打印

[求助] 关于SYSTEM.EXE文件夹如何删除!

0
病毒类型:特洛伊木马
  病毒长度:72,397字节
  影响系统:Windows 2000,Windows 95,Windows 98,Windows Me,Windows NT,Windows XP
  不受影响的系统:DOS,Linux,Macintosh,Novell Netware,OS/2,UNIX,Windows 3.x
  风险程度:低
  破坏能力:中
  感染能力:低

  该病毒发作时:

  1,将自身拷贝为System.exe,并保存在%Windir%或%System%文件夹下

  2,在%System%文件夹下产生一个加密文件名为Plugin1.dat.

  3,分别在如下注册表项修改:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

  添加:

  "system"="%System%\system.exe"
  "system"="%Windir%\system.exe"

  4,在如下注册表项:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}

  添加:

  "stubpath"="%System%\system.exe s"
  "stubpath"="%windir%\system.exe s"

  5,创建如下注册条目以存储状态信息:

  HKEY_CURRENT_USER\Software\Wget
  HKEY_LOCAL_MACHINE\SOFTWARE\Wget

  6,收集被感染计算机的系统信息

  7,尝试使用微软IE浏览器使用TCP端口1971连接到如下地址中的一个并发送收集的系统信息:

  ·firedragon.no-ip.com
  ·killvirus2002.serveftp.org
  ·222.65.219.234

  8,等待攻击者发送命令。

  清除方法:

  进入到安全模式

  按下Ctrl+Alt+Del组合键打开“任务管理器”

  找到Plugin1.dat进程,右键单击它,选择“结束进程”

  退出“任务管理器”

  进入系统文件夹下,默认情况下该文件夹:Windows 95/98/Me为C:\Windows\system,Windows NT/2000为C:\Winnt\System32,Windows XP为C:\Windows\System32,找到Plugin1.dat并将其永久删除。

  点击开始-->运行,输入

  regedit

  按回车进入注册表编辑器

  定位到如下注册表条目:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

  在其右侧面板删除如下键值:

  "system"="%System%\system.exe"
  "system"="%Windir%\system.exe"

  定位到如下键值:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}

  在其右侧面板,删除如下键值:

  "stubpath" = "%System%\system.exe s"
  "stubpath" = "%Windir%\system.exe s"

  删除如下键:

  HKEY_CURRENT_USER\Software\Wget
  HKEY_LOCAL_MACHINE\SOFTWARE\Wget

TOP

当前时区 GMT+8, 现在时间是 2025-3-16 07:37