發新話題

dl.exe 病毒 解決方法

dl.exe 病毒 解決方法

首先確定你的機器上沒有安裝傳奇 以為傳奇的私服登陸器運行時在進程裡也是dl.exe 如果你沒有傳奇 那麼你中木馬了
引用:
病毒名稱:特洛伊病毒Win32.Harnig Family
其它名稱:StartPage-BT (McAfee)、Win32/Harnig!generic、Trojan.Win32.Harnig.b (Kaspersky)、HTML/Harnig.B.Trojan、Win32/Harnig.B.Trojan、Win32.Harnig.BN 、Win32/Harnig.G (Eset)
病毒屬性:特洛伊木馬
危害性:低危害

具體介紹:
病毒特性:
Win32.Harnig是一族特洛伊病毒,能夠下載並運行任意檔案。


感染方式:
一旦被激活,特洛伊可能複製自身到%Windows%目錄,已知的幾個變體使用以下檔案名:
dl.exe
dlm.exe
consol32.exe


每個變體生成一個鍵值,為了在Windows啟動時運行:
複製內容到剪貼板
代碼:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Dial32 = "%Windows%\dl.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Dial33 = "%Windows%\dlm.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Cons = "%Windows%\consol32.exe"
註:'%Windows%'是一個可變的路徑。病毒通過查詢操作系統來決定Windows檔案夾的位置。Windows 2000 and NT預設的系統安裝路徑是C:\Winnt; 95,98 和 ME 的是C:\Windows; XP 的是C:\Windows。


危害:
下載並運行任意檔案
運行時,Harnig的變體連接某個域下載並運行檔案。已知的Harnig變體會下載以下病毒變體:
複製內容到剪貼板
代碼:
Win32/Anserin
Win32/Haxdoor
Win32/Oneraw
Win32/Hsow
Win32/Startpage
Win32/SillyDl
Win32/Fanop
Win32/Difisim
Win32/Sinteri
Win32/Tibser
Harnig從以下域下載檔案:
iframebiz.biz
toolbarurl.biz
iframeurl.biz


修改Hosts檔案
Hosts檔案包含IP地址和主機名的映射。Windows在查詢DNS之前需要查找Hosts檔案。在Windows XP、2000、NT 系統中hosts 檔案位於%System%\drivers\etc\hosts;在Windows 9x 系統中hosts檔案位於%Windows%\hosts。

[quote]Harnig下載一個修改的Hosts檔案,寫入%Windows%目錄,阻止訪問以下域:
n-glx.s-redirect.com
x.full-tgp.net
counter.sexmaniack.com
autoescrowpay.com
訪客無法瀏覽此圖片或連結,請先 註冊登入會員
訪客無法瀏覽此圖片或連結,請先 註冊登入會員
訪客無法瀏覽此圖片或連結,請先 註冊登入會員
awmdabest.com
sexfiles.nu
allforadult.com
訪客無法瀏覽此圖片或連結,請先 註冊登入會員
訪客無法瀏覽此圖片或連結,請先 註冊登入會員
iframe.biz
訪客無法瀏覽此圖片或連結,請先 註冊登入會員
newiframe.biz
訪客無法瀏覽此圖片或連結,請先 註冊登入會員
vesbiz.biz
訪客無法瀏覽此圖片或連結,請先 註冊登入會員
pizdato.biz
訪客無法瀏覽此圖片或連結,請先 註冊登入會員
aaasexypics.com
訪客無法瀏覽此圖片或連結,請先 註冊登入會員
virgin-tgp.net
訪客無法瀏覽此圖片或連結,請先 註冊登入會員
awmcash.biz
buldog-stats.com
訪客無法瀏覽此圖片或連結,請先 註冊登入會員
fregat.drocherway.com
slutmania.biz
訪客無法瀏覽此圖片或連結,請先 註冊登入會員
toolbarpartner.com
訪客無法瀏覽此圖片或連結,請先 註冊登入會員
訪客無法瀏覽此圖片或連結,請先 註冊登入會員
megapornix.com
訪客無法瀏覽此圖片或連結,請先 註冊登入會員
sp2fucked.biz
greg-tut.com
訪客無法瀏覽此圖片或連結,請先 註冊登入會員
nylonsexy.com
訪客無法瀏覽此圖片或連結,請先 註冊登入會員
vparivalka.com
訪客無法瀏覽此圖片或連結,請先 註冊登入會員
iframeprofit.com
訪客無法瀏覽此圖片或連結,請先 註冊登入會員
topsearch10.com
訪客無法瀏覽此圖片或連結,請先 註冊登入會員
statscash.biz
訪客無法瀏覽此圖片或連結,請先 註冊登入會員
vxiframe.biz
訪客無法瀏覽此圖片或連結,請先 註冊登入會員
crazy-toolbar.com
訪客無法瀏覽此圖片或連結,請先 註冊登入會員
topcash.biz
訪客無法瀏覽此圖片或連結,請先 註冊登入會員
loadcash.biz
訪客無法瀏覽此圖片或連結,請先 註冊登入會員
txiframe.biz
訪客無法瀏覽此圖片或連結,請先 註冊登入會員
procounter.biz
訪客無法瀏覽此圖片或連結,請先 註冊登入會員
advadmin.biz
訪客無法瀏覽此圖片或連結,請先 註冊登入會員
trafficbest.net
訪客無法瀏覽此圖片或連結,請先 註冊登入會員
besthvac.com
其它信息
Harnig變體生成以下鍵值,可能是作為一個感染標記,例如:
複製內容到剪貼板
代碼:
HKCU\Software\Microsoft\Windows\CurrentVersion\advnnn = "adv<nnn>"
複製內容到剪貼板
代碼:
這個"<nnn>"是一個3位的阿拉伯數字。
清除:
KILL安全冑甲最新版本可檢測/清除此病毒。
估計用EWIDO把 病毒庫升級到最新也能殺掉。[/quote]

給你說的兩種方法都可以查殺該病毒 但第二種更徹底

TOP

發新話題

本站所有圖文均屬網友發表,僅代表作者的觀點與本站無關,如有侵權請通知版主會盡快刪除。