Relive.dll msvcrt.dll木马的手动清除

xingke · 发表于 2007-10-30 14:46:39

　文件名称: S168.exe
　　病毒名: kaspersky: N/Aw rising: N/A

　　详细资料:
　　文件变化:
　　释放文件
　　%ProgramFiles%\Common Files\Relive.dll
　　%ProgramFiles%\Internet Explorer\msvcrt.bak
　　%ProgramFiles%\Internet Explorer\msvcrt.dll

　　修改注册表:
　　病毒创建启动项
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{0FAD2E16-C8EF-5AC1-1E6A-AE3FD8EF56B3}"
[HKCR\CLSID\{0FAD2E16-C8EF-5AC1-1E6A-AE3FD8EF56B3}\InProcServer32]
"（默认）"="C%ProgramFiles%\Internet Explorer\msvcrt.dll"
[HKCR\CLSID\{D3626E66-B13B-C628-ACDF-BDABCFA265E1}\InProcServer32]
"（默认）"="%ProgramFiles%\Common Files\Relive.dll"

　　其他行为:
　　删除 hosts 文件
%System%\drivers\etc\hosts
　　调用 Explorer.exe 访
　　问网络下载病毒,存放到 %Temp% 临时文件夹

　　清除方法:
　　1. 删除病毒启动项（详细步骤：打开SREng－启动项目－注册表）
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{0FAD2E16-C8EF-5AC1-1E6A-AE3FD8EF56B3}"
[HKCR\CLSID\{0FAD2E16-C8EF-5AC1-1E6A-AE3FD8EF56B3}\InProcServer32]
"（默认）"="%ProgramFiles%\Internet Explorer\msvcrt.dll"
[HKCR\CLSID\{D3626E66-B13B-C628-ACDF-BDABCFA265E1}\InProcServer32]
"（默认）"="%ProgramFiles%\Common Files\Relive.dll"
　　2. 重新启动计算机
　　3. 删除文件(如遇提示无法删除文件，下载费尔木马强制删除器工具进行强制删除)
　　%ProgramFiles%\Common Files\Relive.dll
　　%ProgramFiles%\Internet Explorer\msvcrt.bak
　　%ProgramFiles%\Internet Explorer\msvcrt.dll
　　4. 在安全模式使用反病毒软件全盘扫描清除病毒

hljbhs · 发表于 2007-10-30 22:04:42

病毒不同在注册表的位置也会不同吧

wyeth · 发表于 2007-11-1 20:18:22

学习了，谢谢版主的好文章。。。

xingke · 发表于 2007-11-2 08:23:29

原帖由 hljbhs 于 2007-10-30 22:04 发表
病毒不同在注册表的位置也会不同吧

是的。

不懂破解 · 发表于 2007-11-2 09:52:36

SREng的使用大家要熟悉

kurusaki · 发表于 2007-11-2 14:31:48

能查到基本上都能用工具清除了吧
还要手动干什么

		自动登录	找回密码
密码			加入我们