计算机病毒的解决方法,ROOTKIT.Agent.lv
前几天见了用sreng里的曰志里显示[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] [Microsoft Corporation]系统里并没用C:\WINDOWS\system32\wdm.exe这个文件 感觉很奇怪 问baohe要了样本 我也分析了一下拿到wdm.exe看了下属性和原来系统的属性的对比一下 才知道真伪(图1)自己运行一下后,文件释放到C:\WINDOWS\system32\wdm.exeC:\WINDOWS\system32\drivers\ksld.sys将QQ安装目录下的TIMPlatform.exe改名为TIMPlatfrom.exe,同时释放自身到QQ目录下,文件名为TIMPlatform.exe(图2)在注册表中添加[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]KernelFaultCheck = C:\WINDOWS\system32\wdm.exe实现随系统启动自动运行修改HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows下Load的默认值为空解决方案1.用sreng删除启动项目[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] [Microsoft Corporation](图3)2.打开隐藏取消文件隐藏模式方法:1.打开任意文件夹窗口=》工具=》文件夹选项=》查看2.取消隐藏受保护的系统文件前面的钩3.选中显示所有文件和文件夹4.取消隐藏已知文件类型扩展名前面的勾3.删除C:\WINDOWS\system32\wdm.exe4.重启系统5.删除C:\WINDOWS\system32\drivers\ksld.sysC:\Program Files\Tencent\QQ\TIMPlatform.exe(qq安装目录)6.重命名C:\Program Files\Tencent\QQ\TIMPlatfrom.exe=>C:\Program Files\Tencent\QQ\TIMPlatform.exeps:TIMPlatform.exe如果随意删除,会导致一些和QQ挂勾的外部程序都不能启动,如不能切换TM,不能打开聊天室,不能发起临时会话等.如果自己系统里没装qq,将只会出现C:\WINDOWS\system32\wdm.exeC:\WINDOWS\system32\drivers\ksld.sys这两个文件 删除方法和以上相同
标签:ROOTKIT,Agent,lv
