UC知道如何清除木马 可能是蜜蜂大盗 进程IsUn0804.exe和IsUninst.exe
来源:百度知道 编辑:UC知道 时间:2024/05/11 01:14:18
江民检测到未知进程IsUninst.exe和IsUn0804.exe
Windows的部分系统文件被改变
被增加:
C:\WINDOWS\IsUn0804.exe
C:\WINDOWS\IsUninst.exe
C:\WINDOWS\_ds37F.tmp
C:\WINDOWS\system32\athprxy.dll
C:\WINDOWS\system32\atl71.dll
C:\WINDOWS\system32\Comdlg32.ocx
C:\WINDOWS\system32\dbmsgnet.dll
C:\WINDOWS\system32\dbmslpcn.dll
C:\WINDOWS\system32\dbmsqlgc.dll
C:\WINDOWS\system32\dbmsshrn.dll
C:\WINDOWS\system32\insrepim.exe
C:\WINDOWS\system32\mdt2fw95.dll
C:\WINDOWS\system32\mfc71.dll
C:\WINDOWS\system32\mfc71u.dll
C:\WINDOWS\system32\msrpjt40.dll
C:\WINDOWS\system32\ntwdblib.dll
C:\WINDOWS\system32\Protect.sys
C:\WINDOWS\system32\WipeShell.dll
C:\WINDOWS\system32\WmShell.dll
C:
Windows的部分系统文件被改变
被增加:
C:\WINDOWS\IsUn0804.exe
C:\WINDOWS\IsUninst.exe
C:\WINDOWS\_ds37F.tmp
C:\WINDOWS\system32\athprxy.dll
C:\WINDOWS\system32\atl71.dll
C:\WINDOWS\system32\Comdlg32.ocx
C:\WINDOWS\system32\dbmsgnet.dll
C:\WINDOWS\system32\dbmslpcn.dll
C:\WINDOWS\system32\dbmsqlgc.dll
C:\WINDOWS\system32\dbmsshrn.dll
C:\WINDOWS\system32\insrepim.exe
C:\WINDOWS\system32\mdt2fw95.dll
C:\WINDOWS\system32\mfc71.dll
C:\WINDOWS\system32\mfc71u.dll
C:\WINDOWS\system32\msrpjt40.dll
C:\WINDOWS\system32\ntwdblib.dll
C:\WINDOWS\system32\Protect.sys
C:\WINDOWS\system32\WipeShell.dll
C:\WINDOWS\system32\WmShell.dll
C:
蜜蜂大盗(Win32.Troj.MiFeng70)
该木马偷窃传奇游戏的密码,并将密码发到指定的信箱。此外,它还能盗窃以下软件的密码:QQ、奇迹、千年、红月、倚天、决战、大话西游、石器时代、遗忘传说、DVAQ。木马运行后会将自身复制到系统目录下,文件名保持不变,在系统安装目录中生成isUn0404.exe、isUn0804.exe、isUninst.exe;在注册表主键HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加键值"internet"="%SYSTEM%"\%VIRUSNAME%";对注册表主键HKLM\SOFTWARE\Classes \xtfile\shell\open\command修改键值"默认"="%SYSTEM%"\%VIRUSNAME%" "%1";在C:Autoexec.bat中添加内容net stop "Internet Connection Firewall(ICF)/Internet Connection Sharing(ICS)">C:BOOTEX.LOG
木马运行后硬盘会狂运作,监听UDP2222端口,监视杀毒软件木马克星、瑞星。木马通过http://ip.loveroot.com/showip.php获得感染机器的IP信息,会到http://freehostwebsamba.com/ryabcdefg/mf6db/index.asp?eve=g