wmsetup.dll,ravupdate.dat,framdee.ttf病毒的清除
发布:石家庄电脑维修 | 发布时间: 2010年8月25日石家庄电脑维修,修电脑 这个病毒,是一个下载者来的,主要是下载当前最为流行的盗密码的Trojan-GameThief.Win32.OnLineGames病毒。
这个病毒的几个主要行为特点:
1,感染%SystemRoot%\system32\actxprxy.dll,实现自启动。正常actxprxy.dll大概77K左右,感染后为100k。
2,释放病毒文件%ProgramFiles%\Messenger\msgmr.dll,注册表添加启动项ShellServiceObjectDelayLoad。过数字签名。
3,%SystemRoot%\fonts\framdee.ttf为的下载者的主体文件,驱动隐藏,在icesword中可以发现它的踪迹和强制删除,它主要是下载OnLineGames的病毒文件。访问http://60.191.223.14/pic/下载病毒,全部以1.gif,2.gif,3.gif等伪装。
4,actxprxy.dll加载到explorer.exe后会访问116.252.185.15下载%temp%\wmsetup.dll,%temp%\ravupdate.dat这2个文件,注入explorer.exe和svchost.exe。ravupdate.dat的作用是确保%ProgramFiles%\Messenger\msgmr.dll这个启动项,此dll作用不清楚。
由于最开始已经删除了很多,所以这个病毒分析的很粗糙。初步的解决办法:
1,切记首先一定要断网。
2,清除下列程序:
%temp%\wmsetup.dll
%temp%\ravupdate.dat
%SystemRoot%\temp\wmsetup.dll
%SystemRoot%\temp\ravupdate.dat
%SystemRoot%\apppatch\desktopwin.dll
%SystemRoot%\system32\drivers\eth8023.sys
%SystemRoot%\fonts\framdee.ttf
%ProgramFiles%\Messenger\msgmr.dll
- 相关文章:
恶意木马程序Trojan_Fanny现在已出现在互联网 (2010-8-11 7:59:4)
CAD2007启动缓慢的解决方法 (2010-8-5 20:46:49)
开机无法进入桌面 (2010-7-28 19:44:54)
Adobe Flash Player 10.1 发布 (2010-6-17 20:19:56)
wincab.sys,kavo.exe,kavo0.dll,ntdelect.com病毒手动解决 (2010-6-13 22:37:26)
彻底解决win7开机后死机 (2010-6-11 23:37:34)
BOOT.ini文件丢失的处理方案 (2010-5-18 22:49:9)
解决win7桌面广告图标无法删除问题 (2010-5-17 22:23:54)
系统崩溃后还原的三种方法 (2010-4-30 21:48:37)
5分钟让你Vista/Win 7换 XP (2010-4-28 22:20:3)