BA1113594DAD3A1C8AECC72CB
公开范围: 完全公开
危害等级: 中等
文件长度:262,144 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual Basic 5.0 / 6.0
加壳类型: 无
命名对照: Symentec[无]
mcafee[Generic BackDoor.b]
病毒描述:
该病毒属于木马类。病毒运行后复制原病毒副本到%System32%下,并删除原病毒副本,修改注册表,达到开机自启的目的。在注册表和%System32%"下新健和释放四个文件:"%System32%","svchost32.exe","mswinsck.ocx","regsvr32.dll","svcloader.exe"
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
%WINNT%System32svchost32.exe
%WINNT%System32mswinsck.ocx
%WINNT%System32regsvr32.dll
%WINNT%System32svcloader.exe
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINESOFTWAREClassesexefile
shellopencommand@
键值: 字串: "svcloader.exe "%1" %*"
改为: 键值: 字串: ""%1" %*"
HKEY_CURRENT_USERSoftwareMicrosoftWindows
ShellNoRoamMUICache
键值: 字串: "svchost32"=%Windows%System32svchost.exe
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID
{248DD896-BB45-11CF-9ABC-0080C7E7B78D}InprocServer32@
键值: 字串: "MSWINSCK"= %WINDOWS%System32MSWINSCK.OCX
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID
{248DD897-BB45-11CF-9ABC-0080C7E7B78D}InprocServer32@
键值: 字串: "MSWINSCK" =%WINDOWS%System32MSWINSCK.OCX
HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib
{248DD890-BB45-11CF-9ABC-0080C7E7B78D}1.0win32@
键值: 字串: "MSWINSCK"= %WINDOWS%System32MSWINSCK.OCX
