如何解决病毒后门手动的问题？

主要行为：


1、释放文件：


C:\Windows\System32\datmps.dll21,984byte


C:\Windows\System32\wlite.sys8,816bytes


2、添加启动项：


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\datmps]

DllName=6461746D70732E646C6C0000

Startup="datmps"

Impersonate=0x00000001

Asynchronous=0x00000001

MaxWait=0x00000001

NGIX="[1062522C5803A23AD]"


6461746D70732E646C6C0000解密得：datmps.dll


3、注册驱动：


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wlite\Security]

Security=01001480900000009C000000140000003000000002001C000100000002801400FF010F000101

00000000000100000000020060000400000000001400FD01020001010000000000051200000000001800

FF010F0

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wlite]

Type=0x00000001

Start=0x00000001

ErrorControl=0x00000000

ImagePath="system32\wlite.sys"

DisplayName="WMV9Codec"


4、添加注册表，保证安全模式依然加载：


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\wlite.sys]

(Default)="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\wlite.sys]

(Default)="Driver"


5、调用IE傀儡进程，后台连接外部：rushprot***.net


解决方法：


1、下载PowerRmv，后断开网络连接：

如下：

2、依次删除C:\Windows\System32\datmps.dll和wlite.sys。

3、删除启动项(开始菜单－运行－输入“regedit”进入注册表依次找到说明选项并按提示操作)：


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\datmps]

本文地址：http://www.45fan.com/a/question/40576.html